防火墙常与用命令-2011.01 .ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * 防火墙常用命令汇总 客服中心 黄娴婷 2011年01月 system show 查看防火墙版本信息 可以看到防火墙名，硬件型号，软件版本以及序列号。 admhost show 查看管理主机 admhost add ip x.x.x.x 添加管理主机 admhost del ip x.x.x.x 删除管理主机 admmode show 查看管理方式 显示管理方式 WEB/串口 SSH/PPP admmode on ssh Interface show all 查看防火墙的接口信息，包括接口数量，ip地址，子网掩码，开启状态 主要查看接口配置是否正常，配合周边设备查看网络是否通与不通。 Interface show if feX (X代表接口序号，例如fe1,fe2,fe3等) 可以捕获防火墙的MAC地址， 接口类型，链路模式，协商速度 最大传输单元，等等一些接口详 细信息。 最主要的是看看trunk，ip/mac 等参数是不是误开，接口是不是 允许ping等。 使用ifconfig命令配置并查看网络接口情况 　 示例1: 配置eth0的IP，同时激活设备: 　　　　 # ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 　 示例2: 配置eth0别名设备 eth0:1 的IP 　　　　# ifconfig eth0:1 192.168.4.2 　　示例3:激活（禁用）设备 　　　　# ifconfig eth0:1 up(down) 　 示例4:查看所有（指定）网络接口配置 　　　　# ifconfig (eth0) 备注：如果要对接口添加允许管理允许ping等相关参数的时候，则要使用防火墙自身的命令interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on RX packets 接受数据包的数量 收包丢弃量大 TX packets 发送数据包的数量 errors 错误包的数量 硬件信号错误 dropped 丢弃的数据包数量 如果有丢弃的数据包说明流量大或者驱动有问题 overruns 数据包溢出的数量 frame 帧错误 carrier 载波 collision 冲突 长连接，慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议，服务不能使ANY 不然出问题。 ethtool ethX 查看网口协商情况 从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为自适应，这样两个设备协商后速率和双工模式自动协商后到底是什么从防火墙界面是看不出来的，所以就需要我们用ethtool命令查看，关于网口不通的情况，很多时候使用ethtool排错是非常有用的。 acsc on和acsc show top 开启连接管理功能 查看top 10的连接 以上命令主要是让工程师在 不打开页面的情况下可以更 好的分析那个主机IP大量进 行连接。 config reset 是恢复出厂设置 config save是保存配置 这些命令大家可能都知道， 我在这里重复只是希望大家真正 熟练掌握，并在现场第一时间使用 ip route show 显示路由表信息，对于大型网络和复杂网络，路由表是非常重要的。 排错的时候40%的路由表的问题，20%的故障是跟路由表相关的其他 功能的问题。所以路由表是非常重要的。 HA show config HA show status 可以查看HA配置 和HA的协商情况 以及目前的主备 状态 W（输入命令w） 非常简单的命令，但是很有用，应该说非常有用。 这个命令纪录了防火墙自正常启动以来，累计时长，可以清楚的知道防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题。 Load average后面的三组数字可以看出防火墙在使用资源（cpu，内存，磁盘）的情况。这个数字大于1的时候，说明内核已经超负荷运转。 free 查看内存使用情况 这个命令可以清楚的知道设备的总共内存多大，使用多少，空闲多