上面检查网络连通性的几个方法日常维护系统管理.docx
《上面检查网络连通性的几个方法日常维护系统管理.docx》由会员分享,可在线阅读,更多相关《上面检查网络连通性的几个方法日常维护系统管理.docx(6页珍藏版)》请在三一文库上搜索。
1、感谢你的观看FortiGate 上面检查网络连通性的几个方法_FGT、日常维护、系统管理 7FortiGate 上面检查网络连通性的三个步骤1 适用范围更多: 所有的运行在NAT 或者 TP 模式下面的FortiGate 设备。2说明本文描述的是在FortiGate 上面检查网络连通性的三个典型步骤,这三个步骤的输出信息同样对于FortiGate 技术支持中心来说是非常有用的也是提交tcket 必须的附件。我们假设的网络环境如下显示: PC1 = portA FortiGate portB = PC2PC1和PC2分别直连在FortiGate的portA和portB 口上或者是跨过路由器连到F
2、ortiGate 的 portA 和 portB 口上, 出现的问题是 PC1 不能连接到PC2。3解决方案注意:在使用了NP2 网络处理器的FortiGate 接口上,由于网络流量有可能被 NP2处理器硬件加速从而导致 sniffer和debugflow 输出结果错误。请在使用这2 个命令前先确认你所使用的FortiGate 设备是否具有NP2 接口,如果是NP2 接口的话请参照“如何在 FortiGate 的 NP2 网络接口上面使用sniffer 或 debug flow功能”文章描述禁用 NP2 硬件加速功能。大体上的故障排除过程如下:步骤一:sniffer步骤二:debug flow
3、步骤三:session list4步骤一,sniffer可以让PC1持续的ping着PC2然后确认如下几个问题结果:1, Ping 请求包是否从所期望的FortiGate 网口收到;2,检查ARP 请求是否正确的从目的接口发出去;3,检查ping 请求包是否从期望的FortiGate 几口发出去;4,检查ping 响应是否从上面的出接口收到;5,检查ping 响应是否正确的从FortiGate 的 portA 口发向PC1。具体命令如下:FGT# diagnose sniffer packet any host or host 4或者FGT# diagnose sniffer packet a
4、ny (host or host ) and icmp 4在 sniffer 过滤器里面可以同时增加ARP 协议,这样有助于发现到PC2的ARP请求响应是否正确。具体命令如下:FGT# diagnose sniffer packet any host or host or arp 4敲“ CTRL+C ”可以中止 snifferSniffer 命令参数4可以显示出报文具体的进口和出口。5步骤二,debug flow正确的ping包应该可以正常的穿过 FortiGate,如果没有正常穿越,可以尝试用debug flow 命令来查找问题:diag debug enablediag debug fl
5、ow filter add 或者diag debug flow filteradd diag debug flow show console enablediag debug flow trace start 100 diag debug enable要停止 debug flow, 可以使用命令diag debug flow trace stop1,下面是debug flow 具体的数据流由于没有匹配上了防火墙策略而被阻挡输出:id=20085 trace_id=319 func=resolve_ip_tuple_fast line=2825msg=vd-rootreceivedapacket
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上面 检查 网络 连通性 几个 方法 日常 维护 系统管理
链接地址:https://www.31doc.com/p-14121109.html