华为USG防火墙运维命令大全

1、-华为 USG防火墙运维命令大全1 查会话使用场合针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。命令介绍（命令类）display firewall session table verbose source inside X.X.X.X | global X.X.X.X | destination inside X.X.X.X| global X.X.X.X source-vpn-instance STRING | public | dest-vpn-instance STRING | public application gtp | ftp | h

2、323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms nat destination-port INTEGER long-link 使用方法（工具类）首先确定该五元组是否建会话，对于TCP/UDP/ICMP（ ICMP只有 echo request和 echo reply建会话） /GRE/ESP/AH的报文防火墙会建会话，其它比如 SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本

3、可以排除防火墙的问题，除非碰到来回路径不一致情况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。Global ：表示在做 NAT时转换后的 IP 。Inside ：表示在做 NAT时转换前的 IP 。使用示例display firewall session table verbose source inside-14:29:512010/07/01Current total sessions :1icmpVPN: public-publicZone: trust - localTTL: 00:00:20Left:00:00:20Int

4、erface: I0Nexthop: MAC:00-00-00-00-00-00 packets:4461bytes:3747247:43986 local首包会话方向源域为trust ，目地域为 local （源域 -目的域）TTL: 00:00:20Left: 00:00:20ttl表示会话表老化时间，left表示会话表剩余多少时间老化-Interface: I0Nexthop: MAC: 00-00-00-00-00-00会话首包方向出接口、下一跳IP 地址和 MAC地址 packets:4461 bytes:374724 代表会

5、话 outbound 方向 / 同域的字节数和报文数7:43986-:43986表示会话首包是outbound 或者同域使用限制对于 TCP/UDP/ICMP/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP无法使用该方法排查。2 检查接口状态使用场合在报文不通时，可以先检查接口状态，排除由于接口down而导致报文不通的情况。命令介绍display ip interface brief使用方法查看接口物理层和协议层状态，正常情况下三层接口物理层（Physical ）和协议层（ Protocol ）都是 up，如果有 do

6、wn现象，检查网线连接和网线 ( 光纤，光模块 ) 本身是否有问题，更换网线( 光纤，光模块 ) 尝试。使用示例USG5360display ip interface brief*down: administratively down(l): loopback(s): spoofingInterfaceIP AddressPhysical Protocol DescriptionGigabitEthernet0/0/024upupHuawei, USG5000GigabitEthernet0/0/7upupHuawei, USG5000-Gigab

7、itEthernet0/0/upupHuawei, USG5000GigabitEthernet0/0/downdownHuawei, USG5000GigabitEthernet1/0/0unassigneddowndownHuawei, USG5000GigabitEthernet1/0/1unassignedupdownHuawei, USG5000如上显示， GigabitEthernet0/0/3和 GigabitEthernet1/0/0的物理层是 down，其中 GigabitEthernet0/0/3已经配置了 IP 地址，而GigabitEth

8、ernet1/0/0未配置，物理层down可能是因为网线被拔出或网线出问题，或者是与其对接的接口down，需要检查线路。GigabitEthernet1/0/1的协议层 down是因为没有配置ip 地址。3 检查接口统计信息使用场合在发现报文传输有性能下降或者ping 有丢包时，可以检查接口统计信息，确认接口是否有丢包。命令介绍display interface interface-type interface-number 使用方法查看接口下是否有error ，确认 CRC/ collisions有无增长，如果有增长确认接口双工模式和速率是否与对端设备一致。AlignErrors ：对齐错误

9、，即传送的包中存在不完整的字节，包括前导码和帧间隙。Collision Errors：碰撞错误。runts ：超短包，长度小于64 字节但 CRC值正确的数据包。giants ：超长包，长度大于1618( 如果带 vlan 是 1622) 字节的 CRC值正确的数据包。CRC （ Input ）：长度为 64 至 1618 字节之间但 CRC值不正确的数据包。 （路由器中长度为64 至 1618 字节之间的 Alignment 、Dr类中统计）。Error （Input ）： PHY层发现的错包。Overrun （ Input ）：接收队列满失败包。Late Collision（ Output

