h3c secpath f5020[5040]防火墙产品日常维护指导书.doc

h3c secpath f50205040防火墙产品日常维护指导书 适用对象本文档适用于维护H3C安全产品的工程师H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第2页，共31页第第1章日常维护建议维护手段巡检、优化、处理投诉、保障等1.1F50X0产品日常维护建议尊敬的用户感谢您使用H3C公司的F50X0产品。 系统运行的正常、稳定是我们共同的愿望，为了我们共同的目标，请您重视以下建议并参照日常维护建议指导书进行必要的日常维护。 1、F50X0设备的使用涉及到多种业务知识，应安排受过专业培训的专人进行日常维护。 2、保持机房清洁干净，防尘防潮，防止虫鼠进入。 3、每天参照H3C F50X0产品日常维护指导书中内容对设备进行例行检查和测试，并记录检查结果。 4、用于系统管理、设备维护和业务操作的用户名和口令应该严格管理，定期更改，并只向特定相关人员发放。 5、严禁向设备维护终端和WEB客户端主机装入业务无关软件，严禁用设备维护终端和WEB客户端主机玩游戏。 维护终端和WEB客户端主机应该定期杀毒。 6、遇有不明原因告警，请迅速与代理商工程师或者H3C公司服务热线联系（400-8100504/800-8100504）。 7、调整线缆一定要慎重，调整前要作标记，以防误接。 8、对设备硬件进行操作时应戴防静电手腕。 9、对设备进行复位、改动业务数据之前做好备份工作。 10、在对设备版本进行升级前，请详细阅读版本说明书中的升级指导，并全面备份相关配置。 F50X0设备运维日常的维护工作内容主要有季度巡检、故障处理、投诉处理、网络整改、通信保H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第3页，共31页障等。 季度巡检定期对所有进行一次现场巡检，对巡检时发现的问题现场进行处理并登记。 故障处理主要通过网管系统发现故障并根据故障性质进行处理。 用户投诉用户投诉要求在接到投诉后一定时限内赶到现场进行处理，处理完要求回访客户进行故障恢复确认。 网络优化针对客户投诉、会议保障以及局点性质变化所作的较大的网络调整。 通讯保障当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。 H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第4页，共31页1维护操作指导1.1H3C F50X0设备日常维护操作指导维护类别维护项目操作指导参考标准外部环境检查电源（直流/交流）查看电源监控系统或测试电源输出电压。 电压输出正常，电源无异常告警。 温度（正常035）检查机房的灰尘含量。 每平方米灰尘颗粒数量3104(3天内桌面无可见灰尘)注灰尘粒子直径5m直观判断三天内桌面无可见灰尘为好湿度（正常2080）测试机房温度。 温度范围0-35；建议为15-25。 机房清洁度（灰尘含量）测试相对湿度。 相对湿度20%-80%（无冷凝）其他状况（火警、烟尘）查看消控系统告警状态消控系统无告警；设备运行状态检查查看系统运行情况参照设备命令手册检查看是否存在异常现象查看告警信息参照设备命令手册检查是否存在严重告警和异常告警设备指示灯状态观测参照设备命令手册CPU及内存状态观测参照设备命令手册查询/导出日志参照设备命令手册看日志有无严重告警和异常告警业务操作检查抽检tel登录参照设备命令手册tel方式能正常登录抽检端口统计数据参照设备命令手册查看各个使用的端口收发统计数据是否正常，异常报文是否有增长抽检可ping通参照设备命令手册抽检网络服务端口关闭情况参照设备命令手册比如FTP SERVER功能在不使用时要及时关闭1.2H3C F50X0设备季度维护操作指导维护类别维护项目操作指导参考标准H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第5页，共31页设备维护风扇状态观察风扇转动情况；听风扇转动的声音。 风扇看不到叶片，风扇通风正常；风扇转动声音轻微无马达声、破擦声或尖啸声；季度维护查询及抽检系统时钟参照设备命令手册如果和实际时间不符，需及时修改为正确时间。 更改登录密码参照设备命令手册告警联动有效性测试检测告警联动功能是否正常比如设置某侦测告警，观察此告警是否触发成功，并观察告警联动的执行情况网络连通性检查在中心设备维护终端上ping各网段主机在中心设备维护终端上用ip扫描工作扫描各网段，检查各节点的连通性网络设备端口状态检查登陆交换机显示并检查当前各端口状态设备维护终端上以串口或者tel登陆设备，在用户视图下执行命令，检查各端口的状态，确保无CRC校验错，无半双工工作模式情况配置备份登陆交换机显示当前运行配置并保存该配置设备维护终端上以串口或者tel登陆设备，在用户视图下执行display cur，保存显示结果机柜清洁检查观察机柜内部和外部的清洁状况。 机柜表面清洁，机框内部灰尘不得过多，否则必须清理。 值班电话状态检查值班电话拨入、拨出情况 (1)值班电话可顺利拨入； (2)值班电话可顺利拨出； (3)话机工作正常；1.3H3C F50X0设备年度维护操作指导维护类别维护项目操作指导参考标准接地、地线、电源线、业务线缆连接检查地阻检查使用地阻仪测试地阻。 联合接地地阻小于1欧姆。 