memo.

タグ: cisco

  • Cisco ASAシリーズで、アクティブなNAT件数を調べるコマンド

    CiscoのASAシリーズで、現在のNATしている件数を調べるためのコマンド。コマンドは、Enableモードで。

    show xlate count

    NATだけでなく、セッション数(コネクション数)を調べる場合は、下記のコマンド。

    show conn count

    HTTP/3(QUIC)が使われ始めて、UDPのNATの数が増えた。ゲートウェイに使っている機器の負担もかなり増えている。HTTP/3って便利と思っていたけれど、こんなところに落とし穴があった。

    UDPだから、終了がわからず、タイムアウトするまでファイアウォール上では、NATテーブル上に残りつづけるわけで、通信数が増えれば、その分使い終わったNATのセッションがゴミっぽく残って、リソースを使い果たすと。それを調べるには、コマンドをたたくのだろうな。

    実行例

    ciscoasa# show conn count
594 in use, 3455 most used
ciscoasa# 
ciscoasa# show xlate count 
448 in use, 4416 most used

    また、NATテーブルの使用数のピークを知りたい場合には、下記のコマンドでリソースを調べる。

    show resource usage

    このコマンドの実行結果の「Xlates」の「Peak」が過去の最大値だ。

    実行例

    ciscoasa# show resource usage 
Resource                 Current        Peak      Limit        Denied Context 
Telnet                         1           1          5             0 System 
SSH Server                     0           1          5             0 System 
ASDM                           0           1         30             0 System 
Syslogs [rate]                17       13933        N/A             0 System 
Conns                        728        3455     100000             0 System 
Xlates                       564        4416        N/A             0 System 
Hosts                        299         787        N/A             0 System 
Conns [rate]                   8         536        N/A             0 System 
Inspects [rate]                2         535        N/A             0 System 
Routes                        58          91  unlimited             0 System 
ciscoasa#

  • Windows11のプレビュー版でも、AnyConnect 4.2は使えた

    Windows11(21H2)のプレビュー版をいれたので、CiscoのAnyConnectを試してみた。結構、古いバージョンなので、動作しないかも、と思っていたのだが、動作した。

    Windows11のUIに合わせて、ログインのところの見た目が少し変わった程度だった。VPNのコネクションもはれるし、OS内のスキャンもできている。とりあえず、秋になってWindows11へのアップデートが始まっても大丈夫そうだ。これからWindows11の仕様がかわらなければ、だが。

  • Cisco ASAで現在のコネクション数を確認する

    リモートワークでほぼ使っていないはずのネットワークで、外部アクセスが遅いという。ウェブ会議などで、コネクション数が異常にふえていないかどうかを確認してみる。

    Cisco ASAにCLIで接続して、現在のコネクション数をカウントする。enableモードで、show conn count すると、現在の接続数がわかる。これは、そのからのVPN接続も、内部からのウェブなどのアクセスも含めたコネクション数になる。

    show conn count

    ■実行してみたところ

    ciscoasa# show conn count
994 in use, 1701 most used
ciscoasa#

    最大のコネクション数などを確認したい場合は、show resource usageで確認する。これで、最大数やピーク時の接続数などを一覧で確認できる。

    show resource usage

    ■実行してみたところ

    ciscoasa# show resource usage
Resource                 Current        Peak      Limit        Denied Context
Telnet                         1           1          5             0 System
SSH Server                     0           1          5             0 System
Syslogs [rate]                93        1137        N/A             0 System
Conns                        983        1701     100000             0 System
Xlates                      1016        2301        N/A             0 System
Hosts                        427         720        N/A             0 System
Conns [rate]                  27         478        N/A             0 System
Inspects [rate]               12         477        N/A             0 System
Routes                        56          69  unlimited             0 System
ciscoasa#

    コネクション生成レートは、show perfmonコマンドで確認できる。

    ■実行してみたところ

    ciscoasa# show perfmon

PERFMON STATS:                     Current      Average
Xlates                                8/s          0/s
Connections                          18/s          1/s
TCP Conns                             7/s          1/s
UDP Conns                            10/s          2/s
URL Access                            0/s          0/s
URL Server Req                        0/s          0/s
TCP Fixup                             0/s          0/s
TCP Intercept Established Conns       0/s          0/s
TCP Intercept Attempts                0/s          0/s
TCP Embryonic Conns Timeout           0/s          0/s
HTTP Fixup                            0/s          0/s
FTP Fixup                             0/s          0/s
AAA Authen                            0/s          0/s
AAA Author                            0/s          0/s
AAA Account                           0/s          0/s

VALID CONNS RATE in TCP INTERCEPT:    Current      Average
                                       100.00%         100.00%
ciscoasa#

    参考
    https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B3%E3%83%8D%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E6%95%B0%E3%81%AE%E7%A2%BA%E8%AA%8D%E3%81%A8-%E8%86%A8%E5%A4%A7%E3%81%AA%E3%82%B3%E3%83%8D%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E7%99%BA%E7%94%9F%E6%99%82%E3%81%AEip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/4082463

