華為USG防火墻運(yùn)維命令大全

1、華為USG防火墻運(yùn)維命令大全1_查會(huì)話使用場(chǎng)合針對(duì)可以建會(huì)話的報(bào)文，可以通過(guò)查看會(huì)話是否創(chuàng)建以及會(huì)話詳細(xì)信息來(lái)確定報(bào)文是否正常通過(guò)防火墻。命令介紹（命令類(lèi)）display firewall session table verbose source inside X.X.X.X | global X.X.X.X | destination inside X.X.X.X| global X.X.X.X source-vpn-instance STRING | public | dest-vpn-instance STRING | publicapplication gtp | ftp | h323

2、 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun| rpc | sqlnet | mms nat destination-port INTEGER long-link 使用方法（工具類(lèi)）首先確定該五元組是否建會(huì)話，對(duì)于TCP/UDP/ICMRICMP只有echo request和echo reply 建會(huì)話）/GRE/ESP/AH的報(bào)文防火墻會(huì)建會(huì)話，其它比如SCTP/OSPF/VRRP報(bào)文防火墻不建會(huì)話。如果會(huì)話已經(jīng)建立，并且一直有后續(xù)報(bào)文命中刷新，基本可以排除防 火墻的問(wèn)

3、題，除非碰到來(lái)回路徑不一致情況，需要關(guān)閉狀態(tài)檢測(cè)。如果沒(méi)有對(duì)應(yīng)的五元組會(huì)話或者對(duì)于不建會(huì)話的報(bào)文，繼續(xù)后續(xù)排 查方法。Global :表示在做NAT寸轉(zhuǎn)換后的IP。Inside :表示在做NAT寸轉(zhuǎn)換前的IP。使用示例display firewall session table verbose source inside14:29:512010/07/01Current total sessions :1icmp VPN: public-publicZone: trust - local TTL: 00:00:20 Left: 00:00:20Interface: I0 Nexthop: MA

4、C:00-00-00-00-00-00 packets:4461bytes:3747247:43986 local首包會(huì)話方向源域?yàn)閠rust ,目地域?yàn)閘ocal （源域- 目的域）TTL: 00:00:20 Left: 00:00:20ttl 表示會(huì)話表老化時(shí)間， left 表示會(huì)話表剩余多少時(shí)間老化Interface: I0 Nexthop: MAC: 00-00-00-00-00-00會(huì)話首包方向出接口、下一跳IP地址和MAO址 packets:4461 bytes:374724 代表會(huì)話outbound方向/同域的字節(jié)數(shù)和報(bào)文數(shù)7:43986-10.160.30243986 表示會(huì)話

5、首包是 outbound或者同域使用限制對(duì)于TCP/UDP/ICMP/GRE/ESP/AH報(bào)文防火墻會(huì)建會(huì)話，其它比如SCTP/OSPF/VRRP法使用該方法排查。2檢杳接口狀態(tài)使用場(chǎng)合在報(bào)文不通時(shí)，可以先檢查接口狀態(tài)，排除由于接口down而導(dǎo)致報(bào)文不通的情況。命令介紹display ip interface brief使用方法查看接口物理層和協(xié)議層狀態(tài)，正常情況下三層接口物理層( Physical )和協(xié)議層(Protocol )都是up,如果有down現(xiàn)象，檢 查網(wǎng)線連接和網(wǎng)線(光纖，光模塊)本身是否有問(wèn)題，更換網(wǎng)線(光纖，光模塊)嘗試。使用示例USG5360display ip inte

6、rface brief*down: administratively down(l): loopback(s): spoofingInterfaceIP AddressGigabitEthernet0/0/024upGigabitEthernet0/0/17upPhysical Protocol DescriptionupHuawei, USG5000upHuawei, USG5000GigabitEthernet0/0/2GigabitEthernet0/0/3GigabitEthernet1/0/0unassignedGigabitEthernet1/0/1unassigned如上顯示，G

