カテゴリー別アーカイブ: CLIコマンドマニュアル

tcpdump

GenieATMのネットワーク・インターフェースが送受信しているパケットをキャプチャします。

書式

tcpdump
[-A | -x | -X] [-c <packet count>] [-i <interface>] [-n] [-v | -vv | -vvv] <expr>

主な追加パラメータ

キーワード 説明
-A | -x | -X -A: アスキー文字として表示
-x: 16進数で表示
-X: 16進数とアスキー文字で表示
(指定なし): パケットの概要のみ表示
-c <count> 受信するパケット数を指定。省略するとCtrl+Cで停止されるまで継続
-i <interface> パケットキャプチャの対象インターフェースを指定。省略するとeth0
-n IPアドレスやポート番号を名前に解決せず,数値のまま表示。
-v | -vv | -vvv -v: パケットの詳細を表示
-vv: さらに詳細を表示
-vvv: もっと詳細を表示
<expr> キャプチャするパケットの条件

構造

<expr> := {<expr> and <expr> | <expr> or <expr> | not <expr>
| \(<expr>\)}
※ 括弧以外,条件の評価は単純に左から右に行わる。したがって,A and B or C and Dは(((A and B) or C) and D)と評価される。

表記

<expr> := {{src | dst | [src | dst] host} <ip address>
| [src | dst] net <ip prefix>
| [tcp | udp] [src | dst] port <port no>
| ip | ipv6 | arp | icmp | icmp6 | tcp | udp}
※ すべてのパラメータを確認するにはtcpdump 4.1.1のドキュメントを参照してください。
※ 明示的にsrcdstを指定しない場合,送信元,送信先のいずれかが条件に一致すれば表示される。

デフォルト設定

なし

コマンドモード

Debug Mode

説明

  • GenieATMが送受信したパケットのうちパラメータで指定した条件に一致するものを指定したフォーマットで表示またはファイル出力します。
  • パラメータはtcpdumpコマンドを入力した後
    Please input tcpdump parameters and press return

    が表示されてから入力します。

  • パラメータで受信件数を指定した場合は,その件数を表示すると終了します。それ以外の場合はCtrl+Cで停止するまで表示し続けます。

注意事項

  • 内部的にはtcpdumpのバージョン4.1.1が動作します。新しいバージョンのtcpdumpとは動作が異なる可能性があります。
  • tcpdumpコマンドは,GenieATMのfirewallによってブロックされている受信パケットも表示します。GenieATMが応答していない場合などはaccess groupコマンドやfirewall enableコマンドの設定も確認してください。

