P系列防火墙功能配置及日常维护.ppt

常用命令介绍 通过CRT 使用rz上传文件，选择文件点击Add，再点击OK。 sz下载文件，下载后存在CRT默认安装目录下的download文件里；rm移除下载后的文件，ls查看是否删除。 console口管理 常用命令介绍 当工程师刚刚接触一台设备的时候，首先应该捕获的信息就是这个。然后再一步一步的排错，向产品专家反映问题的时候也应该首先反映是什么版本，什么型号这样的关键信息。然后再阐述问题的现象。 查看版本 可以看到防火墙名，硬件型号，软件版本以及序列号。 常用命令介绍 显示管理主机，可以是一个网络，也可以使一个主机。通过admhost可以添加需要管理防火墙的IP地址 admmode show 显示管理方WEB 串口 SSH PPP 查看和修改管理配置 常用命令介绍 Interface show if ethX (X代表接口序号，例如fe1,fe2,fe3等) 可以捕获防火墙的MAC地址，接口类型，链路模式，协商速度最大传输单元，等等一些接口详细信息。 最主要的是看看trunk，ip/mac等参数是不是误开，接口是不是允许ping等。 查看接口状态 常用命令介绍 显示路由表信息，对于大型网络和复杂网络，路由表是非常重要的。 排错的时候40%的路由表的问题，20%的故障是跟路由表相关的其他功能的问题。所以路由表是非常重要的。 显示路由命令为ip route ，必要时可以通过 grep来过滤，比如：ip route | grep 查看路由信息 常用命令介绍 ha show config ha show status 可以查看HA配置和HA的协商情况以及目前的主备状态 查看双机状态 常用命令介绍 newconfig save 保存配置 newconfig reset 恢复出厂配置 newconfig export aaa.config encrypt off/on 导出配置文件，默认保存在/tmp/download目录下，然后再通过sz命令下载 newconfig import aaa.config 后台导入配置文件，先通过rz命令将配置文件上传到防火墙 newconfig 使用 第二章 防火墙排查故障方法 数据处理流程 常用命令介绍 路由方面 性能方面 Tcpdump抓包 路由方面 有时防火墙在开机时由于没有插上网线，导致默认路由失效。这时可以在WEB页面上重新提交默认路由让其生效（不过一般不会出现该问题，防火墙后台有默认路由相关的守护进程） 查看路由可以通过ip route命令查看，如图： 默认路由 路由方面 注意： 还有当防火墙作为HA双机热备中的备机时，如果开启了默认网关探测功能，那么ip route 是不会显示默认路由的。因为网关探测功能需要防火墙向外网发送探测报文，而备机是不能产生报文的，所以不会默认路由。 这种情况下双机切换可能会比较慢，因为当备机开始接管网络时，需要重新探测默认网关，这个过程与探测网关的频率有关产。 默认路由 路由方面 统计路由条目数可以通过以下命令进行： ip route | wc -l wc -l 适用于后台所有信息统计，比如ARP条目数、会话数等。 OSPF路由 路由方面 OSPF路由路由的排错可以从以下几个方向进行： 1、OSPF进程是否开启 （可以从界面看，也可以在相关接口抓包，看是否有OSPF组播报文产生） 2、判断邻居是否建立成功 （通过advroute terminal ospf进入OSPF调试界面，再使用show ip ospf neighbor查看邻居建立情况，看看状态是否为FULL，如果没有成功，分析一下是否是配置导致的） 3、查看路由条目学习情况 （通过advroute terminal ospf进入OSPF调试界面，使用show ip ospf database查看 ） OSPF路由 第二章 防火墙排查故障方法 数据处理流程 常用命令介绍 路由方面 性能方面 Tcpdump抓包 性能方面 防火墙的性能决定网络的体验度，当网络出现严重的丢包和延迟时，可能是由于防火墙性能下降导致的，性能下降可能是由以下情况导致： 1、网络中流量增长，而防火墙在最终采购环节中没有考