3. 在第一个CLI窗口开始 Kernel Debug : # fw ctl debug 0
# fw ctl debug -buf 32000
# fw ctl debug -m fw + drop conn vm packet machine # fw ctl debug -m fw + chain if cookie hold q sync # fw ctl debug -m cluster all
# fw ctl kdebug -T -f > /kernel_debug.ctl 2>&1
4. 在其中一个member的第二个CLI窗口执行External接口的Tcpdump # tcpdump -S -U -e -n -i
5. 在第三个CLI窗口运行FW Monitor
# fw monitor -u -e \ (refer to sk30583)
6. 打开第四个CLI窗口,在其中一个member上进行内网卡抓包
# tcpdump -S -U -e -n -i
7. 复现故障现象
8. 在第一个CLI窗口停止 Kernel Debug 执行CTRL + C # fw ctl debug -x
9. 在第二个CLI窗口停止TCPdump,执行CTRL + C
10. 在第三个CLI窗口停止FW Monitor ,执行CTRL + C
11. 在第四个CLI窗口停止TCPdump,执行CTRL + C
12. 搜集故障发生之后的防火墙链接表内容 # fw tab -u -f > /con_table_after.txt 2>&1
11. 将如下搜集的信息发送给Check Point工程师分析 $FWDIR/log/* <=== 最好能搜集如下目录的所有文件
/kernel_debug.ctl <=== 确保该文件能够打开 (vi /kernel_debug.ctl)
/tcpdump_ext.cap <=== 确保该文件能够打开(tcpdump -r /tcpdump_ext.cap | less) /tcpdump_int.cap <=== 确保该文件能够打开(tcpdump -r /tcpdump_int.cap | less) /fw_mon.cap
/con_table_before.txt /con_table_after.txt
36
5.7 防火墙日志问题排错流程
如果出现防火墙不转发log到SmartCenter或者也不存储日志在防火墙本地,或者防火墙日志本来应该转发到SmartCenter或者log server,但结果存储在本地等类似的问题,可以按照 如下流程对日志问题进行排查,
37
5.8 策略下发失败的问题排错流程
碰到策略下发失败的问题时,首先需要注意报错的详细信息,检查防火墙与SmartCenter之间的SIC是否正常通信,然后根据报错的信息在Google和KB中搜索相关报错信息,查找可能的解决方案,然后按照如下排错的流程查找问题。
38
5.9 Voip协议的排错流程
遇到Voip一类的问题后,在确认策略、NAT以及IPS配置都正确的前提下,先确认已经添加了所有对应Voip协议,尤其是sip协议有一个sip_dynamic_ports的选项,是在Services?Others中,另外可以尝试将Voip相关协议的Advance属性?protocol type?None,如果还是不能接近问题请登陆防火墙命令行,对防火墙模块进行如下deubg进行排错。 首先在防火墙上初始化debug的命令 复现故障现象
停止debug并且将debug数据搜集发送给Check Point工程师 ***注意: kerneldebug可能会给防火墙造成性能影响,因此最好是在设备的维护时间窗口进行debug减少对生产系统的影响。***
DEBUG 命令:
############################################################## 如果使用的是 SIP 协议:
############################################################## 1) 初始化debug命令: # fw ctl debug 0
# fw ctl debug -buf 32000
# fw ctl debug -m fw + drop conn ld sip # fw ctl kdebug -T -f > /kdebug.out
2) 打开新的CLI窗口
对相关的数据流量或者协议进行抓包,建议定义详细抓包命令后进行抓包。 # tcpdump -i
3) 根据相关流量或者协议,建议定义详细抓包命令后抓取fw monitor数据: # fw monitor -e \
4) ----- 开始抓包后,复现故障现象-----.
5) 故障现象复现后,通过如下步骤分别停止debug和数据搜集 : 停止debug 使用命令# fw ctl debug 0 停止 tcpdump 使用 CTRL-C 停止 fwmonitor 使用 CTRL-C
6) 搜集如下数据 : /kdebug.out
/ethX_tcpdump.out /fw_mon.out
39
############################################################## 如果使用的是H323协议:
############################################################## 1) 初始化debug命令: # fw ctl debug 0
# fw ctl debug -buf 32000
# fw ctl debug -m fw + drop conn ld # fw ctl debug -m h323 all # fw ctl debug -m CPAS all
# fw ctl kdebug -T -f > /kdebug.out
2) 打开新的CLI窗口
对相关的数据流量或者协议进行抓包,建议定义详细抓包命令后进行抓包。 # tcpdump -i
3) 根据相关流量或者协议,定义详细抓包命令后抓取fw monitor数据: # fw monitor -e \
4) ----- 开始抓包后,复现故障现象-----.
5) 故障现象复现后,通过如下步骤分别停止debug和数据搜集 : 停止debug 使用命令# fw ctl debug 0 停止 tcpdump 使用 CTRL-C 停止 fwmonitor 使用 CTRL-C
6) 搜集如下数据 : /kdebug.out
/ethX_tcpdump.out /fw_mon.out
############################################################## 注意 !!!
为方便TAC工程师排错,通常建议将于故障设备相关的IP以及端口号告诉支持工程师 ##############################################################
6 典型故障排查
在此举例在某次TAC远程支持过程中排查某客户防火墙发生重起后的故障,其中包括常见的故障信息收集命令,以及防火墙运行状态信息检查命令, IP1285[admin]# top
IP1285[admin]# ifconfig -a |grep vrrp IP1285[admin]# fwaccel conns -s
40