asg 指令與監看¶
Maestro 環境除了傳統 Check Point 指令,還有一整套
asg(Appliance for Security Group)專屬指令,用來看整組狀態、各成員、Orchestrator 與健康檢查。維運 Maestro 必學。
最常用的三個¶
# ① 整組狀態總覽:Orchestrator + 所有成員
asg stat -v
# ② 即時動態監看(儀表板,持續刷新)
asg monitor
# ③ 群組一致性健檢(跨 Orchestrator + 成員)
asg diag verify
asg stat -v¶
一次看到兩台 Orchestrator 與所有 SGM 的狀態。成員狀態關鍵字:
| 狀態 | 意義 |
|---|---|
| ACTIVE | 成員正在處理流量 |
| DOWN | 成員未在處理流量 |
| INIT | reboot 後初始化階段 |
| READY | 已就緒、等待成為 Active(等 ack) |
| Active(Sync) | 連線同步中 |
| DETACHED / LOST | 未通訊 / 已 reboot 失聯(常見於新成員加入失敗) |
計數記法 <x> / <y>:左 = 目前 UP 的元件數,右 = 應 UP 的總數(Ports、SSMs/Sensors 都用這記法)。
排錯時先 asg stat -v,看是哪台成員、什麼狀態,以及 Orchestrator 是否都 UP。
asg monitor¶
即時刷新的儀表板(預設每 10 秒刷新,Ctrl+C 結束),顯示成員狀態、Chassis、ports、sensors、grade、版本、uptime、policy date。可觀察成員 / Orchestrator 狀態有沒有跳動(例如一直 attach ↔ detach),判斷是不是 flapping。asg monitor -l 可顯示圖例。
asg diag verify¶
跑一整套健檢,輸出像這樣(範例):
| ID | Title | Result | Reason |
| 1 | System Health | Failed(!) | Chassis 1 error |
| 5 | SWB Updates | Failed(!) | |
| 6 | Security Group | Passed | |
| ... |
Passed: 16/18 tests
Run "asg diag list 1,5" to view failed tests
哪幾項 Failed 一目了然。再用 asg diag list <ID> 看細節:
其他實用指令¶
# 對所有成員執行同一指令
g_all clish -c "show version all"
g_all cpinfo -y all # 確認各成員版本 / JHF 是否一致
# 進 group clish(對整組操作)
gclish
# 成員效能 / 流量分配
asg perf # 效能總覽(視版本)
asg_resource_util # 資源使用
# Orchestrator 本身:SSH 進各 MHO 管理 IP
show version all # 確認兩台 MHO 版本
show interfaces all # 看埠口 up/down
排 Maestro 問題的起手式
asg stat -v→ 哪台成員 / Orchestrator 異常asg diag verify→ 哪幾項健檢沒過asg diag list <ID>→ 失敗細節g_all cpinfo -y all→ 版本是否一致
四步驟下來,大部分問題的方向就清楚了。
Orchestrator 的 log 也要看
Orchestrator(MHO)本身的訊息很關鍵。例如連到某成員的下行埠一直斷,會看到:
(PUDE = Port Up/Down Event)代表該成員的實體連線不穩 —— 線材 / 光模組 / 埠口要查。版本提醒
asg 系列指令在 R81.10 ~ R82.10 持續擴充,部分子指令 / 輸出格式依版本略有差異。不確定參數時,asg 後按 Tab 或加 --help 查當前版本支援的選項。
小結¶
- 三大主力:
asg stat -v(總覽)、asg monitor(即時)、asg diag verify(健檢)。 - 健檢失敗用
asg diag list <ID>看細節。 g_all cpinfo -y all確認成員版本一致。- Orchestrator 的 PUDE DOWN 訊息 = 該成員實體連線不穩。