华为USG防火墙运维命令大全

华为USG防火墙运维命令大全

USG防火墙运维命令大全

查会话

TCP/UDP/ICMP（ICMP只有echo request和echo reply建会话）/GRE/ESP/AH的报文防火墙SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防

：表示在做NAT时转换后的IP。：表示在做NAT时转换前的IP。

2010/07/01

icmp VPN: public

Zone: trust -> local TTL: 00:00:20 Left:

Interface: I0 Nexthop: 127.0.0.1 MAC:

<-- packets:4462bytes:374808 -->packets:4461

10.160.30.17:43986<–10.160.30.2:43986

10.160.30.2的报文的会话。这条会话为icmp会话。以下是关键信息的解释：

trust，目地域为local（源域 -> 目的域）Left: 00:00:20表示会话表老化时间，left表示会话表剩余多少时间老化Nexthop: 127.0.0.1 MAC: 00-00-00-00-00-00IP地址和MAC地址–>packets:4461bytes:374724代表会话inbound方向的字节数和报文数，–>代表会话outbound方向/同域的字节数和报文数

表示会话首包是inbound，–> 表示会话首包是outbound或者同域

TCP/UDP/ICMP/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP无法使用该方法排查。

检查接口状态

down而导致报文不通的情况。

Physical）和协议层（Protocol）都是up，如果有down现象，检(光纤，光模块)本身是否有问题，更换网线(光纤，光模块)尝试。

IP Address Physical Protocol Description 192.168.1.124 up up Huawei, USG5000 10.160.30.17 up up Huawei, USG5000 2.1.1.2 up up Huawei, USG5000 3.1.1.2 down down Huawei, USG5000 unassigned down down Huawei, USG5000 unassigned up down Huawei, USG5000

GigabitEthernet0/0/3和GigabitEthernet1/0/0的物理层是down，其中GigabitEthernet0/0/3已经配置了IP地址，而未配置，物理层down可能是因为网线被拔出或网线出问题，或者是与其对接的接口down，需要检查线路。的协议层down是因为没有配置ip地址。

检查接口统计信息

ping有丢包时，可以检查接口统计信息，确认接口是否有丢包。

error，确认CRC/ collisions有无增长，如果有增长确认接口双工模式和速率是否与对端设备一致。Errors：对齐错误，即传送的包中存在不完整的字节，包括前导码和帧间隙。：碰撞错误。：超短包，长度小于64字节但CRC值正确的数据包。：超长包，长度大于1618(如果带vlan是1622)字节的CRC值正确的数据包。（Input）：长度为64至1618字节之间但CRC值不正确的数据包。（路由器中长度为64至1618字节之间的Alignment、Dr

（Input）：PHY层发现的错包。（Input）：接收队列满失败包。（Output）：发送64字节后发生碰撞的错误包。

/半双工等。

0/50/0

0/75/0

Last 5 minutes input rate 1083 bytes/sec,packets/sec

Last 5 minutes output rate 1019 bytes/sec,packets/sec

Input: 15901905 packets, 3060644220

180 broadcasts, 19745 5920 errors, 0 runts, 0 giants, 0 0 CRC, 0 frames, 5920 overruns, 0 align

Output: 10641815 packets, 1764395150

200 broadcasts, 0 0 errors, 0 underruns, 0 collisions, 0 late 0 deferred, 0 lost carrier, 0 no carrier

Input方向出现了5920个overruns，很有可能之前出现了瞬间很大的流量，导致overruns丢包。

查看防火墙系统统计

TcpSession、UDPSession、ICMP session这三项统计值的和TCP半连接数，CurHalfCon统计值就是半连接数，通过该值可以确认半连接数是否过多，是否受到syn-flood攻击TCP业务是否丢包，使用RcvTCPpkts、RcvTCPbytes、PassTCPpkts、PassTCPOcts统计值，正常情况下Pass和不会相差很多

报文个数和转发的个数计算被防火墙丢弃的个数。

查看设备的运行状况

UP等异常情况时，可以查看设备的运行状况，看主控板、接口卡等是否运行正常。

display device。

Type Online Status

RPU Present Normal 2GE Present Normal PWR(AC) Present Abnormal PWR(AC) Present Normal FAN Present Normal

