找不到指定防火墙的log 防火墙log不记录在本地也不转发到SmartCenter 登录获取命令登录防火墙命令行,通过行,使用tcpdump抓取257端口的报文,netstat –an | 对防火墙与SmartCenter进行grep 257端口,fwd与fwm的debug.(详情见查看与附录debug步骤详解) SmartCenter是否有通信。 检查CPU、MEM使用率 如果防火墙有CoreXL,则建议合理调整默认dispatch与instance的配置,给负载高的接口指定单独的CPU。 建议定期对防火墙与管理服务器进行补丁升级,通常建议升级到最新版本。 业务流量高峰期下发策略导致ClusterXL切换
Cpu在下发策略期间激增,HA发生切换 根据多核 4.1.4 防火墙性能问题 故障诊断 CPU相关问题排错 症状 SmartView Monitor中发现CPU 100% 第一步检查 建议在防火墙命令行执行top检查cpu真实利用率 检查防火墙是否更新最近的补丁 #fw ver –k 查看CPU内核分配 # fw ctl multik stat 查看防火墙当前并发连接数量 # fw tab -t connections -s 确认防火墙是否过载。 检查客户网络流量、并发、吞吐、以及设备性能是否满21
第二步检查 确认防火墙是否有更新最新版本补丁。 建议 此类问题可能由于软件Bug导致,所以通常建议定期升级防火墙补丁版本。 如果没有启用加速模块,则建议启用。命令 #fwaccel on CPU利用率高 CPU利用率确实高位运行 查看CPU内核数量。 # cat /proc/cpuinfo 查看加速模块运行状态 # fwaccel stat # fwaccel stats # fwaccel cons -s 检查防火墙NAT数量,NAT比较消耗系统CPU资源。 检查防火墙网卡承载的流量大小,#netstat –i。 检查网络中流量的类型,是否小包数量较多。 CPU利用率高 CPU利用率确实高位运行 在HA环境中,如果有协议做状态同步,在CPU负载过高时,建议取消协议属性”Advance”中的Synchronizing connections on Cluster属性(HTTP/DNS/HTTPS) 评估设备性能根据需要开启功能,deny all的策略最好不记log。 CPU利用率高 CPU利用率高位运行 检查是否有启用Accounting、Alert、Qos、IPS以及过多的NAT策略与访问控制规则,以及记录过多策略的log. 足。 使用top命令查看CPU利用率发现Softirq占用大量CPU资源 CPU利用率高,网络延时大和ping有丢包现象发生。 确认防火墙是否采用多核CPU,然后使用命令fw ctl affinity -l -v –a查看当前CPU分配情况。 通过netstat –i检查接口上的TX-Drop传输丢包数量是否多。 netstat –i命令检查同步接口的数据传输状态,是否有大量TX-DRP 检查是否几个网卡绑定在一个CPU上,使用#fwpprof -t 1命令查看当前网卡分配的CPU情况。 注意需要考虑防火墙instance与dispatch的分配合理,调整instance使用cpconfig命令,调整dispatch 使用sim affinity命令。详情参考KB的sk36846 出现此类问题,要么扩容接口速率,要么端口聚合,或者升级到更高端性能的硬件设备。 两台防火墙做同步的链路聚合端口应该使用交叉线直连。注意配置端口链路聚合时,所有接口的双工、速率属性必须一致。 netstat –i显示某网卡接口TX-DRP有大量数据 fw ctl pstat命令输出Sync属性提示%updates as a result of sync overload: xxxxxx Ping有丢包,网络有延时,CPU利用率不高。 主备防火墙会话同步的数量相差太大(通过fw tab –t connections –s 检查) 如有大量丢掉的TX-DRP包,而CPU利用率不高,说明瓶颈出现在网卡上,建议采用链路聚合或者升级更高容量如万兆接口。 建议采用防火墙的同步接口速率不小于业务接口速率的网卡,如果需要同步的会话非常大,建议使用链路聚合方式做同步接口。 执行free命在SPLAT执行令显示防火墙free命令或可用内存很少 者IPSO执行top命令显示系统可用内存很少。 使用fw tab –t connections –s 检查当前会话是否超过设备所能处理的范围 如果不是并发或者流量太大的问题,我们在分析防火墙真实内存使用量时,应该是'free' + 'buffers' + 'cached',即使用free命令时,查看-/+ buffers/cache:这行输出对应的free的值。 防火墙会占用部分内存用于cache和buffer来加快处理新流量,所以真实可用的内存应该是'free' + 'buffers' + 'cached'的值。参考sk42717
5 功能模块Debug过程
