IOS-XE配置的ZBFW排除故障指南.PDF

  1. 1、本文档共13页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IOS-XE配置的ZBFW排除故障指南.PDF

IOS-XE配置的ZBFW排除故障指南 目录 简介 链路和文档 命令参考 数据路径排除故障步骤 验证配置 验证连接状态 检查防火墙丢弃计数器 在QFP的全局丢弃计数器 在QFP的防火墙功能丢弃计数器 排除故障防火墙丢包 记录 本地缓冲Syslogging 本地的限制缓冲Syslogging 远程高速的记录日志 包跟踪使用有条件的匹配 嵌入式数据包捕获 调试 有条件调试 聚集和视图调试 简介 本文描述如何最佳排除故障在聚合服务路由器(ASR) 1000的区域基于防火墙(ZBFW)功能,用使用 轮询在ASR的硬件丢弃计数器的命令。ASR1000是一个基于硬件的转发平台。Cisco IOS XE ®软件 配置编程硬件ASIC (数量流处理器(QFP)为了执行功能转发功能。这允许提高吞吐量和更加好的性 能。对此的缺点是提出一更加巨大的挑战排除故障。用于的传统Cisco IOS命令通过基于区域的防火 墙(ZBFW)轮询当前会话和丢弃计数器不再有效,虽然丢包不再在软件方面。  链路和文档 命令参考 Cisco ASR 1000系列汇聚服务路由器命令参考 Cisco IOS XE 3S命令参考 数据路径排除故障步骤 为了排除故障数据路径,您必须识别流量是否通过ASR和Cisco IOS XE代码适当地通过。对防火墙 功能的特定,数据路径故障排除遵从这些步骤: 1. 验证配置-采集配置并且检查输出为了验证连接。 2. 验证州的连接,如果流量适当地通过, Cisco IOS XE打开在ZBFW功能的一连接。此连接跟踪 流量和状态信息在客户端和服务器之间。 3. 验证丢弃计数器-当流量不适当地时通过, Cisco IOS XE记录所有丢弃的数据包的一个丢弃计 数器。检查此输出为了查出流量失败的原因。 4. 记录-聚集Syslog为了提供更加粒状的信息在连接修造和丢包。 5. 数据包踪迹丢弃的数据包-请使用包跟踪为了捉住丢弃的数据包。 6. 调试-聚集调试是多数verbose选项。调试可以有条件地得到为了确认数据包的确切的转发路径 。 验证配置 show tech support防火墙输出汇总此处: show clock show version show running-config show parameter-map type inspect show policy-map type inspect show class-map type inspect show zone security show zone-pair security show policy-firewall stats global show policy-firewall stats zone show platform hardware qfp active feature firewall datapath <submode> show platform software firewall RP <submode> 验证连接状态 连接信息可以得到,以便在ZBFW的所有连接是列出的。输入此命令: ASR#show policy-firewall sessions platform --show platform hardware qfp active feature firewall datapath scb any any any any any all any -- [s=session i=imprecise channel c=control channel d=data channel] 50 41392 06 23 proto 6 (0:0) [sc] 它表示从50的TCP Telnet连接到06。 Note:注意,如果运行此命令,将需要很长时间是否有在设备的大量连接。思科建议您运行此 命令以特定过滤器如概述此处。 连接表可以被过滤下来到一特定源或目的地址。在平台从属方式以后请使用过滤器。选项过滤是: radar-ZBFW1#show policy-firewall sessions platform ? all detailed information destination-port Destination Port Number detail

文档评论(0)

zcbsj + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档