防火墙内存利用率高故障排查.pdfVIP

防火墙内存利用率高故障排查 一、开始 内存利用率高是防火墙最常见的问题之一，防火墙会话是占用内存的 主要模块，所以定位内存利用率高的问题要重点关注防火墙的会话及 版权所有:杭州华三通信技术有限公司 流量等信息。防火墙内存利用率高问题定位故障的思路是：首先查看 会话总数是否正常，如果会话总数太多可能是因为流量太大或者存在 攻击，此时可以通过抓包或者查看会话明等手段查找异常的流量并进 行相应处理；如果会话数不多但占用率依然很高，有可能是内存碎片 过多或者挂死无法释放等问题，需要收集设备内存详细信息进一步分 析定位。 1、查看内存利用率 命令：display memory 一般情况内存使用率建议不高于70%，如果持续高于70%，需要引起关 注。 2、查看会话统计信息 如果防火墙收到异常流量或者网络存在攻击，会话统计信息会有明显 异常，例如会话总数、半开连接数以及会话新建速率等参数都会明显 高于正常值，所以查看会话统计的时候要重点关注这几个参数。 命令：display session statistics 例如：网络受到SYN- Flood攻击，TCP连接总数和连接速率都明显偏高，而且大部分TCP连接 都是半开连接。 版权所有:杭州华三通信技术有限公司 3、查看会话明细 防火墙的会话记录了经过防火墙的每一条数据流的详细信息，查看会 话明细的时候重点关注源目地IP和端口、安全域间、会话状态和双向 收发报文计数。根据会话详细信息，可以初步判网络中是否有异常流 量，以及异常流量的IP地址、端口等信息。 命令： display session table verbose 例如：通过命令可以看到当前防火墙上有一条10.0.0.1到10.255.255. 43的数据流，协议是TCP，具体应用是Telnet，会话的状态是TCP- EST，报文的源域是Untrust，目的域是Trust，收发报文都正常。 版权所有:杭州华三通信技术有限公司 4、检查是否存在异常流量 进一步查看会话详细信息，可以初步判网络中是否有异常流量，以及 异常流量的IP地址、端口等信息。可以通过查看多条会话详细信息查 找规律，另外还可以通过抓包的方式查看异常流量的信息。 命令：display session table verbose 例如：通过命令查看多条详细会话信息，受到SYN Flood攻击的设备会话详细有如下特点：会话状态SYN，一般目的IP比 较固定，大多数情况是内部的服务器，反向可能没有回包。 另外除攻击流量外还可能防火墙外部环路或者内部环路使得并发较高 ，这类报文显著特点是进出区域相同，结合正常路由判断进出区域判 断是否正常。如果不能单从会话信息判断故障，可以考虑在防火墙前 后抓包分析。 版权所有:杭州华三通信技术有限公司 5、收集内存信息 如果防火墙的会话信息正常，但是内存利用率还是比较高，可以收集 地址池详细分配信息，反馈给二线进一步分析。另外最好把诊断信息 和设备配置文件也一起收集。 命令：_display memory 版权所有:杭州华三通信技术有限公司 _display memory-pool _display memory raw all partition 0 _display memory raw all core 0 例如：通过_display memory- pool命令可以查看查看具体哪些模块占用内存过多，此处按照以上命 令顺序执行记录设备输出信息即可。 请拨打热线400-810-0504 版权所有:杭州华三通信技术有限公司