juniper日常维护和故障响应.ppt

1、防火墙日常维护和故障响应,常规维护,获得基本信息 检查NSRP状态 提高预警水平 策略配置与优化 攻击防御 特殊应用处理 整理业务拓扑和记录 搭建模拟环境,常规维护获得系统基本信息,Get sys-cfg：了解系统的各种缺省参数设置 Get clock：确定系统时间 get session info：查看session细节 get performance cpu：50% get performance cpu detail：查看CPU历史记录 get performance cpu all detail,常规维护获得系统基本信息,Get memory：采用“预分配”机制 ，90 Get int

2、erface：查看端口细节 Get route：查看路由表 Get log event：查看普通事件记录 Get alarm event：查看告警事件记录 可以通过Netscreen防火墙日志信息速查表.pdf检索所关心的日志信息的具体含义。 Get chassis：查看防火墙硬件板卡状态和温度等,常规维护检查NSRP状态,exec nsrp sync global-config check-sum 检查双机配置命令是否同步 exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。 get nsrp 查看NSRP集群中

3、设备状态、主备关系、会话同步以及参数开关信息。 Exec nsrp sync rto all from peer 手动执行RTO信息同步，使双机保持会话信息一致 get alarm event 检查设备告警信息，其中将包含NSRP状态切换信息,常规维护检查NSRP状态,exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。 exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。 set fail

4、over on/set failover auto启用并容许冗余接口自动切换 exec failover force 手动执行将主用端口切换为备用端口。 exec failover revert 手动执行将备用端口切换为主用端口。,a,7,常规维护提高预警水平,以CPU监控为例，在SNMP网管中可以实时监控获得CPU负载性能曲线，在此基础上可以设置多个报警阈值，如设置五级报警，分别在CPU负载50%、60%、70%、80%、90%时报警，这样可以实现一种“预报警”的功能，在对网络通讯产生严重影响之前就能主动进行响应，提高系统的可靠性。,a,8,常规维护提高预警水平,nsResCpuAvg：当前

5、CPU利用率（.4.1.3） nsResCpuLast1Min：最后1分钟CPU利用率（.4.1.3） nsResSessAllocate：当前session数（.4.1.3） IfEntry：RFC1213端口属性表（..1）。其中重点监控表中的ifOperStatus、ifInOctets、ifInUcastPkts、ifInNUcastPkts、ifInDiscards、ifInErrors、ifInUnknownProtos、ifOutOctets、ifOu

6、tUcastPkts、ifOutNUcastPkts、ifOutDiscards、ifOutErrors、ifOutQLen nsrpRtoCounterEntry ：NSRP双机冗余协议RTO对象计数统计（.4.1.3.3.1），其中重点监控表中的session的建立、清除和变化性能曲线（nsrpRtoCounterName中的SESS_CR、SESS_CL和SESS_CH三项的变化速率曲线） nsrpVsdMemberStatus：NSRP双机冗余协议成员状态（.4.1.3.1.3）,a,9,常规维护提高预警水平,追踪处理流程

7、： 安全事件预告警（CPU、Session） 检查各条策略的流量或者session数增长是否异常 确定对应的异常流量的地址范围 Debug或者Sniffer分析,常规维护策略配置与优化,Log(记录日志) Count(流量统计) 地址组和服务组 策略和对象的删除 区段间策略、区段内策略和全局策略 MIP/VIP地址属于全局区段地址 策略变更控制 exec policy verify exec policy verify global,常规维护攻击防御（Screen）,抵御攻击的功能会占用防火墙部分CPU资源； 自行开发的一些应用程序中，可能存在部分不规范的数据包格式； 网络环境中可能存在非常规

8、性设计 防攻击选项的启用需要采用逐步逼近的方式 Generate Alarms without Dropping Packet选项,常规维护特殊应用处理,Set service timeout unset flow tcp-syn-check set alg h323 disable Set policy id X from trust to untrust any any h.323 permit Set policy id X application ignore,常规维护整理业务拓扑和记录,深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、

9、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。 整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。 在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。,常规维护整理业务拓扑和记录,重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。 建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。 故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发

10、生各类故障时的处理流程，如：NSRP集群中设备出现故障，网线故障及交换机故障时的路径保护切换。,常规维护搭建模拟环境,通过实验来学习、理解和验证,应急响应,数据包处理流程 快速检查和保留故障信息 NSRP应急操作 防火墙旁路 Debug Snoop Sniffer,应急响应数据包处理流程,应急响应快速检查和保留故障信息,get clock：获得分析记录的时间点 get tech：获得基本信息，寻求TAC支持 get log system：检查系统模块日志 get log sys saved：检查系统模块存储的日志，用于系统crash情况下的dumped数据分析 get session info

