pix防火墙比较有用的指令

《pix防火墙比较有用的指令》由会员分享，可在线阅读，更多相关《pix防火墙比较有用的指令（4页珍藏版）》请在金锄头文库上搜索。

1、PIX防火墙几个比较有用的指令show cpu usagePIX 只有一个 CPU来完成所有的工作，从处理包到向 console写 debug信息。最消耗 CPU资源的进程是加密，因此如果 PIX要完成数据包的加密工作，最好使用加速卡或专用的 VPNConcentrator. 日志功能是另外一个消耗大量系统资源的进程。因此，建议在正常情况下关闭 PIX向 console， monitor， buffer写日志的功能。pixfirewall# show cpu usage CPU utilization for 5 seconds = 1%； 1 minute： 2%； 5 minutes： 1

2、%show traffic本命令可以看出在特定的时间内有多少流量流经 PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。pixfirewall# show traffic outside：received （in 124.650 secs）：295468 packets 167218253 bytes 2370 pkts/sec 1341502 bytes/sec transmitted （in 124.650 secs）：260901 packets 120467981 bytes 2093 pkts/sec 966449 bytes/s

3、ec inside：received （in 124.650 secs）：261478 packets 120145678 bytes 2097 pkts/sec 963864 bytes/sec transmitted （in 124.650 secs）：294649 packets 167380042 bytes 2363 pkts/sec 1342800 bytes/secshow perfmon这条命令监测 PIX检查的数据的流量和类型。它可以判断出 PIX上每秒所做的变换（xlates）和连接数（conn）。PERFMON STATS Current Average Xlates 1

4、8/s 19/s Connections 75/s 79/s TCP Conns 44/s 49/s UDP Conns 31/s 30/s URL Access 27/s 30/s URL Server Req 0/s 0/s TCP Fixup 1323/s 1413/s TCPIntercept 0/s 0/s HTTP Fixup 923/s 935/s FTP Fixup 4/s 2/s AAA Authen 0/s 0/s AAA Author 0/s 0/s AAA Account 0/s 0/s其中，较重要的有 Xlates是每秒钟产生变换的数字；Connections 是建立

5、的连接数；TCP Fixup 是指 PIX每秒钟转发了多少 TCP包；TCPIntercept 是指有每秒多少 SYN包已经超出了开始的设定值。show blocks和 show cpu usage在一起使用，可以判断出 PIX是否过载了。当一个数据包进入防火墙的接口，会先排在 input接口的队列中，根据数据帧的大小，又被分到不同的 block中。如对于以太网帧，使用 1550字节的block.如果数据是从千兆口进来的，会使用 16384字节的 block.PIX然后会根据 ASA算法决定是否让包通过。如果 PIX过载了，那相应的 block会降到或接近 0（看 CNT这一列）。当该值降到

6、0时，PIX 会尝试申请更多的 block， 最多可到 8192.如果没有 block可用，包会被丢弃。256 字节的 block是 stateful failover信息。主 PIX向从 PIX发送这些包以更新 xlates和 connection信息。如果某段时间有大量的连接建立和拆除，256字节的 block可能会降到 0，就是说从 PIX可能没有和主 PIX同步。这个时间如果不长，是可以接受的，但如果长时间维持在 0，需要考虑升级到更高速的 PIX了。另外，日志信息也是通过 256字节的 block向外部送出的，注意通常不需要将日志的级别设置成 debug.pixfirewall# s

7、how blocks SIZE MAX LOW CNT 4 1600 1597 1600 80 400 399 400 256 500 495 499 1550 1444 1170 1188 16384 2048 1532 1538show memory可以看出 PIX的内存以及当前可用的内存。正常情况下，PIX 的可用内存的变化幅度不应该太大。如果突然发现内存快用光了，要检查是否用攻击发生。可以用 show conn count命令看当前 PIX中有多少连接，如果 PIX内存耗尽，最终会 crash.pixfirewall# show memory 1073741824 bytes tota

