[运维]-华为USG防火墙运维命令大全.docxVIP

-----宋停云与您分享------ -----宋停云与您分享------ 华为 U S G 防火墙运维命令大全 This model paper was revised by LINDA on December 15, 2012. -----宋停云与您分享------ -----宋停云与您分享------ 华为 USG 防火墙运维命令大全 1 查会话使用场合 针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍（命令类） display firewall session table [ verbose ] { source { inside | global } | destination { inside | global } } [ source-vpn-inst { STRING1-19 | public } | dest-vpn-instance { STRING1-19 | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | [ long-link ] mms } ] [ nat ] [ destination-port INTEGER1-65535 ] 使用方法（工具类） 首先确定该五元组是否建会话，对于 TCP/UDP/ICMP（ICMP 只有 echo request 和 echo reply 建会话）/GRE/ESP/AH 的报文防火墙会建会话，其它 SCTP/OSPF/VRRP 等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防火墙的问题，除非碰到来回路径不一致 -----宋停云与您分享------ -----宋停云与您分享------ 况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。Global：表示在做 NAT 时转换后的 IP。 Inside：表示在做 NAT 时转换前的 IP。使用示例 USG5360display firewall session table verbose source inside 14:29:51 2010/07/01 Current total sessions : 1? icmp VPN: public -public Zone: trust - local TTL: 00:00:20 Left: 00:00:20 Interface: I0 Nexthop: MAC: 00-00-00-00-00-00 -- packets:4462 bytes:374808 -- packets:4461 bytes:374724? -----宋停云与您分享------ -----宋停云与您分享------ :43986--:43986 Zone: trust - local首包会话方向源域为 Zone: trust - local 首包会话方向源域为 trust，目地域为 local（源域 - 目的域） TTL: 00:00:20 Left: 00:00:20 ttl 表示会话表老化时间，left 表示会话表剩余多少时间老化 Interface: I0 Nexthop: MAC: 00-00-00-00-00-00 -----宋停云与您分享------ -----宋停云与您分享------ 会话首包方向出接口、下一跳 IP 会话首包方向出接口、下一跳 IP 地址和 MAC 地址 -- packets:4462 bytes:374808 -- packets:4461 bytes:374724 --代表会话 inbound 方向的字节数和报文数，--代表会话 outbound 方向/同域的字节数和报文数 :43986--:43986 --表示会话首包是 inbound，-- 表示会话首包是 outbound 或者同域 对于 TCP/UDP/ICMP/GRE/ESP/AH 的报文防火墙会建会话，其它比如 SCTP/OSPF/VRRP 无法使用该方法排查。2 检查接口状态 使用场合 在报文不通时，可以先检查接口状态，排除由于接口 down 而导致报文不通的情况。 -----宋停云与您分享------ -----宋停云与您分享------ 命令介绍 display ip interface brief 使用方法 查看接口物理层和协议层状态，正常情况下三层接口物理层（Physical）和协议层（Protocol）都是 up，如果有 down 现