목차/12. 고급 구성과 트랜시버 모니터링

12고급 구성과 트랜시버 모니터링고급 구성과 트랜시버 모니터링

이 장은 기본 설정만으로는 닿지 않는 Gaia의 고급 영역 을 다룹니다. SSH 데몬을 입맛대로 조이고, Multi-Domain 서버에 IPv6 주소를 입히고, 커널 파라미터를 새로운 중앙 데이터베이스로 다루고, Gaia Portal 웹 서버와 가벼운 스냅샷 도구를 손보는 법까지 빠짐없이 풀어 둡니다. 뒤이어 광케이블을 꽂는 SFP·QSFP 트랜시버 의 실시간 상태를 명령줄로 들여다보는 법을 정리합니다. 두 갈래 모두 실제 명령과 파라미터를 원문 그대로 싣되, 왜 그렇게 쓰는지를 함께 설명합니다.

고급 Gaia 구성

Security Gateway의 Expert mode 암호 재설정

Expert mode 암호를 잊었다면 sk106490의 절차를 따라 다시 설정합니다. 이는 Security Gateway, Cluster Member, Scalable Platform Security Group 모두에 해당합니다.

지원되는 SSH Cipher·MAC·KexAlgorithm 구성

Gaia OS의 SSH 데몬(sshd) 은 통신 방식을 세세하게 조절할 수 있습니다. 어떤 암호화를 쓸지, 무결성을 어떻게 보장할지, 세션 키를 어떻게 교환할지, 그리고 누가 어떤 방식으로 로그인할 수 있는지를 모두 Gaia Clish에서 정할 수 있습니다. 다룰 수 있는 설정은 다음과 같습니다.

설정설명
SSH CipherSSH 연결로 보내는 데이터의 기밀성 을 위해 쓰는 암호 알고리즘입니다.
SSH MAC(Message Authentication Code)SSH가 보내는 각 메시지의 무결성 을 지켜, SSH 양쪽 간 변조가 없음을 보장합니다.
SSH Key Exchange AlgorithmSSH 상대와 공유 세션 키를 안전하게 교환 하는 알고리즘입니다.
SSH Client Alive IntervalSSHv2에서, SSH 클라이언트로부터 일정 시간(초) 동안 데이터가 없으면 sshd가 암호화된 채널로 응답을 요청하는 타임아웃 간격입니다. sshd의 ClientAliveInterval 파라미터를 제어하며, 기본은 비활성(값 0) 입니다.
SSH Password Authentication암호 인증을 허용할지 지정합니다. sshd의 PasswordAuthentication 파라미터를 제어하며, 기본은 활성(yes) 입니다.
SSH Permit Root Loginroot 사용자가 SSH로 로그인할 수 있는지 지정합니다. sshd의 PermitRootLogin 파라미터를 제어하며, 기본은 활성(yes) 입니다.
SSH DNS Usagesshd가 원격 호스트 이름을 조회해, 원격 IP에서 풀린 호스트 이름이 다시 같은 IP로 매핑되는지 확인할지 지정합니다. sshd의 UseDNS 파라미터를 제어하며, 기본은 비활성(no) 입니다.

각 sshd 파라미터의 자세한 설명은 리눅스 매뉴얼 페이지 sshd_config(5)를 참고하세요.

전체 구문

set ssh server
      cipher <Cipher>{on | off}
      client-alive-interval 0-65535
      kex <Key Exchange Algorithm> {on | off}
      mac <Message Authentication Code> {on | off}
      password-authentication {yes | no}
      permit-root-login {yes | no | without-password | prohibit-password | forced-commands-only}
      use-dns {yes | no}
show ssh server
      cipher enabled
      cipher supported
      client-alive-interval
      kex enabled
      kex supported
      mac enabled
      mac supported
      password-authentication
      permit-root-login
      use-dns

SSH Cipher

지원되는 Cipher 목록은 show ssh server cipher supported, 현재 켜진 목록은 show ssh server cipher enabled로 봅니다. 켜고 끄는 명령은 다음과 같습니다.

set ssh server cipher <Cipher> {on | off}

지원되는 SSH Cipher3des-cbc, aes128-cbc, aes128-ctr, aes128-gcm@openssh.com, aes192-cbc, aes192-ctr, aes256-cbc, aes256-ctr, aes256-gcm@openssh.com, chacha20-poly1305@openssh.com, rijndael-cbc@lysator.liu.se