分享 顶 踩回复

L3 发表于 2015-3-27 13:57:30沙发查看告警信息

USG5300和E200告警.xls》。

display diagnostic-information。

Slot Date Time Para1 Para2

3 10/7 11:28:4 1 255 3 10/7 10:19:8 1 255

查看内存使用率

80％

display memory-usage。

Memory utilization statistics at 2010-07-07 19:27:38 50

System Total Memory Is: 2147483648

Total Memory Used Is: 1013878696

Memory Using Percentage Is:

查看CPU使用率

占有率应正常，与当前开展的业务类型和转发流量相符。超过60％应分析当时的业务流量。USG5300是由转发平面转发的，CPU使用率与流量关系不大，只与业务类型有关，一般的来说，软件IPSEC/L2TP/ASPF/NAT ALG对CPU资源消耗较大。

display cpu-usage-for-user。

: 6% : 6% : 6%

检查各器件温度信息和电压信息

display environment。

CurrentTemperature LowLimit HighLimit Status

(Celsius) (Celsius) (Celsius)

CPU 44 0 85 OK

VENT 29 0 65 OK

CheckPoint ReferenceVol Range CurrentVol Status

DDR 1.8V 1710~ 18901790mV OK

IO-1 2.5V 2362~ 26132494mV OK

IO-2 3.3V 3126~ 34553299mV OK

IO-3 1.8V 1710~ 18901820mV OK

CPU 1.0V 950~ 10501000mV OK

FAN 9.0V 8520~ 94208940mV OK

USB 5.0V 4732~ 52265044mV OK

查看日志

可以查看日志，查找之前发生过的和当前故障相关的信息，从而定位故障原因。从日志中能看到，接口UP/DOWN、

display logbuffer。

logbuffer

logbuffer

GigabitEthernet0/0/2: change status to GigabitEthernet0/0/2: change status to GigabitEthernet0/0/2: change status to

exit from configure mode

回复 支持 () 反对 ()

L3 发表于 2015-3-27 13:58:01板凳2 楼查看丢包统计，确定是否丢包

dataplane discard

）[Eudemon_VC-A-hidecmd]reset dataplane discard //清除当前丢包统计）[Eudemon_VC-A-hidecmd]display dataplane discard //显示丢包函数: 100

: 0 : 0 : 0

）[Eudemon_VC-A-hidecmd]display dataplane discard DP_FW_Rcv verbose //根据丢包函数具体查看丢包位

2009/06/10

:exit 0 :exit 0 :exit 0 :exit

100:exit0:exit0）根据上面查看到的函数，在《USG5300丢包原因查看手册》查询丢包原因。

规则越精确越好，保证debug统计的数据流

进入隐藏

//查看结果acl 3333//测试完成后，取消调试命令，否则对设备性能存在一定的消耗

使用远程抓包抓取报文

pc，pc上面通过工具接收，保存为cap格式，可以通过抓包工具打开分析报文的正确性。[USG5000]acl 3333[USG5000-acl-adv-3333]rule permit ip source 172.16.133.30 0172.16.202.12 0 //源和目的ip越精确越好，否则对设备性能影

GigabitEthernet 0/0/0 //进入需要抓包的接口视图[USG5000-GigabitEthernet0/0/0]firewall packet-capture 3333 queue 0 //acl规则和队列

2.[USG5000]firewall packet-capture startup difficult 300 //开始抓包。报文长度小于100byte，difficult:不限制大小3.[USG5000]firewall packet-capture send queue 0 ip 1.1.1.1 //抓满后，PC，PC需要打开软件接收。指的是打开Firewall_Packetyzer.exe工具的PC。[USG5000]display firewall packet-capture statistic //显示抓包情

[USG5000]display firewall packet-capture queue 0 //显示队列是情

[USG5000]undo firewall packet-capture startup //测试完成后，关闭

远程抓包客户端，在PC上面运行接收防火墙发送的

vpn报文或者防火墙自身发送的报文远程抓包功能是抓不到的，建议在非业务高峰进行。

检查ARP表项

UP时，如果ping对端设备不通，可以检查arp表项是否正常。

（路由模式下显示arp表项）透明模式下显示arp表项)透明模式下显示MAC转发表)

