华为Eudemon 系列防火墙用服培训胶片-案例分析.pptVIP

Eudemon 系列防火墙用服培训 案例 光模块功率不匹配导致业务不通 案例 P2P限流导致DNS误识别 P2P限流注意事项 限流割接前需要关注的问题 流量、网络位置（来回路径是否一致）、是否存在VLAN透传、如果有MPLS报文，路由协议报文穿越，必须配置透明模式；光模块是否匹配（模式、波长和光功率等）。 割接时，先不加载限流策略，防火墙采用基本配置，先让业务正常运行。将P2P带宽设置到最大值，进行P2P检测。 如果使用单机测试的时候，BT commit软件最新版本缺省的是自动加密功能，需要关闭，这样限流才会准确。 案例 H323信令报文分片导致业务单通 案例 Eudemon500透明模式学MAC问题 案例 DBA逻辑问题导致接口CRC错误 案例 Eudemon1000防火墙双机热备问题 案例 长连接问题1 案例 长连接问题2 长连接问题 长连接问题 长连接问题是和状态防火墙设备以及Nat设备紧密相关的一个问题，因为这些设备会对每一个会话建立会话表项，为了合理的利用资源这些会话表项都会存在老化时间，如果在一段时间内没有报文通过则会将该资源释放掉，即删除会话表项；因此如果有某个应用需要长时间保持连接而且没有keep alive报文的话就会导致应用问题，其后续报文会因为没有表项而无法通过防火墙或Nat设备，这就是所谓的长连接问题； 解决长连接问题基本上有以下三种方案： 对于特定会话延长老化时间，这些会话通过ACL控制，该方案需要仔细配置ACL否则会因为长连接会话过多而耗尽会话表资源； 后续报文创建会话表，这会导致安全性问题和Nat问题，不可取； 中间设备探测会话表的存活性，来决定是否释放会话表资源，该方案也需要和ACL配合，而且实现很复杂，其对系统性能的消耗较大； 目前防火墙上采用的是第一种方案 案例 访问某些FTP服务器不通问题 案例 2GE丢包 案例 Eudemon500接口出现不停UP/DOWN 案例 Eudemon200透明模式转发问题 案例 IP-SPOOFING防范引起的业务不通 防火墙重启或死机后的信息收集 # 收集诊断信息命令 [Eudemon] display diagnostic-information # 收集有异常信息 [Eudemon-hidecmd] display exception 10 verbose history # 收集死循环信息 [Eudemon-hidecmd] display deadloop 10 history # 查看系统启动方式信息 [Eudemon] display startup-type # 收集NP异常死机诊断信息命令 [Eudemon]EFU [Eudemon-efu] nps display np-exception 配置故障问题定位一般步骤 在防火墙上，检查是否是因为配置导致的问题一般按照下面的次序排查配置错误： 检查防火墙的接口是否加入到域中，对于自定义的域是否配置了优先级（因为没有配置优先级的域是不能工作的）； 检查域间的规则配置是否正确，检查Acl配置是否正确； 检查路由是否存在报文转发的路由信息，或防火墙上、下行设备的路由是否设置正确； 检查Nat的配置是否正确； 一般在配置正确后割接到现网后出现不通的情况是因为上、下行设备的ARP表项还是记录旧设备的ARP导致的，此时需要注意清除上、下行设备的ARP表项 防火墙割接后不转发问题定位步骤 用display interface检查接口收发报文是否正常，是否有大量的错误报文出现； 检查接口的协商模式是否一致，对于GE光口检查双方是否配置了流控协商（flow-control），并检查光模块和光纤是否对应，长距离光模块需要长距离光纤，以及单模双模是否匹配等 检查防火墙配置是否正确，接口是否配置了地址，接口是否加入域，域上是否配置了优先级，是否配置了域间规则等配置问题 检查路由是否正确等网络问题 检查防火墙以及上下行设备的arp表项是否正确； 检查通过防火墙的路径一致性，对于同一个流其上下行是否都通过防火墙 防火墙运行时流量停止或剧减定位步骤 检查防火墙接口状态是否正常； 检查防火墙和相关设备路由表，ARP表是否正确，链路状态的正确性； 检查防火墙上会话表资源是否已经满了，防火墙转发报文需要会话表，如果会话表满则会因为不能建立会话而不能转发报文 检查防火墙是否存在来回路径不一致问题； 检查是否有防火墙不支持的协议报文； 检查是否有网关设备或DNS Server被加入防火墙的黑名单（请参考黑名单一节）； 检查是否打开了不必要的ALG，而相关端口的报文特别多，导致协议解析阻塞； 防火墙性能测试注意事项