기본으로 켜진 Cipheraes128-ctr, aes128-gcm@openssh.com, aes192-ctr, aes256-ctr, aes256-gcm@openssh.com, chacha20-poly1305@openssh.com

SSH Key Exchange Algorithm

지원 목록은 show ssh server kex supported, 켜진 목록은 show ssh server kex enabled로 보고, 다음 명령으로 켜고 끕니다.

set ssh server kex <Key Exchange Algorithm> {on | off}

지원되는 Key Exchange Algorithmcurve25519-sha256, curve25519-sha256@libssh.org, diffie-hellman-group1-sha1, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group-exchange-sha1, diffie-hellman-group-exchange-sha256, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521

기본으로 켜진 알고리즘curve25519-sha256, curve25519-sha256@libssh.org, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group-exchange-sha256, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521

SSH MAC(Message Authentication Code)

지원 목록은 show ssh server mac supported, 켜진 목록은 show ssh server mac enabled로 보고, 다음 명령으로 켜고 끕니다.

set ssh server mac <Message Authentication Code> {on | off}

지원되는 MAChmac-md5-96-etm@openssh.com, hmac-md5-etm@openssh.com, hmac-sha1, hmac-sha1-96-etm@openssh.com, hmac-sha1-etm@openssh.com, hmac-sha2-256, hmac-sha2-256-etm@openssh.com, hmac-sha2-512, hmac-sha2-512-etm@openssh.com, umac-64-etm@openssh.com, umac-64@openssh.com, umac-128-etm@openssh.com, umac-128@openssh.com

기본으로 켜진 MAChmac-sha1, hmac-sha1-etm@openssh.com, hmac-sha2-256, hmac-sha2-256-etm@openssh.com, hmac-sha2-512, hmac-sha2-512-etm@openssh.com, umac-64-etm@openssh.com, umac-64@openssh.com, umac-128-etm@openssh.com, umac-128@openssh.com

SSH Client Alive Interval

현재 간격은 show ssh server client-alive-interval로 보고, 원하는 간격(초)은 다음으로 설정합니다.

set ssh server client-alive-interval 0-65535

SSH Password Authentication

현재 허용 여부는 show ssh server password-authentication로 보고, 다음으로 설정합니다.

set ssh server password-authentication {yes | no}

SSH Permit Root Login

현재 허용 여부는 show ssh server permit-root-login로 보고, 다음으로 설정합니다.

set ssh server permit-root-login {yes | no | without-password | prohibit-password | forced-commands-only}

SSH DNS Usage

현재 설정은 show ssh server use-dns로 보고, 다음으로 설정합니다.

set ssh server use-dns {yes | no}

Multi-Domain 서버에 IPv6 주소 구성하기

R82부터는 Check Point 내부 통신에 IPv6 주소 를 쓸 수 있습니다. 적용되는 통신은 다음과 같습니다.

  • Multi-Domain Security Management Server 와 그 산하 Domain Management Server, 그리고 관리 대상 Security Gateway 사이 — 여기에는 SIC(Secure Internal Communication), 정책 설치, 로깅이 포함됩니다.
  • Multi-Domain Log Server 와 그 산하 Domain Log Server, 관리 대상 Security Gateway 사이 — SIC 와 로깅이 포함됩니다.
  • Multi-Domain Security Management ServerMulti-Domain Log Server 사이 — SIC 와 로깅이 포함됩니다.

새 IPv6 주소를 구성하는 절차

1부 — Multi-Domain 서버 구성

  1. Multi-Domain 서버의 Gaia OS에서 IPv6 지원을 활성화 합니다(시스템 관리의 System Configuration 참고).
  2. Multi-Domain 서버를 재부팅 합니다(시스템 관리의 Shut Down 참고).
  3. Multi-Domain 서버의 Leading Interface 에 필요한 IPv6 주소를 구성합니다(네트워크 관리의 Physical Interfaces 참고).
  4. 필요한 IPv6 정적 경로를 구성합니다(네트워크 관리의 IPv6 Static Routes 참고).
  5. Leading Interface에 구성한 그 IPv6 주소를 API 명령 set-mds로 Multi-Domain 서버 데이터베이스에도 추가 합니다. Management API Reference의 "Multi-Domain" 챕터 > "Multi-Domain Server (MDS)" 섹션을 참고하세요. Reference는 온라인판 또는 로컬판(로컬 접근은 먼저 sk174606을 따라 허용)에서 봅니다.
   https://<IP Address or Gaia Management Interface>/api_docs/#introduction
   

mgmt_cli 형태로는 다음과 같습니다.

   mgmt_cli --domain 'System Data' set-mds name <Name of Multi-Domain Server Object> ipv6-address "<IPv6 Address Configured on Leading Interface>"
   
  1. Multi-Domain 서버의 Check Point 서비스를 재시작합니다(Gaia Clish 또는 Expert mode). 먼저 멈추고(mdsstop) 다시 시작합니다(mdsstart).
  2. 필요한 프로세스가 모두 돌아가는지 mdsstat로 확인합니다.
  3. Domain Management Server / Domain Log Server에 IPv6 주소를 구성합니다. 기존 객체를 갱신하거나 새 객체를 만들 수 있습니다.