7、igabitEthernet0/0/3 和 GigabitEthernet1/0/0upupdowndowndowndownupdownHuawei, USG5000Huawei, USG5000Huawei, USG5000Huawei, USG5000的物理層是down,其中GigabitEthernet0/0/3已經(jīng)配置了 IP地址，而GigabitEthernet1/0/0未配置，物理層down可能是因?yàn)榫W(wǎng)線被拔出或網(wǎng)線出問(wèn)題，或者是與其對(duì)接的接口down,需要檢查線路。GigabitEthernet1/0/1 的協(xié)議層down是因?yàn)闆](méi)有配置ip地址。3_檢查接口統(tǒng)計(jì)信息使用場(chǎng)合在發(fā)現(xiàn)

8、報(bào)文傳輸有性能下降或者 ping有丟包時(shí)，可以檢查接口統(tǒng)計(jì)信息，確認(rèn)接口是否有丟包。命令介紹display interface interface-type interface-number使用方法查看接口下是否有error ,確認(rèn)CRC/ collisions有無(wú)增長(zhǎng)，如果有增長(zhǎng)確認(rèn)接口雙工模式和速率是否與對(duì)端設(shè)備一致。Align Errors :對(duì)齊錯(cuò)誤，即傳送的包中存在不完整的字節(jié)，包括前導(dǎo)碼和幀間隙。Collision Errors :碰撞錯(cuò)誤。runts：超短包，長(zhǎng)度小于64字節(jié)但CRCfi正確的數(shù)據(jù)包。giants :超長(zhǎng)包，長(zhǎng)度大于1618(如果帶vlan是1622)字節(jié)的CRC

9、值正確的數(shù)據(jù)包。CRC (Input):長(zhǎng)度為64至1618字節(jié)之間但CRCfi不正確的數(shù)據(jù)包。(路由器中長(zhǎng)度為64至1618字節(jié)之間的Alignment Dr 類(lèi)中統(tǒng)計(jì))。Error (Input ) : PHY層發(fā)現(xiàn)的錯(cuò)包。Overrun (Input):接收隊(duì)列滿失敗包。Late Collision (Output): 發(fā)送 64字節(jié)后發(fā)生碰撞的錯(cuò)誤包。查看出入接口統(tǒng)計(jì)是否計(jì)數(shù)正在增加，如果有增加則說(shuō)明該接口鏈路正常，如果只有一條流則可以確定報(bào)文是否進(jìn)入防火墻 查看接口協(xié)商的情況，包括協(xié)商速率，全雙工/半雙工等。關(guān)注接口五分鐘流量統(tǒng)計(jì)與正常時(shí)的差別，關(guān)注業(yè)務(wù)經(jīng)過(guò)設(shè)備的兩個(gè)方向出入接口流量

10、是否差不多。使用示例GigabitEthernet1/0/0 current state : UPLine protocol current state :UPGigabitEthernet1/0/0 current firewall zone : trustDescription : Huawei, USG5000 Series, GigabitEthernet1/0/0InterfaceThe Maximum Transmit Unit is 1500 bytes, Hold timer is10(sec)Internet Address is7/24IP Sending Frames F

11、ormat is PKTFMT_ETHNT_2, Hardware address is 0018-82fd-9d3bMedia type is twisted pair, loopback not set, promiscuous mode notset 1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control isdisableOutput queue : (Urgent queue :Size/Length/Discards) 0/50/0Output queue : (Protoco

12、l queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queuing :Size/Length/Discards) 0/75/0Last 5 minutes input rate 1083bytes/sec,11 packets/secLast 5 minutes output rate 1019bytes/sec,10 packets/secInput: 15901905 packets, 3060644220bytes180 broadcasts, 19745multicasts5920 errors, 0 runts,

13、0 giants, 0 throttles,0 CRC, 0 frames, 5920 overruns, 0 align errorsOutput: 10641815 packets, 1764395150 bytes200 broadcasts, 0 multicasts0 errors, 0 underruns, 0 collisions, 0 late collisions,0 deferred, 0 lost carrier, 0 no carrier如上顯示，Input方向出現(xiàn)了 5920個(gè)overruns ,很有可能之前出現(xiàn)了瞬間很大的流量，導(dǎo)致 overruns丟包4杳看防火墻

