6.飞塔防火墙故障排错ppt课件

故障排错,了解故障的具体现象是什么是否存在任何可能的操作导致了该故障故障发生及持续的时间，是否可以重现该现象，还是偶然发生的故障影响了哪些业务了解故障涉及到的整个场景，物理及逻辑的拓扑定位大致故障涉及到的层面，物理层，网络层还是应用层等等定位跟故障有关的设备，交换机，路由器，防火墙，操作系统等等,故障定位,配置文件是否正确，系统的版本及状态信息查看系统日志，是否有任何日志与故障相关，具体内容是什么如果是当前正在发生的故障，查看系统资源，是否因为系统过载导致Sniffer及Debugflow查看数据包对应的调试信息查看防火墙的会话表查看相关应用或进程的调试信息,收集故障信息,系统信息,查看详尽的系统信息getsystemstatus,系统状态中查看系统信息,系统资源查看,查看详尽的系统资源信息getsystemperformacestatus,CPU占用率,内存占用率,系统运行时间,不同时间区间的平均网络利用率,不同时间区间的平均会话数,系统状态中查看系统资源,网络接口状态,查看网络接口的管理状态及链路状态,网络接口速率及双工,查看指定网络接口的速率及双工，数据收发信息gethardwarenicport4,管理状态,速率,链路状态,双工,收发数据包数量,收发数据字节数量,MAC地址表,查看FortiGatearp地址表,清除FortiGatearp地址表,添加静态arp地址表,路由表信息,查看FortiGate路由表,命令行下查看路由,查看会话排行榜,会话表细节,使用过滤器过滤指定条件,会话表过滤,定义过滤条件diagnosesyssessionfilterdport23#此处定义显示所有目标端口为23的会话显示指定过滤后的会话diagnosesyssessionlist,协议号,协议状态,会话持续时间,会话TTL,流量整形,会话流量信息,会话NAT信息,该过滤条件会话总数,会话所使用的策略id,会话的协议状态,会话表过滤条件,支持会话的多种自定义过滤条件234_GateB#diagnosesyssessionfilterclearclearsessionfilter#清除过滤条件dportdestport#目标端口dstdestipaddress#目的地址durationduration#持续时间expireexpire#过期时间negateinversefilter#反向条件policypolicyid#策略idprotoprotocolnumber#协议号sportsourceport#源端口srcsourceipaddress#源地址vdindexofvirtualdomain.-1matchesall#虚拟域索引号,Debugflow,观察防火墙对数据流的处理,可以得知该数据流被处理后得到的结果,在命令行下输入以下命令,开启对数据流的监控FGT#diagnosedebugenable#开启debug功能FGT#diagnosedebugflowshowconsoleenableshowtracemessagesonconsole#将debug信息输出到终端FGT#diagnosedebugflowfilteraddr#对数据包根据地址过滤FGT#diagnosedebugflowtracestart20#抓取数据包的数量当匹配以上条件的数据流经过防火墙时，debug将输出防火墙对指定数据进行处理的过程及结果。,Debugflow,id=36870trace_id=212msg=vd-rootreceivedapacket(proto=1,:1-9:8)fromport1.id=36870trace_id=212msg=allocateanewsession-00026ba6id=36870trace_id=212msg=iprope_in_check()checkfailed,drop,没有该项策略,或策略不匹配,数据包被丢弃,id=36870trace_id=201msg=vd-rootreceivedapacket(proto=1,:1-:8)fromport1.id=36870trace_id=201msg=allocateanewsession-00024f0cid=36870trace_id=201msg=findaroute:gw-viato310Bid=36870trace_id=201msg=Deniedbyforwardpolicycheck,策略动作拒绝,或命中隐含策略,数据包被拒绝,id=36871trace_id=62msg=vd-aivreceivedapacket(proto=17,:61492-:53)fromport1.id=36871trace_id=62msg=allocateanewsession-001c6292id=36871trace_id=62msg=reversepathcheckfail,drop,反向路径检查失败,丢弃数据包,id=36871trace_id=2msg=Findanexistingsession,id-00001d76,originaldirectionid=36871trace_id=2msg=SNAT-23:65223id=36871trace_id=2msg=runhelper-ftp(dir=original)id=36871trace_id=3msg=vd-rootreceivedapacket(proto=6,:1091-81:21)fromport3.,会话经由session-helper处理,Snifferpacket,Sniffer支持几种不同详尽程度的输出方式,各种类型的输出方式如下:1.