網(wǎng)御防火墻常用命令

1、system show 查看防火墻版本信息 可以看到防火墻名，硬件型號(hào)，軟件版本以及序列號(hào)。 admhost show 查看管理主機(jī) admhost add ip x.x.x.x 添加管理主機(jī) admhost del ip x.x.x.x 刪除管理主機(jī)第一頁(yè)，共二十八頁(yè)。admmode show 查看管理方式 顯示管理方式 WEB/串口 SSH/PPP admmode on sshInterface show all查看防火墻的接口信息，包括接口數(shù)量，ip地址，子網(wǎng)掩碼，開(kāi)啟狀態(tài)主要查看接口配置是否正常，配合周邊設(shè)備查看網(wǎng)絡(luò)是否通與不通。第二頁(yè)，共二十八頁(yè)。Interface show if

2、feX (X代表接口序號(hào)，例如fe1,fe2,fe3等)可以捕獲防火墻的MAC地址，接口類型，鏈路模式，協(xié)商速度最大傳輸單元，等等一些接口詳細(xì)信息。最主要的是看看trunk，ip/mac等參數(shù)是不是誤開(kāi)，接口是不是允許ping等。第三頁(yè)，共二十八頁(yè)。使用ifconfig命令配置并查看網(wǎng)絡(luò)接口情況 示例1: 配置eth0的IP，同時(shí)激活設(shè)備: # ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 示例2: 配置eth0別名設(shè)備 eth0:1 的IP 示例3:激活（禁用）設(shè)備 # ifconfig eth0:1 up(down) 示例4:查看所有

3、（指定）網(wǎng)絡(luò)接口配置 # ifconfig (eth0)備注：如果要對(duì)接口添加允許管理允許ping等相關(guān)參數(shù)的時(shí)候，則要使用防火墻自身的命令interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on第四頁(yè)，共二十八頁(yè)。第五頁(yè)，共二十八頁(yè)。RX packets 接受數(shù)據(jù)包的數(shù)量 收包丟棄量大TX packets 發(fā)送數(shù)據(jù)包的數(shù)量errors 錯(cuò)誤包的數(shù)量 硬件信號(hào)錯(cuò)誤dropped 丟棄的數(shù)據(jù)包數(shù)量如果有丟棄的數(shù)據(jù)包說(shuō)明流量大或者驅(qū)動(dòng)有問(wèn)題overrun

4、s 數(shù)據(jù)包溢出的數(shù)量frame 幀錯(cuò)誤carrier 載波collision 沖突 長(zhǎng)連接，慎用。作用是將連接的時(shí)間變短或者變長(zhǎng)不能加any到any的長(zhǎng)連接 具體協(xié)議，服務(wù)不能使ANY 不然出問(wèn)題。第六頁(yè)，共二十八頁(yè)。ethtool ethX 查看網(wǎng)口協(xié)商情況 從上圖我們可以看出網(wǎng)口協(xié)商為100M全雙工。由于很多設(shè)備都設(shè)置為自適應(yīng)，這樣兩個(gè)設(shè)備協(xié)商后速率和雙工模式自動(dòng)協(xié)商后到底是什么從防火墻界面是看不出來(lái)的，所以就需要我們用ethtool命令查看，關(guān)于網(wǎng)口不通的情況，很多時(shí)候使用ethtool排錯(cuò)是非常有用的。第七頁(yè)，共二十八頁(yè)。acsc on和acsc show top開(kāi)啟連接管理功能查看t

5、op 10的連接以上命令主要是讓工程師在不打開(kāi)頁(yè)面的情況下可以更好的分析那個(gè)主機(jī)IP大量進(jìn)行連接。config reset 是恢復(fù)出廠設(shè)置config save是保存配置 這些命令大家可能都知道，我在這里重復(fù)只是希望大家真正熟練掌握，并在現(xiàn)場(chǎng)第一時(shí)間使用第八頁(yè)，共二十八頁(yè)。ip route show 顯示路由表信息，對(duì)于大型網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)，路由表是非常重要的。 排錯(cuò)的時(shí)候40%的路由表的問(wèn)題，20%的故障是跟路由表相關(guān)的其他功能的問(wèn)題。所以路由表是非常重要的。第九頁(yè)，共二十八頁(yè)。HA show configHA show status可以查看HA配置和HA的協(xié)商情況以及目前的主備狀態(tài) 第十頁(yè)，