기존 Domain Management Server / Domain Log Server 객체를 갱신하고 재시작 하려면:

   mgmt_cli set domain name "<Name of Domain Object>" servers.update.multi-domain-server "Name of Multi-Domain Server Object" servers.update.name "Name of Domain Management Server or Domain Log Server Object" servers.update.ipv6-address "<IPv6 Address of Domain Management Server or Domain Log Server Object>" servers.update.restart-domain-server true
   

IPv4·IPv6를 모두 가진 새 Domain Management Server 를 만들고 시작하려면:

   mgmt_cli add domain name "Name of Domain Object" servers.1.multi-domain-server "<Name of Multi-Domain Security Management Server Object>" servers.1.name "<Name of Domain Management Server Object>" servers.1.type "management server" servers.1.ipv4-address "<IPv4 Address of Domain Management Server Object>" servers.1.ipv6-address "<IPv6 Address of Domain Management Server Object>"
   

Domain Log Server 를 만들고 시작하려면:

   mgmt_cli add domain name "Name of Domain Object" servers.1.multi-domain-server "<Name of Multi-Domain Log Server Object>" servers.1.name "<Name of Domain Log Server Object>" servers.1.type "log server" servers.1.ipv4-address "<IPv4 Address of Domain Log Server Object>" servers.1.ipv6-address "<IPv6 Address of Domain Log Server Object>"
   
  1. 다시 mdsstat로 필요한 프로세스가 모두 도는지 확인합니다.

2부 — Security Gateway·Cluster Member 구성

  1. 해당 Security Gateway와 각 Cluster Member의 Gaia OS에서 IPv6 지원을 활성화 합니다(시스템 관리의 System Configuration 참고).
  2. Security Gateway와 각 Cluster Member를 재부팅 합니다(시스템 관리의 Shut Down 참고).
  3. 해당 인터페이스에 IPv6 주소를 구성합니다(네트워크 관리의 Network Interfaces 참고).
  4. 필요한 IPv6 정적 경로를 구성합니다(네트워크 관리의 IPv6 Static Routes 참고).

3부 — SmartConsole에서 Security Gateway·Cluster 객체 구성

R82 Security Management Administration Guide를 따릅니다.

기존 IPv6 주소를 변경하는 절차

  1. Multi-Domain Security Management Server의 명령줄에 접속합니다.
  2. Expert mode 로 로그인합니다.
  3. 현재 IPv6 구성을 비활성화합니다.
   mdsconfig -n disable_ipv6 <Name of Leading Interface>
   
  1. Check Point 서비스를 재시작합니다 — mdsstopmdsstart.
  2. mdsstat로 필요한 프로세스가 모두 도는지 확인합니다.
  3. Leading Interface에 새 IPv6 주소를 구성합니다(위 "1부"의 3~7단계를 따릅니다).
  4. Domain Management Server / Domain Log Server에 할당된 IPv6 주소를 API 명령 set domain으로 변경합니다.
   mgmt_cli set domain name "<Name of Domain Object>" servers.update.multi-domain-server "<Name of Multi-Domain Server Object>" servers.update.name "<Name of Domain Management Server or Domain Log Server Object>" servers.update.ipv6-address "<IPv6 Address of Domain Management Server or Domain Log Server Object>" servers.update.restart-domain-server true
   
  1. mdsstat로 필요한 프로세스가 모두 도는지 확인합니다.

Security Gateway의 전역 파라미터(Global Parameters) 다루기

배경

Security Gateway, Cluster Member, Scalable Platform Security Group에서는 Check Point 전역 파라미터의 값을 바꿔 특정 기능의 기본 동작을 제어 할 수 있습니다.

R81.20 이하에서는 이런 값을 여러 구성 파일에 직접 적어 넣어야 했습니다. 예를 들어 방화벽 커널 파라미터는 $FWDIR/boot/modules/fwkern.conf, SecureXL 커널 파라미터는 $PPKDIR/conf/simkern.conf 파일에 두었습니다.