14、系統(tǒng)統(tǒng)計(jì)使用場(chǎng)合通過(guò)查看防火墻系統(tǒng)統(tǒng)計(jì)，可以得到各種報(bào)文的統(tǒng)計(jì)值，以及各種丟包情況等信息。命令介紹display firewall statistic system使用方法查看當(dāng)前系統(tǒng)總會(huì)話數(shù)，TcpSession、UDPSession ICMP session這三項(xiàng)統(tǒng)計(jì)值的和查看TCP半連接數(shù)，CurHalfCon統(tǒng)計(jì)值就是半連接數(shù)，通過(guò)該值可以確認(rèn)半連接數(shù)是否過(guò)多，是否受到 syn-flood攻擊查看防火墻轉(zhuǎn)發(fā)TCP#務(wù)是否丟包，使用 RcvTCPpkts RcvTCPbytes、PassTCPpkts、PassTCPOct呦計(jì)值，正常情況下 Pass和 Rcv不會(huì)相差很多會(huì)話創(chuàng)建是否失敗

15、根據(jù)發(fā)送報(bào)文的類(lèi)別查看是否存在丟包，從這個(gè)統(tǒng)計(jì)可以查看出是否存在因攻擊防范，包過(guò)濾等引起的丟包，以及根據(jù)收到 ICMP/UDP/TCP艮文個(gè)數(shù)和轉(zhuǎn)發(fā)的個(gè)數(shù)計(jì)算被防火墻丟棄的個(gè)數(shù)。5查看設(shè)備的運(yùn)行狀況使用場(chǎng)合在發(fā)現(xiàn)設(shè)備的告警燈亮?xí)r或者其他如接口無(wú)法UP等異常情況時(shí)，可以查看設(shè)備的運(yùn)行狀況，看主控板、接口卡等是否運(yùn)行正常如果有器件顯示故障，需盡快分析。命令介紹display device使用方法直接執(zhí)行 display device 。使用示例displaydeviceSecoway USG5360s Devicestatus:Slot#TypeOnlineStatus0RPUPresentNor

16、mal22GEPresentNormal3PWR(AC)PresentAbnormal4PWR(AC)PresentNormal5FANPresentNormal1收藏崎分享,頂，踩點(diǎn)評(píng)回復(fù)報(bào)告電梯直達(dá)L3發(fā)表于 2015-3-27 13:57:30只看該作者6查看告警信息使用場(chǎng)合在發(fā)現(xiàn)設(shè)備的告警燈亮?xí)r或者在日志中發(fā)現(xiàn)如風(fēng)扇燈硬件相關(guān)信息時(shí)，可以查看告警信息來(lái)確定問(wèn)題，具體告警的信息參見(jiàn) USG530IJ口 E200告警.xls 。命令介紹display alarm urgent使用方法直接執(zhí)行 display diagnostic-information 。使用示例display alarm

17、urgentAlarmIDSlotDate43/711:28:410/7TimeParal Para22554/710/710:19:82557查看內(nèi)存使用率使用場(chǎng)合當(dāng)防火墻自身某些業(yè)務(wù)運(yùn)行不穩(wěn)定時(shí)，可以查看一下內(nèi)存使用率，看是否是內(nèi)存消耗過(guò)多導(dǎo)致。內(nèi)存占有率不應(yīng)過(guò)高。超過(guò) 80% 時(shí)需要分析當(dāng)時(shí)的路由表容量和其他防火墻自身相關(guān)業(yè)務(wù)。命令介紹display memory-usage使用方法在系統(tǒng)視圖下執(zhí)行 display memory-usage 。使用示例Eudemondisplaymemory-usageMemory utilization statistics at 2010-07-07

18、 19:27:38 50 msSystem Total Memory Is: 2147483648 bytesTotal Memory Used Is: 1013878696 bytesMemory Using Percentage Is: 47%8查看CPU使用率使用場(chǎng)合CPU占有率應(yīng)正常，與當(dāng)前開(kāi)展的業(yè)務(wù)類(lèi)型和轉(zhuǎn)發(fā)流量相符。超過(guò)60%應(yīng)分析當(dāng)時(shí)白業(yè)務(wù)流量。USG530(g由轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)的,通常CPU用率與流量關(guān)系不大，只與業(yè)務(wù)類(lèi)型有關(guān)，一般的來(lái)說(shuō)，軟件IPSEC/L2TP/ASPF/NAT ALG寸CPUS源消耗較大。命令介紹display cpu-usage-for-user使用方法直接