6、共二十八頁(yè)。W（輸入命令w） 非常簡(jiǎn)單的命令，但是很有用，應(yīng)該說(shuō)非常有用。 這個(gè)命令紀(jì)錄了防火墻自正常啟動(dòng)以來(lái)，累計(jì)時(shí)長(zhǎng)，可以清楚的知道防火墻運(yùn)行了多長(zhǎng)時(shí)間。也可以知道防火墻是否出現(xiàn)頻繁重啟的問(wèn)題。 Load average后面的三組數(shù)字可以看出防火墻在使用資源（cpu，內(nèi)存，磁盤(pán)）的情況。這個(gè)數(shù)字大于1的時(shí)候，說(shuō)明內(nèi)核已經(jīng)超負(fù)荷運(yùn)轉(zhuǎn)。第十一頁(yè)，共二十八頁(yè)。free 查看內(nèi)存使用情況 這個(gè)命令可以清楚的知道設(shè)備的總共內(nèi)存多大，使用多少，空閑多少 配合其他命令就可以整體把握設(shè)備的運(yùn)行情況，第十二頁(yè)，共二十八頁(yè)。查看防火墻磁盤(pán)大小的一系列操作首先，先運(yùn)行mnt.boot /mnt，然后cd /mn

7、t，再df查看各分區(qū)大小。磁盤(pán)使用率顯示的是/mnt資源占用的大小。由圖我們可以看出這個(gè)防火墻的磁盤(pán)大小為132M。（一般磁盤(pán)32M,64M,128M等）查看完以后千萬(wàn)千萬(wàn)不要忘記退出/mnt目錄，然后umont /mnt。第十三頁(yè)，共二十八頁(yè)。ps aux 查看防火墻進(jìn)程第十四頁(yè)，共二十八頁(yè)。top命令是以上所有命令的集合，使用top命令可以很直觀的查詢到很多防火墻的基本信息，但是由于top命令啟用以后占用防火墻資源比較大，如果你的設(shè)備在網(wǎng)絡(luò)中處于超負(fù)荷運(yùn)轉(zhuǎn)的時(shí)候，這個(gè)命令則需要謹(jǐn)慎使用。可以顯示w命令的內(nèi)容可以顯示free命令的內(nèi)容可以顯示cpu實(shí)時(shí)的使用率大小可以顯示所有進(jìn)程，并且可以顯

8、示進(jìn)程使用cpu，內(nèi)存的大小，并實(shí)時(shí)動(dòng)態(tài)變化。我們經(jīng)?？梢钥吹絚li進(jìn)程占用CPU100%，pluto進(jìn)程占用CPU大，或者syslogd進(jìn)程占用CPU大等等。這就說(shuō)明防火墻的某個(gè)模塊使用率特別大，要注意優(yōu)化。第十五頁(yè)，共二十八頁(yè)。第十六頁(yè)，共二十八頁(yè)。cpu 100%問(wèn)題 1.用ps aux問(wèn)題查看具體是哪一個(gè)進(jìn)程導(dǎo)致cpu利用率高 Cli進(jìn)程問(wèn)題 kill all cli 殺掉所有cli進(jìn)程 再打上 patch207-解決Cli命令導(dǎo)致cpu利用率百分之百升級(jí)包(3.4.X.X) severadd進(jìn)程問(wèn)題 添加資源定義時(shí)報(bào)錯(cuò)導(dǎo)致 cpu100%,直接kill +進(jìn)程id殺掉進(jìn)程即可可打 P

9、atch193-解決資源定義報(bào)錯(cuò)顯示亂碼和操作資源定義模塊時(shí)CPU 占用率為100%問(wèn)題升級(jí)包版本)2.遇到其他占用cpu利用率高蛤不常見(jiàn)的進(jìn)程 ,可反到客服中心第十七頁(yè)，共二十八頁(yè)。filterconfig state count 查看防火墻的并發(fā)連接數(shù)filterconfig state remove 清除防火墻上的連接（所有連接包括你的web連接和SSH連接）filterconfig state list 查看防火墻的連接表(建議與grep參數(shù)配合使用) eg: filterconfig state list 第十八頁(yè)，共二十八頁(yè)。lsmod 查看防火墻模塊的命令，主要用于查看防火墻模塊