実行例

# debugmode
(debug)# tcpdump
Please input tcpdump parameters and press return
-c 30 port 179 or host 172.16.2.10
Do you want to add "more" command behind the tcpdump
parameters to prevent terminal session crashed?(Y/N) n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:42:52.441112 IP 172.16.2.10.29239 > DEMO-GenieATM6000.9996: UDP, length 1464
16:42:52.720919 IP 172.16.2.10.49459 > DEMO-GenieATM6000.9996: UDP, length 1464
16:42:52.780928 IP 172.16.2.10.35397 > DEMO-GenieATM6000.9996: UDP, length 1464
16:42:52.920193 IP 172.16.2.92.34218 > 172.16.3.100.bgp: Flags [S], seq 3848185622, win 29200, options [mss 1460,sackOK,TS val 205468085 ecr 0,nop,wscale 8], length 0
16:42:52.950870 IP 172.16.2.10.43922 > DEMO-GenieATM6000.9996: UDP, length 1464
   :
 (中略)
   :
16:42:54.273145 IP 172.16.2.10.15727 > DEMO-GenieATM6000.9996: UDP, length 1428
16:42:54.276194 IP DEMO-GenieATM6000.38931 > 172.16.3.95.bgp: Flags [S], seq 1349508613, win 29200, options [mss 1460,sackOK,TS val 205468424 ecr 0,nop,wscale 8], length 0
16:42:54.445617 IP 172.16.2.10.45356 > DEMO-GenieATM6000.9996: UDP, length 1428
16:42:54.595574 IP 172.16.2.10.62498 > DEMO-GenieATM6000.9996: UDP, length 1428
16:42:54.675594 IP 172.16.2.10.43301 > DEMO-GenieATM6000.9996: UDP, length 1428
16:42:54.753158 IP 172.16.2.10.14472 > DEMO-GenieATM6000.9996: UDP, length 1428
16:42:54.773100 IP 172.16.2.10.41236 > DEMO-GenieATM6000.9996: UDP, length 1428
16:42:54.825670 IP 172.16.2.10.59150 > DEMO-GenieATM6000.9996: UDP, length 1428
30 packets captured
31 packets received by filter
0 packets dropped by kernel
(debug)# 
(debug)# tcpdump
Please input tcpdump parameters and press return
-c 1 -X port 6343
Do you want to add "more" command behind the tcpdump
parameters to prevent terminal session crashed?(Y/N) n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:46:55.083399 IP 172.16.2.224.8888 > DEMO-GenieATM6000.6343: sFlow version 4 packet not supported
        0x0000:  4500 00c4 8928 0000 4011 93a6 ac10 02e0  E....(..@.......
        0x0010:  ac10 025a 22b8 18c7 00b0 5996 0000 0004  ...Z".....Y.....
        0x0020:  0000 0001 ac10 02e0 009b a1cf 75f0 fd62  ............u..b
        0x0030:  0000 0001 0000 0001 0037 2cc6 0000 0020  .........7,.....
        0x0040:  0000 0100 372c c600 0000 0000 0000 0020  ....7,..........
        0x0050:  0000 0000 0000 0001 0000 0001 0000 0046  ...............F
        0x0060:  0000 0046 047d 7bbb becc 000c 2998 85a6  ...F.}{.....)...
        0x0070:  8100 0066 0800 4500 0034 d554 4000 4006  ...f..E..4.T@.@.
        0x0080:  08e8 ac10 020a ac10 025d 0801 0344 5009  .........]...DP.
        0x0090:  baa3 6a16 e933 8010 67e1 3acf 0000 0101  ..j..3..g.:.....
        0x00a0:  080a f5fe 7b0d 014f 9bed 0000 0000 0001  ....{..O........
        0x00b0:  0000 0001 0000 0066 0000 0000 0000 0000  .......f........
        0x00c0:  0000 0000                                ....
1 packets captured
2 packets received by filter
0 packets dropped by kernel
(debug)#

disable telnet service

GenieATMへのTelnetアクセスを無効化します。

書式

[no] disable telnet service

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • GenieATMへのTelnetアクセスを無効化します。
  • 設定を無効にするには,no disable telnet serviceコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • GenieATMから他ホストへのTelnetは可能です。
  • 本設定はversion 5.6.4 以降で利用可能です。

実行例

(config)# disable telnet service
% Disable telnet service
Stopping internet superserver: xinetd.
Starting internet superserver: xinetd.
(config)# show running
#### show running configure ####
!
(中略)
  disable telnet service
(中略)
!
!
(config)# 

firewall enable

access groupコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] firewall enable

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • firewall enableコマンドを実行すると,access groupコマンドによって明示的に許可された相手先IPアドレス,プロトコル,ポート以外との通信が禁止されます。つまり,アクセスリストの最後に暗黙のdenyを追加します。firewall enableが無効のとき,access groupコマンドによって明示的に禁止された相手先IPアドレス,プロトコル,ポート以外との通信は許可されます。
  • firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からは外部ホストに対してセッションを確立し,応答パケットを受け取ることはできます。(ただし,相手先ホストが明示的にdeny設定されていない場合に限ります)
  • 設定を無効にするには,no firewall enableコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • access groupコマンドで設定を追加する際には,先にno firewall enableコマンドでファイアウォールを無効にしてください。(バージョン5.6.3-RP3まではfirewall enableが設定された状態でも[no] access groupコマンドが発行できますが,想定外の結果を招く場合がありますので避けてください)
  • firewall enableコマンドを実行していなくても,access groupコマンドをdeny指定で実行した内容は即座に有効になり,アクセスがブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • firewall enableコマンドで有効になる暗黙のdenyは,外部ホストからGenieATMに対して新規に確立しようとしたセッションや送信しようとしたパケットに対して適用されます。GenieATM側からセッションを張る場合や,そのようなセッションを使って相手先から受信するパケットはブロックされません。たとえば,BGPセッションは常にGenieATMから張りに行くので,対応ルータをaccess groupコマンドでdenyしていない限り通信できます。また,ローカル・ループバック・アドレス(127.0.0.1)についてもブロックされることはありません。
  • access web-groupコマンドの動作には影響しません。

