防火墙排除故障方法.docVIP

防火墙排除故障方法 确认周边网络设备配置 vlan、trunk是否正确，静态路由、动态路由、策略路由是否正确。 在防火墙入、出口上同时抓包 网卡、主机、协议、端口、vlan参数 -i eth2 表示在fe3口上抓包 host 1.1.1.1 表示抓发往或源自1.1.1.1主机的包 tcp (udp) 表示抓tcp包或udp包 port 80 表示抓80端口的包 vlan（not vlan) 表示未解vlan标志（解开vlan标志）的包 例子： Tcpdump –i eth2 host 1.1.1.1 and tcp and port 80 and vlan 表示从fe3口上抓源自或发往1.1.1.1主机的TCP 80端口的，还未解vlan标志的包。 注：凡从交换机trunk进入墙的包，均使用vlan参数抓包，从墙出去进入交换机trunk口的包，均使用not vlan参数。 逻缉运算符 and 表示“与” or 表示“或” not 表示“非” \(\) 表示“（）” 例子： Tcpdump (host 1.1.1.1 or host 2.2.2.2) and not udp 表示抓源自或发往1.1.1.1或2.2.2.2且不是udp的数据包。 抓包长度、抓包个数、保存文件参数 -s 0 表示抓完整的数据包 -c 100 表示抓100个数据包（不得大于3M） wrfile 表示将抓到的包存于cap文件中(没有”-“符号) 例子： Tcpdump –i eth2 –s 0 –c 100 wrfile 表示在eth2上抓100个完整的包后，并将文件存。 将抓包文件传回ethereal分析 以ssh方式，用dump/dump口令登录防火墙。 szcap （表示将刚才存的file.cap）文件传回ssh客户端。 在ssh客户端软件安装目录的download目录下，可找到传回的文件。 及时清理抓包现场 停止抓包 如加了-c参数，会在抓到指定包数后停止，也可ctrl+c停止 rmcap 删除cap文件 szcap 会提示你没有找到cap文件。这时刚才抓下的文件就已经删除了。 注意： 一定要记得及时停止抓包，并删除无用的抓包文件，否则可能造成严重的系统故障 检查防火墙入口是否正确收到包 包大小（64-1518字节） 源/目IP，源/目端口 源/目MAC地址 筛选出一个TCP连接的方法： TCP完整连接——三次握手 TCP完整连接——数据包之间的确认 TCP完整连接——两包之间的间隔和时间间隔 TTL值（在使用测试仪测试时可能出错） 应用层协议内容 检查防火墙出口是否正确转发包 源/目IP地址 在开启源地址转换及端口/IP映射规则时要特别注意核对。 包大小 对于超过MTU大小的包，会进行分片，有可能造成小包。 转发时被相邻设备拒绝 源/目MAC地址 有时会有冒用IP的现象 路由表命令：route ARP缓存表 命令：arp –n 与入口处所抓包进行比对 网络流量、防火墙CPU、内存（通过WEB管理界面上可看到） 8