R82부터는 다음 두 가지 방식으로 전역 파라미터를 조회·구성할 수 있습니다.

방식 1 — 중앙 데이터베이스(Config Point, 권장)

레거시 구성 파일을 고치는 대신, 중앙 데이터베이스에서 값을 바꾸는 새 방식입니다. 이 기능을 Config Point 라 부르며, 현재 세션에만 또는 영구적으로 값을 바꿀 수 있습니다.

쓸 수 있는 방법은 세 갈래입니다.

  • Gaia Clish / Gaia gClish의 CLI 명령(권장)show global-param(조회), set global-param(구성).
  • Expert mode의 CLI 명령confp_cli.
  • Gaia REST API 호출show-global-params, set-global-params. Gaia API Reference v1.8 이상의 "Global Parameters" 섹션, 또는 로컬 Gaia API Reference를 참고합니다(시스템 관리의 Gaia RESTful API).
  https://<IPv4 Address of Gaia>/gaia_docs/#web/show-global-params~v1.8%20
  https://<IPv4 Address of Gaia>/gaia_docs/#web/set-global-params~v1.8%20
  

방식 2 — 레거시 구성 파일

R81.20 이하처럼 레거시 구성 파일에서 값을 바꾸는 방식입니다. 예를 들어 커널 파라미터는 $FWDIR/boot/modules/fwkern.conf$PPKDIR/conf/simkern.conf에 둡니다. Gaia Clish 또는 Expert mode에서 다음 명령으로 커널 파라미터를 다룹니다.

fw ctl get int ...
fw ctl get str ...
fw ctl set [-f] int ...
fw ctl set [-f] str ...

커널 파라미터 구성의 전체 절차는 R82 Quantum Security Gateway Guide의 "Working with Kernel Parameters" 챕터를 참고하세요.

Gaia Clish / Gaia gClish에서 전역 파라미터 조회 구문

show global-param all
[filter-by]
            modified [format {json | table}]
            not-default [format {json | table}]
            with-comments [format {json | table}]
[format {json | table}]
show global-param path {all | <Full Path in DB> | <Path with Wildcards in DB>}
[filter-by]
            modified [format {json | table}]
            not-default [format {json | table}]
            with-comments [format {json | table}]
[format {json | table}]
파라미터설명
show global-param all모든 전역 파라미터를 값·설명·주석과 함께 보여 줍니다.
filter-by출력을 거릅니다. modified(명시적으로 구성된 값), not-default(기본값이 아닌 값), with-comments(주석이 있는 파라미터).
`format {json \table}`출력 형식 — json(JSON), table(표, 기본값).
show global-param path <Path in DB>데이터베이스 내 경로를 지정합니다. all(전체), <Full Path in DB>(전체 경로), <Path with Wildcards in DB>( 와일드카드 경로). 와일드카드를 쓸 때는 경로 문자(2자 이상)와 를 입력한 뒤, 스페이스를 누르고 하위 명령 use-regex true를 입력한 다음 Tab으로 다음 하위 명령을 확인합니다.

Gaia Clish / Gaia gClish에서 전역 파라미터 구성 구문

set virtual-system <ID>
set global-param path <Parameter Path in DB>
      comment "Comment Text"
      param-value <Parameter Value>
            comment "Comment Text"
            use-regex {true | false} dry-run {true | false}
            volatile true use-regex {true | false} dry-run {true | false}
      use-default {true | false}
            comment "Comment Text"
            use-regex {true | false} dry-run {true | false}
            volatile true use-regex {true | false} dry-run {true | false}
      volatile {true | false} use-regex {true | false} dry-run {true | false}
파라미터설명
set global-param path <Parameter Path in DB>데이터베이스에서 전역 파라미터를 구성합니다. 전체 경로 또는 와일드카드 경로 중 하나를 지정해야 합니다(와일드카드는 경로 문자 2자 이상 + 입력 후, 스페이스 → use-regex true → Tab 순서).
comment "Comment Text"해당 파라미터의 주석(최대 256자)을 설정합니다.
param-value <Parameter Value>새 값을 설정합니다. 파라미터마다 받는 형이 달라 integer·boolean·string 중 하나입니다. 필요한 값은 Check Point Support Center와 지원 엔지니어가 제공합니다.
`use-default {true \false}`기본값으로 설정할지(true) 아닐지(false, 기본) 지정합니다.
`volatile {true \false}`값을 임시로만 둘지 지정합니다(기본은 영구). volatile true다음 재부팅 전까지(또는 volatile false 실행 전까지)만 적용, 다음 부팅 때 이전 값으로 복원됩니다. volatile falsevolatile true 후 이전 값을 복원합니다.
`use-regex {true \false}`경로에 * 와일드카드가 포함되는지(true) 아닌지(false, 기본) 지정합니다.
`dry-run {true \false}`값을 영구 저장할지 지정합니다. dry-run true저장하지 않아 재부팅 후 사라지고, dry-run false는 저장해 재부팅 후에도 유지합니다.

