防火墙故障判断方法.docx

流量大1 .故障现象：用户正常使用一段时间后，反映上网速度慢，有时甚至无法上网。2 .检查方法：通过以下几种方法推断：a）采用dump帐号（密码：dump）下的cpu命令，查看CPU当前使用现象，看到CPU接近或达到100%b）采用root帐号下的Ifconfig命令，查看网卡上是否有丢包（主要看RX和TX两行中的errors和drops）,看到有errors或drops计数,且多次执行ifconfig命令，会看到计数不断增加。c）采用系统监控分网络设施中的统计图（留意要启动设施监控服务）功能，检查网络流量（留意，单位有误，应是兆位），看到流量很大。d）采用dump帐号下的tcpdump命令抓包切记设定-C参数，限定抓包数，否则可能导致防火墙无法正常启动一一并将抓包文件传到计算机上，检查是否有病毒。tcpdump-ibrg-C10003 .分析过程：防火墙CPU接近100%,说明系统资源快要用完，由于墙已正常使用一段时间，基本可排解是防火墙功能问题导致故障的可能性。导致防火墙资源耗尽的缘由，最常见的有：a）网络流量超过防火墙性能上限。b）网络中存在攻击行为。由于采用血Onfig检查到网卡上有丢包，说明在网卡驱动这个层次上，防火墙就已响应不过来了，从而进一步认定的确消失上述a、b两种状况，。由于采用系统监控功能，检查到网络流量很大，通过抓包分析，发觉没有病毒，因此，最终就可认定是网络流量超过防火墙性能上限引发的问题。4 .解决方法：a）检查用户配置，除必需开放的服务外，关闭全部其它服务和不必要的功能模块。b）假如确认墙上只使用包过滤，NAT,端口映射、IP映射、抗洪流攻击几项功能，则可以在后台打开“快速转发”选项，启用防火墙快速转发功能（可用configsave命令保存配置），提高性能。c）假如故障照旧，则请向售后热线和技术支持人员反映。5 .留意事项：消失这种故障现象是，不要轻易重启防火墙，以免影响故障现象的复现。连接数多1 .故障现象：用户正常使用一段时间后，反映上网速度慢，甚至无法上网。2 .检查方法：通过以下几种方法推断：a）采用dump帐号（密码：dump）下的cpu命令，查看CPU当前使用现象，看到CPU使用率并不高。b）采用root帐号下的ifconfig命令，发觉网卡上没有丢包现象。c）采用系统监控分网络设施中的统计图（留意要启动设施监控服务）功能，检查网络流量（留意，单位有误，应是兆位），发觉流量并不很大。d）采用dump帐号下的tcpdump命令抓包切记设定-C参数，限定抓包数，否则可能导致防火墙无法正常启动一一并将抓包文件传到计算机上，检查是否有病毒。采用root帐号下的filterconfigstatecount命令，检查防火墙并发连接数，发觉已到或非常接近防火墙最大并发连接数。3 .分析过程：由于用户己正常使用一段时间，基本排解了防火墙功能引发故障的可能性；通过a）-d）的检查，己排解了网络流量大和病毒引发故障的可能性，通过e）的检查，发觉此时的并发连接已达到防火墙的最大并发连接数，则此时用户再发出连接恳求，防火墙很可能不会响应，从而造成故障。4 .解决方法：a）检查用户配置，除必需开放的服务外，关闭全部其它服务。b）设置包过滤规章中的长连接选项，将其设为约8小时。c）保存，并重启动防火墙。5 .留意事项：a）肯定不要在判明故障缘由前重启防火墙，否则，在短时间内很难复现现象，造成检查上的巨大困难。b）这种缘由导致的故障，一般会每隔一段时间（3-5天）消失一次，重启墙后故障立刻消逝，这是由于连接数会有一个渐渐累积的过程。通过防火墙后台分析网络问题，具体命令如下：Powerv通过root帐号（密码g8#6Vod3）登陆查看：themis>top:看CPU采用率themis>psaux：看CPU连接状态themis>free:看内存采用率themis>filterconfigstatecount：看连接数themis>acscshowtop：看用户连接数themis>ifconfigethl2:看网卡故障占用资源大的东西1 .连接管理基本2 .系统监控网络设施监控服务停止3 .策略配置平安选项