地线连接检查检查机柜接地线与局方地线排连接是否安全可靠。 (1)各连接处安全、可靠无腐蚀。 (2)地线无老化。 (3)地线排无腐蚀，防腐蚀处理得当。 电源线连接检查检查电源线与局方电源连接是否安全可靠。 (1)各连接处安全、可靠无腐蚀。 (2)电源线无老化。 业务线缆连接及布放检查业务线缆是否与设备及配线架连接牢靠，业务线缆标识清晰。 (1)各连接处安全、可靠无腐蚀。 (2)布线整齐、清洁、标识清晰。 电源检查UPS电源检查检查UPS的输出电压是否稳定；在市电断电之后UPS是否继续稳定供电； (1)UPS的输出电压稳定 (2)市电断电之后UPS的继续稳定供电H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第6页，共31页2维护记录表格2.1H3C F50X0设备日常维护值班日志日期年月日值班时间时至时交班人接班人维护类别维护项目维护状况备注维护人设备运行环境电源（直流/交流）?正常?不正常温度（正常035）?正常?不正常湿度（正常2080）?正常?不正常机房清洁度（灰尘含量）?好?差其他状况（火警、烟尘）?正常?不正常?设备运行状态检查查看系统运行情况?正常?不正常查看告警信息?正常?不正常?设备指示灯状态观测?正常?不正常?CPU及内存状态观测?正常?不正常?查询/导出日志?正常?不正常?业务操作检查抽检tel登录?正常?不正常抽检端口统计数据?正常?不正常?抽检可ping通?正常?不正常?抽检信号覆盖效果?正常?不正常?抽检网络服务端口关闭情况?正常?不正常?故障情况及其处理遗留问题H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第7页，共31页班长核查2.2H3C F50X0设备季度维护记录表维护周期年月日至年月日维护类别维护项目维护状况备注维护人设备维护风扇状态?正常?不正常抽检指示灯状态?正常?不正常季度维护查询及抽检系统时钟?正常?不正常更改登录密码?完成?未完成告警联动有效性测试?正常?不正常?网络连通性检查?正常?不正常?网络设备端口状态检查?正常?不正常?及配置备份?完成?未完成?机柜清洁检查?正常?不正常?值班电话状态?正常?不正常?发现问题及处理情况记录遗留问题说明H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第8页，共31页班长核查2.3H3C F50X0设备年度维护记录表维护周期年月日至年月日维护类别维护项目维护状况备注维护人接地、地线、电源线、业务线缆连接检查地阻检查?正常?不正常地线连接检查?正常?不正常电源线连接检查?正常?不正常业务线缆连接及布放检查?正常?不正常电源检查UPS电源检查?正常?不正常?发现问题及处理情况记录遗留问题说明H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第9页，共31页班长核查2.4H3C F50X0设备突发问题处理记录表发生时间解决时间值班人处理人问题类别?软硬件问题?电网供电/UPS问题?接地或电源连接问题?设备安装问题?操作问题?其他（温度、湿度、鼠害、电磁干扰等）?不可抗力（洪水、飓风、地震等）?其他设备设备名称生产厂家设备名称生产厂家设备名称生产厂家故障描述处理方法及结果H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第10页，共31页2.5硬件更换记录表更换原因原设备名称/型号/条码新设备名称/型号/条码数量日期更换人H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第11页，共31页2.6系统参数修改记录表修改人修改时间修改原因修改内容H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第12页，共31页3常见故障处理3.1ping不通或丢包3.1.1故障描述报文转发丢包，ping不通或ping丢包，tracert异常。 pingPING():56data bytes,press CTRL_C tobreak Request time out Request time out Requesttime outRequesttimeoutRequesttimeout-ping statistics-5packet(s)transmitted,0packet(s)received,100.0%packet loss3.1.2故障处理步骤1.确认参与转发的出入端口是否加入到安全域和域间策略F50X0设备，端口默认没有加入到任何安全域.，要确认端口是否加入到安全域。 如果端口加入到安全域中，要确认是否配置了域间策略。 系统默认情况下，相同安全域、不同安全域之间、安全域与Local之间，转发默认是deny的。 2.设备入出报文统计报文转发异常通常会涉及多台设备，需要逐一排查。 为方便排查，排查前建议先明确报文的转发走向，如经过哪些中间设备，在设备的哪些接口进入设备，又会从哪些接口出去。 检查出入接口的报文统计。 确认统计是否正确。 检查入方向报文统计计数，可以通过reset counterinterface命令清除计数。 3.