6-1FG日常管理以及故障处理.ppt

FG日常管理以及故障处理 方正防火墙认证工程师培训 防火墙命令-Debug帐号 Debug帐号登陆方式 windows超级终端方式，推荐用SecureCRT 下图为windows超级终端登陆的设置画面 防火墙命令-Debug帐号 Debug帐号登陆用户名密码 用户名：debug 密码：fgdebug 防火墙命令-arp 用途 主要用于查看防火墙上当前的arp表 arp 不建议使用 当防火墙上没有配置dns或dns配置不正确时，返回结果非常慢，不建议使用 arp –n 最常用的方式 Debug$arp -n Address HWtype HWaddress Flags Mask Iface 4 ether 00:00:00:00:00:01 CM eth0 6 ether 00:0D:60:CE:6B:13 C eth0 输出结果解释 6 （C）动态的arp表 4 （CM）静态的arp表 就是界面上防火墙ip地址绑定功能输入的东西 防火墙命令-arpbroad 用途 主要用于防火墙上架后网络不通时调试用 若一切配置都正确，防火墙就是不通，则尝试执行该命令 该命令没有副作用，在复杂拓扑调试时应用，简单拓扑情况下没必要使用 arpbroad eth0 arpbroad eth1 arpbroad eth2.4 ……… 防火墙命令-brctl 用途 主要用于防火墙设备配置里面的桥状态察看 brctl brctl show 防火墙命令-clfwrule 用途 主要用于防火墙连通性调试 本命令用于防火墙规则问题调试，执行该命令后，防火墙会将所有的包过滤规则清空，将防火墙置于全通模式，帮助用户确认是否是由于规则配置问题造成的防火墙不通 恢复方法为重起防火墙后正常 clfwrule Debug$clfwrule 本命令用于规则问题调试，执行该命令后，防火墙会变为全通状态，但是nat规则还存在 恢复方法为在FC里面提交设备配置模块或者重起防火墙后正常 Debug$ 防火墙命令-clnatrule 用途 主要用于防火墙连通性调试 本命令用于nat规则问题调试，执行该命令后，防火墙会将所有的nat规则清空 恢复方法为重起防火墙后正常 clnatrule Debug$clnatrule 本命令用于nat规则问题调试，执行该命令后，防火墙会将所有的nat规则清空 恢复方法为重起防火墙后正常 Debug$ 防火墙命令-cpuinfo 用途 主要用于防火墙CPU负载显示 默认情况下每五秒钟会刷新一次 Ctrl+C结束显示 cpuinfo Debug$cpuinfo Time: 11:52:35 avg-cpu: %user %nice %system %iowait %idle 0.55 0.00 2.37 0.00 97.07 Time: 11:52:40 avg-cpu: %user %nice %system %iowait %idle 0.00 0.00 0.00 0.00 100.00 Debug$ 防火墙命令-devid 用途 主要用于防火墙devid获取 若key丢失，则将获取到的devid发给总部就能拿到新的key devid Debug$devid DevID is ABGR-67RG-CF8B Debug$ 上面的字符串ABGR-67RG-CF8B即为devid，每台方正防火墙都会有一个唯一不同的devid 防火墙命令-dmesg 用途 主要用于防火墙系统信息 Dmesg 当防火墙异常时，执行该命令会打出一些系统诊断信息，根据此信息，可以定位防火墙故障 防火墙命令-dnatrule 用途 主要用于防火墙DNAT规则显示 dnatrule Debug$dnatrule Chain test_dnat (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * /0 /0 tcp dpts:55442:55444 0 0 DNAT