文档名称
文档密级
9. 检查防火墙双机热备配置和状态 使用场合
双机热备组网发生故障时,需要检查VRRP和HRP的状态。
命令介绍
display hrp state display vrrp
使用方法
对于双机热备组网,检查两台防火墙VRRP、HRP配置和状态是否正常,使用display hrp state、display vrrp检查两台防火墙主备状态。对于两台设备相对应的VRRP备份组,不能出现双主状态。如果状态不对,请重点检查心跳链接是否正常,调整并检查故障是否消除(再查看会话表和丢包统计)。
使用示例
主设备上:
HRP_M display hrp state The firewall's config state is: MASTER
Current state of virtual routers configured as master: Eth-Trunk0 vrid 1 : master (GigabitEthernet0/0/1) : up (GigabitEthernet0/0/2) : up
HRP_M display vrrp Eth-Trunk0 | Virtual Router 1 VRRP Group : Master state : Master
Virtual IP : 192.168.1.3
Virtual MAC : 0000-5e00-0101 Primary IP : 192.168.1.2 PriorityRun : 120 PriorityConfig : 100 MasterPriority : 120
Preempt : YES Delay Time : 0 Timer : 1
Auth Type : NONE Check TTL : YES
备设备上:
HRP_S display hrp state The firewall's config state is: SLAVE
2020-3-27
华赛机密,未经许可不得扩散 第9页, 共15页
文档名称
文档密级
Current state of virtual routers configured as slave: Eth-Trunk0 vrid 1 : slave (GigabitEthernet0/0/1) : up (GigabitEthernet0/0/2) : up
HRP_S display vrrp Eth-Trunk0 | Virtual Router 1 VRRP Group : Slave state : Backup
Virtual IP : 192.168.1.3
Virtual MAC : 0000-5e00-0101 Primary IP : 192.168.1.1 PriorityRun : 120 PriorityConfig : 100 MasterPriority : 120
Preempt : YES Delay Time : 0 Timer : 1
Auth Type : NONE Check TTL : YES
使用限制
无
10. 检查各器件温度信息 使用场合
在发生硬件故障时,可以查看各器件温度信息,判断是否是温度的异常引起的问题。
命令介绍
display temperature slot
使用方法
在任意视图下执行命令display temperature slot X
使用示例
HRP_Mdisplay temperature slot 1
Unit:C
Address Channel Status Minor Major Fatal Adjust_speed Temp TMin Tmax
-------------------------------------------------------------------- 255 0 NORMAL 62 77 88 0 0 31 255 0 NORMAL 62 77 88 0 0 31
------------------------------------------------------------------
2020-3-27
华赛机密,未经许可不得扩散 第10页, 共15页
文档名称
文档密级
使用限制
无
11. 查看日志 使用场合
在发生故障以后,可以查看日志,查找之前发生过的和当前故障相关的信息,从而定位故障原因。从日志中能看到,接口UP/DOWN、主备切换、策略匹配等信息。
命令介绍
display logbuffer display trapbuffer
使用方法
在任意视图下执行命令display logbuffer、display trapbuffer。
使用示例
display logbuffer
Logging buffer configuration and contents:enabled Allowed max buffer size : 1024 Actual buffer size : 512 Channel number : 4 , Channel name : logbuffer Dropped messages : 0 Overwritten messages : 0 Current messages : 58 2010-07-19 10:31:58 USG %�SHELL/5/CMD(l): task:co0 ip:** user:** vrf:public command:display logbuffer
2010-07-19 10:30:48 USG %�SHELL/5/LOGIN(l): vrf:public user:Console login from con0
2010-07-19 10:28:24 USG %�PHY/2/PHY(l): GigabitEthernet0/0/2: change status to up
2010-07-19 10:28:19 USG %�PHY/2/PHY(l): GigabitEthernet0/0/2: change status to down
2010-07-19 10:27:22 USG %�PHY/2/PHY(l): GigabitEthernet0/0/2: change status to up
2010-07-19 10:25:42 USG %�SHELL/5/CMD(l): task:co0 ip:** user:** vrf:public command:undo debugging all
2010-07-19 10:25:42 USG %�SHELL/5/LOGOUT(l): vrf:public user:Console logout from con0
2010-07-19 10:25:41 USG %�HWCM/5/EXIT(l): exit from configure mode
2020-3-27
华赛机密,未经许可不得扩散 第11页, 共15页
文档名称
文档密级
使用限制
无
12. 使用远程抓包抓取报文 使用场合
在发生故障后,通过检查配置和统计信息无法定位时,可以通过远程抓包抓取指定流的报文进行分析。
命令介绍
见使用方法。
使用方法
通过防火墙的远程抓包功能可以抓取经过防火墙和上送防火墙处理的报文,抓包结束后将其发送给网络可达的电脑,电脑上面通过Firewall_Packetyzer.exe工具接收,保存为cap格式,可以通过抓包工具打开分析报文的正确性。
[USG] acl 3333
[USG-acl-adv-3333] rule permit ip source 172.16.133.30 0 destination 172.16.202.12 0 //源和目的ip越精确越好,否则对设备性能影响比较大 [USG] interface GigabitEthernet 0/0/1 //进入需要抓包的接口视图
[USG-GigabitEthernet0/0/1] packet-capture ipv4-packet 3333 queue 0 //指定acl规则和队列
[USG-GigabitEthernet0/0/1] quit
[USG] packet-capture startup verbose 300 //开始抓包。brief:报文长度小于100byte,verbose:最大1364字节
[USG] undo packet-capture startup //测试完成后,关闭抓包功能,否则对设备性能存在一定的消耗
[USG] packet-capture send queue 0 ip 1.1.1.1 //抓满后,使用命令将报文发送给PC,PC需要打开软件接收。1.1.1.1指的是打开Firewall_Packetyzer.exe工具的PC。 [USG] display packet-capture statistic //显示抓包情况和统计 [USG] display packet-capture queue 0 //显示队列是情况和统计
在PC上运行远程抓包客户端,产品类型选择其他产品,接收USG5500发送的抓包内容。
使用示例
无
使用限制
远程抓包配置的ACL规则要求严格,并且抓包完成后及时关闭抓包功能。
2020-3-27
华赛机密,未经许可不得扩散
第12页, 共15页
本文作者:
