You are in expert mode now.
[Expert@R71-FWA]# cpinfo -n -z -o /var/tmp/FWA.cpinfo #执行命令导出cpinfo cpinfo (I:0110): Beginning ...
cpinfo (I:0116): Latest cpinfo version: http://www.checkpoint.com/downloads/
cpinfo (I:0112): Embedding files ... cpinfo (I:0117): Zipping output file ...
cpinfo (I:0118): Zipping output file - done (/var/tmp/FWA.cpinfo.gz) cpinfo (I:0111): Done [Expert@R71-FWA]# [Expert@R71-FWA]# ls
[Expert@R71-FWA]# cd /var/tmp [Expert@R71-FWA]# ls -alt total 7380
drwxrwxrwt 4 root root 4096 Nov 6 17:10 .
-rw-rw---- 1 root root 7527853 Nov 6 17:10 FWA.cpinfo.gz drwxrwxrwt 2 root root 4096 Nov 3 22:22 vi.recover 然后使用FTP工具将文件传出去供Check Point技术工程师分析。
C:完成相关故障信息收集后,进行故障恢复处理
1:进行防火墙倒换(故障设备为主设备,故障时未发生切换)
如果是IPSO(IP)平台,做主备切换通过登录系统Web管理页面,修改备机所有VRRP接口的priority值高于主机即可实现切换。
如果是SPLAT平台(Power-1或者UTM-1),通过命令可以clusterXL_admin off做主备切换。
物理切换操作:拔除故障防火墙设备业务连线,console连接到备机,观察备机的HA状态,状态变为Master后,观察业务。
2: 若拔线后,防火墙双机未发生切换,则重启故障防火墙。
注意:此时请将console线连接故障防火墙console口,记录输出。
D:请将相关信息提交给Check Point支持人员。
3.2. 防火墙二级故障处理: A:二级故障定义:
严重影响业务运营。
对最终客户造成间歇影响的网络或系统事件;
11
如:防火墙系统拦截重要应用,或者部分网络不通。
B:信息内容搜集:
首先收集SmartView Tracker中存在问题源地址或者协议的日志截图
如无法快速判断故障问题,请抓取最基本数据:注意需要收集主用(或故障)设备信息 使用kernel debug在故障期间进行debug数据收集 使用抓包命令和工具对故障业务进行抓包
IP平台设备信息搜集:
? 从SmartView Tracker中收集故障信息
打开SmartDashboard?选择SmartView Tracker然后过滤出存在问题的网段和协议,双击存在问题的日志记录,将日志信息截图保存下来。
? 搜集系统CST文件
CST是Configuration Summary Tool的简写,CST文件会包含系统配置、版本信息、系统运行情况、系统日志、甚至保存在本地硬盘上的防火墙日志,如果不需要搜集防火墙日志可以使用IPSO-A[admin]# cst –small命令,缩短搜集CST的时间,搜集完整的CST过程如下:
IPSO-A[admin]# cst CST version 2007-09-26
=============== N O T I C E: VOYAGER LOCKS ========================= Please make sure you are logged out of Voyager.
CST gathers certain information from clish, which may not work when there is a configuration lock in place established by an active Voyager session. =============== E N D O F N O T I C E ========================= Continue? [y] y
Output Directory? [.] /var/tmp #指定CST文件的存储目录
? 搜集fw monitor信息
fw monitor是Check Point软件自带的抓包工具,主要用于检测数据包在通过防火墙时的状态,确认问题是发生在系统层,还是防火墙本身拦截了报文。
[IPSO]#fw monitor -e \sport=21 or dport=21 and src=192.168.0.190 or dst=192.168.0.253;\
如上fw monitor抓取源地址是192.168.0.190访问到192.168.0.253的任何源端口与目标端口都是21的流量,并且将输出的内容记录在var/tmp/monitor.cap文件中。以上命令是一个较全的例子,可以根据实际环境精简命令。
[IPSO]#fw monitor -e 'PROTO_tcp,dport=8001 or sport=8001;' -o /var/tmp/monitor.cap
如上所示,是针对TCP 8001协议进行的抓包,假如客户8001协议通过防火墙时访问不通,
12
则通过fw monitor针对该协议进行针对性的抓包,并将文件保存在/var/tmp/目录。 如果协议属性是udp协议,使用如下命令,修改PROTO_udp即可,然后制定端口。
[IPSO]# fw monitor -e 'PROTO_udp,dport=8001 or sport=8001;' -o /var/tmp/monitor.cap
? 搜集tcpdu mp抓包信息
Tcpdump是系统抓包命令,通常是操作系统层的抓包,用来判断网络层数据包交互访问过程是否正常,所有使用的IP地址以真实环境中存在问题的IP或者协议来抓包。
[IPSO]#tcpdump -vv -e -w /var/tmp/test.cap -i eth-s1/s2p4c0 -nn src 192.168.203.19 and dst 192.168.203.17
如上tcpdump抓取接口eth-s1/s2p4c0上源地址为192.168.203.19访问到192.168.203.17的报文,通过-w命令将文件保存为/var/tmp/目录下test.cap文件。
[IPSO]# tcpdump -vv -e -w /var/tmp/test.cap -i eth0 port 80 and dst 192.168.0.1
如上是抓取接口eth0上端口为80目标地址192.168.0.1的命令,保存文件名为test.cap的文件到/var/tmp/目录。
? 搜集防火墙kernel层debug信息
搜集zdebug信息对理解和找到报文被防火墙丢弃的原因很重要,zdebug启用后,默认的buffer size 是1024KB,主要对fw、h323、cluster、vpn、rtm模块的问题进行故障信息收集,所以是一个包含信息较全的命令,而且执行方便,强烈建议在问题发生期间进行debug,并开放1~2分钟。
[admin]# fw ctl zdebug + drop > /var/tmp/drops.txt 如上命令是指搜集zdebug中相关模块中所处理流量被drop掉的部分,保存为var/tmp目录的drop.txt文件。
注:防火墙开启Debug一定程度上会造成CPU的升高,但绝大部分情况下不会影响太大。注意不要长期在防火墙上开启DEBUG,关闭使用Ctrl+c按键结束。
所有信息搜集齐全后,打包交给Check Point TAC工程师进行分析排错。
Power-1与UTM-1平台信息搜集:
如无法快速判断故障问题,请抓取最基本数据:注意需要收集两台设备信息 如无法通过SSH登录设备,请用原装console线登录设备命令行收集,所有会话需要记录到文件。
? 从SmartView Tracker中收集故障信息
与IPSO系统过程一样
? 搜集系统cpinfo文件
Cpinfo是SecurePlatform(SPLAT)的配置文件、系统日志以及设备当前运行状态的 [R71-FWA]# expert #登入专家模式
13
Enter expert password:
[Expert@R71-FWA]# cpinfo -n -z -o /var/tmp/FWA.cpinfo #执行命令导出cpinfo 然后使用FTP工具将文件传出去供Check Point技术工程师分析。
? 搜集fw monitor信息
搜集fw monitor命令过程与上文IPSO系统过程一样。 ? 搜集tcpdu mp抓包信息
搜集tcpdump命令与上文IPSO系统过程一样。
? 搜集防火墙kernel层debug信息
搜集debug信息与上文IPSO系统过程一样
SPLAT平台可以使用如下命令,将收集到/var/tmp目录的文件打包后通过ftp传出来;
[Expert@R71-FWA]# tar -cvf info.tar /var/tmp
如上信息收集完成后,将文件打包,上传到TAC ftp服务器。
C:请将相关信息提交给Check Point支持人员。
3.3. 防火墙三级故障处理: A:故障定义:
只对最终客户造成有限影响的网络事件;
? 测试或试运行环境中发现的问题,通常会对运营网络造成负面影响; ? 有现成的成功临时变通方法,可以用来解决优先级较高的问题
如:某应用无法访问到目标服务器
B: 单业务访问问题信息内容收集
基本信息:
? 从SmartView Tracker中收集故障信息
搜集报错日志过程与上文过程一样。
? 搜集系统cpinfo文件(IPSO平台)
搜集命令过程与上文过程一样。
? 搜集系统cpinfo文件(SPLAT平台)
搜集命令过程与上文过程一样。
? 搜集fw monitor信息
搜集命令过程与上文过程一样。
? 搜集tcpdu mp抓包信息
14
搜集命令过程与上文过程一样。
? 搜集防火墙kernel层debug信息
搜集命令过程与上文过程一样。
注:防火墙开启Debug一定程度上会造成CPU的升高,但绝大部分情况下不会影响太大。注意不要长期在防火墙上开启DEBUG,关闭使用Ctrl+c按键结束。
如上信息收集完成后,将文件打包,上传到TAC ftp服务器,交给Check Point TAC工程师进行分析排错。
C:请将相关信息提交给Check Point支持人员。 3.4. 防火墙四级故障处理:
信息请求;
? 有关设备配置或功能的标准问题。
请将相关需求信息邮件提交给Check Point维护人员。
3.5. 防火墙路由故障处理: A:故障定义:
路由无法学到,对最终客户造成影响的网络事件;
测试或试运行环境中发现路由的问题,通常会导致业务访问故障;
如:防火墙动态路由无法学到
B: 路由问题信息收集
? 从SmartView Tracker中过滤关于OSPF故障信息
打开SmartDashboard?选择SmartView Tracker然后过滤出OSPF协议,双击存在问题的日志记录,将日志信息截图保存下来。
? 从SPLAT系统平台收集故障信息
在故障发生期间,登录SPLAT系统命令行,进入/var/log目录搜集routing_messages文件。
[Expert@R71-FWA]# router #进入router模式,show出相关信息 localhost>en localhost#show
access-list interface ipv6 log running-config version history ip kernel memory task localhost#show running-config localhost#show ip ospf neighbors
? 从IPSO系统管理界面收集故障信息
在故障发生期间,登录IPSO系统管理Voyager界面, 选择 'Configuration > Routing >
15