8、l， 1022992384 bytes freeshow xlate count显示当前通过 PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接，但这时只有一个变换。如果显示的变换数远大于内部的机器数，可能是受到了网络攻击。pixfirewall# show xlate count 84 in use， 218 most usedshow conn count可以看当前的 PIX的最大的连接数。一个 connection是一个内部 4层信息到外部地址的映射。当 PIX收到一个 SYN包，就建立一个 connection. 过

9、高connection数意味着受到了攻击，这时如果用 show memory命令虽然连接数很高，但是并没有消耗掉 PIX过多的内存资源。pixfirewall# show conn count 2289 in use， 44729 most usedshow interface 这条命令用来判断双工的匹配问题和电缆故障，也可以看出接口是否过载了。如果 PIX的 CPU资源耗尽了，那么 1550字节的 block会接近 0，如果是千兆口，16384 字节的 block接近 0.另外一个信号是“no buffers”的值不断增加，它表明接口接收包的速率太快，PIX 来不及处理，也没有足够的 blo

10、ck去承载，已经有丢包产生了。如果“no buffer”伴随着 CPU的使用率升高，说明该考虑升级到性能更强的防火墙了。当数据包进入接口时，被放在 input hardware queue中，如果该 queue满了，被放在 input software queue中。包然后从 input queue中被放到 block中等待 PIX OS的处理，PIX 决定把包放到哪个出口，即哪个 output hardware queue中，如果该 queue满了，就放到 output software queue中；如果每个软队列中的 max blocks都很大，就称之为“overrun”。常见的情况是入

11、口和出口的数据传输速率不匹配，就会出现 overrun，这时应该考虑升级接口了。pixfirewall# show interface interface ethernet0 inside is up， line protocol is up Hardware is i82559 ethernet， address is 0002.b31b.99ff IP address 9.9.9.1， subnet mask 255.255.255.0 MTU 1500 bytes， BW 100000 Kbit full duplex 4630 packets input， 803174 bytes，

12、0 no buffer Received 2 broadcasts， 0 runts， 0 giants 0 input errors， 0 CRC， 0 frame， 0 overrun， 0 ignored， 0 abort 4535 packets output， 445424 bytes， 0 underruns 0 output errors， 0 collisions， 0 interface resets 0 babbles， 0 late collisions， 0 deferred 0 lost carrier， 0 no carrier input queue （curr/

13、max blocks）： hardware （128/128） software （0/1）output queue （curr/max blocks）： hardware （0/2） software （0/1）如果是 runts， input errors， CRCs 或 frame errors在增加，可能是双工方式不匹配造成的或电缆故障。show process显示当前 PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的 CPU资源，什么进程没能使用 CPU资源。为了得到这个信息，我们连续两次执行 show process命令，间隔 1分钟。对有所怀疑的进程，两次的 Run

14、time值相减，时间差（单位是毫秒）就是该进程一分钟所占用的 CPU资源。557poll进程通常是占用时间最多的进程，它负责询问以太接口看是否有包需要处理。总结我们用 show cpu usage命令看 PIX的负载情况。一般来说，CPU 达到 80%时，性能会受到影响；超过 90%时，会有丢包的情况发生。这个时候，我们可以通过命令 show process来看看什么进程在消耗 CPU资源，查出该进程后找相应的办法处理。如果 CPU的使用率并不高，但是还是觉得有丢包的情况发生，用 show interface命令检查是否有错包出现，即是否有双工匹配问题或电缆问题；如果是no buffer增加，

15、同时 CPU使用率并不高，说明接口的能力不能满足流量的需求；如果 buffer状况很好，检查 block， 如果 1550字节或 16384字节的block接近 0了，说明 PIX由于太忙开始丢包了，这时 CPU也会很高。如果发现在 PIX建立新的连接很困难，用命令 show conn count检查当前的连接数：如果很高了，用 show memory命令看看内存的状况，如果内存很少了，用 show conn命令或 show local-host命令查一下连接数如此多的原因，很可能是遭遇 DoS攻击了。另外，show traffic 命令显示每个接口处理的包数和字节数；show perfmon命令进一步将 traffic分成不同的类型。