BSBY_f007

思科防火墻第一品牌【眾誠鑫，王先生，13724320505】深圳市眾誠鑫科技有限公司（簡稱眾誠鑫科技）成立于2008年，專注為客戶提供IT系統基礎架構解決方案和專業化運維保障服務解決方案。眾誠鑫科技以客戶需求為導向，以技術、服務和產品為依托，向客戶交付先進的基礎運營平臺和高質量的運維保障服務，幫助客戶降低運營成本，提升系統效率，發揮自身優勢應對市場競爭。

　　1、show cpu usage

　　PIX只有一個CPU來完成所有的工作，從處理包到向console寫debug信息。最消耗CPU資源的進程是加密，因此如果PIX要完成數據包的加密工作，最好使用加速卡或專用的VPN Concentrator. 日志功能是另外一個消耗大量系統資源的進程。因此，建議在正常情況下關閉PIX向console， monitor， buffer寫日志的功能。

　　pixfirewall# show cpu usage

　　CPU utilization for 5 seconds = 1% 1 minute: 2% 5 minutes: 1%

　　2、show traffic

　　本命令可以看出在特定的時間內有多少流量流經PIX了。這個特定的時間是上次執行本命令到這次執行本命令的時間間隔。我們可以看到各個接口的數據流量情況。

　　ZJ-WAP-FW-2# show traffic

　　inside:

　　received (in 1506074.635 secs):

　　277725221288 packets 143521417050444 bytes (自從FW開機到目前的input總吞吐量)

　　184001 pkts/sec 95295000 bytes/sec (自從FW開機到目前的input平均值)

　　transmitted (in 1506074.635 secs):

　　287523217939 packets 151292879605153 bytes (自從FW開機到目前的output總吞吐量)

　　190002 pkts/sec 100455001 bytes/sec (自從FW開機到目前的output平均值)

　　1 minute input rate 19597 pkts/sec， 11294493 bytes/sec (1分鐘內的input平均吞吐量值)

　　1 minute output rate 20063 pkts/sec， 11294468 bytes/sec (1分鐘內的output平均吞吐量值)

　　1 minute drop rate， 34 pkts/sec

　　5 minute input rate 19102 pkts/sec， 9905358 bytes/sec (5分鐘內的input平均吞吐量值)

　　5 minute output rate 20159 pkts/sec， 11419208 bytes/sec (5分鐘內的ioutput平均吞吐量值)

　　5 minute drop rate， 36 pkts/sec

　　3、show perfmon

　　這條命令監測PIX檢查的數據的流量和類型。它可以判斷出PIX上每秒所做的變換(xlates)和連接數(conn)。

　　PERFMON STATS Current Average

　　Xlates 18/s 19/s

　　Connections 75/s 79/s

　　TCP Conns 44/s 49/s

　　UDP Conns 31/s 30/s

　　URL Access 27/s 30/s

　　URL Server Req 0/s 0/s

　　TCP Fixup 1323/s 1413/s

　　TCPIntercept 0/s 0/s

　　HTTP Fixup 923/s 935/s

　　FTP Fixup 4/s 2/s

　　AAA Authen 0/s 0/s

　　AAA Author 0/s 0/s

　　AAA Account 0/s 0/s

　　其中，較重要的有Xlates是每秒鐘產生變換的數字 Connections是建立的連接數 TCP Fixup是指PIX每秒鐘轉發了多少TCP包 TCPIntercept是指有每秒多少SYN包已經超出了開始的設定值。

　　4、show blocks

　　和show cpu usage在一起使用，可以判斷出PIX是否過載了。

　　當一個數據包進入防火墻的接口，會先排在input接口的隊列中，根據數據幀的大小，又被分到不同的block中。如對于以太網幀，使用1550字節的 block。如果數據是從千兆口進來的，會使用16384字節的block。PIX然后會根據ASA算法決定是否讓包通過。如果PIX過載了，那相應的 block會降到或接近0(看CNT這一列)。當該值降到0時，PIX會嘗試申請更多的block， 最多可到8192。如果沒有block可用，包會被丟棄。

　　256字節的block是stateful failover信息。主PIX向從PIX發送這些包以更新xlates和connection信息。如果某段時間有大量的連接建立和拆除，256字節的 block可能會降到0，就是說從PIX可能沒有和主PIX同步。這個時間如果不長，是可以接受的，但如果長時間維持在0，需要考慮升級到更高速的PIX 了。

　　另外，日志信息也是通過256字節的block向外部送出的，注意通常不需要將日志的級別設置成debug.

　　pixfirewall# show blocks

　　SIZE MAX LOW CNT

　　4 1600 1597 1600

　　80 400 399 400

　　256 500 495 499

　　1550 1444 1170 1188

　　16384 2048 1532 1538

　　5、show memory

　　可以看出PIX的內存以及當前可用的內存。正常情況下，PIX的可用內存的變化幅度不應該太大。如果突然發現內存快用光了，要檢查是否用攻擊發生。可以用show conn count命令看當前PIX中有多少連接，如果PIX內存耗盡，最終會crash.

　　pixfirewall# show memory

　　1073741824 bytes total， 1022992384 bytes free

　　6、show xlate count

　　顯示當前通過PIX的變換數和最多達到的變換數。一個變換是指一個內部地址變換成一個外部合法地址。一臺機器可能會與外部的多個目標建立連接，但這時只有一個變換。如果顯示的變換數遠大于內部的機器數，可能是受到了網絡攻擊。

　　pixfirewall# show xlate count

　　84 in use， 218 most used

　　7、show conn count

　　可以看當前的PIX的最大的連接數。一個connection是一個內部4層信息到外部地址的映射。當PIX收到一個SYN包，就建立一個 connection. 過高connection數意味著受到了攻擊，這時如果用show memory命令雖然連接數很高，但是并沒有消耗掉PIX過多的內存資源。

　　顯示當前PIX中的活動的進程有什么。這樣就可以看出什么進程使用了過多的CPU資源，什么進程沒能使用CPU資源。為了得到這個信息，我們連續兩次執行 show process命令，間隔1分鐘。對有所懷疑的進程，兩次的Runtime值相減，時間差(單位是毫秒)就是該進程一分鐘所占用的CPU資源。 557poll進程通常是占用時間