10、 ）：发送 64 字节后发生碰撞的错误包。-查看出入接口统计是否计数正在增加，如果有增加则说明该接口链路正常，如果只有一条流则可以确定报文是否进入防火墙。查看接口协商的情况，包括协商速率，全双工/ 半双工等。关注接口五分钟流量统计与正常时的差别，关注业务经过设备的两个方向出入接口流量是否差不多。使用示例GigabitEthernet1/0/0 current state :UPLine protocol current state :UPGigabitEthernet1/0/0 current firewall zone :trustDescription : Huawei, USG5000

11、Series, GigabitEthernet1/0/0InterfaceThe Maximum Transmit Unit is 1500 bytes, Hold timer is10(sec)Internet Address is7/24IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is0018-82fd-9d3bMedia type is twisted pair, loopback not set, promiscuous mode not-set1000Mb/s-speed mode,

12、Full-duplex mode, link type is autonegotiationflow control isdisableOutput queue : (Urgent queue :Size/Length/Discards)0/50/0Output queue : (Protocol queue : Size/Length/Discards)0/1000/0Output queue : (FIFO queuing :Size/Length/Discards)0/75/0Last 5 minutes input rate 1083bytes/sec,11packets/secLas

13、t 5 minutes output rate 1019bytes/sec,10packets/secInput: 15901905 packets, 3060644220bytes-180 broadcasts, 19745multicasts5920 errors, 0 runts, 0 giants, 0throttles,0 CRC, 0 frames, 5920 overruns, 0 alignerrorsOutput: 10641815 packets,1764395150bytes200 broadcasts, 0multicasts0 errors, 0 underruns,

14、 0 collisions, 0 latecollisions,0 deferred, 0 lost carrier, 0 no carrier如上显示， Input 方向出现了 5920 个 overruns ，很有可能之前出现了瞬间很大的流量，导致overruns 丢包。4 查看防火墙系统统计使用场合通过查看防火墙系统统计，可以得到各种报文的统计值，以及各种丢包情况等信息。命令介绍-display firewall statistic system使用方法查看当前系统总会话数，TcpSession 、UDPSession、 ICMP session 这三项统计值的和查看 TCP半连接数，

15、CurHalfCon 统计值就是半连接数，通过该值可以确认半连接数是否过多，是否受到syn-flood攻击查看防火墙转发 TCP业务是否丢包，使用 RcvTCPpkts、RcvTCPbytes、PassTCPpkts、PassTCPOcts统计值，正常情况下 Pass 和 Rcv 不会相差很多会话创建是否失败根据发送报文的类别查看是否存在丢包，从这个统计可以查看出是否存在因攻击防范，包过滤等引起的丢包，以及根据收到ICMP/UDP/TCP报文个数和转发的个数计算被防火墙丢弃的个数。5 查看设备的运行状况使用场合在发现设备的告警灯亮时或者其他如接口无法UP等异常情况时，可以查看设备的运行状况，看

16、主控板、接口卡等是否运行正常。如果有器件显示故障，需尽快分析。命令介绍display device使用方法直接执行 display device。使用示例displaydeviceSecoway USG5360s Device-status:Slot#TypeOnlineStatus-0RPUPresentNormal22GEPresentNormal3PWR(AC)PresentAbnormal4PWR(AC)PresentNormal5FANPresentNormal收藏分享顶踩-点评回复报告电梯直达小小李L3发表于2015-3-27 13:57:30沙发只看该作者6 查看告警信息使用场合