19、執(zhí)行 display cpu-usage-for-user。使用示例display cpu-usage-for-user:6%:6%:6%= Current CPU usage infoCPU Average Usage (5 seconds)CPU Average Usage (30 seconds)CPU Average Usage (5 minutes)9檢查各器件溫度信息和電壓信息使用場(chǎng)合在發(fā)生硬件故障時(shí)，可以查看各器件溫度信息和電壓信息等，判斷是否是溫度或電壓的異常引起的問(wèn)題命令介紹display environment使用方法直接執(zhí)行 display environment 。使用

20、示例displayenvironmentEnvironment information:Temperature information:local CurrentTemperature LowLimit HighLimit Status (Celsius)(Celsius) (Celsius)(OK/FAIL) CPU44085OKVENT29065OKVoltage information:CheckPoint ReferenceVolRangeCurrentVolStatusDDR mV1790mV1.8VOK1710 1890IO-1 mV2494mV2.5VOK2362 2613IO-

21、2 mV3299mV3.3VOK3126 3455IO-3 mV1820mV1.8VOK1710 1890CPU mV1000mV1.0VOK950 1050FAN9.0 VmV 8940mV85209420OKUSB5.0VmV 5044mV4732 5226OK10查看日志使用場(chǎng)合在發(fā)生故障以后，可以查看日志，查找之前發(fā)生過(guò)的和當(dāng)前故障相關(guān)的信息，從而定位故障原因。從日志中能看到，接口 UP/DOWN主備切換、攻擊事件、命令行執(zhí)行記錄等信息。命令介紹display logbuffer使用方法直接執(zhí)行 display logbuffer使用示例display logbufferLogging

22、 buffer configuration and contents:enabledAllowed max buffer size :1024Actual buffer size :512Channel number : 4 , Channel name : logbufferDropped messages:0Overwritten messages :0Current messages :582010-07-19 10:31:58 USG5360 %01SHELL/5/CMD(l): task:co0 ip:* user:* vrf:publiccommand:display logbuf

23、fer2010-07-19 10:30:48 USG5360 %01SHELL/5/LOGIN(l): vrf:public user:Console login from con0GigabitEthernet0/0/2: change status toGigabitEthernet0/0/2: change status toGigabitEthernet0/0/2: change status to2010-07-19 10:28:24 USG5360 %01PHY/2/PHY(l): up2010-07-19 10:28:19 USG5360 %01PHY/2/PHY(l): dow

24、n2010-07-19 10:27:22 USG5360 %01PHY/2/PHY(l): up2010-07-19 10:25:42 USG5360 %01SHELL/5/CMD(l): task:co0 ip:* user:* vrf:public command:undo debugging all2010-07-19 10:25:42 USG5360 %01SHELL/5/LOGOUT(l): vrf:public user:Console logout fromcon02010-07-19 10:25:41 USG5360 %01HWCM/5/EXIT(l): exit from c

25、onfigure mode點(diǎn)評(píng)回復(fù)支持（）反對(duì)（）小小李 L3報(bào)告發(fā)表于 2015-3-27 13:58:01只看該作者回復(fù)2樓11查看丟包統(tǒng)計(jì)，確定是否丟包使用場(chǎng)合在無(wú)法確認(rèn)報(bào)文是否經(jīng)過(guò)防火墻，防火墻是否丟包時(shí)，可以查看丟包統(tǒng)計(jì)，并對(duì)每種丟包統(tǒng)計(jì)查詢丟包手冊(cè)，得到發(fā)生問(wèn)題的可 能性。命令介紹display dataplane discard undo firewall debug_statistic acl enable display firewall debug_statistic使用方法報(bào)文進(jìn)入防火墻創(chuàng)建會(huì)話之前大部分丟包位置都進(jìn)行了記錄，可以通過(guò)下面方式查看。進(jìn)入隱藏模式，按照下面的

