目次
【Juniper】ポリシーカウンターの確認方法【CLI】
Juniper SRXでPolicyを作成したものも、ちゃんとポリシーに引っかかってカウンターが上がっているかを確認したい時があるかと思います。
今回はそのポリシーのカウンターを確認するコマンドを紹介していきます。
ポリシーカウンターの確認方法
オペレーショナルモードで下記コマンドを入力し、どのポリシーにどれくらいヒットしてるのかを確認できます。
show security policies hit-count
show security policies hit-count from-zone ゾーン名 to-zone ゾーン名
以下出力例です。
jcluser@vSRX1> show security policies hit-count
Logical system: root-logical-system
Index From zone To zone Name Policy count
1 trust trust default-permit 7
2 trust untrust default-permit 0
Number of policy: 2
show security policies hit-count | TechLibrary
特定のトラフィックがポリシーに引っかかるかを確認できるコマンド
特定のトラフィックを発生させた時に、どのポリシーに引っかかるのかを確認することができるコマンドです。
条件として「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル名」を指定して、ポリシーにマッチするかを確認できます。
show security match-policies source-ip 10.100.11.2 destination-ip 10.100.12.1 from-zone trust to-zone trust destination-port 1 protocol icmp source-port 1
以下が出力結果になります。ポリシー名「default-permit」で、アクション「action-type: permit」されたことがわかります。
jcluser@vSRX1> show security match-policies source-ip 10.100.11.2 destination-ip 10.100.12.1 from-zone trust to-zone trust destination-port 1 protocol icmp source-port 1
Policy: default-permit, action-type: permit, State: enabled, Index: 4
0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: trust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
jcluser@vSRX1>
Matching Security Policies | TechLibrary
how to use “show security match policies” for icmp or ping traffic
まとめ
最後にまとめになります!
- ポリシーのカウンターを確認することで、適切な動作がなされていることを確認できる
- 特定のトラフィックを起こして、ポリシーの有効性を確かめることができるコマンドもある
以上!