经过前文所述各项检查完成后,如未能查到问题原因,那么需要对防火墙进行Debug,由于防火墙是由多功能模块组成,我们碰到的问题也可能与各功能模块相关,比如正常流量被防火墙状态检测层认为是非标准协议类型,这属于FW模块,又比如site to site VPN无法建立tunnel, 或者ClusterXL模块异常的Failover等,根据这些不同的模块,有他们各自的debug标记,因此,下
22
面将对各模块相关的故障,如何使用debug进行详细介绍,使用debug特别需要注意以下几点:
? 开debug之前先评估当前防火墙负载,debug只需提取故障期间数据即可 ? 开debug之前,先关闭SecureXL加速模块(fwaccel off)
? 一定要抓取故障期间的debug数据,时间控制在2分钟以内 ? Debug结束后一定要执行debug关闭命令
5.1 防火墙Kernel Debug命令
5.1.1 概述:
a. 火墙kernel 报错的消息会出现在各种各样的情景,有些报错消息是在某种特定的条件下触
发,有些这是通过debug设置的标记来触发。
b. 可以通过设置debug的标记有选择的调试需要的消息。
c. 通常默认情况下,消息直接显示在UNIX系统的console界面,我们可以通过命令将debug
输出写到指定的文件。
5.1.2 Debug flags and modules:
d. 所有的debug 标记都会打包到“module”,通常module代表产品或者功能模块,比如:fw, VPN,
h323., cluster等。
e. 每一module有一个debug标记(flag)的列表,每一个标记都可以启用或者是禁用,其中一些
标记是默认的,通常没有理由重置他们。其他的默认是关闭的,可以进行设置。 f. 通过命令 fw ctl debug –h 是可以看到module和标记(flag)的所有列表。
5.1.3 Debug的buffer:
g. 如果不想让debug的消息显示在console界面,可以通过fw ctl debug -buf命令设置debug
buffer将信息缓存到buffer中。
h. fw ctl kdebug 命令可以用来读buffer,并且显示消息,这是从buffer中读取出来的,所以这
样可以存储更多的debug信息。
buffer是循环的,这意味着如果没有足够的buffer来缓存新的debug信息时,老的debug信息将会从缓存中删掉,在这种情况下console下将会显示debug 丢失的消息。
5.1.4 参考的命令:
i.
fw ctl debug – 设置标记和定义buffer
1)fw ctl debug 0 设置所有的标记(flag)到默认的值,释放debug的buffer。 2) fw ctl debug -buf [size]-分配buffer的大小,默认是128KB,最大时32000KB。 3) fw ctl debug [-m module] [+|-] 标记(flag)-对所请求的模块(默认是fw)设置或者重置debug
23
标记(flag)。
? 如果使用+, 是指设置了指定的标记(flag),其余的保持原状。 ? 如果使用-, 是指重置了指定的标记(flag),其余的保持原状。 ? 如果使用了-和+,是指指定的设置了标记,其余的全部重置。
j. fw ctl kdebug [-f] – 读取debug的buffer,如果没有debug的buffer,这个命令将会失败,
如果-f 可用,这个命令将会每秒读取buffer并且输出消息,知道按CTRL+C 终止debug,否则,将会读取当前的buffer内容并且结束。
如下是针对fw模块的一个kernel debug实例: 如果在真实环境中碰到在策略、路由、以及NAT和IPS或者Anti-Spoofing配置都正常的情况下,某应用被防火墙拦截的问题,下面通过对防火墙模块内核进行debug查找被拦截的原因. fwaccel off #关闭SecureXL加速 fw ctl debug 0 #初始化debug fw ctl debug -buf 32000 #设置debug buffer
fw ctl debug -m fw + drop conn vm packet machine #设置debug的标记
fw ctl kdebug -T -f > /var/tmp/kernel_debug.ctl #将debug输出到文件/var/tmp目录
根据经验,即使有时候看到该应用的确被防火墙状态检测层拦截,但是如果客户的该协议内容是非标准协议,或者说与RFC标准不符合,都会导致在debug文件中看到防火墙拦截了该应用,因此可行的解决办法可能是更新该协议版本,或者参考sk41444。
24
5.2 正常流量被拦截的排查流程
如果在真实环境中碰到在策略、路由、以及NAT和IPS或者Anti-Spoofing配置都正常的情况下,某应用被防火墙拦截的问题,可以通过如下流程对防火墙进行排查,查找正常应用被拦截的原因.
25