実行例

(config)# firewall enable
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  firewall enable
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)# 

access web-group

firewall web-login enableコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] access web-group <ip-address> netmask <netmask> permit

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 管理者権限を持つユーザIDでGUIにログイン可能なホストのIPアドレスをプレフィックス表記で規定します。firewall web-login enableコマンドを実行すると,あらかじめこのコマンドで明示的に許可されているIPアドレス以外からはGUI管理者としてログインできなくなります。
  • 登録した設定を削除するには,no access web-groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • 最後のパラメータにdenyは指定できません。
  • firewall web-login enableコマンドを実行するまで,このコマンドによる設定は効力を持ちません。
  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • ユーザIDに関わらずGUIへのログインを規制したい場合は,access groupコマンドでhttpやhttpsのポート番号へのアクセスをブロックします。
  • access web-groupコマンドは最大128件登録することができます。129件目を登録しようとするとエラーになります。

実行例

(config)# access web-group 172.16.2.0 netmask 255.255.255.0 permit
(config)# access web-group 172.16.1.1 netmask 255.255.255.255 permit
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)# 

show ip bgp/atm-bgp summary

経路分析用およびDoS防御用のBGPセッションの状態を表示します。

書式

show ip { bgp | atm-bgp } summary [<ipv4-address>]

パラメータ

キーワード 説明
bgp | atm-bgp 経路分析用BGPセッションを表示する場合はbgp,DoS防御用の場合はatm-bgpを指定します。
<ipv4-address> 対象のエクスポータあるいはリダイレクションルータのIPv4アドレスを指定します。指定しなかった場合は,該当するすべてのBGPセッションの状態を表示します。

デフォルト設定

なし

コマンドモード

Enable Mode

説明

  • state is inにセッションの状況が表示されます。セッションが確立している状態では,Established Stateとなります。GenieATM,ピアの設定が完了しているにもかかわらず,それ以外のIdle State,Connect State,Active State等が継続する場合は,設定等の問題によりセッションが確立できていません。
  • GenieATM上で設定されていないBGPピアを指定した場合は,エラーメッセージが表示されます。
  • show ip bgp summary <ipv4-address>コマンドの結果には,current ip prefix numberおよびcurrent ipv6 prefix numberが含まれ,BGPピアより受信した経路数が確認できます。一方,GenieATM側から経路を広告することはないためsend update pkt項目は含まれません。
  • show ip atm-bgp summary <ipv4-address>コマンドの結果のsend update pktから,ミチゲーション時に経路を広告した回数が分かります。

注意事項

  • show ip bgp summary <ipv4-address>コマンドにおいて指定するのは,エクスポータのIPアドレスです。GUIのルータ設定画面では,接続先BGPルータIPアドレスとしてルータとは異なるIPアドレスを指定することができますが,その場合でもエクスポータのIPアドレスを指定します。(実行例では,エクスポータ192.168.0.200からのフローレコードによる経路分析には,BGPルータ192.168.0.210から受信した経路テーブルを使用しています)

実行例

# show ip bgp summary 192.168.0.200
==================================================
BGP session to Exporter 192.168.0.200
        local as: 65001
        peer as: 65001
        peer ip addr: 192.168.0.210
        state is in: Established State
        send open pkt: 3
        send notification pkt: 0
        send keepalive pkt: 2701
        receive open pkt: 3
        receive update pkt: 6523223
        receive notification pkt: 0
        receive keepalive pkt: 1297
        receive error bgp pkt: 0
        holdtime expired count: 0
        keepalive expired count: 0
        incoming session count: 3
        disconnection session count: 217300
        current ip prefix number: 472586
        current ipv6 prefix number: 5330
==================================================
#
# show ip atm-bgp summary 192.168.0.211
==================================================
BGP session to Peer 192.168.0.211
        local as: 65002
        peer as: 65001
        state is in: Established State
        send open pkt: 8072
        send update pkt: 8
        send notification pkt: 8066
        send keepalive pkt: 29393
        receive open pkt: 2
        receive update pkt: 1
        receive notification pkt: 8066
        receive keepalive pkt: 14697
        receive error bgp pkt: 0
        holdtime expired count: 5
        keepalive expired count: 0
        incoming session count: 8072
        disconnection session count: 13510
==================================================
#

