526互联

Hillstone-HCSP之路:StoneOS Debug

发布时间 2023-06-29 10:06:36作者: f_carey

HCSP之路:StoneOS Debug

目录

1 基本信息收集

# 加上ex参数,如果设备有crash会将coredump打印出来
Show tech-suppor ex

# 查看某个模块license的具体情况
Show license av110708015019

# session 详细信息
Show session generic/detail

# 重点关注CP内存,低于10M比较危险
Show memory detail

# file,查看以往保存信息
Show logging file 

# 查看模块信息
Show module

2 Debug

2.1 Debug基本步骤

# 可通过双击“ESC”键关闭debug功能(建议)
undebug {all | function-name}

1、关闭debug信息输出到console
no logging debug to console
2、设置debug过滤器
debug dp filter {src-ip | src-port | proto | dst-ip | dst-port}
3、开启debug功能
debug dp basic
4、清除缓存debug日志信息
clear logging debug
5、发起数据流访问
6、查看debug日志信息
show logging debug
7、关闭debug
undebug all 或连击“ESC”两次

2.6 路由问题debug

1、关闭debug信息输出到console
no logging debug to console
2、设置debug过滤器
debug dp filter {src-ip | src-port | proto | dst-ip | dst-port}
3、开启debug功能
debug dp basic
4、调试数据层转发基本信息
debug dp snoop
5、调试数据层丢弃基本信息
debug dp drop
6、调试数据层路由基本信息
debug dp route
7、清除缓存debug日志信息
clear logging debug
8、发起数据流访问
9、查看debug日志信息
show logging debug
10、关闭debug
undebug all 或连击“ESC”两次

2.1 设备重启

  1. 当出现设备重启,首先登录到防火墙的WEBUI界面,点击[系统] —> [工具] —> [导出系统调试信息]
  2. 把Show logging alarm 和show logging event信息保存
  3. 把设备的console接上,以免设备下次再次出现重启时,能抓住console的信息
  4. 模块化设备(SX),如果出现反复重启,建议更换板卡先保证业务正常运行

2.2 业务中断

  1. 测试防火墙直连的连通性
  2. 从client traceroute判断所走的路径是否正确
  3. Show logging configure查看防火墙的配置是否更改过
  4. Show logging event查看防火强的arp表是否被更改
  5. Show configuration 检查防火墙的policy、nat和router是否正确
  6. Show session src-ip x.x.x.x或show session dst-ip查看会话是否正确建立,比如NAT后的地址、出接口(show ip route interface查看接口ID)和APP是否正确。
  7. Debug dp filter src-ip x.x.x.x 或Debug dp filter dst-ip x.x.x.x (添加debug过滤条件)
  8. Debug dp basic、debug dp drop、debug dp snoop和debug dp policy lookup
  9. 通过wireshark抓包分析

2.3 NAT问题

  1. Show snat resource 查看当前NAT资源占用情况
  2. show snat 查看当前SNAT的配置
  3. show dnat rule 查看当前dnat的配置
  4. show dnat server 查看当前监控的server状态
  5. show session src-ip x.x.x. 或show session dst-ip x.x.x.x 查看NAT转换地址是否正确
  6. debug dp filter src-ip x.x.x.x 或Debug dp filter dst-ip x.x.x.x (添加debug过滤条件)
  7. debug dp basic

2.4 policy问题

  1. show policy 在CLI下配置的所有policy
  2. show policy all 显示设备中所有的安全策略(包含在WEBUI上添加的NBC策略)
  3. show policy hit-count 查看policy命中计数
  4. debug dp basic 查看流量的进出zone、ip和下一条接口
  5. debug dp policy lookup 查看当前流量所匹配的策略ID
  6. debug dp drop 查看被丢弃的数据包
  7. debug dp snoop 查看数据包2-4的封装信息

2.5 HA问题

  1. show version 查看两台HA设备版本、硬件型号和license是否一致
  2. show ha group 0 在两台HA设备上校验ha group基本信息,查看HA优先级、监控、抢占和Peer信息是否正确和完整
  3. show ha link status 查看HA心跳线信息
  4. show ha flow statistics 查看HA主备包转发情况
  5. show ha protocol statistic 查看两台HA设备心跳包接收和发送情况
  6. ping对端心跳线IP,查看心跳是否正常
  7. show ha sync statistic 查看HA设备通过状况
  8. show interface查看HA接口MAC是否正确
  9. show ha cluster 看两台设备的HA cluster是否一致
  10. debug ha 查看HA状态机、协商状况和文件同步状况
  11. show session generic 查看session同步状况(在两台设备上同时执行并进行对比)
  12. 查看上下游交换机或路由器的MAC和端口学习情况
  13. 抓包分析免费arp的发送情况