Expert mode에서 전역 파라미터 조회·구성 구문

confp_cli show
[-p <Parameter Path in DB>]
[{-fo | --format} {json | table}]
[{-fi | --filter} {modified | not-default | with-comments}]
[-vsid <ID>]
[--member-id <Member ID>]
['<JSON input>']
confp_cli set
[-p <Parameter Path in DB>]
[-v <Parameter Value>]
[-c "<Comment Text>"]
[-d {true | false}]
[-vsid {<ID> | all}]
[{-vo | --volatile} {true | false}]
[--regex {true | false}]
[--dry-run {true | false}]
[--distribute {true | false}]
['<JSON input>']
confp_cli fetch
confp_cli get
[-p <Parameter Path in DB>]
[-vsid <ID>]
confp_cli get_value
[-p <Parameter Path in DB>]
[-vsid <ID>]
[{-fo | --format} {json | string | fwset}]
파라미터설명
confp_cli show모든 전역 파라미터를 값·설명·주석과 함께 보여 줍니다.
-p <Parameter Path in DB>경로 지정 — all(전체), 전체 경로, 부분 경로(지정 문자로 시작), * 와일드카드 경로(이때 --regex true도 함께).
`{-fo \--format} {json \table}`출력 형식 — json, table(기본).
`{-fi \--filter} {modified \not-default \with-comments}`출력 필터 — modified(명시적으로 구성된 값), not-default(기본값 아님), with-comments(주석 있음).
-vsid <ID>VSNext Gateway에서는 Virtual Gateway ID, Legacy VSX Gateway에서는 Virtual System ID를 지정합니다.
--member-id <Member ID>Scalable Platform Security Group에서 Security Group Member ID를 지정합니다.
'<JSON input>'JSON 형식 입력. 반드시 작은따옴표(' ')로 감쌉니다.
confp_cli set파라미터 값과 주석을 구성합니다.
-v <Parameter Value>새 값(integer·boolean·string). 필요한 값은 Check Point Support Center와 지원 엔지니어가 제공합니다.
-c "<Comment Text>"주석(최대 256자)을 설정합니다.
`-d {true \false}`기본값으로 설정할지(true) 아닐지(false, 기본) 지정합니다.
`-vsid {<ID> \all}`Virtual Gateway / Virtual System ID. all은 모든 ID에 적용합니다.
`{-vo \--volatile} {true \false}`값을 임시로만 둘지 지정합니다(기본은 영구). true는 다음 재부팅 전까지만, false는 이전 값 복원.
`--regex {true \false}`경로에 * 와일드카드가 포함되는지 지정합니다(기본 false).
`--dry-run {true \false}`true는 저장하지 않아 재부팅 후 사라지고, false는 저장해 유지합니다.
`--distribute {true \false}`Scalable Platform Security Group에서 다른 모든 멤버에도 구성할지(true, 기본) 아닐지(false) 지정합니다.
'<JSON input>'JSON 입력. 작은따옴표로 감쌉니다.
confp_cli fetch존재하는 모든 전역 파라미터의 이름을 보여 줍니다.
confp_cli get파라미터·값·사용자 태그를 보여 줍니다. -p로 전체/부분 경로를, -vsid로 ID를 지정합니다.
confp_cli get_value파라미터와 현재 값만 보여 줍니다. -p(전체/부분 경로), -vsid(ID), `{-fo \--format} {json \string \fwset}(형식, json`이 기본) 지정.

