Routing Options'. 在OSPF下拉表中,选择 \并且点击\将会在/var/log目录下生成 ipsrd.log.*的文件,搜集所有 ipsrd.log.*的文件搜集系统cpinfo文件(IPSO平台)
? 搜集fw monitor信息
[admin]#fw monitor -e 'accept ip_p=89;'
[admin]#fw monitor -e \
? 搜集tcpdu mp抓包信息
[admin]# tcpdump -i eth-s3p1 -s 0 -w dump.dat ip proto ospf
? 搜集IPSO系统OSPF相关信息
nokia[admin]# iclid IPSO-A> show version
IPSO-A> show ospf database database-summary IPSO-A> show ospf neighbors IPSO-A> show ospf interfaces IPSO-A> show ospf errors brief IPSO-A> show ospf events IPSO-A> show ospf packets IPSO-A> show ospf
C:请将相关需求信息邮件提交给Check Point维护人员。
4 故障现象检查
首先发生故障后,首先从现象上要检查如下几方面:
? 网关连通性:受影响范围的终端PC上进行Ping测试,确定直连网关是否可达,同时可以关
联性地检查本地的ARP信息是否与网关对应,同时确定不同VLAN的终端现象是否相同。相关命令:ping x.x.x.x 及 arp –a(显示ARP列表) ? 防火墙连通性:受影响范围的终端PC上进行Ping测试,确定访问的到防火墙的网络连通性,
可以测试到客户端同侧防火墙接口以及跨防火墙安全区接口,简单确定防火墙是否处理数据情况,同时确定不同VLAN的终端现象是否相同。相关命令:ping x.x.x.x 。
? 业务连通性:受影响范围的终端PC上进行针对业务IP的Ping测试和正常业务访问测试,
简单从业务的网络层面和应用层面确定业务是否正常。 ? 路由路径:受影响范围的终端PC上进行针对业务IP进行路径测试,测试出现中断的路由节
点,相关命令:tracert –d x.x.x.x .
4.1 问题节点确认
问题与火墙无关,则跳过下面章节,问题与火墙有关,则进入如下章节进行分析。
16
4.1.1 防火墙硬件问题
发现问题与防火墙相关联后,首先确认设备硬件是否运行正常,通常需要到设备所处的物理位置检查设备当前运行状态,主要检查如下信息: 故障诊断 设备无法启动 症状 第一步检查 第二步检查 如果恢复出厂设置不能解决问题,则按照SK37231重刷系统,重刷系统不能解决,则需要RMA整个设备。 建议 必须通过原装Console线诊断问题,RMA前先确认产品在服务有效期内。 通过Console连接设备确认是否启动,同时目测的方式检查硬盘灯状态是否工作。 通过Console连接设备确认是否启动,同时目测的方式检查硬盘灯状态是否工作。 通过Console连接设备,要求用户按照前面步骤检查,如果不能解决则需RMA设备。 LCD面板显示如果设备可以\登录Please wait...? Console,选择Restore to Factory Default。 硬盘灯不再闪烁,系统无法启动 硬盘如果可以启动,根据SK37231重刷系统。 硬盘故障 如果硬盘灯不闪烁,确认是否有第二块硬盘可用,如果可用,则按照SK37231重刷系统然后RMA故障的硬盘。如果两块硬盘都有故障,则RMA整个设备。 如果硬盘灯不闪烁,确认第二块硬盘是否可用,如可用则按照SK37231重刷系统然后RMA故障的硬盘。如果两块硬盘都有故障,则RMA整个设备。 如果第一步检查不能解决问题,则按照SK37231重刷系统解决。重刷系统不能解决问题,则RMA整个设备。 硬盘RAID故障 硬盘灯不再闪烁,系统无法启动 如果硬盘工作,则根据SK37231重刷系统 CPU硬件故障 Muti-CPU不能工作 进入设备BIOS恢复到出厂设置,进入系统后cat / proc/cpuinfo确认所有CPU被识别。 网卡接口故障 网卡在系统中不识别 运行lspci | 更换网线,安装最新版本的grep –i eth系统或者补丁 查看系统识别的网卡。 确认网卡参数设置匹配对端,确认网线有连接,运行Hardware diagnostic tool选择17
通过设备面板上的按钮,选择到Hardware diagnostic tool进行网络检测。 通过设备面板上的按钮,选择到Hardware diagnostic tool进行检测。 网卡LED灯故障 LED灯不亮 如果第一步检查不能解决问题,则按照SK37231重刷系统解决。重刷系统不能解决问题,则RMA整个设备。 Network Test检查。 风扇不转故障 风扇无法运转,设备温度升高 确认该风扇是模块化可拆卸的,如果是则RMA风扇。 如果风扇不是模块化的,则需要RMA整个设备 Power以及其他高端设备是模块化的风扇,UTM-1等低端系列需要RMA整机。 注意使用Hardware diagnostic tool进行检测,如果所有检测是Ok,则设备正常。 当所有操作都检查后,仍然无法启动设备,则按照服务有效期对设备进行RMA。 设备Bios故障 设备启动后,LCD根据SK37231屏幕显示”Check 重刷系统。 Point?”后Console没有任何输出 设备无法启动 如果重刷系统不能解决问题则需RMA整个设备 一般性硬件故障 用Hardware 如果测试失败,则按照diagnostic SK37231重刷系统解决。 tool进行检测,确认所有测试项目是Ok. 重新启动设备,安装最新版本的补丁程序。 设备挂起、死机 Console无法登陆,网络中断 按照SK37231重刷系统,如确认设备挂起的频果重刷系统后依然存在问率,检查设备运行题,则需要对设备进行RMA。 的网络环境是否通风、温度、湿度是否合适 如果第一步无法解决,则按照SK37231重刷系统解决。重刷系统后,仍然存在问题则需要对设备进行RMA。 无法启动系统时,检查LCD显示屏上的信息,重新安装时,知道LCD屏显示Installation Success. 默认参数是 Baud rate 9600 data bits 9 系统无法完成启动 系统启动一半后停通过LCD屏幕止,不能正常启动 显示,选择\Temporary Restore\(YES), 使用Console连接确认使用了系设备没有任何显示 统自带的原装Console线,并且参数设置正确。 电源灯不亮,无法正常供电 检查电源连线,检查设备电源模块是否运转 确认使用的介质是否支持对应的硬件平台,安装前先阅读软件介质18
