深圳市眾誠(chéng)鑫科技有限公司

BSBY_f007

思科防火墻第一品牌【眾誠(chéng)鑫，王先生，13724320505】深圳市眾誠(chéng)鑫科技有限公司（簡(jiǎn)稱眾誠(chéng)鑫科技）成立于2008年，專注為客戶提供IT系統(tǒng)基礎(chǔ)架構(gòu)解決方案和專業(yè)化運(yùn)維保障服務(wù)解決方案。眾誠(chéng)鑫科技以客戶需求為導(dǎo)向，以技術(shù)、服務(wù)和產(chǎn)品為依托，向客戶交付先進(jìn)的基礎(chǔ)運(yùn)營(yíng)平臺(tái)和高質(zhì)量的運(yùn)維保障服務(wù)，幫助客戶降低運(yùn)營(yíng)成本，提升系統(tǒng)效率，發(fā)揮自身優(yōu)勢(shì)應(yīng)對(duì)市場(chǎng)競(jìng)爭(zhēng)。

　　1、show cpu usage

　　PIX只有一個(gè)CPU來完成所有的工作，從處理包到向console寫debug信息。最消耗CPU資源的進(jìn)程是加密，因此如果PIX要完成數(shù)據(jù)包的加密工作，最好使用加速卡或?qū)Ｓ玫腣PN Concentrator. 日志功能是另外一個(gè)消耗大量系統(tǒng)資源的進(jìn)程。因此，建議在正常情況下關(guān)閉PIX向console， monitor， buffer寫日志的功能。

　　pixfirewall# show cpu usage

　　CPU utilization for 5 seconds = 1% 1 minute: 2% 5 minutes: 1%

　　2、show traffic

　　本命令可以看出在特定的時(shí)間內(nèi)有多少流量流經(jīng)PIX了。這個(gè)特定的時(shí)間是上次執(zhí)行本命令到這次執(zhí)行本命令的時(shí)間間隔。我們可以看到各個(gè)接口的數(shù)據(jù)流量情況。

　　ZJ-WAP-FW-2# show traffic

　　inside:

　　received (in 1506074.635 secs):

　　277725221288 packets 143521417050444 bytes (自從FW開機(jī)到目前的input總吞吐量)

　　184001 pkts/sec 95295000 bytes/sec (自從FW開機(jī)到目前的input平均值)

　　transmitted (in 1506074.635 secs):

　　287523217939 packets 151292879605153 bytes (自從FW開機(jī)到目前的output總吞吐量)

　　190002 pkts/sec 100455001 bytes/sec (自從FW開機(jī)到目前的output平均值)

　　1 minute input rate 19597 pkts/sec， 11294493 bytes/sec (1分鐘內(nèi)的input平均吞吐量值)

　　1 minute output rate 20063 pkts/sec， 11294468 bytes/sec (1分鐘內(nèi)的output平均吞吐量值)

　　1 minute drop rate， 34 pkts/sec

　　5 minute input rate 19102 pkts/sec， 9905358 bytes/sec (5分鐘內(nèi)的input平均吞吐量值)

　　5 minute output rate 20159 pkts/sec， 11419208 bytes/sec (5分鐘內(nèi)的ioutput平均吞吐量值)

　　5 minute drop rate， 36 pkts/sec

　　3、show perfmon

　　這條命令監(jiān)測(cè)PIX檢查的數(shù)據(jù)的流量和類型。它可以判斷出PIX上每秒所做的變換(xlates)和連接數(shù)(conn)。

　　PERFMON STATS Current Average

　　Xlates 18/s 19/s

　　Connections 75/s 79/s

　　TCP Conns 44/s 49/s

　　UDP Conns 31/s 30/s

　　URL Access 27/s 30/s

　　URL Server Req 0/s 0/s

　　TCP Fixup 1323/s 1413/s

　　TCPIntercept 0/s 0/s

　　HTTP Fixup 923/s 935/s

　　FTP Fixup 4/s 2/s

　　AAA Authen 0/s 0/s

　　AAA Author 0/s 0/s

　　AAA Account 0/s 0/s

　　其中，較重要的有Xlates是每秒鐘產(chǎn)生變換的數(shù)字 Connections是建立的連接數(shù) TCP Fixup是指PIX每秒鐘轉(zhuǎn)發(fā)了多少TCP包 TCPIntercept是指有每秒多少SYN包已經(jīng)超出了開始的設(shè)定值。