17、在发现设备的告警灯亮时或者在日志中发现如风扇灯硬件相关信息时，可以查看告警信息来确定问题，具体告警的信息参见 USG5300和 E200告警 .xls 。命令介绍display alarm urgent使用方法直接执行 display diagnostic-information。使用示例display alarmurgent-AlarmIDSlotDateTimePara1Para24310/7/711:28:412554310/7/710:19:812557 查看内存使用率使用场合当防火墙自身某些业务运行不稳定时，可以查看一下内存使用率，看是否是内存消耗过多导致。内存占有率不应过高。超过8

18、0时需要分析当时的路由表容量和其他防火墙自身相关业务。命令介绍display memory-usage使用方法在系统视图下执行display memory-usage 。使用示例Eudemondisplaymemory-usage-Memory utilization statistics at 2010-07-07 19:27:38 50msSystem Total Memory Is: 2147483648bytesTotal Memory Used Is: 1013878696bytesMemory Using Percentage Is:47%8 查看 CPU 使用率使用场合CPU占有

19、率应正常，与当前开展的业务类型和转发流量相符。超过60应分析当时的业务流量。USG5300是由转发平面转发的，通常 CPU使用率与流量关系不大，只与业务类型有关，一般的来说，软件 IPSEC/L2TP/ASPF/NAT ALG对 CPU资源消耗较大。命令介绍display cpu-usage-for-user使用方法直接执行 display cpu-usage-for-user。使用示例displaycpu-usage-for-user-= Current CPU usage info=CPU Average Usage (5 seconds): 6%CPU Average Usage (30

20、 seconds): 6%CPU Average Usage (5 minutes): 6%9 检查各器件温度信息和电压信息使用场合在发生硬件故障时，可以查看各器件温度信息和电压信息等，判断是否是温度或电压的异常引起的问题。命令介绍display environment使用方法直接执行 display environment。使用示例displayenvironmentEnvironmentinformation:-Temperatureinformation:localCurrentTemperatureLowLimitHighLimitStatus(Celsius)(Celsius) (C

21、elsius)(OK/FAIL)CPU44085OKVENT29065OKVoltageinformation:-CheckPointReferenceVolRangeCurrentVolStatus-DDR1.8V1710 1890mV1790mVOKIO-12.5V2362 2613mV2494mVOKIO-23.3V3126 3455mV3299mVOKIO-31.8V1710 1890mV1820mVOKCPU1.0V950 1050mV1000mVOK-FAN9.0V8520 9420mV8940mVOKUSB5.0V4732 5226mV5044mVOK-10 查看日志使用场合在发

22、生故障以后， 可以查看日志， 查找之前发生过的和当前故障相关的信息， 从而定位故障原因。 从日志中能看到， 接口 UP/DOWN、主备切换、攻击事件、命令行执行记录等信息。命令介绍display logbuffer使用方法直接执行 display logbuffer。使用示例displaylogbuffer-Logging buffer configuration andcontents:enabledAllowed max buffer size :1024Actual buffer size :512Channel number : 4 , Channel name :logbufferD

23、ropped messages :0Overwritten messages :0Current messages :582010-07-19 10:31:58 USG5360 %01SHELL/5/CMD(l): task:co0 ip:* user:* vrf:public-command:displaylogbuffer2010-07-19 10:30:48 USG5360 %01SHELL/5/LOGIN(l): vrf:public user:Console login fromcon02010-07-19 10:28:24 USG5360 %01PHY/2/PHY(l):Gigab

24、itEthernet0/0/2: change status toup2010-07-19 10:28:19 USG5360 %01PHY/2/PHY(l):GigabitEthernet0/0/2: change status todown2010-07-19 10:27:22 USG5360 %01PHY/2/PHY(l):GigabitEthernet0/0/2: change status toup2010-07-19 10:25:42 USG5360 %01SHELL/5/CMD(l): task:co0 ip:* user:* vrf:public command:undo deb