Console没有输出 如果第一步检查没有解决问题,则按照SK37231重刷系统解决。重刷系统后,仍然存在问题则需要对设备进行RMA。 如果有冗余电源,分别测试2个电源模块是否工作。 电源无法工作 Power系列电源问题仅需RMA电源模块,UTM系列电源问题需要RMA整机 如果仍然无法安装,则需要RMA设备。 软件无法安装在硬件上 使用Check Point介质,在硬件上不能完成安装 确认刻录的介质以及USB光驱是否工作正常 的releasenotes 4.1.2 网络环境问题 故障诊断 内网无法访问到internet 火墙与邻居设备直连接口无法启用 症状 内网无法访问到internet 第一步检查 第二步检查 建议 检查防火墙前后端网络,确认流量来回路由配置正确。 如果还不能解决,考虑更换两端设备的接口、板卡或者设备。 如果某接口存在大量某个源地址访问特定端口的流量,建议在物理层断开存在病毒的主机。 确认防火墙检查到达目标网段的网络之中是策略、NAT、否有访问控制设备阻止访问,比以及系统路如防火墙、IPS或者访问控制设由配置正常。 备灯。 检查网线是否虚接,重新插拔网络接口卡,或者更换接口模块,如果使用光纤接口,需要确认是单模、多模,使用的光纤线也要匹配 端口不UP,或确认两端设者只有一端备网卡接口UP,网络不通 双工与速率以及MTU参数配置正确 无法打开网页,或者访问速度非常慢 内网无法通过防火墙访问internet 防火墙内外如果防火墙是HA,则需要检查两接口抓包,查端路由配置是否一致,另外需要看是否有大注意是否有非对称路由 量来至固定区域的异常流量,排除病毒爆发的可能。 首先确认防火墙路由配置正确. 首先将防火墙策略卸载 将防火墙设备启用IP转发 SPLAT平台: #echo 1 > /proc/sys/net/ipv4/ip_forwad IPSO平台: #ipsofwd admin on,启用转发后,通过ping查看是否能访问到目标地址。 关闭IP转发 SPLAT平台 #echo 0 > /proc/sys/net/ipv4/ip_forwad IPSO平台 #ipsofwd admin off 特定源地址无法穿过防火墙访问目标地址 无法访问指定目标地址 该测试不建议在生产时间进行,建议通过单独的时间窗口执行。另外卸载策略会导致NAT失效,所以有NAT的环境无法使用该测试。 直连设备Ping到防火墙接口有丢包现象 直连Ping防火墙都存在丢包的问题 检查防火墙系统资源利用率是否在正常范围,如果系统资源19
如果性能正常,问题可能发生在处于网络核心位置网络部署层面,如内网接口配置的安全设备网络层过双接口,而且参与OSPF发布,部署越简单越好。 建议从简化防火墙部署拓扑层面,解决问题。 利用率居高不下,可能产生丢包。 特定业务类型无法穿过防火墙访问到目标地址 在日志中显示被防火墙drop掉,但策略和网络都是正常 检查是否有使用zdebug检查是否被防火墙IPS拦截该访状态检测引擎拦截,如是则在全问。 局属性中关闭stateful inpection针对TCP或者UDP协议的检测 如果关闭掉状态检测后,还是被拦截,则表明该协议对RFC协议的符合性有问题,建议规范化协议或者参考sk11088 bypass该协议类型。 某源地址的ICMP无法穿过防火墙访问到目标地址 在日志中显示被防火墙drop掉,但策略和网络都是正常 检查是否有使用zdebug检查是否被防火墙IPS拦截该访状态检测引擎拦截,如是则在全问。 局属性中关闭stateful inpection针对ICMP协议的检测。 如果关闭掉状态检测后,还是被拦截,则表明该协议对RFC协议的符合性有问题,建议规范化协议或者参考sk11088 bypass该协议类型。
4.1.3 防火墙软件问题 故障诊断 部分网段无法访问internet 症状 无法访问到internet 第一步检查 检查防火墙的策略、NAT、路由的配置 第二步检查 使用fw tab –t connections –s查看当前并发VALS值多大。 然后使用fw tab –t connections | grep limitation查看当前最大并发数值。 如果开了Anti-spoofing功能,则需要把无法访问internet的网段加到Trust Group中。 建议 防火墙默认设置的时25000,建议根据防火墙型号大小设置支持的合理并发范围。 部分网段无法访问到internet 部分网段无法访问,在SmartView Tracker中看到ip spoofing 检查防火墙topology属性中,是否开启有anti-spoofing防止IP地址欺骗功能 如果客户网络精细化管理很好,则可以开Anti-spoofing,但要注意随时更新trust group。如果不知网络有哪些网段,则建议关闭该功能。 防火墙进程CPU利用率高,如cpd、fwd等进程 CPU占用达到100% 登录系统命令行,执行top命令,查看CPU真实状态。 20
查找KB最新发布补丁的及时升级系统和防release notes,可能是软件火墙软件补丁的版bug导致CPU异常运行的可能。 本,通常建议是升级到最新版本。