26、順序查看:Eudemon_VC-A-hidecmdreset dataplane discardEudemon_VC-A-hidecmddisplay dataplane discard DP_FW_RcvDP_FW_FirstRcvDP_FW_DefaultRcvDP_FW_FragRcvEudemon_VC-A-hidecmddisplay dataplane discard置。./清除當(dāng)前丟包統(tǒng)計(jì)/顯示丟包函數(shù)100000DP_FW_Rcv verbose /根據(jù)丟包函數(shù)具體查看丟包位18:00:102009/06/10DP_FW_Rcv 0:0DP_FW_Rcv 1:0DP_FW_Rc

27、v 2:0DP_FW_Rcv 3:100DP_FW_Rcv 4:0DP_FW_Rcv 5:04）根據(jù)上面查看到的函數(shù)，在:exit:exit:exit:exit:exit:exitUSG5300I包原因查看手冊(cè)查詢丟包原因。如果丟包位置較多，無(wú)法確定具體丟包位置，則可以通過(guò)下面方法調(diào)試。USG5360acl 3333USG5360-acl-adv-3333rule permit ip source 0 0destination 2 0 /規(guī)則越精確越好，保證 debug統(tǒng)計(jì)的數(shù)據(jù)流盡量少，否則對(duì)設(shè)備性能影響比較大USG5360-hidecmdfirewall debug_statistic a

28、cl 3333 enable /進(jìn)入隱USG5360-hidecmddisplay firewall debug_statistic/ 查看結(jié)果USG5360-hidecmdundo firewall debug_statisticacl 3333enable 測(cè)試完成后，取消調(diào)試后令，否則對(duì)設(shè)備性能存在一定的消耗 根據(jù)具體的原因采取相應(yīng)的措施，如果未查找到丟包，則就繼續(xù)后面的檢查。使用限制基于流的丟包統(tǒng)計(jì)建議在非業(yè)務(wù)高峰進(jìn)行12使用遠(yuǎn)程抓包抓取報(bào)文使用場(chǎng)合在發(fā)生故障后，通過(guò)檢查配置和統(tǒng)計(jì)信息無(wú)法定位時(shí)，可以通過(guò)遠(yuǎn)程抓包抓取指定流的報(bào)文進(jìn)行分析。 命令介紹見(jiàn)使用方法使用方法通過(guò)防火墻的遠(yuǎn)程抓包

29、功能可以抓取經(jīng)過(guò)防火墻和上送防火墻處理的報(bào)文，抓滿后將其發(fā)送給pc, pc上面通過(guò)Firewall Packetyzer.exe工具接收，保存為cap格式，可以通過(guò)抓包工具打開(kāi)分析報(bào)文的正確性。U USG5000acl 3333USG5000-acl-adv-3333rule permit ip source 0 0destination 2 0 源和目的ip越精確越好，否則對(duì)設(shè)備性能影 響比較大U USG5000interface GigabitEthernet 0/0/0 /進(jìn)入需要抓包的接 口視圖U USG5000-GigabitEthernet0/0/0firewall packet-

30、capture 3333 queue 0 / 指定acl規(guī)則和隊(duì)列SG USG5000-GigabitEthernet0/0/0quit.USG5000firewall packet-capture startup difficult 300 /開(kāi)始抓包。simple:報(bào)文長(zhǎng)度小于100byte , difficult:不限制大小.USG5000firewall packet-capture send queue 0 ip /抓滿后，使用命令將報(bào)文發(fā)送給PG pc需要打開(kāi)軟件接收。PG/顯示抓包情/顯示隊(duì)列是情/測(cè)試完成后，關(guān)閉 指的是打開(kāi) Firewall_Packetyzer.exe 工具

31、的 USG5000display firewall packet-capture statistic況和統(tǒng)計(jì)USG5000display firewall packet-capture queue 0況和統(tǒng)計(jì)USG5000undo firewall packet-capture startup抓包功能，否則對(duì)設(shè)備性能存在一定的消耗 遠(yuǎn)程抓包客戶端，在PC上面運(yùn)行接收防火墻發(fā)送的 抓包內(nèi)容使用限制vpn報(bào)文或者防火墻自身發(fā)送的報(bào)文遠(yuǎn)程抓包功能是抓不到的，建議在非業(yè)務(wù)高峰進(jìn)行 13檢查ARP表項(xiàng)使用場(chǎng)合在設(shè)備接口 UP時(shí)，如果ping對(duì)端設(shè)備不通，可以檢查arp表項(xiàng)是否正常。命令介紹display