11、：检查session数 get performance session detail：检查session生成的历史记录 get performance cpu all detail：检查双cpu负载的历史记录 get memory：检查free内存容量 get memory chunk：检查内存分配情况,应急响应快速检查和保留故障信息,get os task：检查系统进程 get net-pak stats：数据包统计分析 get socket：检查防火墙开放端口 get pport：检查端口地址转换 get gate：检查网关应用 get tcp：检查TCP连接 get interface：

12、检查端口状态 get event：get alarm eventget log event,应急响应NSRP应急操作,应急响应NSRP应急操作,get nsrp exec nsrp vsd-group 0 mode backup,应急处理防火墙旁路,通过备份的路由器或三层交换机进行旁路处理，但是不要关闭防火墙。,应急处理Debug,跟踪防火墙对指定包的处理 Traffic Not Passing - debug flow basic VPN Not Working - debug ike detail Everything Else! - debug ?,应急处理Debug,Set ffilt

13、er src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围 clear dbuf ： 清除防火墙内存中缓存的分析包 debug flow basic： 开启debug数据流跟踪功能 发送测试数据包或让小部分流量穿越防火墙 undebug all： 关闭所有debug功能 get dbuf stream： 检查防火墙对符合过滤条件数据包的分析结果 unset ffilter： 清除防火墙debug过滤列表 clear dbuf： 清除防火墙缓存的debug信息 get debug： 查看当前debug设置,应急处理Debug,* 99

14、7629.0: packet received 60* ipid = 5359(14ef), 03c9f550 packet passed sanity check. trust:05/4608-51/512,1(8/0) chose interface trust as incoming nat if. search route to (trust, 05-51) in vr trust-vr for vsd-0/flag-0/ifp-null Dest 2.route 51

15、-, to untrust routed (51, ) from trust (trust in 0) to untrust policy search from zone 2- zone 1 No SW RPC rule match, search HW rule Permitted by policy 9 No src xlate choose interface untrust as outgoing phy if no loop on ifp untrust. session application type 0, name None,

16、 timeout 60sec service lookup identified service 0. Session (id:818) created for first pak 1 route to 51 arp entry found for 51 nsp2 wing prepared, ready cache mac in the session flow got session. flow session id 818 post addr xlation: 05-51.,应急处理Debug,*

17、 997629.0: packet received 60* ipid = 29278(725e), 03c391d0 packet passed sanity check. untrust:51/512-05/4608,1(0/0) existing session found. sess token 3 flow got session. flow session id 818 post addr xlation: 51-05.,IKE Debugger Basics,For simplicit

18、y, try to only initiate only 1 IKE tunnel at a time. To turn the debugger ON/OFF debug ike basic/debug ike detail Try to run the debug during a scheduled downtime,IKE Debug Example, P1 :Initiate,IKE * Recv kernel msg IDX-0, TYPE-5 * IKE Phase 1: Initiated negotiation in main mode. 08 IKE

19、Construct ISAKMP header. IKE Construct SA for ISAKMP IKE Construct NetScreen VID IKE Construct custom VID IKE Xmit : SA VID VID IKE * Recv packet if of vsys * IKE Recv : SA VID VID IKE Process VID: IKE Process VID: IKE Process SA: IKE Construct ISAKMP header. IKE Construct KE for ISAKMP IKE Construc

20、t NONCE IKE Xmit : KE NONCE IKE * Recv packet if of vsys * IKE Recv : KE NONCE IKE Process KE: IKE Process NONCE: IKE Construct ISAKMP header. IKE Construct ID for ISAKMP IKE Construct HASH IKE Xmit*: ID HASH IKE * Recv packet if of vsys * IKE Recv*: ID HASH IKE Process ID: IKE Process HASH: IKE Pha

21、se 1: Completed Main mode negotiation with a -second lifetime.,IKE Debug Example, P2 :Initiate,IKE Phase 2: Initiated Quick Mode negotiation. IKE Construct ISAKMP header. IKE Construct HASH IKE Construct SA for IPSEC IKE Construct NONCE for IPSec IKE Construct KE for PFS IKE Construct ID for Phase 2

22、 IKE Construct ID for Phase 2 IKE Xmit*: HASH SA NONCE KE ID ID IKE * Recv packet if of vsys * IKE Recv*: HASH SA NONCE KE ID ID IKE Process SA: IKE Process KE: IKE Process NONCE: IKE Process ID: IKE Process ID: IKE Phase 2 msg-id : Completed Quick Mode negotiation with SPI , tunnel ID , and lifetim