报文计数分析如果设备未收到Ping报文，请排查上游的相邻设备；如果设备发送的Ping报文计数H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第13页，共31页正确，建议排查下游的相邻设备；如果Ping报文入出计数不正确，分下面几种情况进行分析?有入报文统计，没有出报文统计，进行如下排查 (1)如果链路层处理没有丢包，执行display ipstatistics命令，查看IP层丢包原因display ipstatistics Input:sum263207520local1772bad protocol0bad format0bad checksum0bad options0Output:forwarding24511617local476dropped21949no route156press fails0Fragment:input0output0dropped0fragmented0couldnt fragment0Reassembling:sum0timeouts0 (2)打开debugging aspfall、debugging packet-filter packetip，来确定ASPF是否有丢包?无出、入报文统计需要分析是否上游没有把报文发送过来。 3.2有NAT转换情况下，ping丢包或不通3.2.1故障描述?处于不同网段的两台PCPC1和PC2，PC1的地址为，PC2的地址为；?中间穿越F50X0设备互相ping包，F50X0设备对PC1的地址静态NAT转换为；发现PC1ping PC2不通，查看PC2可以收到PC1的ping报文，但是PC1收不到PC2的回应报文。 3.2.2故障处理步骤1.配置检查确保PC1和PC2接入的端口加入了安全域，并且配置了域间策略。 可以通过display interzone命令来查看是否配置了相关的域间策略H3Cdisplay interzoneH3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第14页，共31页Source zoneDestination zoneTrust LocalUntrust LocalTrust Untrust2.路由表检查检查设备到某一目的IP网段的路由是否存在，如路由不存在，请检查路由协议配置、状态是否正确。 H3Cdisplay iprouting-table3.FIB表检查检查设备到某一目的IP网段的FIB表项是否存在，如路由存在、FIB表项异常，请将故障信息发送技术支持人员分析。 H3Cdisplay fib4.arp表项检查查看的arp表项是否存在。 H3Cdisplay arp5.会话通过display session命令确认会话是否正常建立。 6.ASPF检查域间策略默认ASPF对所有的报文进行检测。 但如果在域间策略中配置了aspf applypolicy命令，那么只对策略中配置的detect协议进行ASPF检测，其他协议不进行检测。 如果不配置detect icmp，那么如果没有配置反向域间策路，报文就被deny了。 可以使用下面命令打开debugdebugging packet-filter packetip acl?INTEGERSpecify abasic ACLINTEGERSpecify anadvanced ACL来看是否有deny信息，如果有类似下面信息*Dec1216:49:07:188xxH3C FILTER/7/PACKET:-Slot=3.1;The packetis deny.Sr cZoneName=tom1,DstZoneName=tom;Packet Info:Src-IP=,Dst-IP=,VPN-Instance=none,Src-Port=1024,Dst-Port=1025,Protocol=UDP (17),ACL=none.H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第15页，共31页说明没有正确配置ASPF策略，导致被反向域间策略deny了。 3.3动态NAT转换故障(以动态nat outbound为例)3.3.1故障描述1.组网图F50X0PC1PC2.组网需求PC1访问PC2，在F50X0上对PC1的地址进行NAT转换，转换地址池为5到0。 3.配置步骤F50X0配置nat address-group0address0interface Route-Aggregation1023-入接口配置ip bindingvpn-instance vpn11ip address5424interface Route-Aggregation1021ip address54nat outboundaddress-group04.故障现象NAT不能正常转换或者NAT转换的报文不能正常转发。 3.3.2故障处理步骤1.首先确认nat outbound的配置是否正确H3Cdisplay nat outbound NAT outbound information:There are1NAToutboundrules.H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第16页，共31页Interface:Route-Aggregation1021ACL:-Address group:257Port-preserved:N NO-PAT:N Reversible:N2.