32、 arp （路由模式下顯示arp表項(xiàng)）display arp bridge （ 透明模式下顯示 arp 表項(xiàng)）display firewall transparent-mode address-table （透明模式下顯示 MACOt表）debugging arp packet使用方法查看防火墻上下行設(shè)備的 ARRg項(xiàng)是否正確，如果不正確或者經(jīng)常變化請(qǐng)檢查網(wǎng)絡(luò)是否存在多個(gè)設(shè)備回應(yīng)ARP應(yīng)答情況?？梢允褂胐ebugging arp packet調(diào)試命令檢查設(shè)備的 ARP青求和應(yīng)答情況使用示例display arp14:17:412010/07/02IP ADDRESS INTERFACEMAC

33、ADDRESS EXPIRE(M) TYPE VPN-INSTANCEVLANPVC0022-a100-18eaIGE0/0/300e0-fc00-000c7DGE0/0/30022-a100-18e9IGE0/0/270022-a100-18e8IGE0/0/10022-a100-18a018GE0/0/1240022-a100-18e7GE0/0/0Total:6Dynamic:2Static:。Interface:4debugging arp packet14:18:492010/07/02t d14:18:502010/07/02Display the debugging inform

34、ation to terminal may use a large number of cpu resource and result in systems reboot! Continue?Y/N:y% Current terminal debugging is on 0.9980433 USG5360 %01ARP/7/arp_rcv(d): Receive an ARP Packet, operation : 1, sender_eth_addr : 00e0-fc00-000c, sender_ip_addr : , target_eth_addr : 0000-000

35、0-0000, target_ip_addr :0.9980683 USG5360 %01ARP/7/arp_send(d): Send an ARP Packet, operation : 2, sender_eth_addr :0022-a100-18ea,sender_ip_addr : , target_eth_addr : 00e0-fc00-000c, target_ip_addr : 使用限制 一display arp只對(duì)三層 口 有意義。14檢查路由使用場(chǎng)合在設(shè)備接口 UP時(shí)，但如果ping遠(yuǎn)端設(shè)備或PC不通，可以檢查一下路由表項(xiàng)是否正常。命令介紹display

36、 fibdisplay ip routing-table使用方法使用命令display fib或display ip routing-table 查看防火墻fib表是否有相應(yīng)的路由，并檢查是否正確。針對(duì)動(dòng)態(tài)路由請(qǐng)使 用 display ospf peer、 display ospf brief 等 ospf 命令檢查 ospf 是否正常；針對(duì)靜態(tài)路由，使用 display current-configuration | include ip route-static命令檢查是否添加相應(yīng)的靜態(tài)路由。使用示例display fib14:20:572010/07/02Destination/Mask

37、TimeStampNexthopInterfaceFlag/0GSU t0GigabitEthernet0/0/1/056GSU t0GigabitEthernet0/0/0/0GSU t0GigabitEthernet0/0/3/32GHU t0InLoopBack0/24Ut0GigabitEthernet0/0/3/8GSU t0GigabitEthernet0/0/1/247Ut0GigabitEthernet0/0/1/2424Ut0GigabitEthernet0/0/0/32GHU t0InLoopBack0/32GHU t0InLoopBack07/32GHU t0InLoop

38、Back024/32GHU t0/24Ut0/8Ut0InLoopBack0LoopBack0InLoopBack0display ip routing-table14:21:322010/07/02Routing Table: public netDestination/Mask ProtocolPre CostNexthopInterface/0STATIC 600GE0/0/3GE0/0/56GE0/0/0/24DIRECT00LoopBack0/32DIRECT00InLoopBack0/24DIRECT00GE0/0/3/32DIRECT00InLoopBack0/24DIRECT

