当前位置:文档之家 › 网御防火墙常用命令-2011.01

网御防火墙常用命令-2011.01

  • 格式:ppt
  • 大小:1.99 MB
  • 文档页数:29

下载文档原格式

  / 29

合集下载

软考网工路由器、交换机、防火墙命令表

软考网工路由器、交换机、防火墙命令表

1. 计算机命令:PCA login: root ;使用root用户password: linux ;口令是linux# shutdown -h now ;同init 0 关机# logout# login# ifconfig ;显示IP地址# ifconfig eth0 <ip address> netmask <netmask> ;设置IP地址# ifconfig eht0 <ip address> netmask <netmask> down ;删除IP地址# route add 0.0.0.0 gw <ip># route del 0.0.0.0 gw <ip># route add default gw <ip> ;设置网关# route del default gw <ip> ;删除网关# route ;显示网关# ping <ip># telnet <ip>2. 交换机支持的命令:交换机基本状态:switch: ;交换机的ROM状态rommon> ;路由器的ROM状态hostname> ;用户模式hostname# ;特权模式hostname(config)# ;全局配置模式hostname(config-if)# ;接口状态交换机口令设置:switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname <hostname> ;设置交换机的主机名switch(config)#enable secret xxx ;设置特权加密口令switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口switch(config-line)#line vty 0 4 ;进入虚拟终端switch(config-line)#login ;允许登录switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令交换机VLAN设置:switch#vlan database ;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端口1switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain <name> ;设置发vtp域名switch(config)#vtp password <word> ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式交换机设置IP地址:switch(config)#interface vlan 1 ;进入vlan 1switch(config-if)#ip address <IP> <mask> ;设置IP地址switch(config)#ip default-gateway <IP> ;设置默认网关switch#dir flash: ;查看闪存交换机显示命令:switch#write ;保存配置信息switch#show vtp ;查看vtp配置信息switch#show run ;查看当前配置信息switch#show vlan ;查看vlan配置信息switch#show interface ;查看端口信息switch#show int f0/0 ;查看指定端口信息3. 路由器支持的命令:路由器显示命令:router#show run ;显示配置信息router#show interface ;显示接口信息router#show ip route ;显示路由信息router#show cdp nei ;显示邻居信息router#reload ;重新起动路由器口令设置:router>enable ;进入特权模式router#config terminal ;进入全局配置模式router(config)#hostname <hostname> ;设置交换机的主机名router(config)#enable secret xxx ;设置特权加密口令router(config)#enable password xxb ;设置特权非密口令router(config)#line console 0 ;进入控制台口router(config-line)#line vty 0 4 ;进入虚拟终端router(config-line)#login ;要求口令验证router(config-line)#password xx ;设置登录口令xx router(config)#(Ctrl+z) ;返回特权模式router#exit ;返回命令路由器配置:router(config)#int s0/0 ;进入Serail接口router(config-if)#no shutdown ;激活当前接口router(config-if)#clock rate 64000 ;设置同步时钟router(config-if)#ip address <ip> <netmask> ;设置IP地址router(config-if)#ip address <ip> <netmask> second ;设置第二个IProuter(config-if)#int f0/0.1 ;进入子接口router(config-subif.1)#ip address <ip> <netmask> ;设置子接口IProuter(config-subif.1)#encapsulation dot1q <n> ;绑定vlan中继协议router(config)#config-register 0x2142 ;跳过配置文件router(config)#config-register 0x2102 ;正常使用配置文件router#reload ;重新引导路由器文件操作:router#copy running-config startup-config ;保存配置router#copy running-config tftp ;保存配置到tftprouter#copy startup-config tftp ;开机配置存到tftprouter#copy tftp flash: ;下传文件到flashrouter#copy tftp startup-config ;下载配置文件ROM状态:Ctrl+Break ;进入ROM监控状态rommon>confreg 0x2142 ;跳过配置文件rommon>confreg 0x2102 ;恢复配置文件rommon>reset ;重新引导rommon>copy xmodem:<sname> flash:<dname> ;从console传输文件rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP rommon>TFTP_FILE=c2600.bin ;指定下载的文件rommon>tftpdnld ;从tftp下载rommon>dir flash: ;查看闪存内容rommon>boot ;引导IOS静态路由:ip route <ip-address> <subnet-mask> <gateway> ;命令格式router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;静态路由举例router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默认路由举例动态路由:router(config)#ip routing ;启动路由转发router(config)#router rip ;启动RIP路由协议。