disk mount db
disk mount raw
disk mount anomaly_raw

DB,Rawdataファイル,異常Rawdataファイルを配置するためのディスクストレージをマウントします。

書式

[no] disk mount db {internal <device-id> | external <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}
[no] disk mount { raw | anomaly_raw } { internal <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}

パラメータ

キーワード 説明
<device-id> ストレージ名(sda,hdb,vg00/lv00など)
<nfs-server-ip> NFSサーバのIPv4アドレス
<exported-directory> NFSサーバ上のマウントされるディレクトリ。256文字以内で指定してください。
<nfs-version> NFSバージョン。2,3,4が指定可能
tcp TCPを使用してNFS接続を行います。指定しなければUDPが使用されます。

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドが実行されると,指定したストレージまたはNFSサーバ上のディレクトリがGenieATMにマウントされます。disk mount rawコマンド,disk mount anomaly_rawコマンドの場合,日ごとのrawdataファイル格納用の001~366のディレクトリが作成されます。オーナーはユーザーID,グループIDともにrootです。
  • 同じデータタイプに対して異なるストレージタイプを指定して複数のdisk mountコマンドを発行することができます。例えば,disk mount db internalコマンドとdisk mount db nfsコマンドは同時に設定可能です。
  • 設定を削除するにはno disk mountコマンドを実行します。
  • 現在の設定はshow runningコマンドまたはshow disk mountコマンドで確認できます。

注意事項

  • ストレージタイプexternal(SAS接続の外部ディスク)が指定できるのはDBに対してのみです。
  • disk mountコマンドを実行しただけで,データの保存先が切り替わるわけではありません。あくまでも,選択可能なストレージが準備されるだけです。データの保存先を切り替えるには,db userawdata userawdata anomaly useコマンドを実行する必要があります。ディスク関連コマンドの流れは下図を参照してください。
  • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no disk mountコマンドは,db useコマンド,rawdata useコマンド,rawdata anomaly useコマンドによって当該ストレージが使用中の場合は実行できません。
  • ストレージとしてNFSを使用する場合はNFS使用時の注意点もご参照下さい。

実行例

(config)# disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
Operation succeeded
(config)# disk mount anomaly_raw internal sdb5
(config)# disk mount raw nfs 192.168.0.100 /export/testraw 3
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use internal
  rawdata format general
  rawdata on
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
!
(中略)
!
(config)# exit
# show disk mount
Filesystem            Size  Used Avail Use% Mounted on
tmpfs                 7.9G     0  7.9G   0% /lib/init/rw
proc                     0     0     0   -  /proc
sysfs                    0     0     0   -  /sys
udev                   10M   88K   10M   1% /dev
tmpfs                 7.9G     0  7.9G   0% /dev/shm
devpts                   0     0     0   -  /dev/pts
rootfs                   0     0     0   -  /
/dev/sda2             103M  5.8M   97M   6% /home/genie/config
tmpfs                  16M   24K   16M   1% /tmp
/dev/sdb2              15G   89M   15G   1% /var/log
tmpfs                 256M     0  256M   0% /download
/dev/sdb4             9.4G  575M  8.8G   7% /home/genie/rawdata_internal
/dev/sdb3              94G  170M   93G   1% /var/lib/postgres
192.168.0.101:/export/genie/testdb02
                       29G  3.8G   24G  15% /home/genie/atm_data_nfs
/dev/sdb5             3.8G   33M  3.7G   1% /home/genie/anomaly_rawdata_internal
192.168.0.100:/export/testraw
                      194G    0G  194G   0% /home/genie/rawdata_nfs
#

flow dump

GenieATMが受信しているフローレコードを表示します。

書式

flow dump
[-a | -h] [-i <interface>] [-c <count>]"<expr>"