　　4、show blocks

　　和show cpu usage在一起使用，可以判斷出PIX是否過載了。

　　當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入防火墻的接口，會(huì)先排在input接口的隊(duì)列中，根據(jù)數(shù)據(jù)幀的大小，又被分到不同的block中。如對(duì)于以太網(wǎng)幀，使用1550字節(jié)的 block。如果數(shù)據(jù)是從千兆口進(jìn)來的，會(huì)使用16384字節(jié)的block。PIX然后會(huì)根據(jù)ASA算法決定是否讓包通過。如果PIX過載了，那相應(yīng)的 block會(huì)降到或接近0(看CNT這一列)。當(dāng)該值降到0時(shí)，PIX會(huì)嘗試申請(qǐng)更多的block， 最多可到8192。如果沒有block可用，包會(huì)被丟棄。

　　256字節(jié)的block是stateful failover信息。主PIX向從PIX發(fā)送這些包以更新xlates和connection信息。如果某段時(shí)間有大量的連接建立和拆除，256字節(jié)的 block可能會(huì)降到0，就是說從PIX可能沒有和主PIX同步。這個(gè)時(shí)間如果不長(zhǎng)，是可以接受的，但如果長(zhǎng)時(shí)間維持在0，需要考慮升級(jí)到更高速的PIX 了。

　　另外，日志信息也是通過256字節(jié)的block向外部送出的，注意通常不需要將日志的級(jí)別設(shè)置成debug.

　　pixfirewall# show blocks

　　SIZE MAX LOW CNT

　　4 1600 1597 1600

　　80 400 399 400

　　256 500 495 499

　　1550 1444 1170 1188

　　16384 2048 1532 1538

　　5、show memory

　　可以看出PIX的內(nèi)存以及當(dāng)前可用的內(nèi)存。正常情況下，PIX的可用內(nèi)存的變化幅度不應(yīng)該太大。如果突然發(fā)現(xiàn)內(nèi)存快用光了，要檢查是否用攻擊發(fā)生?？梢杂胹how conn count命令看當(dāng)前PIX中有多少連接，如果PIX內(nèi)存耗盡，最終會(huì)crash.

　　pixfirewall# show memory

　　1073741824 bytes total， 1022992384 bytes free

　　6、show xlate count

　　顯示當(dāng)前通過PIX的變換數(shù)和最多達(dá)到的變換數(shù)。一個(gè)變換是指一個(gè)內(nèi)部地址變換成一個(gè)外部合法地址。一臺(tái)機(jī)器可能會(huì)與外部的多個(gè)目標(biāo)建立連接，但這時(shí)只有一個(gè)變換。如果顯示的變換數(shù)遠(yuǎn)大于內(nèi)部的機(jī)器數(shù)，可能是受到了網(wǎng)絡(luò)攻擊。

　　pixfirewall# show xlate count

　　84 in use， 218 most used

　　7、show conn count

　　可以看當(dāng)前的PIX的最大的連接數(shù)。一個(gè)connection是一個(gè)內(nèi)部4層信息到外部地址的映射。當(dāng)PIX收到一個(gè)SYN包，就建立一個(gè) connection. 過高connection數(shù)意味著受到了攻擊，這時(shí)如果用show memory命令雖然連接數(shù)很高，但是并沒有消耗掉PIX過多的內(nèi)存資源。

　　顯示當(dāng)前PIX中的活動(dòng)的進(jìn)程有什么。這樣就可以看出什么進(jìn)程使用了過多的CPU資源，什么進(jìn)程沒能使用CPU資源。為了得到這個(gè)信息，我們連續(xù)兩次執(zhí)行 show process命令，間隔1分鐘。對(duì)有所懷疑的進(jìn)程，兩次的Runtime值相減，時(shí)間差(單位是毫秒)就是該進(jìn)程一分鐘所占用的CPU資源。 557poll進(jìn)程通常是占用時(shí)間