打开debugging natpacket，确认debugging信息是否正确，应有类似如下debugging信息*Dec1309:58:48:083xxH3C NAT/7/MON:-MDC=.1;PACKET:(Route-Aggregation1021-in)Protocol:TCP:21-1:11000(VPN:0)-:21-:13249(VPN:16)注#可以看到正向的流量做了NAT转换，从vpn11的域转成了没有vpn的域。 3.通过display sessiontable ipv4verbose命令，确认会话信息是否正确。 display sessiontable ipv4verbose Initiator:Source IP/port:/13790Destination IP/port:/21DS-Lite tunnelpeer:-VPN instance/VLAN ID/VLL ID:vpn11/-/-Protocol:TCP (6)Responder:Source IP/port:/21Destination IP/port:7/1060DS-Lite tunnelpeer:-VPN instance/VLAN ID/VLL ID:vpn12/-/-Protocol:TCP (6)State:TCP_ESTABLISHED Application:FTP Starttime:xx-12-1510:49:00TTL:3592s Interface(in):Route-Aggregation1023Interface(out):Route-Aggregation1021Zone(in):Trust Zone(out):menglei Initiator-Responder:3packets128bytes Responder-Initiator:2packets130bytes H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第17页，共31页4.如果上述定位手段均不能作出结论，请联系相关技术支持人员协助分析3.4静态NAT444转换故障3.4.1故障描述1.组网图PC1PC2F50X02.组网需求PC1访问PC2，在F50X0上对PC1的地址进行静态NAT444转换，转换公网地址池为1到3。 3.配置步骤F50X0配置#配置NAT444地址池。 nat port-block-group256local-ip-address1vpn-instance vpn11global-ip-pool2block-size1000port-range1000019000#配置入接口。 interface Route-Aggregation1023ip bindingvpn-instance vpn11ip address5424#配置出接口。 interface Route-Aggregation1021ip address54natoutboundport-block-group256#配置vpn instance到公网之间路由。 H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第18页，共31页略4.故障现象NAT444不能正常转换、NAT444转换的报文不能正常转发、反向报文无法正常转发。 3.4.2故障处理步骤1.确认NAT444的地址和端口块设置的正确性display natport-block-group256Port blockgroup256:Port range:10000-19000Block size:1000Local IPaddress information:Start addressEnd addressVPN instance1vpn11Global IPpool information:Start addressEnd address22.确认端口块数和公网地址是否满足私网地址的需求这里，每一个私网需要的端口块的端口个数为1000。 私网地址段-1共有10个私网地址共需要1个地址块。 端口范围设置为10000-19999，因此每一个公网地址可以提供9个地址块。 因此，从上面的配置分析，10个私网地址需要2个公网地址，这里的设置满足需求。 H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第19页，共31页3.通过debugging natpacket，查看NAT444转换debugging信息。 4.通过display sessiontable ipv4verbose命令，查看会话是否正确。 5.如果这些都解决不了问题。 请联系技术支持人员进行分析。 3.5设备作为出口网关设备割接之后，NAT业务不通，但是接口地址可以ping通3.5.1故障描述F50X0作为出口网关设备割接之后，内网部分用户无法上网，外网用户无法访问内网服务器，但是从外网ping出接口的地址可以ping通。 3.5.2故障处理步骤 (1)确定NAT地址池是否和接口地址是同一个网段?如果NAT地址池的地址和接口地址不在同一网段，NAT地址池的地址无法响应。 如果不在同一网段，要确保对端设置了NAT地址池的路由 (2)割接后，如果地址池中的地址或NAT server地址和接口在同一网段，确认地址池中的地址或者NAT server地址是否发送了ARP，可以通过直连对端设备进行确认。 