主な追加パラメータ

キーワード 説明
-a | -h -a: すべての属性を表示
-h: フローパケットのヘッダ部分のみ表示
(指定なし): フローパケットの概要のみ表示
-i <interface> フローを受信するインターフェースを指定。省略するとeth0
-c <count> 指定した件数のフローパケットを受信するとコマンドを終了する。省略した場合は停止するまでフローを表示し続ける。
"<expr>" 表示するフローパケットの条件

構造

<expr> := {<expr> and <expr> | <expr> or <expr> | not <expr> | (<expr>)}
※ 括弧以外,条件の評価は単純に左から右に行わる。したがって,A and B or C and Dは(((A and B) or C) and D)と評価される。

表記

<expr> := {{src | dst | [src | dst] host} <ipv4 address> | [src | dst] net <ipv4 prefix> | [src | dst] port <port no> }
※ 表記はフローパケットに関する条件であることに注意。したがって,dst portで指定する条件はGenieATMがフローパケットを受信するポート番号であり,フローが示すトラフィックの送信先ポート番号ではない。
※ 明示的にsrcdstを指定しない場合,送信元,送信先のいずれかが条件に一致すれば表示される。

デフォルト設定

なし

コマンドモード

Debug Mode

説明

  • GenieATMが受信したフローレコードのうちパラメータで指定した条件に一致するものを指定したフォーマットで表示します。
  • パラメータはflow dumpコマンドを入力した後
    Please input nfdump parameters and press return

    が表示されてから入力します。

  • パラメータで受信件数を指定した場合は,その件数を表示すると終了します。それ以外の場合はCtrl+Cで停止するまで表示し続けます。

注意事項

  • 内部的にはnfdumpのバージョン1.1が動作します。新しいバージョンのnfdumpとは動作が異なる可能性があります。
  • flow dumpコマンドは,GenieATMのfirewallによってフローレコードの受信ができないルータからのフローレコードも表示します。GUIのスナップショットなどからトラフィックが見えない場合はaccess groupコマンドやfirewall enableコマンドの設定も確認してください。

実行例

# debugmode
(debug)# flow dump
Please input nfdump parameters and press return
"host 172.16.2.24"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) y
nfdump: listening on device eth0
expression: host 172.16.2.24
15:42:29  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 2, len = 348
15:42:31  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1200
15:42:31  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 2, len = 424
15:42:32  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 3, len = 568
15:42:33  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 4, len = 748
15:42:34  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
15:42:34  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 6, len = 1224
   :
 (中略)
   :
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1312
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
15:42:35  172.16.2.24.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1256
(debug)# 
(debug)# flow dump
Please input nfdump parameters and press return
-h "src 172.16.2.10"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) y
nfdump: listening on device eth0
expression: src 172.16.2.10
15:00:24  172.16.2.10.44080 > 172.16.2.90.9996 : netflow ver = 5, count = 30, len = 1464
 -----------------------------------------------------------------------
| version| count  | sys_uptime      | unix_secs       | unix_nsecs      |
| 5      | 30     | 249804000       | 1450332048      | 303589000       |
 -----------------------------------------------------------------------
| flow_sequence   |type|id |sampling|
| 1624560         | 1  | 1 | 0      |
------------------------------------
15:00:25  172.16.2.10.35074 > 172.16.2.90.9996 : netflow ver = 5, count = 30, len = 1464
 -----------------------------------------------------------------------
| version| count  | sys_uptime      | unix_secs       | unix_nsecs      |
| 5      | 30     | 249804000       | 1450332048      | 352822000       |
 -----------------------------------------------------------------------
| flow_sequence   |type|id |sampling|
| 1624500         | 1  | 1 | 0      |
------------------------------------
15:00:25  172.16.2.10.62301 > 172.16.2.90.9996 : netflow ver = 5, count = 30, len = 1464
 -----------------------------------------------------------------------
| version| count  | sys_uptime      | unix_secs       | unix_nsecs      |
| 5      | 30     | 249804000       | 1450332048      | 372876000       |
 -----------------------------------------------------------------------
| flow_sequence   |type|id |sampling|
(debug)#
(debug)# flow dump
Please input nfdump parameters and press return
-a -c 2 "port 6343"
Do you want to add "more" command behind the nfdump
parameters to prevent terminal session crashed?(Y/N) n
nfdump: listening on device eth0
expression: port 6343
18:03:19  172.16.2.224.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 7, len = 1200
 -----------------------------------------------------------------------
| version         | ip_ver          | agent_addr      | seq_number      |
| 4               | 1               | 172.16.2.224    | 61826628        |
 -----------------------------------------------------------------------
| switch_uptime   | count           |
| 1129306885      | 7               |
------------------------------------
flow      1 sample_type         1                     seq_number          83992247
sample      src_id_type         0                     src_index_value     33
            sampling_interval   256                   sample_pool         27178752
            drops               0                     input               33
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        1518
            length_of_header    128                   Destination         02:9d:80:9c:73:3a
            Source              66:27:c8:20:26:b7     type                0x8100
            priority            0                     CFI                 0
            id                  103                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        1500
            id                  0x8d2d                flag                0x2
            flag_offset         0x0                   time_to_live        64
            protocol            0x6                   checksum            0x492c
            source ip address   172.16.3.91           dest ip address     172.16.3.71
            source port number  57185                 dst port number     548
            sequence number     3772736637            ack number          4002378524
            header length       32                    tcp flag            -A----
            window size         32768                 tcp_checksum        0xb867
            urgent pointer      0
            data                70        bytes
            n_extended_data     1
            extened_data_type   1                     src vlan            103
            src priority        0                     dest vlan           0
            dest priority       0

