防火墻常用命令201101課件

防火墻常用命令匯總客服中心黃嫻婷2011年01月systemshow查看防火墻版本信息可以看到防火墻名，硬件型號(hào)，軟件版本以及序列號(hào)。admhostshow查看管理主機(jī)admhostaddipx.x.x.x添加管理主機(jī)admhostdelipx.x.x.x刪除管理主機(jī)admmodeshow查看管理方式顯示管理方式WEB/串口SSH/PPPadmmodeonsshInterfaceshowall查看防火墻的接口信息，包括接口數(shù)量，ip地址，子網(wǎng)掩碼，開啟狀態(tài)主要查看接口配置是否正常，配合周邊設(shè)備查看網(wǎng)絡(luò)是否通與不通。使用ifconfig命令配置并查看網(wǎng)絡(luò)接口情況示例1:配置eth0的IP，同時(shí)激活設(shè)備:

#ifconfigeth0192.168.4.1netmask255.255.255.0up示例2:配置eth0別名設(shè)備eth0:1的IP

#ifconfigeth0:1192.168.4.2示例3:激活（禁用）設(shè)備

#ifconfigeth0:1up(down)示例4:查看所有（指定）網(wǎng)絡(luò)接口配置

#ifconfig(eth0)備注：如果要對(duì)接口添加允許管理允許ping等相關(guān)參數(shù)的時(shí)候，則要使用防火墻自身的命令interfacesetphyiffe0ip10.1.5.254netmask255.255.255.0activeonadminonpingontracerouteonRXpackets接受數(shù)據(jù)包的數(shù)量收包丟棄量大TXpackets發(fā)送數(shù)據(jù)包的數(shù)量errors錯(cuò)誤包的數(shù)量硬件信號(hào)錯(cuò)誤dropped丟棄的數(shù)據(jù)包數(shù)量如果有丟棄的數(shù)據(jù)包說明流量大或者驅(qū)動(dòng)有問題overruns數(shù)據(jù)包溢出的數(shù)量frame幀錯(cuò)誤carrier載波collision沖突長(zhǎng)連接，慎用。作用是將連接的時(shí)間變短或者變長(zhǎng)不能加any到any的長(zhǎng)連接具體協(xié)議，服務(wù)不能使ANY不然出問題。acscon和acscshowtop開啟連接管理功能查看top10的連接以上命令主要是讓工程師在不打開頁(yè)面的情況下可以更好的分析那個(gè)主機(jī)IP大量進(jìn)行連接。configreset是恢復(fù)出廠設(shè)置configsave是保存配置這些命令大家可能都知道，我在這里重復(fù)只是希望大家真正熟練掌握，并在現(xiàn)場(chǎng)第一時(shí)間使用iprouteshow

顯示路由表信息，對(duì)于大型網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)，路由表是非常重要的。排錯(cuò)的時(shí)候40%的路由表的問題，20%的故障是跟路由表相關(guān)的其他功能的問題。所以路由表是非常重要的。HAshowconfigHAshowstatus可以查看HA配置和HA的協(xié)商情況以及目前的主備狀態(tài)

free查看內(nèi)存使用情況

這個(gè)命令可以清楚的知道設(shè)備的總共內(nèi)存多大，使用多少，空閑多少配合其他命令就可以整體把握設(shè)備的運(yùn)行情況，查看防火墻磁盤大小的一系列操作首先，先運(yùn)行mnt.boot/mnt，然后cd/mnt，再df查看各分區(qū)大小。磁盤使用率顯示的是/mnt資源占用的大小。由圖我們可以看出這個(gè)防火墻的磁盤大小為132M。（一般磁盤32M,64M,128M等）查看完以后千萬千萬不要忘記退出/mnt目錄，然后umont/mnt。ps–aux產(chǎn)看防火墻進(jìn)程cpu100%問題1.用psaux問題查看具體是哪一個(gè)進(jìn)程導(dǎo)致cpu利用率高

Cli進(jìn)程問題killallcli殺掉所有cli進(jìn)程

再打上patch207-解決Cli命令導(dǎo)致cpu利用率百分之百升級(jí)包(3.4.X.X)severadd進(jìn)程問題

添加資源定義時(shí)報(bào)錯(cuò)導(dǎo)致cpu100%,直接kill+進(jìn)程id殺掉進(jìn)程即可3.4.5.0/1可打Patch193-解決資源定義報(bào)錯(cuò)顯示亂碼和操作資源定義模塊時(shí)CPU占用率為100%問題升級(jí)包(3.4.5.0-1版本)2.遇到其他占用cpu利用率高蛤不常見的進(jìn)程,可反到客服中心filterconfigstatecount查看防火墻的并發(fā)連接數(shù)filterconfigstateremove清除防火墻上的連接（所有連接包括你的web連接和SSH連接）filterconfigstatelist查看防火墻的連接表(建議與grep參數(shù)配合使用)eg:filterconfigstatelist

|grep211.103.135.1473.4.3.8（含）以下版本防火墻語(yǔ)音傳輸不通或者有時(shí)通，有時(shí)不通或者日志中有大量關(guān)于sip、h323的報(bào)錯(cuò)信息時(shí)，可以用如下命令，徹底刪除sip和h323模塊。但是卸載以上模塊會(huì)犧牲掉ha模塊，以后將無法使用雙機(jī)功能。themis>cd/lib/modules/2.4.22/kernel/net/ipv4/netfilterthemis>mvha.oha.o.oldthemis>mvip_conntrack_h323.o

ip_conntrack_h323.o.oldthemis>mvip_conntrack_h323_gk.oip_conntrack_h323_gk.o.oldthemis>mvip_nat_h323.oip_nat_h323.o.oldthemis>mvip_nat_h323_gk.oip_nat_h323_gk.o.oldthemis>mvip_conntrack_sip_module.o

ip_conntrack_sip_module.o.oldthemis>mv

ip_nat_sip_module.o

ip_nat_sip_module.o.oldthemis>mvosipparser2.o

osipparser2.o.oldthemis>backpkgmodulesVPN命令匯總查看建立的ipsec隧道及路由

：ipseceroute查看VPN狀態(tài)信息，用于VPN排錯(cuò)：ipsecauto–status查看日志，含有有用的VPN日志

：tail–f/var/log/fw.log查看VPN的后臺(tái)配置

：

cat/etc/ipsec.d/confs/ipsec.gateways.conf等可以查看在/etc/ipsec.d/confs/相應(yīng)的其它配置文件查看建立的ipsec隧道及路由

：ipseceroute查看VPN狀態(tài)信息，用于VPN排錯(cuò)：ipsecauto–sta