输出数据包头;2.输出ip数据及包头;3.输出以太数据及包头;4.输出数据包头及接口名;5.输出ip数据、包头及相应接口名;6.输出以太数据、包头及相应接口名.,Snifferpacket,sniffer具体命令如下：FGT#diagnosesnifferpacketany“hostorhost”4在sniffer过滤器里面可以同时增加指定协议进行更多过滤，这样有助于有效的抓取希望获取的数据包信息FGT#diagnosesnifferpacketany“(hostorhost)andicmp”4FGT#diagnosesnifferpacketanyhostorhostorarp4输入“CTRL+C”可以中止snifferSniffer命令参数4可以显示出报文具体的流入端口和流出端口。,Snifferpacket,在一些场景中，我们希望观察接口的流进及流出数据包情况diagnosesnifferpacketany4,在高流量负载的设备中慎用此命令，或结合过滤条件后进行any接口的数据包抓取，否则会消耗大量系统资源，如diagnosesnifferpacketanyport80andhost824,Snifferpacket,其中verbose3可以抓取完整的以太数据信息，并且使用fortinet专有的转换工具将其转换为可视的wireshark格式的数据包格式，该工具可以在此处下载示例包及工具。,其他常用filter条件示例diagnosesnifferpacketanyicmp0=34#观察目的端口不可达的ICMP包diagnosesnifferpacketanyip2:21500#大于1500字节的帧diagnosesnifferpacketanyipproto474#GRE包除此之外，我们也可以通过使用!符号过滤不希望抓取的端口号，以及通过与and和或or运算符号组合过滤条件，组成期望的过滤条件，如下diagnosesnifferpacketinternal(ether6:4=0 x00090fcf)and(ether10:2=0 x572a)andtcp13&4!=0diagsnipwan1(ether6:4=0 x00090f5f)or(ether10:2=0 x53e1)and!port22and!port443and!port533diagsnipport39(ether6:4=0 x00090fcf)or(ether10:2=0 x5730)and!port22and!port443and!port53,Snifferpacket,NP4snifferpacket,中高端型号的FortiGate使用了NP2或NP4网络处理器，例如FG-310B，FG1240B，FG3040B，FG3950B等等。出于故障调试目的，我们有的时候需要详细查看防火墙具体报文转发过程，这个时候我们可以手工的启用或者禁用NP网络处理器硬件加速功能请注意，此功能仅用户防火墙故障排错，它将极大影响防火墙性能，在不需要时请禁用此功能。关闭NP4加速diagnosenpunp4fastpathdisable开启NP4加速diagnosenpunp4fastpathenable这个命令启用将不会被保存在配置文件里面，重启FortiGate时设备将恢复到默认出厂配置状态。开启此命令后，可以使用diagnosesnifferpacket在指定端口抓取数据包,NP4加速,中高端型号的FortiGate使用了NP2或NP4网络处理器，可以在会话列表中查看对应的数据流是否被NP加速，如下图红色标记offload=1/1则表示该会话经NP加速处理。,如需流量加速，则业务端口的流入及流出端口都必须是NP接口，否则任意流入或流出端口为非NP接口，则无法对数据流实现加速。,常见案例,异步路由,PC1,RouterA,RouterB,Syn,Syn,ack,FGT,反向路径检查,0,0,/24,6/24,PC1,GateA,GateB,0,Wan1,GateB#getrouterinforouting-tableallS*/010/0via54,wan1C/24isdirectlyconnected,dmzC/24isdirectlyconnected,wan1,透明模式下的多播流量,Multicast,Multicast,OSPF,OSPF,PC端的排错工具-ping,ping是PC端极最实用的排错工具。除了使用该命令判断联通性以外，还可以配合不同的参数获取各种信息，如链路的延迟信息链路的丢包情况链路的PMTU值大小,FortiGate-ping,FortiGate也支持ping的扩展命令如数据包的大小,指定数据源地址,每次pin