还需要确认对端学习到的ARP的MAC地址的正确性?设备割接时，对端设备需要更新ARP。 当两端不是直连，对端设备不能感知到链路Down过，所以不能删除相关ARP表项。 当设备上线后，本端接口会发送接口地址的ARP，对端设备收到该ARP后可以正常更新该ARP表项；但可能存在地址池中的地址ARP没有刷新。 (3)debug或者抓包分析，是否ping报文只有发出去的而没有回来的，存在转发异常的情况。 (4)持续地ping NAT地址池或者NAT server的地址，打开ARP的debug开关，确认是否没有收到ARP请求报文。 (5)如果无法确认定位，请联系技术支持人员进行分析。 H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第20页，共31页3.6IPSec SA可以成功建立，但是IPSec保护的流量不通3.6.1故障描述1.组网图IPSec隧道F50X0-1F50X0-2PCPC22.组网需求F50X0-1和F50X0-22台防火墙设备之间建立ipsec隧道，对PC1和PC2之间访问的流量进行IPsec保护。 3.配置描述F50X0-1上，ike的local-address为，remote-address为。 安全acl规则为rule0permit ipsource55destination55F50X0-2上，ike的local-address为，remote-address为。 安全acl规则为rule0permit ipsource55destination554.故障描述IKE SA和IPsec SA都可以建立，但是PC1和PC2互相ping，均不能ping通。 3.6.2故障处理步骤（以分析F50X0-22为例） (1)首先查看保护的ACL是否匹配，和用户要保护的流量是否一致。 (2)在F50X0-2上，首先查看IKE SA和IPsec SA是否正确，如下查看IKE SAH3Cdisplay ikesa Connection-ID RemoteFlag DOI-250RD IPSECFlags:H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第21页，共31页RD-READY RL-REPLACED FD-FADING查看ipsec saH3Cdisplay ipsecsa-Interface:GigabitEther2/0/0/11-IPsec policy:ipsec3Sequence number:1Mode:template-Tunnel id:0Encapsulation mode:tunnel Perfectforward secrecy:Path MTU:1443Tunnel:local address:remote address:Flow:sour addr:/port:0protocol:ip destaddr:/port:0protocol:ipInbound ESPSAsSPI:2591894802(0x9a7d2d12)Transform set:ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5SA duration(kilobytes/sec):1843200/3600SA remainingduration(kilobytes/sec):1843200/3543Max receivedsequence-number:0Anti-replay checkenable:Y Anti-replay windowsize:64UDP encapsulationused forNAT traversal:N Status:activeOutbound ESPSAsSPI:1227548757(0x492ae855)Transform set:ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5SA duration(kilobytes/sec):1843200/3600SA remainingduration(kilobytes/sec):1843200/3543Max sentsequence-number:0H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第22页，共31页UDP encapsulationused forNAT traversal:N Status:active (3)如果上述都没有发现问题，可以reset ipsecsa、reset ikesa；重新建立SA，看是否正常。 如果无法解决问题，请联系技术支持人员。 3.7CPU占用率高3.7.1故障描述设备CPU占用率持续在60%以上，下发命令时设备反应很慢。 H3Cdisplay cpu-usage Slot1CPU0CPU usage:6%in last5seconds6%in last1minute6%in last5minutes通过display cpu-usage history可以查看单板最近60分钟的cpu占用情况。 如横坐标时间为20，则表示20分钟前的CPU使用率。 