H3C V7防火墙 debugging查看路由走向的问题
- 1关注
- 6收藏,3642浏览
问题描述:
H3C V7防火墙 debugging查看数据包,匹配的是哪个路由,比如匹配的是负载均衡,还是策略路由,还是静态路由的命 令是啥。。请指教
组网及组网描述:
- 2021-09-13提问
- 举报
-
(0)
最佳答案
您好,参考
4.2 有NAT转换情况下,ping丢包或不通
4.2.1 故障描述
处于不同网段的两台PC:PC1和PC2,PC1的地址为10.1.1.1,PC2的地址为220.1.1.2。
中间穿越FW设备互相ping包,FW设备对PC1的地址静态NAT转换为220.1.1.1;发现pc1 ping pc2 不通,查看PC2可以收到pc1的ping报文,但是PC1 收不到pc2的回应报文。
4.2.2 故障处理步骤
1. 配置检查
确保PC1和PC2接入的端口加入了安全域,并且配置了安全策略。可以通过
命令来查看是否配置了相关的安全策略:
<sysname> display security-policy ip
Security-policy ip
rule 0 name tom-tom1
action pass
counting enable
source-zone tom
destination-zone tom1
2. 路由表检查
检查设备到某一目的IP网段的路由是否存在,如路由不存在,请检查路由协议配置、状态是否正确。
<sysname> display ip routing-table 10.1.1.0
3. FIB表检查
检查设备到某一目的IP网段的FIB表项是否存在,如路由存在、FIB表项异常,请将故障信息发送技术支持人员分析。
<sysname> display fib 10.1.1.0
4. arp表项检查
查看10.1.1.1的ARP表项是否存在
<sysname> display arp 10.1.1.1
5. 会话
通过display session命令确认会话是否正常建立。
6. ASPF检查
安全策略默认ASPF对所有的报文进行检测。但如果在安全策略中配置了aspf apply policy命令,那么只对策略中配置的detect协议进行ASPF检测,其他协议不进行检测。如果不配置detect icmp,那么如果没有配置反向安全策路,报文就被deny了。可以使用下面命令打开debug:
<sysname> debugging security-policy packet ip acl ?
INTEGER<2000-2999> Specify a basic ACL
INTEGER<3000-3999> Specify an advanced ACL
来看是否有deny信息,如果有类似下面信息:
*Jul 21 11:00:00:838 2017 F1000-AK135-IRF FILTER/7/PACKET: -COntext=1; The packe
t is deny. Src-ZOne=tom1, Dst-ZOne=tom;If-In=, If-Out=Reth11(134); Packet Info:Src-IP= 220.1.1.2,Dst-IP=10.1.1.1, VPN-Instance=,Src-Port=1024, Dst-Port=1025, Protocol= UDP(17), ACL=none, Rule-ID=0.
说明没有正确配置aspf策略,导致被反向安全策略deny了。
7. 如果流表下发都没有问题,请联系相关技术支持人员。
4.3 设备在转发过程中,有丢包现象
4.3.1 故障描述
设备在转发过程中,发现存在丢包现象。
4.3.2 故障处理步骤
(1) 打开debugging security-policy packet,确认是否存在丢包。
*Jul 21 10:28:08:800 2017 F1000-AK135-IRF FILTER/7/PACKET: -COntext=1; The packe
t is permitted. Src-ZOne=Local, Dst-ZOne=Management;If-In=InLoopBack0(132), If-O
ut=Reth11(134); Packet Info:Src-IP=184.5.0.104, Dst-IP=184.7.0.100, VPN-Instance
=,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742), ACL=none, R
ule-ID=none.
如果存在The packet is denied字段,说明存在由于安全策略导致的丢包。
(2) 打开debugging ip packet调试命令,确认是否有丢包。
该命令用来打开ip报文转发调试开关。该报文的调试信息各字段解释如下
IP层将报文送到上层 | |
接收/发送报文的接口 | |
IP协议版本号 | |
Sending the packet from local at interface-type interface-number | |
可以通过该信息来分析报文是否丢弃。
(3) 打开调试命令debugging ip error,debug ip info acl查看丢包的原因。
该命令用来打开IP转发错误调试信息开关。调试信息字段描述如下:
通过debugging信息来判断丢包的原因。
4.4 故障诊断命令
故障诊断命令命令 | 说明 |
display arp | 显示ARP表项。检查设备ARP学习的接口是否正确 |
display current-configuration | include lsr-id | 显示当前的MPLS LSR ID |
display fib | 显示FIB信息。检查设备到某一目的IP网段的FIB表项是否存在 |
display interface | 显示指定接口的相关信息 |
display ip interface brief | 显示三层接口的IP基本配置信息 |
display ip routing-table | 显示路由表中当前激活路由的摘要信息。检查设备到某一目的IP网段的路由是否存在 |
display session | 显示会话信息 |
display this | 显示当前视图下生效的配置 |
interface | 进入接口视图 |
dis nat outbound | 查看nat outbound配置信息 |
Release MBUF! Phase Num is num, Service ID is id, Bitmap is %#lx! | |
通过debugging信息来判断丢包的原因。
4.4 故障诊断命令
故障诊断命令命令 | 说明 |
display arp | 显示ARP表项。检查设备ARP学习的接口是否正确 |
display current-configuration | include lsr-id | 显示当前的MPLS LSR ID |
display fib | 显示FIB信息。检查设备到某一目的IP网段的FIB表项是否存在 |
display interface | 显示指定接口的相关信息 |
display ip interface brief | 显示三层接口的IP基本配置信息 |
display ip routing-table | 显示路由表中当前激活路由的摘要信息。检查设备到某一目的IP网段的路由是否存在 |
display session | 显示会话信息 |
display this | 显示当前视图下生效的配置 |
interface | 进入接口视图 |
dis nat outbound | 查看nat outbound配置信息 |
- 2021-09-13回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论