            -------------------------------------------------------------------------------------
flow      2 sample_type         1                     seq_number          83992248
sample      src_id_type         0                     src_index_value     33
            sampling_interval   256                   sample_pool         27179008
            drops               0                     input               33
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        1518
            length_of_header    128                   Destination         02:9d:80:9c:73:3a
            Source              66:27:c8:20:26:b7     type                0x8100
            priority            0                     CFI                 0
            id                  103                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        1500
            id                  0xd6da                flag                0x2
            flag_offset         0x0                   time_to_live        64
            protocol            0x6                   checksum            0xff7e
            source ip address   172.16.3.91           dest ip address     172.16.3.71
            source port number  57185                 dst port number     548
            sequence number     3772842717            ack number          4002378524
            header length       32                    tcp flag            -A----
            window size         32768                 tcp_checksum        0xf32d
            urgent pointer      0
            data                70        bytes
            n_extended_data     1
            extened_data_type   1                     src vlan            103
            src priority        0                     dest vlan           0
            dest priority       0

            -------------------------------------------------------------------------------------
flow      3 sample_type         1                     seq_number          29701300
sample      src_id_type         0                     src_index_value     32
            sampling_interval   256                   sample_pool         3308565504
    :
  (中略)
    :
            -------------------------------------------------------------------------------------
18:03:19  172.16.2.224.8888 > 172.16.2.90.6343 : sflow ver = 4, count = 8, len = 1336
 -----------------------------------------------------------------------
| version         | ip_ver          | agent_addr      | seq_number      |
| 4               | 1               | 172.16.2.224    | 61826629        |
 -----------------------------------------------------------------------
| switch_uptime   | count           |
| 1129307016      | 8               |
------------------------------------
flow      1 sample_type         1                     seq_number          29701304
sample      src_id_type         0                     src_index_value     32
            sampling_interval   256                   sample_pool         3308566528
            drops               0                     input               32
            output              0                     packet_data_type    1
            header_protocol     1                     frame_length        70
            length_of_header    70                    Destination         66:27:c8:20:26:b7
            Source              02:9d:80:9c:73:3a     type                0x8100
            priority            0                     CFI                 0
            id                  103                   type                0x800
            version             4                     header_length       20
            tos                 0x0                   total_length        52
            id                  0x45c6                flag                0x2
            flag_offset         0x0                   time_to_live        64
            protocol            0x6                   checksum            0x963b
            source ip address   172.16.3.71           dest ip address     172.16.3.91
            source port number  548                   dst port number     57185
            sequence number     4002378758            ack number          3773996523
            header length       32                    tcp flag            -A----
            window size         19450                 tcp_checksum        0xe2e0
            urgent pointer      0
            data                12        bytes
            n_extended_data     0

            -------------------------------------------------------------------------------------
    :
  (後略)
(debug)#

firewall web-login enable

access web-groupコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] firewall web-login enable