25、uggingall2010-07-19 10:25:42 USG5360 %01SHELL/5/LOGOUT(l): vrf:public user:Console logout fromcon02010-07-19 10:25:41 USG5360 %01HWCM/5/EXIT(l):exit from configure mode点评回复支持 ()反对 ()报告小小李L3发表于2015-3-27 13:58:01板凳只看该作者-回复2楼11 查看丢包统计，确定是否丢包使用场合在无法确认报文是否经过防火墙，防火墙是否丢包时，可以查看丢包统计，并对每种丢包统计查询丢包手册，得到发生问题的可能性

26、。命令介绍displaydataplane discardundo firewall debug_statistic acl enabledisplay firewall debug_statistic使用方法报文进入防火墙创建会话之前大部分丢包位置都进行了记录，可以通过下面方式查看。进入隐藏模式，按照下面的顺序查看：1）Eudemon_VC-A-hidecmdreset dataplane discard/清除当前丢包统计2）Eudemon_VC-A-hidecmddisplay dataplane discard/显示丢包函数DP_FW_Rcv:100DP_FW_FirstRcv:0DP_

27、FW_DefaultRcv:0DP_FW_FragRcv:03）Eudemon_VC-A-hidecmddisplay dataplane discardDP_FW_Rcvverbose/ 根据丢包函数具体查看丢包位置。-18:00:102009/06/10DP_FW_Rcv:exit0:0DP_FW_Rcv:exit1:0DP_FW_Rcv:exit2:0DP_FW_Rcv:exit3:100DP_FW_Rcv:exit4:0DP_FW_Rcv:exit5:04）根据上面查看到的函数，在USG5300丢包原因查看手册查询丢包原因。如果丢包位置较多，无法确定具体丢包位置，则可以通过下面方法调试

28、。USG5360acl 3333USG5360-acl-adv-3333rule permit ip source 0 0destination 2 0 /规则越精确越好，保证debug 统计的数据流尽量少，否则对设备性能影响比较大USG5360-hidecmdfirewall debug_statistic acl 3333 enable /进入隐藏模式USG5360-hidecmddisplay firewall debug_statistic/查看结果USG5360-hidecmdundo firewall debug_statistica

29、cl 3333enable / 测试完成后，取消调试命令，否则对设备性能存在一定的消耗根据具体的原因采取相应的措施，如果未查找到丢包，则就继续后面的检查。-使用限制基于流的丢包统计建议在非业务高峰进行12 使用远程抓包抓取报文使用场合在发生故障后，通过检查配置和统计信息无法定位时，可以通过远程抓包抓取指定流的报文进行分析。命令介绍见使用方法使用方法通过防火墙的远程抓包功能可以抓取经过防火墙和上送防火墙处理的报文，抓满后将其发送给 pc， pc 上面通过 Firewall_Packetyzer.exe 工具接收，保存为 cap 格式，可以通过抓包工具打开分析报文的正确性。UUSG5000acl

30、3333USG5000-acl-adv-3333rulepermitip source 0 0destination20 / 源和目的 ip 越精确越好，否则对设备性能影响比较大U USG5000interfaceGigabitEthernet 0/0/0 /进入需要抓包的接口视图U USG5000-GigabitEthernet0/0/0firewallpacket-capture3333 queue 0 /指定 acl 规则和队列SG USG5000-GigabitEthernet0/0/0quit2.USG5000firewall pack

31、et-capture startup difficult 300 /开始抓包。simple: 报文长度小于 100byte ，difficult:不限制大小3.USG5000firewall packet-capture send queue 0 ip /抓满后，使用命令将报文发送给PC， PC需要打开软件接收。-指的是打开 Firewall_Packetyzer.exe工具的 PC。USG5000display firewall packet-capture statistic/ 显示抓包情况和统计USG5000display firewall packet-c

32、apture queue 0/显示队列是情况和统计USG5000undo firewallpacket-capturestartup/测试完成后，关闭抓包功能，否则对设备性能存在一定的消耗-远程抓包客户端， 在 PC上面运行接收防火墙发送的抓包内容使用限制vpn 报文或者防火墙自身发送的报文远程抓包功能是抓不到的，建议在非业务高峰进行。13 检查 ARP 表项使用场合在设备接口 UP时，如果 ping 对端设备不通，可以检查arp 表项是否正常。命令介绍display arp（路由模式下显示arp 表项）display arp bridge (透明模式下显示arp 表项 )display fi