ARP表项是否正确，如果不正确或者经常变化请检查网络是否存在多个设备回应ARP应答情况。可以使debugging arp packet调试命令检查设备的ARP请求和应答情况。

2010/07/02

MAC ADDRESS EXPIRE(M) TYPE VPN-INSTANCE VLAN 0022-a100-18ea I GE0/0/3 00e0-fc00-000c 7 D GE0/0/3 0022-a100-18e9 I GE0/0/2

0022-a100-18e8 I GE0/0/1

0022-a100-18a0 18 D GE0/0/1

0022-a100-18e7 I GE0/0/0

Dynamic:2 Static:0 Interface:4

2010/07/02

2010/07/02

Display the debugging information to terminal may use a large number of cpu resource and result in system’s reboot!

display arp只对三层口有意义。

检查路由

UP时，但如果ping远端设备或PC不通，可以检查一下路由表项是否正常。

display fib或display ip routing-table查看防火墙fib表是否有相应的路由，并检查是否正确。针对动态路由请使display ospf peer、display ospf brief等ospf命令检查ospf是否正常；针对静态路由，使用display current-configuration命令检查是否添加相应的静态路由。

fib

2010/07/02

Nexthop FlagInterface

10.160.30.2 GSU t[0] GigabitEthernet0/0/1 192.168.1.156 GSU t[0] GigabitEthernet0/0/0 10.1.1.1 GSU t[0] GigabitEthernet0/0/3 127.0.0.1 GHU t[0] InLoopBack0 10.1.1.2 U t[0] GigabitEthernet0/0/3 10.160.30.2 GSU t[0] GigabitEthernet0/0/1 10.160.30.17 U t[0] GigabitEthernet0/0/1 192.168.1.124 U t[0] GigabitEthernet0/0/0 127.0.0.1 GHU t[0] InLoopBack0 127.0.0.1 GHU t[0] InLoopBack0

127.0.0.1 GHU t[0] InLoopBack0

127.0.0.1 GHU t[0] InLoopBack0

5.1.1.1 U t[0] LoopBack0 127.0.0.1 U t[0] InLoopBack0

ip

2010/07/02

Routing Table: public

ProtocolCost Nexthop Interface

STATIC 60 0 10.1.1.1 GE0/0/3 10.160.30.2 GE0/0/ 192.168.1.156 GE0/0/0 DIRECT 0 0 5.1.1.1 LoopBack0 DIRECT 0 0 127.0.0.1 InLoopBack0 DIRECT 0 0 10.1.1.2 GE0/0/3 DIRECT 0 0 127.0.0.1 InLoopBack0 DIRECT 0 0 10.160.30.17 GE0/0/1

DIRECT 0 0 127.0.0.1 InLoopBack0

DIRECT 0 0 127.0.0.1 InLoopBack0 DIRECT 0 0 127.0.0.1 InLoopBack0 DIRECT 0 0 192.168.1.124 GE0/0/0

DIRECT 0 0 127.0.0.1 InLoopBack0

STATIC 60 0 10.160.30.2 GE0/0/1

检查IPSEC统计

IPSEC，可以先检查IPSEC统计，看报文在IPSEC中是否能正常处理。

display ipsec statistics查看防火墙IPSEC隧道相关的统计，统计里面标记出了具体的IPSEC报文的丢包原因，根据这个IPSEC原因引起的丢包。

2010/07/01

the security packet

input/output security packets:

input/output security bytes:

input/output dropped security packets:

dropped security packet

no enough memory: can't find SA: queue is full: authentication is failed: wrong length: replay packet: too long packet: wrong SA: encry fail: decry fail: check acl car: speed limit car: pre-check fail: succeed-check fail: other reasons: 0

pre-check fail统计值为65，说明这里发生了前反查失败的情况，需要检查对端是有需要IPSEC封装的报文直接将原始报ACL，看是否两端的ACL不一致。

回复 支持 () 反对 ()

L3 发表于 2015-3-27 13:58:28地板3 楼检查IP/ICMP统计

ip报文统计信息来定位问题原因。

no route/ TTL exceeded等异常计数是否在增长，如果增长比较快，使用debugging ipicmp调试命令查看输出的调试信息

E200做NAT Outbound访问Internet，发现E200的CPU使用率很高，经常达到100%。查看icmp统计：

Input: bad formats 0 bad0

echo 0 destination 0 source 0 redirects 0 echo reply 0 parameter 0 timestamp 0 information 0 mask requests 0 mask 0 time 0