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

    firewall web-login enableコマンドを実行すると,access web-groupコマンドによって明示的に許可されているIPアドレス以外からはGUIに管理者権限を持つユーザIDでログインできなくなります。
  • 設定を無効にするには,no firewall web-login enableコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • access groupコマンドの動作には影響しません

実行例

(config)# firewall web-login enable
(config)# show running
#### show running configure ####
!
(中略)
  ip route 192.16.0.0 255.255.0.0 172.16.2.1 0
  firewall web-login enable
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)# 

access group

firewall enableコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] access group <ip-address> netmask <netmask> protocol {<protocol-number> | icmp | ip | { tcp | udp } <port> | vrrp }{ deny | permit }

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク
<protocol-number> プロトコルを番号で指定する場合に使用(1~255)
<port> プロトコルとしてTCP, UDPが選択された場合に宛先(GenieATM側)ポート番号を指定(1~65535)

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 外部との通信に適用されるファイアウォールのルールを定義します。ACL(Access Control List)同様,access groupコマンドが発行された順にpermitまたはdenyが確定するまで照会していきます。どれにも一致しなかった場合の扱いは,firewall enableが有効かどうかで決まります。firewall enableが有効であれば暗黙のdenyによりブロックされ,無効であれば許可されます。
  • access groupコマンドで明示的にpermitもdenyも設定されていない相手先については,firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からはセッションを確立し,応答パケットを受け取ることができます。
  • 登録した設定を削除するには,no access groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • [no] access groupコマンドは,firewall enableコマンドが無効な状態で実行してください。(バージョン5.6.3-RP3まではfirewall enableが有効な状態でも発行できますが,想定外の結果を招く場合がありますので避けてください)
  • access groupコマンドの指定内容はコマンド発行直後から有効になります。つまり,denyを指定してaccess groupコマンドを実行した場合,条件に一致するトラフィックは即座にブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • GenieATM側からセッションを張りに行く相手先については,firewall enableを有効にする場合でも明示的にpermitを設定する必要はありません。たとえば,BGP接続はGenieATMのBGPの仕様上,常にGenieATMからセッションを張りに行きます。DNSサーバやNTPサーバについても,GenieATMがクライアントになるのでこれに該当します
  • access groupコマンドは最大128件登録することができます。これは,機能を実現するのに使われているip-tablesの制限です。129件目を登録しようとするとエラーになります。

実行例

(config)# access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)# 

db use
rawdata use
rawdata anomaly use

DB,Rawdataファイル,異常Rawdataファイルを配置するストレージタイプを指定します。

書式

[no] db use {internal | external | nfs}
[no] rawdata use {internal | nfs}
[no] rawdata anomaly use {internal | nfs}

パラメータ

なし

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドでマウント済みのストレージのなかから,DB,Rawdataファイル,異常Rawdataファイルを配置するストレージのタイプを選定します。
  • db useコマンドが実行されると,マウントポイントにユーザーID 31,グループID 32でatm_conf,dataディレクトリが作成されます。
  • 設定を削除するにはno db useコマンドあるいはno rawdata useコマンド,no rawdata anomaly useコマンドを実行します。
  • 現在の設定はshow runningコマンドで確認できます。

注意事項

  • 指定するストレージタイプは,あらかじめdisk mountコマンドでマウント済みである必要があります。ディスク関連コマンドの流れは下図を参照してください。
  • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no db useコマンドは,db startコマンドでデータベースが起動済みのときは実行できません。db stopコマンドで停止してください。no rawdata useコマンド,no rawdata anomaly useコマンドも,それぞれrawdata onコマンド,rawdata anomaly onコマンドでrawdataの保存が有効な状態では実行できません。

実行例

(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
(中略)
!
(config)# rawdata use nfs
(config)# db use internal
##### WARNING #####
This command will set the type of storage for Database data as the
type you specified.

Are you sure you want to do this? [y/n]
y
Operation succeeded.
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use nfs
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
(中略)
!
(config)# rawdata on
(config)# exit
# db start
##### WARNING #####
This command will start PostgreSQL Database with TCP/IP connection
mode enabled.
Are you sure you want to do this? [y/n]
y
server starting
#