39、007GE0/0/17/32DIRECT 00InLoopBack0/8DIRECT00InLoopBack0/32DIRECT00InLoopBack0/24DIRECT 0024GE0/0/024/32DIRECT 00InLoopBack0/8STATIC600GE0/0/115檢查IPSEC統(tǒng)計(jì)使用場(chǎng)合如果配置了 IPSEG可以先檢查IPSEC統(tǒng)計(jì)，看報(bào)文在IPSEC中是否能正常處理。命令介紹display ipsec statistics使用方法使用display ipsec statistics查看防火墻IPSEC隧道相關(guān)的統(tǒng)計(jì)，統(tǒng)計(jì)里面標(biāo)記出了具體的IPSEC報(bào)文的丟包原因，根據(jù)

40、這個(gè)可以確定是否是因?yàn)镮PSEC原因引起的丟包。使用示例USG5360display ipsecstatistics15:55:412010/07/01the security packet statistics:input/output security packets: 100/100input/output security bytes: 8000/8000input/output dropped security packets:65/0dropped security packetdetail:no enough memory:0cant find SA:0queue is full

41、:0authentication is failed:0wrong length:0replay packet:0too long packet:0wrong SA:encry fail: decry fail:0check acl car:0speed limit car:0pre-check fail:65succeed-check fail:0other reasons: 0如上顯示pre-check fail統(tǒng)計(jì)值為65,說(shuō)明這里發(fā)生了前反查失敗的情況，需要檢查對(duì)端是有需要IPSEC封裝的報(bào)文直接將原始報(bào)文發(fā)送過(guò)來(lái)了。并檢查 ACL看是否兩端的ACL不一致。點(diǎn)評(píng)回復(fù)支持（）反對(duì)（）報(bào)告

42、小小李 L3發(fā)表于 2015-3-27 13:58:28只看該作者 地板回復(fù)3樓16檢查IP/ICMP統(tǒng)計(jì)使用場(chǎng)合當(dāng)經(jīng)過(guò)防火墻的業(yè)務(wù)發(fā)生延遲或者下降時(shí)，也可以查看ip報(bào)文統(tǒng)計(jì)信息來(lái)定位問(wèn)題原因命令介紹display ip statisticsdisplay icmp statistics使用方法查看no route/ TTL exceeded等異常計(jì)數(shù)是否在增長(zhǎng)，如果增長(zhǎng)比較快，使用 debugging ip icmp調(diào)試命令查看輸出的調(diào)試信息 是否與發(fā)生中斷的業(yè)務(wù)有關(guān)。使用示例內(nèi)網(wǎng)用戶通過(guò)E200做NAT Outbound訪問(wèn)Internet ,發(fā)現(xiàn)E200的CPUS用率很高，經(jīng)常達(dá)到100

43、%查看icmp統(tǒng)計(jì)：baddisplay icmp statisticsInput: bad formats86checksumunreachableecho00destinationsourcequench0redirects0echo reply0parameterproblem0timestamp0informationrequest0mask requests0maskreplies0timeexceeded0Output:echo0destinationunreachable3327150sourcequench0redirectsproblemreplyecho replypara

44、metertimestamp0informationmask requestsmaskrepliestime exceeded0出現(xiàn)大量目的不可達(dá)。一般是有大量訪問(wèn)防火墻自身的流量。出現(xiàn)這種情況：一是，有大量針對(duì)防火墻的攻擊流量；二是，防火 墻NAT地址池地址使用防火墻接口地址，有大量無(wú)會(huì)話訪問(wèn)NATft址池地址的流量。規(guī)避這個(gè)問(wèn)題的方法是配置嚴(yán)格的到防火墻自身的包過(guò)濾。出現(xiàn)大量重定向。一般是出現(xiàn)了路由環(huán)路。出現(xiàn)路由環(huán)路一般是有大量無(wú)會(huì)話訪問(wèn)NATM址池地址白流量，但 NAT*址池地址不是防火墻接口地址。以NAT4址池地址為目的地址的報(bào)文，防火墻查路由，仍向外網(wǎng)口發(fā)送，但防火墻下行設(shè)備認(rèn)為該地