Expert mode에서 'Config Point' 제어 구문

      confirm_fixed_warnings
      generate_docs [{-s|--schema} <Full Path to Schema File>]
      restart
      start
      stop
      validate_schema [{-s|--schema} <Full Path to Schema File>]
파라미터설명
confirm_fixed_warningsR82 업그레이드 후 나타난 경고/오류를 해결했음을 확인합니다. 'Config Point' 문제 해결은 sk181917 참고.
`generate_docs [{-s \--schema} <Full Path to Schema File>]`스키마 파일 문서를 생성합니다. 스키마 파일을 지정하지 않으면 /config_point/schemas/ 디렉터리의 모든 스키마 파일에 대해 생성합니다.
restart'Config Point' 서버를 재시작합니다.
start중지한 'Config Point' 서버를 시작합니다.
stop'Config Point' 서버를 중지합니다.
`validate_schema [{-s \--schema} <Full Path to Schema File>]`스키마 파일을 검증합니다. 지정하지 않으면 /config_point/schemas/ 의 모든 스키마 파일을 검증합니다.

Gaia Portal 웹 서버 구성하기

배경

Gaia Portal을 담당하는 웹 서버 동작을 구성 할 수 있습니다.

구문

현재 구성을 보려면:

show web
daemon-enable
session-timeout
ssl-port
ssl3-enabled
table-refresh-rate

구성하려면:

set web
daemon-enable {on | off}
session-timeout <Timeout>
ssl-port <Port>
ssl3-enabled {on | off}
table-refresh-rate <Rate>

파라미터

파라미터설명범위 / 기본값
`daemon-enable {on \off}`Gaia Portal 웹 데몬을 켜거나 끕니다.on/off, 기본 on
session-timeout <Timeout>이 시간(분)이 지나면 Gaia Portal HTTPS 세션이 종료됩니다.1~720, 기본 15
ssl-port <Port>HTTPS로 Gaia Portal에 접속하는 TCP 포트 번호입니다. 초기 구성에만 쓰세요. 명령줄에서 포트를 바꾸면 SmartConsole 설정과 어긋날 수 있으니, Portal의 SSL 포트는 SmartConsole에서 정하세요.1~65535, 기본 443
`ssl3-enabled {on \off}`Gaia Portal로의 HTTPS SSLv3 연결을 켜거나 끕니다.on/off, 기본 off
table-refresh-rate <Rate>Gaia Portal의 일부 표가 갱신되는 주기(초)입니다.10~240, 기본 10

lightshot — 가벼운 Gaia OS 스냅샷

lightshot가벼운 Gaia OS 스냅샷을 다루는 유틸리티 입니다. 로그 파일은 /var/log/lightshot.log에 남고, 스냅샷은 /mnt/lightshot 파티션에 저장됩니다.

구문

모든 하위 명령은 공통 옵션을 앞에 둘 수 있습니다.

lightshot [--ip <IP Address> [--username <Username>] [--pswd <Password>]] [--format {txt | json | yaml}
      callback
            -h
            update-token
      clone
            -h
            --reboot
            --ssh-mode
      create
            -h
            [--descr <"Description">]
            [--force]
            [<Name of Snapshot>]
      delete
            -h
            [--fcd]
            [--force]
            [--keep <Number>]
            [<Name of Snapshot>]
      expert
            -h
            mount
            show-token
            umount
            update-token
      import
            -h
            [<Name of Snapshot>]
      restore
            -h
            [--fcd]
            [--now]
            [--reboot]
            [<Name of Snapshot>]
      set
            -h
            configuration
                  -h
                  state {enabled | disabled}
                  verbosity {0 | 1 | 2 | 3}
      show
            -h
            configuration
                  -h
                  savelogs
            diff
                  -h
                  <Name of Snapshot 1> <Name of Snapshot 2>
            partition
                  -h
                  [--filter <Parameter>]
            snapshot
                  -h
                  [--name <Name of Snapshot>]
            snapshots
                  -h
                  [--verbose]

파라미터

공통 옵션부터 정리합니다.

파라미터설명
-h내장 도움말을 보여 줍니다.
--ip <IP Address>원격 Gaia 서버의 IP 주소. SSH로 닿을 수 있어야 합니다.
--username <Username>SSH 연결용 사용자 이름. root 권한이 있어야 합니다.
--pswd <Password>SSH 연결용 암호.
`--format {txt \json \yaml}`출력 형식 — txt(평문, 기본), json, yaml.

하위 명령은 다음과 같습니다.

