Udemyセール開催中!(〜4/1まで)

【Juniper】ポリシーカウンターの確認方法【CLI】

当ブログは広告リンクを含みます。
  • URLをコピーしました!
目次

【Juniper】ポリシーカウンターの確認方法【CLI】

Juniper SRXでPolicyを作成したものも、ちゃんとポリシーに引っかかってカウンターが上がっているかを確認したい時があるかと思います。
今回はそのポリシーのカウンターを確認するコマンドを紹介していきます。

ポリシーカウンターの確認方法

オペレーショナルモードで下記コマンドを入力し、どのポリシーにどれくらいヒットしてるのかを確認できます。

show security policies hit-count
show security policies hit-count from-zone ゾーン名 to-zone ゾーン名

以下出力例です。

jcluser@vSRX1> show security policies hit-count    
Logical system: root-logical-system
 Index   From zone        To zone           Name           Policy count
 1       trust            trust             default-permit 7            
 2       trust            untrust           default-permit 0            

Number of policy: 2

show security policies hit-count | TechLibrary

特定のトラフィックがポリシーに引っかかるかを確認できるコマンド

特定のトラフィックを発生させた時に、どのポリシーに引っかかるのかを確認することができるコマンドです。

条件として「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル名」を指定して、ポリシーにマッチするかを確認できます。

show security match-policies source-ip 10.100.11.2 destination-ip 10.100.12.1 from-zone trust to-zone trust destination-port 1 protocol icmp source-port 1

以下が出力結果になります。ポリシー名「default-permit」で、アクション「action-type: permit」されたことがわかります。

jcluser@vSRX1> show security match-policies source-ip 10.100.11.2 destination-ip 10.100.12.1 from-zone trust to-zone trust destination-port 1 protocol icmp source-port 1   
Policy: default-permit, action-type: permit, State: enabled, Index: 4
0
  Policy Type: Configured
  Sequence number: 1
  From zone: trust, To zone: trust
  Source addresses:
    any-ipv4(global): 0.0.0.0/0 
    any-ipv6(global): ::/0
  Destination addresses:
    any-ipv4(global): 0.0.0.0/0 
    any-ipv6(global): ::/0
  Application: any
    IP protocol: 0, ALG: 0, Inactivity timeout: 0
      Source port range: [0-0] 
      Destination port range: [0-0]
  Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No

jcluser@vSRX1>

Matching Security Policies | TechLibrary
how to use “show security match policies” for icmp or ping traffic

まとめ

最後にまとめになります!

  • ポリシーのカウンターを確認することで、適切な動作がなされていることを確認できる
  • 特定のトラフィックを起こして、ポリシーの有効性を確かめることができるコマンドもある

以上!

あわせて読みたい
【Juniper】Policyの設定方法【CLI】 【【Juniper】Policyの設定方法【CLI】】 Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていきます。Policyの削除方法やPolicyを無効化する方法は別記事でまと...

AWSエンジニアへの転職を目指すなら!

実務ベースのCI/CDパイプライン作成まで学べるAWSスクールでAWSエンジニアを目指そう!

目次