45、址的目的路 由在防火墻上，將報(bào)文又發(fā)回到防火墻，從而導(dǎo)致路由環(huán)路。規(guī)避這個(gè)問(wèn)題的方法是對(duì)NAT地址池地址配置黑洞路由。17打開(kāi)IP調(diào)試開(kāi)關(guān)調(diào)試使用場(chǎng)合訪問(wèn)防火墻自身的地址時(shí)，可以通過(guò)打開(kāi)ip調(diào)試開(kāi)關(guān)，來(lái)確定報(bào)文是否到達(dá)防火墻，以及是否從防火墻發(fā)出。命令介紹debugging ip packet acl 使用方法檢查防火墻是否收到相應(yīng)的報(bào)文，在現(xiàn)網(wǎng)設(shè)備上配置一條未使用的ACL假定發(fā)生中斷的業(yè)務(wù)源IP地址為3 ,目的IP地址為防火墻自身IP,協(xié)議類(lèi)型為ICMP，未使用的ACL編號(hào)為ACL 3999。使用示例Eudemonacl 3999 Eudemon-acl-adv-3999 rulepermi

46、ticmp source 3 0Eudemon-acl-adv-3999 rulepermiticmp destination 3 0然后在用戶視圖下輸入以下命令打開(kāi)IP調(diào)試開(kāi)關(guān)調(diào)試 debugging ip packet acl 3999 terminal monitor terminal debugging查看調(diào)試信息，調(diào)試信息如果類(lèi)似如下，則可以排除防火墻問(wèn)題。2009-06-13 11:23:26 USG5360 %011P/8/debug_case(d):Receiving, interface = GigabitEthernet0/0/0, version = 4, headlen

47、 = 20, tos = 0,pktlen = 60, pktid = 42962, offset = 0, ttl = 128, protocol = 1, checksum = 36046, s = 3, d = prompt: Receiving IP packet from GigabitEthernet0/0/02009-06-13 11:23:26 USG5360 %011P/8/debug_case(d): Delivering, interface = , version = 4, headlen = 20, tos = 0, pktlen = 60, pktid = 4296

48、2, offset = 0, ttl = 128, protocol = 1, checksum = 36046, s = 3, d = prompt: IP packet is delivering up!2009-06-13 11:23:26 USG5360 %011P/8/debug_case(d):Sending, interface = GigabitEthernet0/0/0, version = 4, headlen = 20, tos = 0,pktlen = 60, pktid = 5, offset = 0, ttl = 255, protocol = 1, checksu

49、m = 46491, s = , d = 3prompt: Sending the packet from local at GigabitEthernet0/0/0使用限制只有到防火墻自身的報(bào)文或從防火墻自身發(fā)出的報(bào)文才能通過(guò)debugging ip packet 查看到。18檢查防火墻雙機(jī)熱備配置使用場(chǎng)合雙機(jī)熱備組網(wǎng)發(fā)生故障時(shí)，需要先檢查VRRPS而HRP勺狀態(tài)，再進(jìn)一步定位問(wèn)題。命令介紹display hrp statedisplay vrrp使用方法對(duì)于雙機(jī)熱備組網(wǎng)，檢查兩臺(tái)防火墻VRRP HRPE置是否正常，使用display hrp state 、display vrrp檢查兩臺(tái)防

50、火墻主備狀態(tài)。對(duì)于兩臺(tái)設(shè)備相對(duì)應(yīng)的 VRR咯份組，不能出現(xiàn)雙主狀態(tài)，否則影響上下行設(shè)備的ARP習(xí)。如果狀態(tài)不對(duì)，請(qǐng)修改并檢查故障是否消除(再查看會(huì)話表和丟包統(tǒng)計(jì))。使用示例主設(shè)備上：HRP_Mdisplay hrp stateThe firewalls config state is: MASTERCurrent state of virtual routers configured as master:GigabitEthernet0/0/1vrid1 :masterGigabitEthernet0/0/0vrid2 : masterHRP_Mdisplay vrrpGigabitEther

51、net0/0/1 | Virtual Router 1state :MasterVirtual IP :PriorityRun : 100PriorityConfig : 100MasterPriority : 100Preempt : YES Delay Time : 0Timer :1Auth Type :NONECheck TTL :YESGigabitEthernet0/0/0 | Virtual Router 2state :MasterVirtual IP : PriorityRun : 100PriorityConfig : 100MasterPriority : 100Delay Time :Preempt : YESTimer : Auth Type :NONECheck TTL : YES備設(shè)備上：HRP_S display hrp stateThe firewalls config state is: SLAVECurrent state of virtual routers configured as