  • Cisco Catalyst 2960-Lの後継は、Cisco Catalyst 1000。

    Cisco Catalyst 2960-Lの後継は、Cisco Catalyst 1000とのこと。慣れ親しんだ2960の番号じゃなくなるのは、ちょっと寂しい。

    Catalyst 1000では、「Single IP management」で複数のエッジスイッチをまとめて1台かのように扱えるのでいい。むかしH3Cのスイッチで同じような構成を使ったけれど、リング構成にできるので、経路の冗長構成もふくめて、なんだかんだで便利。

    しかし、悲しいかな、これを使える機会がない。

    参考: https://cloud.watch.impress.co.jp/docs/topic/special/1283227.html

  • CiscoのCatalystスイッチでのSNMPトラップのテスト方法

    Catalystスイッチでは、testコマンドで、snmp trapのテストができる。テスト時に、送信先は選択できないので、設定済みのトラップ先にテストトラップが送信される。

    コマンド

    enable
test snmp trap snmp linkdown
test snmp trap snmp linkup

    ポートのリンクダウンとリンクアップのトラップを送る例。

  • CiscoのNexusスイッチでのSNMPトラップのテスト方法

    Nexusスイッチでは、testコマンドで、snmp trapのテストができる。テスト時に、送信先は選択できないので、設定済みのトラップ先にテストトラップが送信される。(Catalystとは、コマンドが異なるので注意)

    コマンド

    test pfm snmp test-trap fan
test pfm snmp test-trap powersupply
test pfm snmp test-trap temp_sensor

    筐体のFanや電源などの通知をsnmp trapで送る例。

  • Cisco ASA 5512-x のインターフェースでoverrunのカウントが増える

    Cisco ASA 5512-xのインターフェースサマリを見ていたところ、overrunというカウンタがあった。そのカウンタの値が増えていた。

    増えていたのは、input erroroverrunのカウンタで、両方とも同じ値だった。

    エラーカウンタのoverunは、ネットワークインターフェースでパケットが受信されたが、インターフェースFIFOキューにパケットを保存するための使用スペースがなかったときにカウントアップ(階数が増える)する。

    ASAの場合は、Firewallという特性から、パケットの処理に時間がかかり、処理速度以上にパケットが送られてくると、簡単にたまってしまい、あふれる(負荷がかかっているのはCPU)。そうすると、`overrun`のエラーカウンタが増える。

    状況を把握するためには、パケット着信時のCPUの状況(CPU-HOG)を調べるためのコマンドを実行し、状況を確認する。

    コマンド: show proc cpu-hog

    ciscoasa# show interface summary
Interface GigabitEthernet0/0 "Outside", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        MAC address 6073.5c68.fd67, MTU 1454
        IP address 219.163.xxx.xxx, subnet mask 255.255.255.255
        5961524560 packets input, 6341231636630 bytes, 0 no buffer
        Received 0 broadcasts, 0 runts, 0 giants
        1740 input errors, 0 CRC, 0 frame, 1740 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        3655881367 packets output, 1089584429139 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 1 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (478/362)
        output queue (blocks free curr/low): hardware (464/346)
  Traffic Statistics for "Outside":
        11921162403 packets input, 12420084859214 bytes
        3655881367 packets output, 1023723468517 bytes
        28612147 packets dropped
      1 minute input rate 318 pkts/sec,  61380 bytes/sec
      1 minute output rate 241 pkts/sec,  97037 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 616 pkts/sec,  343904 bytes/sec
      5 minute output rate 359 pkts/sec,  104433 bytes/sec
      5 minute drop rate, 0 pkts/sec

    FIFOキュー

    FIFO = First In First Out。 つまり、パケットを処理するための普通のキュー。

    参考

    https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/115985-asa-overrun-product-tech-note-00.html

  • Cisco Catalyst 3650でCallhomeのテストインベントリを送る方法

    Catalyst 3650でスマートコールホームのテストインベントリを送るには、Enableモードで、下記のコマンドを実施する。 事前に、スイッチに設定したcallhomeのプロファイル名を`show config`で調べておく。

    call-home test profile [プロファイル名を指定]

    これで、Cisco側に送信される。 プロファイル名が間違っているときは、送信を試みたあとに、エラーメッセージが表示されるので、ちゃんと読む。

  • Ciscoのスイッチで現在時刻を表示する

    CiscoのCatalystスイッチで現在時刻を表示するには、show clock を実行する。

    実行例。

     #show clock
 19:40:24.565 JST Mon Dec 11 2017

  • Catalystスイッチで、インターフェイスのステータスにNot Presentが表示される

    この「Not Present」のステータスは何か、というと SPFが入っていないか、壊れているか、そのときに表示される。

    SFPポートとRJ45のポートがスイッチするようなポートであれば、 RJ45がリンクアップしているとリンクアップの表示になる。

    「show interface status」をすると、下記のようになる

    Gi0/21                       notconnect   106          auto   auto Not Present

    下記は、show interfaceしたところ。

    GigabitEthernet0/21 is down, line protocol is down (notconnect)
  Hardware is Gigabit Ethernet, address is 0019.e854.d095 (bia 0019.e854.d095)
  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not set
  Auto-duplex, Auto-speed, link type is auto, media type is Not Present
  input flow-control is off, output flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 0 multicast, 0 pause input
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 PAUSE output
     0 output buffer failures, 0 output buffers swapped out