display cpu-usage history100%|95%|90%|85%|80%|75%|70%|65%|60%|55%|50%|45%|40%|35%|30%|25%|20%|15%|10%|H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第23页，共31页5%|#-102030405060(minutes)cpu-usage(CPU0)last60minutes(SYSTEM)3.7.2故障处理步骤CPU占用率高的原因通常有?路由振荡?配置过多的路由策略?报文攻击?链路环路?报文没有走快转?接口没有加入安全域或者没有域间策略，大量报文在设备上丢弃?是否打开了debugging命令1.路由策略排查通过display route-policy命令可以查看设备配置的路由策略，请检查配置的路由策略是否过多，导致CPU处理的负担增加。 display route-policy Route-policy:policy1permit:1if-match cost10continue:next node11apply m-list adelete2.链路环路排查链路成环时，网络振荡，大量的协议报文上送CPU处理也可能导致CPU占用率升高。 存在环路时流量成环，可能会出现广播，设备很多端口的流量会变得很大，端口使用率达到90以上display interfaceGigabitEther1/0/2GigabitEther1/0/2current state:UP Lineprotocol currentstate:UP IPPacket FrameType:PKTFMT_ETHNT_2,Hardware Address:0000-e80d-c000Description:GigabitEther2/6/0/1Interface Loopbackis notset H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第24页，共31页Media type is opticalfiber,Port hardwaretypeis1000_BASE_SX_SFP1000Mbps-speed mode,full-duplex modeLast clearingof counters:Never Peak value ofinput:123241940bytes/sec,atxx-06-2714:33:15Peakvalueof output:80bytes/sec,atxx-06-2714:13:00Last300seconds input:26560packets/sec123241940bytes/sec99%Last300seconds output:0packets/sec80bytes/sec0%如链路出现环路?排查链路连接、端口配置是否正确；?设备对接的交换机是否使能STP协议，配置是否正确；?设备路由是否设置正确，是否存在路由环路。 3.报文是否走快转排查可以通过display ipfast-forwarding cache命令来确定报文是否走快转，如果cache表项中不存在某条流，说明报文没有走快转。 display ipfast-forwarding cacheTotal numberof fast-forwarding entries:10SIP SPortDIP DPortPro Input_If Output_If Flg9162192.168.210.xx58617M-GE1/0/0/0InLoop018162192.168.210.xx58517M-GE1/0/0/0InLoop016162192.168.210.xx58417M-GE1/0/0/0InLoop037844921617N/A InLoop01192.168.210.xx585816217InLoop0M-GE1/0/0/01192.168.210.xx584616217InLoop0M-GE1/0/0/01192.168.210.xx586916217InLoop0M-GE1/0/0/049216378417InLoop0N/A10503560236M-GE1/0/0/0InLoop010230503566InLoop0M-GE1/0/0/01可以根据某一个地址进行确认以该地址为源或目的ip报文是否走快转，命令如下dispaly ipfast-forwarding cacheTotal numberof fast-forwarding entries:2SIP SPortDIP DPortPro Input_If Output_If Flg49216378417InLoop0N/A1H3C安全产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第25页，共31页37844921617RAGG5.3101InLoop014.如果仍然无法排除故障，请将display cpu-usage命令显示信息及搜集的其他信息反馈给技术支持人员分析。 3.8内存占用率高3.8.1故障描述多次查看单板内存占用率，发现内存占用率持续偏高，始终处于70以上（未使用的内存占用率低于30%）。 Total表示总的内存，Used表示当前使用的内存，FreeRatio表示未使用的内存占用率。 display memory chassis1slot2The statisticsabout memoryis measuredin KB:Chassis1Slo