Output:echo 0 destination3327150

source 0 redirects 86 echo reply 0 parameter 0 timestamp 0 information 0 mask requests 0 mask 0 time exceeded 0

NAT地址池地址使用防火墙接口地址，有大量无会话访问NAT地址池地址的流量。规避这个问题的方法是配置严格的到防火墙自身

NAT地址池地址的流量，但NAT地址池地址不NAT地址池地址为目的地址的报文，防火墙查路由，仍向外网口发送，但防火墙下行设备认为该地址的目的路NAT地址池地址配置黑洞路由。

打开IP调试开关调试

ip调试开关，来确定报文是否到达防火墙，以及是否从防火墙发出。

ACL，假定发生中断的业务源IP地址为3.4.0.23，目的IP地IP，协议类型为ICMP，未使用的ACL编号为ACL 3999。

permit icmp source 3.4.0.23 0permit icmp destination 3.4.0.23 0IP调试开关调试

debugging ip packet查看到。

检查防火墙双机热备配置

VRRP进而HRP的状态，再进一步定位问题。

VRRP、HRP配置是否正常，使用display hrp state、display vrrp检查两台防火墙主备状VRRP备份组，不能出现双主状态，否则影响上下行设备的ARP学习。如果状态不对，请修改并检查故障

The firewall’s config state is:

Current state of virtual routers configured as

GigabitEthernet0/0/1 vrid 1 : GigabitEthernet0/0/0 vrid 2 : master

GigabitEthernet0/0/1 | Virtual Router

state :

Virtual IP :

PriorityRun :

PriorityConfig :

MasterPriority :

Preempt : YES Delay Time :

Timer :

Auth Type :

Check TTL :

GigabitEthernet0/0/0 | Virtual Router

state :

Virtual IP :

PriorityRun :

PriorityConfig :

MasterPriority :

Preempt : YES Delay Time :

Timer :

Auth Type :

The firewall’s config state is:

Current state of virtual routers configured as

GigabitEthernet0/0/1 vrid 1 : GigabitEthernet0/0/0 vrid 2 : slave

GigabitEthernet0/0/1 | Virtual Router

state :

Virtual IP :

PriorityRun :

PriorityConfig :

MasterPriority :

Preempt : YES Delay Time :

Timer :

Auth Type :

Check TTL :

GigabitEthernet0/0/0 | Virtual Router

state :

Virtual IP :

PriorityRun :

PriorityConfig :

MasterPriority :

Preempt : YES Delay Time :

Timer :

Auth Type :

Check TTL :

检查NAT配置

nat时，需要检查NAT Server或者NAT地址池是否与出接口的vrrpvrid绑定。

NAT Server或者NAT地址池必须与出接口的vrrpvrid绑定，否则影响上下行设备的ARP学习。如果vrrpvrid，请修改并检查故障是否消除（再打开IP调试开关调试）。

检查防火墙上下行设备的路由表项和ARP表项

当确定报文未到防火墙或已从防火墙发出，则需要检查上下行设备的路由表项和ARP表项。

ARP表项，二层设备的MAC转发表。重点关注ARP表项和MAC表项是否有

打开防火墙默认包过滤

ACL时，如果发生报文不通，则可以打开防火墙默认包过滤，来排除是否由于ACL导致问题。

ACL没有deny规则（如果有请删除），检查故障是否消除（再打开IP调试开关调试）。

关闭攻击防范

undo firewall defend all enable关闭所有攻击防范，检查故障是否消除（再打开IP调试开

关闭状态检测

TCP报文或ICMP报文不通，则可以先关闭状态检测，看是否能通。如果能通了，很有可能是因为来回

undo firewall session link-state check关闭状态检测，检查故障是否消除。

关闭保序功能

ping包延时很大，则可以尝试关闭保序功能，看故障是否消除。

undo firewall fifo enable关闭保序功能，检查故障是否消除。

取诊断信息

display diagnostic-information取防火墙诊断信息（双机组网取两台设备诊断信息），并第一时间800，在条件允许的情况下，在防火墙上下行两侧同时进行镜像抓包。

display diagnostic-information。