上面检查网络连通性的几个方法日常维护系统管理.docx
-
资源ID:14121109
资源大小:70.43KB
全文页数:6页
- 资源格式: DOCX
下载积分:4元
快捷下载
会员登录下载
微信登录下载
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
上面检查网络连通性的几个方法日常维护系统管理.docx
感谢你的观看FortiGate 上面检查网络连通性的几个方法_FGT、日常维护、系统管理 7FortiGate 上面检查网络连通性的三个步骤1 适用范围更多: 所有的运行在NAT 或者 TP 模式下面的FortiGate 设备。2说明本文描述的是在FortiGate 上面检查网络连通性的三个典型步骤,这三个步骤的输出信息同样对于FortiGate 技术支持中心来说是非常有用的也是提交tcket 必须的附件。我们假设的网络环境如下显示: PC1 = portA FortiGate portB = PC2PC1和PC2分别直连在FortiGate的portA和portB 口上或者是跨过路由器连到FortiGate 的 portA 和 portB 口上, 出现的问题是 PC1 不能连接到PC2。3解决方案注意:在使用了NP2 网络处理器的FortiGate 接口上,由于网络流量有可能被 NP2处理器硬件加速从而导致 sniffer和debugflow 输出结果错误。请在使用这2 个命令前先确认你所使用的FortiGate 设备是否具有NP2 接口,如果是NP2 接口的话请参照“如何在 FortiGate 的 NP2 网络接口上面使用sniffer 或 debug flow功能”文章描述禁用 NP2 硬件加速功能。大体上的故障排除过程如下:步骤一:sniffer步骤二:debug flow步骤三:session list4步骤一,sniffer可以让PC1持续的ping着PC2然后确认如下几个问题结果:1, Ping 请求包是否从所期望的FortiGate 网口收到;2,检查ARP 请求是否正确的从目的接口发出去;3,检查ping 请求包是否从期望的FortiGate 几口发出去;4,检查ping 响应是否从上面的出接口收到;5,检查ping 响应是否正确的从FortiGate 的 portA 口发向PC1。具体命令如下:FGT# diagnose sniffer packet any "host or host " 4或者FGT# diagnose sniffer packet any "(host or host ) and icmp" 4在 sniffer 过滤器里面可以同时增加ARP 协议,这样有助于发现到PC2的ARP请求响应是否正确。具体命令如下:FGT# diagnose sniffer packet any "host or host or arp" 4敲“ CTRL+C ”可以中止 snifferSniffer 命令参数4可以显示出报文具体的进口和出口。5步骤二,debug flow正确的ping包应该可以正常的穿过 FortiGate,如果没有正常穿越,可以尝试用debug flow 命令来查找问题:diag debug enablediag debug flow filter add 或者diag debug flow filteradd diag debug flow show console enablediag debug flow trace start 100 diag debug enable要停止 debug flow, 可以使用命令"diag debug flow trace stop"1,下面是debug flow 具体的数据流由于没有匹配上了防火墙策略而被阻挡输出:id=20085 trace_id=319 func=resolve_ip_tuple_fast line=2825msg="vd-rootreceivedapacket(proto=6,192.168.129.136:2854->192.168.96.153:1863) from port3."id=20085 trace_id=319 func=resolve_ip_tuple line=2924 msg="allocate a new session-013004ac"id=20085 trace_id=319 func=vf_ip4_route_input line=1597 msg="find a route: gw-192.168.150.129 via port1"id=20085 trace_id=319 func=fw_forward_handler line=248 msg=" Denied by forward policy check"2,下面是debug flow 具体的数据流匹配上了防火墙基于策略IPSEC VPN策略ID = 2的输出:id=20085 trace_id=1 msg="vd-root received a packet (proto=1,10.72.55.240:1->10.71.55.10:8) from internal."id=20085 trace_id=1 msg="allocate a new session-00001cd3"id=20085 trace_id=1 msg="find a route: gw-192.168.56.230 via wan1"id=20085 trace_id=1 msg="Allowed by Policy-2: encrypt"id=20085 trace_id=1 msg="enter IPsec tunnel-RemotePhase1"id=20085 trace_id=1 msg="encrypted, and send to 192.168.225.22 withsource 192.168.56.226"id=20085 trace_id=1 msg="send to 192.168.56.230 via intf-wan1 “id=20085 trace_id=2 msg="vd-root received a packet (proto=1,10.72.55.240:1-10.71.55.10:8) from internal."id=20085 trace_id=2 msg="Find an existing session, id-00001cd3, original direction"id=20085 trace_id=2 msg="enter IPsec ="encrypted, and send to192.168.225.22 with source 192.168.56.226tunnel-RemotePhase1"id=20085 trace_id=2 msgid=20085 trace_id=2 msg="send to192.168.56.230 via intf-wan1"6步骤三,session list再进一步的故障分析可以检查防火墙的连接表,连接表查看支持过滤器设置,可以根据具体的源目的IP 地址或端口等信息过虑需要查看的防火墙连接表信息,具体如下:diag sys session filter src PC1diag sys session list或者diag sys session filter dst PC1diag sys session list清楚过虑器过虑出来的防火墙连接的命令如下:diag sys session filter dst PC1diag sys session clear 感谢你的观看