Juniper防火墙标准配置模板和日常维护建议.pptVIP

* * * * * * 如在OS5.4下get service timeout tcp table看到，其中tcp 23端口的输出结果为 23 : 2160(6)，其中的2160为超时值，(6)为修改次数，意味着在OS5.0下配置any服务的策略的telnet超时值为2160分钟，在OS5.4下则变成了30分钟。 * * * * * * * * * * * * * * * * 设备与应用旁路 设备旁路：大面积业务持续中断、设备CPU负载持续过高、并发会话持续过载。 应用旁路：个别应用故障，通过PBR技术剥离该应用流量。 演练提高设施效率。 故障信息收集 具体现象描述、故障地址及访问关系、网络结构图、设备两侧交换机抓包，尽可能保留防火墙故障环境－务请不要关闭防火墙电源。 * * 故障排查要点-报文转发路径 * Debug set ffilter src-ip X dst-ip Y dst-port Z-设置过滤器debug flow basic-跟踪包处理过程 get debug-检查debug功能打开情况 undebug all-关闭debug功能 get dbuf stream-显示捕捉信息 get dbuf stream tftp x.x.x.x filename-捕捉信息过多时，将其传到TFTP服务器上 clear dbuf-清除捕捉信息 Unset ffilter/get ffilter-取消过滤器 * snoop 接口报文捕捉 Snoop打开snoop功能 Snoop info检查snoop功能打开情况 Snoop off关闭snoop功能 snoop filter ip interface X dst-ip Y dst-port Z-设置过滤器 get dbuf stream-显示捕捉信息 get dbuf stream tftp x.x.x.x filename-捕捉信息过多时，将其传到TFTP服务器上 clear dbuf-清除捕捉信息 snoop filter delete-取消过滤器 * Session Get session id 1883/s**,vsys 0,flag0000/0001,policy 1,time 5, dip 2 module 0 if 2(nspflag 800801):/1054-1/161,17,00112547747e,sess token 4,vlan 0,tun 0,vsd 0,route 1 if 1(nspflag 800800):8/1908-1/161,17,02e0521cc02a,sess token 6,vlan 0,tun 0,vsd 0,route 13 Get session info slot 1: sw alloc 440/max 1000000, alloc failed 0, di alloc failed 0 Get session ID xxxx Get session tftp x.x.x.x filename * Get log traffic 记录报文类型、流量流向、会话持续时间及会话拆除原因。 * 最近是否进行过网络变更？ CPU是否过高？ 通过get performance cpu all detail可以看到cpu利用率，括号中左边的数值代表流量处理的CPU消耗，右边的数值代表其它管理任务的CPU消耗 Session表是否正常？ 通过get performance session detail可以看到新建session情况，检查是否明显超过正常值。 通过get session info可以看到当前并发session数，检查是否过高甚至达到最大。看软硬件session表的数量是否存在很大差异，硬件session表是否在迅速减小。 Memory是否存在泄漏？ 通过get memory看剩余内存是否过低或持续减小。 日志告警？ 通过get alarm event看当前是否存在相关的严重告警。 端口状态？ 通过get counter statistics看端口是否存在大量的错包，并在持续变化。 Debug或snoop分析包处理情况 * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * * * * * * * * * * * * * * * * * * * * * * * * * set zone “zone name ” vrouter “trust-vr““#所有zone都放在trust-vr路由表中 unset zone “zone name” tcp-rst #关闭