目次
【Juniper,SRX】ポリシーカウンターの確認方法【CLI】
Juniper SRXでPolicyを作成したものも、ちゃんとポリシーに引っかかってカウンターが上がっているかを確認したい時があるかと思います。
今回はそのポリシーのカウンターを確認するコマンドを紹介していきます。
ポリシーカウンターの確認方法
show security policies hit-count
show security policies hit-count from-zone ゾーン名 to-zone ゾーン名↑オペレーショナルモードで上記コマンドでどのポリシーにどれくらいヒットしてるのかを確認できます。
jcluser@vSRX1> show security policies hit-count
Logical system: root-logical-system
Index From zone To zone Name Policy count
1 trust trust default-permit 7
2 trust untrust default-permit 0
Number of policy: 2show security policies hit-count | TechLibrary
【応用】特定のトラフィックがポリシーに引っかかるかを確認できるコマンド
show security match-policies source-ip 10.100.11.2 destination-ip 10.100.12.1 from-zone trust to-zone trust destination-port 1 protocol icmp source-port 1特定のトラフィックを発生させた時に、どのポリシーに引っかかるのかを確認することができるコマンドです。
条件として「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル名」を指定する必要があり、それらが明確な場合には便利なコマンドです。ポリシーにマッチするかを確認できます。
以下が出力結果になります↓
下記の例だと、ポリシー名「default-permit」で、アクション「action-type: permit」されたことがわかります。
jcluser@vSRX1> show security match-policies source-ip 10.100.11.2 destination-ip 10.100.12.1 from-zone trust to-zone trust destination-port 1 protocol icmp source-port 1
Policy: default-permit, action-type: permit, State: enabled, Index: 4
0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: trust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
jcluser@vSRX1>Matching Security Policies | TechLibrary
how to use “show security match policies” for icmp or ping traffic
※例はICMPですがランダムなsource-portとdestination-portを入力すればできました。上記リンクを参照
まとめ
最後にまとめになります!
- ポリシーのカウンターを確認することで、適切な動作がなされていることを確認できる
- 特定のトラフィックを起こして、ポリシーの有効性を確かめることができるコマンドもある
以上!
あわせて読みたい
【Juniper,SRX】Policyの設定方法【CLI】
【【Juniper,SRX】Policyの設定方法【CLI】】 Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていきます。 アドレスブックがないことの確認 show security zone...