하위 명령설명
callback다음 재부팅 때 lightshot 스냅샷을 복원하도록 등록된 요청(restore 하위 명령으로 등록)을 삭제합니다. 아직 재부팅하지 않은 경우에만 동작합니다.
clone <Parameters>원격 Gaia 서버의 lightshot 스냅샷을 이 서버로 복제합니다. --ssh-mode는 SSH 사용을 강제, --reboot는 복제 후 재부팅을 강제합니다. --ip(필요 시 --username·--pswd)는 이 하위 명령에 필수 입니다.
create <Parameters>새 lightshot 스냅샷을 만듭니다. --descr "<Description>"(설명), --force(기존 스냅샷 파일 갱신 강제), <Name of Snapshot>(이름).
delete <Parameters>기존 스냅샷을 삭제합니다. --fcd(파티션 전체 삭제 강제), --force(스냅샷 파일 삭제 강제), --keep <Number>(최근 스냅샷 보존 개수 — 마지막 <Name of Snapshot>에 문자열을 넣으면 그 문자열이 이름에 포함된 스냅샷만 필터), <Name of Snapshot>(이름).
expert <Parameters>Expert 하위 명령 — mount, show-token, umount, update-token.
import <Parameters>원격 Gaia 서버의 스냅샷을 이 서버로 가져옵니다. <Name of Snapshot>로 이름 지정.
restore <Parameters>이 서버에서 기존 스냅샷을 복원합니다. Lightshot 파티션 크기가 복원할 스냅샷 크기 이상이어야 합니다. --fcd(파티션 전체 복원 강제), --now(즉시 복원 강제), --reboot(재부팅 후 복원 강제), <Name of Snapshot>(이름).
set configuration스냅샷 설정을 구성합니다. savelogs state는 로그 상태 저장을 켜거나 끕니다(기본 끔). `savelogs verbosity {0 \1 \2 \3}은 로그 상세 수준 — 0(General Log, 기본)·1(+Commands)·2(+HCP)·3`(+CPInfo·CPviewDB).
show configuration savelogs로그 상태와 상세 수준을 보여 줍니다.
show diff <Snapshot 1> <Snapshot 2>지정한 두 스냅샷을 비교합니다.
show partition [--filter <Parameter>]Lightshot 파티션 정보를 보여 줍니다. --filteravailable·mount-on·required-space·size·used 중 하나만 표시할 수 있습니다.
show snapshot [--name <Name>]지정한 스냅샷의 이름·설명·날짜·시간을 보여 줍니다.
show snapshots [--verbose]모든 스냅샷의 이름·설명·날짜·시간을 보여 줍니다. --verbose스냅샷 크기도 함께 보여 줍니다(시간이 걸릴 수 있음).

트랜시버 모니터링

배경

Check Point 어플라이언스에 광케이블을 연결할 때는 SFP(Small Form-Factor Pluggable)QSFP(Quad Small Form-factor Pluggable) 트랜시버를 씁니다. 아래 Gaia Clish 명령들은 어플라이언스에 꽂힌 트랜시버의 실시간 상태 데이터 를 보여 줍니다 — 온도, 전압, 레이저 바이어스 전류, 송신·수신 광 파워 등을 점검해 광링크의 건강 상태를 확인할 수 있습니다.

인터페이스 트랜시버 정보 보기

한 인터페이스의 트랜시버 요약을 보려면:

show interface <Name of Interface> xcvr

출력 예시는 다음과 같습니다. Check Point 인증 여부, 온도(°C), 전압(V), 레이저 바이어스 전류(mA), 송신 파워(dBm), 수신 파워(dBm), LOS(Loss of Signal), Transmitter Fault 가 한 줄로 나옵니다.

gaia> show interface eth1-01 xcvr
Port    Check Point   Temp   Voltage  Laser Bias   Transmit  Rec     LOS  Transmitter
        Certified     (°C)   (V)      Current(mA)  Power(dBm) Power(dBm)   Fault
----    ---           -----  -----    ------       -----     -----   -    --
eth1-01 Yes           26.53  3.35     39.19        -1.30     -0.02   Off  Off
gaia>

인터페이스 트랜시버 상세 정보 보기

한 인터페이스의 트랜시버 상세를 보려면:

show interface <Name of Interface> xcvr_detail

이 명령은 제조사·부품 번호·Check Point 부품 정보·레이저 파장·링크 거리 등 제품 식별 정보 와 함께, 온도·전압·전류·송신/수신 파워의 현재 값과 경보(Alarm)·경고(Warning)의 상·하한 임계값 을 보여 줍니다.

