ARPテーブルの操作 (asg_arp)

asg_arp' コマンド

説明

エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。でのasg_arp コマンドは、セキュリティグループアクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。全体、または指定したセキュリティグループメンバ、インタフェース、MAC アドレス、Host 名の ARP キャッシュを表示します。

このコマンドは、要約または冗長情報を表示します。

構文

asg_arp -h

asg_arp [-b <SGM IDs>] [-v] [--verify] [-i <Name of Interface>] [-m <MAC Address>] [<Hostname>]

asg_arp --legacy

パラメータ

パラメータ	説明
`-h`	内蔵のヘルプを表示します。
`-v`	セキュリティグループメンバキャッシュの詳細情報を表示するVerboseモード。
`-b <SGM IDs>`	`<SGM IDs>`で指定されたセキュリティグループメンバに適用されます。 `<SGM IDs>`には: `<SGM IDs>`が指定されていない、または`all` すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。 1セキュリティグループメンバ（例：`1_1`) カンマで区切られたセキュリティグループメンバのリスト（例: `1_1,1_4`）セキュリティグループメンバの範囲（例: `1_1-1_4`） Dual Siteの場合、1つのMaestro Site (`chassis1`, or`chassis2`)。 Dual Siteでは、Active Maestro Site(`chassis_active`)。
`-i <Name of Interface>`	指定したインタフェースの ARP キャッシュを表示します。
`-m <MAC Address>`	指定した MAC アドレスの ARP キャッシュを表示します。
`<Hostname>`	指定したホスト名の ARP キャッシュを表示します。
`--verify`	すべてのMaestroサイトでMACアドレス検証を実行し、結果を表示します。
`--legacy`	各セキュリティグループメンバの ARP キャッシュをレガシーフォーマットで表示します。

例デフォルトの出力

この例では、Default ModeでのARPキャッシュを表示しています。

[Expert@HostName-ch0x-0x:0]# asg_arp

Address              HWaddress            Iface

172.23.19.4          54:7F:EE:6A:D0:BC    eth1-Mgmt2

1_01                 00:1C:7F:01:04:FE    Sync

1_2                  00:1C:7F:02:04:FE    Sync

ssm1                 02:02:03:04:05:40    eth1-CIN

ssm2                 04:02:03:04:05:40    eth2-CIN

[Expert@HostName-ch0x-0x:0]#

バーボーズ出力例

この例では、ARPキャッシュをVerbose Modeで表示しています。

[Expert@HostName-ch0x-0x:0]# asg_arp -v

Address              HWtype   HWaddress            Flags Mask  Iface                SGMs

172.23.19.4          ether    54:7F:EE:6A:D0:BC    C           eth1-Mgmt2           1_01

1_01                 ether    00:1C:7F:01:04:FE    C           Sync                 1_02

1_2                  ether    00:1C:7F:02:04:FE    C           Sync                 1_01

ssm1                 ether    02:02:03:04:05:40    C           eth1-CIN             1_01,1_02

ssm2                 ether    04:02:03:04:05:40    C           eth2-CIN             1_01

[Expert@HostName-ch0x-0x:0]#

MACアドレスの検証のための出力例

この例は、MACアドレス検証の出力を示しています（シングルシャーシの場合）。

[Expert@HostName-ch0x-0x:0]# asg_arp --verify

Address              HWtype   HWaddress            Flags Mask  Iface                SGMs

172.23.19.4          ether    54:7F:EE:6A:D0:BC    C           eth1-Mgmt2           1_01

1_01                 ether    00:1C:7F:01:04:FE    C           Sync                 1_02

1_2                  ether    00:1C:7F:02:04:FE    C           Sync                 1_01

ssm1                 ether    02:02:03:04:05:40    C           eth1-CIN             1_01,1_02

ssm2                 ether    04:02:03:04:05:40    C           eth2-CIN             1_01

MAC address for IP 172.23.19.4 is inconsistent across the SGMs

--------------------------------------------------------------------------------

Collecting information from SGMs...

--------------------------------------------------------------------------------

Verifying FW1 mac magic value on all SGMs...

Success

--------------------------------------------------------------------------------

Verifying IPV4 and IPV6 kernel values...

Success

--------------------------------------------------------------------------------

Verifying FW1 mac magic value in /etc/smodb.json...

Success

--------------------------------------------------------------------------------

Verifying MAC address on local chassis (Chassis 1)...

Success

--------------------------------------------------------------------------------

[Expert@HostName-ch0x-0x:0]#

ARPエントリの検証

これらのコマンドを使用して、Unique MACの値が変更されたことを確認します。

Unique MACデータベースの値については、エキスパートモードでこのコマンドを実行してください。

g_allc dbget chassis:private:magic_mac

例:

[Expert@HostName-ch0x-0x:0]# g_allc dbget chassis:private:magic_mac

-*- 4 sgms: 1_01 1_02 2_02 2_03 -*-

22

Unique MAC Kernelの値については、Gaia gClish Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。で次のコマンドを実行してください。

fw ctl get int fwha_mac_magic

例:

[Global] HostName-ch01-01> fw ctl get int fwha_mac_magic

-*- 4 sgms: 1_01 1_02 2_02 2_03 -*-

fwha_mac_magic = 22

[Global] HostName-ch01-01>

エキスパートモードで"ifconfig"コマンドを使用すると、タイプethX-YZ のインタフェースの magic 属性を表示することができます。

例：

[Expert@HostName-ch0x-0x:0]# ifconfig eth1-01

eth1-01 Link encap:Ethernet HWaddr 00:1C:7F:81:01:16

            inet6 addr: fe80::21c:7fff:fe81:116/64 Scope:Link

            UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1

            RX packets:154820 errors:0 dropped:0 overruns:0 frame:0

            TX packets:23134 errors:0 dropped:0 overruns:0 carrier:0

            collisions:0 txqueuelen:0 RX bytes:15965660 (15.2 MiB)

            TX bytes:2003398 (1.9 MiB)

[Expert@HostName-ch0x-0x:0]#

レガシー出力例

この例では、レガシーモードの出力に、各セキュリティグループメンバのARP キャッシュを表示しています。

[Expert@HostName-ch0x-0x:0]# asg_arp --legacy

1_01:

Address                  HWtype  HWaddress           Flags Mask            Iface

ssm2                     ether   04:02:03:04:05:40   C                     eth2-CIN

ssm1                     ether   02:02:03:04:05:40   C                     eth1-CIN

1_2                      ether   00:1C:7F:02:04:FE   C                     Sync

172.23.19.4              ether   54:7F:EE:6A:D0:BC   C                     eth1-Mgmt2

1_02:

Address                  HWtype  HWaddress           Flags Mask            Iface

1_01                     ether   00:1C:7F:01:04:FE   C                     Sync

ssm1                     ether   02:02:03:04:05:40   C                     eth1-CIN

[Expert@HostName-ch0x-0x:0]#