23、e seconds/ KB. IKE Construct ISAKMP header. IKE Construct HASH in QM IKE Xmit*: HASH,IKE Debug Example, P1 :Responser,IKE * Recv packet if of vsys * IKE Recv : SA VID VID IKE Process VID: IKE Process VID: IKE Process SA: IKE Construct ISAKMP header. IKE Construct SA for ISAKMP IKE Construct NetScree

24、n VID IKE Construct custom VID IKE Xmit : SA VID VID IKE * Recv packet if of vsys * IKE Recv : KE NONCE IKE Process KE: IKE Process NONCE: IKE Construct ISAKMP header. IKE Construct KE for ISAKMP IKE Construct NONCE IKE Xmit : KE NONCE IKE * Recv packet if of vsys * IKE Recv*: ID HASH IKE Process ID

25、: IKE Process HASH: IKE Construct ISAKMP header. IKE Construct ID for ISAKMP IKE Construct HASH IKE Xmit*: ID HASH IKE Phase 1: Completed Main mode negotiation with a -second lifetime.,IKE Debug Example, P2 :Responser,IKE * Recv packet if of vsys * IKE Recv*: HASH SA NONCE KE ID ID IKE Process SA: I

26、KE Process KE: IKE Process NONCE: IKE Process ID: IKE Process ID: IKE Construct ISAKMP header. IKE Construct HASH IKE Construct SA for IPSEC IKE Construct NONCE for IPSec IKE Construct KE for PFS IKE Construct ID for Phase 2 IKE Construct ID for Phase 2 IKE Xmit*: HASH SA NONCE KE ID ID IKE * Recv p

27、acket if of vsys * IKE Recv*: HASH IKE Phase 2 msg-id : Completed Quick Mode negotiation with SPI , tunnel ID , and lifetime seconds/ KB.,Debug ?,admin debug admin arp arp debugging asp ASP debugging asset-recovery asset recovery debugging auth user authentication debugging autocfg Auto config debug

28、ging av AntiVirus debugging bgp bgp debugging cluster command propagated to cluster members cpapi cpapi debugging dhcp debug dhcp dip dip debugging dlog dlog debugging dns dns debugging driver driver debugging emweb EmWeb debugging filesys Filesys debugging flash flash operating debugging flow Flow

29、level debugging flow-tunnel Flow Tunnel debugging fs file system debugging,gc gc receive and transmit debug gdb GDB debugging global-pro global-pro debugging gt generic tunnel debugging gtmac gtmac debug h323 h323 debugging httpfx http-fx debugging icmp icmp debugging idp set idp debug parameters id

30、s ids debugging igmp igmp debugging ike ike debugging interface interface debugging intfe Intfe debugging ip ip debugging ixf ixf debug l2tp L2TP debugging lance Lance debugging ldap ldap debug menu logging logging debugging memory Memory debugging mip mip debugging modem Moden debugging,Debug ?,nas

31、a nasa debugging nat nat debugging netif netif debugging npak npak debugging nrtp Reliable Xfer Protocol debugging nsgp debug nsgp nsmgmt debug nsmgmt nsp NSM NSP message content nsrd NSRD debugging nsrp debug nsrp obj-id obj id debugging ospf ospf debugging pccard Pccard debugging pim pim debugging

32、 pki pki debug menu pluto Pluto debugging policy policy debugging portnum portnum debugging ppcdrv driver debugging ppp ppp debugging pppoe pppoe debugging proxy tcp proxy debugging,rd rd debug info report report debugging rip rip debugging rm rm debugging rms rms debug info rpc rpc debugging rs rs

33、debug info sa-mon sa monitor debugging scan-mgr scan manager debugging sendmail sendmail debugging session session debugging shaper debug shaper sip sip debugging snmp snmpnew debugging socket socket debug ssh debug ssh ssl ssl debugging stflow saturn flow debug info sw-key software key debugging sy

34、slog syslog debugging,Debug ?,tag tag info task Task debugging tcp tcp debug telnet debug telnet time device clock time debugging timer Timer debugging trackip debug trackip traffic traffic control debugging udp udp debugging uf UF debugging url-blk url filtering debugging user user/group database d

35、ebugging vip vip debugging vr vritual router debugging vsys vsys debugging vwire VWIRE debugging web WebUI debugging webtrends webtrends debugging zone zone debugging,Debug Flow vs. Snoop,Debug Flow Sampled at higher flow level Provides information about how the NetScreen processes a packet Can be u

36、sed to debug higher level flow problems,Snoop Sampled at lower driver level Provides information as to whether a packet reached the NetScreens interface Can be used to debug very basic IP/Ethernet level problems.,The snoop tool should be used when the debug tool is showing that no packets are being processed, yet you are certain that data is reaching the NetScreen.,应急响应Snoop,1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围 2、clear dbuf： 清除防火墙内存中缓存的分析包 3、snoop： 开启snoop功能捕获数