gaia> show interface eth1-01 xcvr_detail
eth1-01 SFP is present
Product Type: 10G Base-LR
Vendor name: FINISAR CORP.
Vendor PN: FTLX1471D3BCV-CK
Vendor rev: A
Vendor SN: AWN0L3T
Check Point part number: CPAC-TR-10LR
Check Point Material ID: 309856
Laser wavelength: 1310nm
Link Length for SMF,km: 10km
Link Length for SMF: 10000m
Link Length for 50um: 0m
Link Length for 62.5um: 0m
Link Length for Copper: 0m
Link Length for OM3: 0m
No tx fault, No rx loss
QSFP Diagnostic Information
--------------------------------------------------------------------------------
                          Alarms              Warnings
                          High      Low       High      Low
--------------------------------------------------------------------------------
Temperature   26.80 C     78.00 C   -13.00 C  73.00 C   -8.00 C
Voltage       3.35 V      3.70 V    2.90 V    3.60 V    3.00 V
Current       39.21 mA    85.00 mA  7.00 mA   80.00 mA  12.00 mA
Tx Power      -1.29 dBm   2.00 dBm  -8.00 dBm 1.00 dBm  -7.00 dBm
Rx Power      -0.02 dBm   2.50 dBm  -20.00 dBm 2.00 dBm -18.01 dBm
gaia>

모든 인터페이스의 트랜시버 정보 보기

시스템의 모든 인터페이스를 한 번에 보려면:

show interfaces xcvr

트랜시버가 없는 포트는 transceiver information not available로 표시되고, 꽂힌 포트는 위 단일 인터페이스 출력과 같은 형식의 한 줄로 나옵니다.

gaia> show interfaces xcvr
Port    Check Point   Temp   Voltage  Laser Bias   Transmit  Rec     LOS  Transmitter
        Certified     (°C)   (V)      Current(mA)  Power(dBm) Power(dBm)   Fault
----    ---           -----  -----    ------       -----     -----   -    --
eth1    transceiver information not available
eth1-01 Yes           26.94  3.35     39.30        -1.30     -0.06   Off  Off
eth1-02 Yes           30.36  3.35     8.79         -2.53     -2.86   Off  Off
eth1-03 Yes           27.96  3.35     35.08        -1.43     -0.53   Off  Off
eth1-04 transceiver information not available
eth2    transceiver information not available
eth2-01 Yes           27.46  3.35     7.51         -2.18     -2.78   Off  Off
eth2-02 transceiver information not available
eth2-03 transceiver information not available
eth2-04 transceiver information not available
eth3    transceiver information not available
eth4    transceiver information not available
eth5    transceiver information not available
eth6    transceiver information not available
eth7    transceiver information not available
eth8    transceiver information not available
gaia>

모든 인터페이스의 트랜시버 상세 정보 보기

모든 인터페이스의 상세 진단을 한 번에 보려면:

show interfaces xcvr_detail

트랜시버가 없는 포트는 no information available로 표시되고, 꽂힌 포트마다 앞서 본 xcvr_detail 형식의 전체 블록(제품 정보 + 진단 임계값)이 차례로 나옵니다.

gaia> show interfaces xcvr_detail
eth1 no information available
eth1-01 SFP is present
Product Type: 10G Base-LR
Vendor name: PROLABS
Vendor PN: ER-SFP-10G-I-CPA
Vendor rev: A1__
Vendor SN: CPT111BF7903
Check Point part number: CPAC-TR-10ER-C
Check Point Material ID: 328822
Laser wavelength: 1550nm
Link Length for SMF,km: 40km
Link Length for SMF: 25500m
Link Length for 50um: 0m
Link Length for 62.5um: 0m
Link Length for Copper: 0m
Link Length for OM3: 0m
No tx fault, Yes rx loss
QSFP Diagnostic Information
--------------------------------------------------------------------------------
                          Alarms              Warnings
                          High      Low       High      Low
--------------------------------------------------------------------------------
Temperature   33.32 C     88.00 C   -43.00 C  85.00 C   -40.00 C
Voltage       3.33 V      3.60 V    3.00 V    3.50 V    3.10 V
Current       67.08 mA    120.00 mA 10.00 mA  110.00 mA 20.00 mA
Tx Power      1.08 dBm    5.00 dBm  -3.00 dBm 4.00 dBm  -2.00 dBm
Rx Power      1.88 dBm    1.50 dBm  -20.00 dBm 0.50 dBm -18.01 dBm

eth1-02 SFP is present
Product Type: 10G Base-SR
Vendor name: FINISAR CORP.
Vendor PN: FTLX8574D3BCV-CP
...
eth2-02 no information available
eth2-03 no information available
eth2-04 no information available
eth3 no information available
eth4 no information available
eth5 no information available
eth6 no information available
eth7 no information available
eth8 no information available
gaia>