33、rewall transparent-mode address-table (透明模式下显示MAC转发表 )debugging arp packet使用方法查看防火墙上下行设备的ARP表项是否正确，如果不正确或者经常变化请检查网络是否存在多个设备回应ARP应答情况。可以使-用 debugging arp packet 调试命令检查设备的 ARP请求和应答情况。使用示例display arp14:17:412010/07/02IP ADDRESSMAC ADDRESS EXPIRE(M) TYPEINTERFACEVPN-INSTANCEVLANPVC-0022-a100-18e

34、aIGE0/0/300e0-fc00-000c7DGE0/0/0022-a100-18e9IGE0/0/70022-a100-18e8IGE0/0/0022-a100-18a018DGE0/0/1-240022-a100-18e7IGE0/0/0-Total:6Dynamic:2Static:0Interface:4debugging arppacket14:18:492010/07/02td14:18:502010/07/02Display the debugging information

35、 to terminal may use a large number of cpu resource and result in systems reboot!Continue?Y/N:y% Current terminal debugging is on -0.9980433 USG5360 %01ARP/7/arp_rcv(d): Receive an ARP Packet, operation : 1, sender_eth_addr : 00e0-fc00-000c,sender_ip_addr : , target_eth_addr : 0000-0000-0000

36、, target_ip_addr :0.9980683 USG5360 %01ARP/7/arp_send(d): Send an ARP Packet, operation : 2, sender_eth_addr :0022-a100-18ea,sender_ip_addr : , target_eth_addr : 00e0-fc00-000c, target_ip_addr : 使用限制display arp只对三层口有意义。14 检查路由使用场合在设备接口 UP时，但如果 ping 远端设备或 PC不通，可以检查一下路由表项是否正常。命

37、令介绍display fibdisplay ip routing-table使用方法使用命令 displayfib或 displayip routing-table查看防火墙 fib表是否有相应的路由，并检查是否正确。针对动态路由请使用 displayospf peer 、displayospf brief等 ospf 命令检查 ospf 是否正常；针对静态路由，使用displaycurrent-configuration| include ip route-static命令检查是否添加相应的静态路由。使用示例displayfib-14:20:572010/07/02Destination/M

38、askNexthopFlagTimeStampInterface/0GSUt0GigabitEthernet0/0//056GSUt0GigabitEthernet0/0/0/0GSU t0GigabitEthernet0/0/3/32GHU t0InLoopBack0/24Ut0GigabitEthernet0/0/3/8GSUt0GigabitEthernet0/0/110.160.

39、30.0/247Ut0GigabitEthernet0/0/1/2424Ut0GigabitEthernet0/0/0/32GHUt0InLoopBack0/32GHUt0InLoopBack0-7/32GHUt0InLoopBack024/32GHUt0InLoopBack0/Ut0LoopBack0/8Ut0InLo

40、opBack0displayiprouting-table14:21:322010/07/02Routing Table: publicnetDestination/MaskProtocolPre CostNexthopInterface/0STATIC600GE0/0/3GE0/0/156GE0/0/0-/24DIRECT00/32DIRECT00/24DIRECT00/32DIRECT00/24DIRECT007/

41、32DIRECT00/8DIRECT00/32DIRECT00/24DIRECT0024/32DIRECT00/8STATIC60015 检查 IPSEC 统计-LoopBack0InLoopBack0GE0/0/3InLoopBack07GE0/0/1InLoopBack0InLoopBack0InLoopBack024GE0/0/0InLoopBack0GE0/0/1-使用场合如果配置了 IPSEC，可以先检查 IPSEC统计，看报文在 IPSEC中是否能正常处理。命令介绍display ipsec statistics使用方法