10、是否存在，有時(shí)候模塊沒(méi)有起來(lái)，倒是防火墻功能不可用。如果語(yǔ)音，視頻不能通過(guò)防火墻，則需要去移除關(guān)于sip，h.323，h.323gk 等相關(guān)模塊 防火墻上root權(quán)限登錄后，輸入lsmod，查看到關(guān)于sip的報(bào)錯(cuò)信息如下： file: osip_message_parse.c, line: 850 -Could not parse start line of message.第十九頁(yè)，共二十八頁(yè)。（含）以下版本防火墻語(yǔ)音傳輸不通或者有時(shí)通，有時(shí)不通或者日志中有大量關(guān)于sip、h323的報(bào)錯(cuò)信息時(shí)，可以用如下命令，徹底刪除sip和h323模塊。但是卸載以上模塊會(huì)犧牲掉ha模塊，以后將無(wú)法使用雙機(jī)

11、功能。themis mv ip_conntrack_sip_module.o themis backpkg modules第二十頁(yè)，共二十八頁(yè)。VPN命令匯總查看建立的ipsec隧道及路由 ：ipsec eroute 查看VPN狀態(tài)信息，用于VPN排錯(cuò)：ipsec auto status查看日志，含有有用的VPN日志 ：tail f /var/log/fw.log查看VPN的后臺(tái)配置 ：等可以查看在/etc/ipsec.d/confs/相應(yīng)的其它配置文件第二十一頁(yè)，共二十八頁(yè)。查看建立的ipsec隧道及路由 ：ipsec eroute查看VPN狀態(tài)信息，用于VPN排錯(cuò)：ipsec auto s

12、tatus第二十二頁(yè)，共二十八頁(yè)。查看日志，含有有用的VPN日志 ：tail f /var/log/fw.log 上面的圖中有防火墻DHCP和VPN的日志，如果你的防火期記錄日志 打鉤多的話，可以查看到更多的日志。第二十三頁(yè)，共二十八頁(yè)。查看VPN的后臺(tái)配置：等 可以查看在/etc/ipsec.d/confs/相應(yīng)的其它配置文件第二十四頁(yè)，共二十八頁(yè)。tcpdump 抓包命令，在這里我們將詳細(xì)介紹抓包命令，以為在網(wǎng)絡(luò)中遇到任何奇怪的且不能正常解釋的內(nèi)容，都可以用抓包分析來(lái)論證。第二十五頁(yè)，共二十八頁(yè)。TCPDUMP的選項(xiàng)介紹-A 將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字；-D 將匹配信息包的代碼以人們能

13、夠理解的匯編格式給出；-DD 將匹配信息包的代碼以C語(yǔ)言程序段的格式給出；-DDD 將匹配信息包的代碼以十進(jìn)制的形式給出；-E 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息；-F 將外部的INTERNET地址以數(shù)字的形式打印出來(lái)；-L 使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式；-N 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字；-T 在輸出的每一行不打印時(shí)間戳；-V 輸出一個(gè)稍微詳細(xì)的信息，例如在IP包中可以包括TTL和服務(wù)類型的信息；-VV 輸出詳細(xì)的報(bào)文信息；-C 在收到指定的包的數(shù)目后，TCPDUMP就會(huì)停止；-F 從指定的文件中讀取表達(dá)式,忽略其它的表達(dá)式；-I 指定監(jiān)聽(tīng)的網(wǎng)絡(luò)接口；-R 從指定的文件中讀取包(這些包一般通過(guò)-W選項(xiàng)產(chǎn)生)；-W 直接將包寫(xiě)入文件中，并不分析和打印出來(lái)；-T 將監(jiān)聽(tīng)到的包直接解釋為指定的類型的報(bào)文，常見(jiàn)的類型有RPC （遠(yuǎn)程過(guò)程調(diào)用）和SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；）第二十六頁(yè)，共二十八頁(yè)。tcpdump -i eth0 -c 1000 s 0 w eth0