网御神州F3防火墙命令配置

网御神州F3防火墙命令配置
dust> sysif disp fe1 //显示fe1接口属性
dust> sysip add fe1 10.1.1.1 255.255.255.0 admin on ping on traceroute on
dust> sysip del 192.168.100.1
dust> sysip disp
dust> anti icmpflood fe1 1000
dust> anti pingofdeath fe1 800
dust> anti udpflood fe1 1000
dust> anti disp
#系统信息 sysinfo
dust> sysinfo disp
dust> sysinfo disp if
dust> limitp2p set [kazaa { permit|deny|limit}] // kazaa 协议限制
dust> limitp2p set [soul{ permit|deny|limit}] // soul 协议限制
dust> limitp2p set [winmx{ permit|deny|limit}] // winmx 协议限制
mngmailbox clear
mngmailbox disp
# 管理方式 mngmode
dust> mngmode ssh on
dust> mngmode ssh off
dust> mngmode disp
dust> mnghost add 192.168.10.1 “This is my host”

联想网御防火墙使用手册

联想网御防火墙使用手册

资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?

网御防火墙管理系统使用手册

网御防火墙管理系统使用手册
2.5 控制台的安装和卸载.............................................................................15
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8

联想网御防火墙powervweb界面操作手册_4网络配置

联想网御防火墙powervweb界面操作手册_4网络配置

联想网御防火墙P o w e r VW e b界面操作手册_4网络配置(总31页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March第4章网络配置本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。

4.1 网络设备联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。

下面对各类设备的特点做一简要说明。

物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。

增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。

其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。

物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。

VLAN设备:是一种在物理设备基础上创建的设备。

与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。

它可以工作在路由模式下,也可以工作在透明模式下。

同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。

同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。

不同物理设备上创建的VLAN设备的VLAN ID可以相同。

桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。

启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。

防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。

这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。

网御防火墙常用命令-2011.01

网御防火墙常用命令-2011.01

• free 查看内存使用情况
这个命令可以清楚的知道设备的总共内存多大,使用多少,空闲多少 配合其他命令就可以整体把握设备的运行情况,
• 查看防火墙磁盘大小的一系列操作
首先,先运行mnt.boot /mnt,然后cd /mnt,再df查看各分区大小。磁盘 使用率显示的是/mnt资源占用的大小。
由图我们可以看出这个防火墙的磁盘大小为132M。(一般磁盘 32M,64M,128M等)
可以捕获防火墙的MAC地址, 接口类型,链路模式,协商速度 最大传输单元,等等一些接口详 细信息。 最主要的是看看trunk,ip/mac 等参数是不是误开,接口是不是 允许ping等。
• 使用ifconfig命令配置并查看网络接口情况 示例1: 配置eth0的IP,同时激活设备:
# ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 示例2: 配置eth0别名设备 eth0:1 的IP
• collision 冲突
长连接,慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议,服务不能使ANY 不然出问题。
• ethtool ethX 查看网口协商情况
从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为 自适应,这样两个设备协商后速率和双工模式自动协商后到底是什么从 防火墙界面是看不出来的,所以就需要我们用ethtool命令查看,关于网 口不通的情况,很多时候使用ethtool排错是非常有用的。
• W(输入命令w)
非常简单的命令,但是很有用,应该说非常有用。 这个命令纪录了防火墙自正常启动以来,累计时长,可以清楚的知道 防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题 。 Load average后面的三组数字可以看出防火墙在使用资源(cpu,内 存,磁盘)的情况。这个数字大于1的时候,说明内核已经超负荷运 转。

(完整版)FortiGate防火墙常用配置命令

(完整版)FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

防火墙配置中必备的六个主要命令

防⽕墙配置中必备的六个主要命令防⽕墙的基本功能,是通过六个命令来完成的。

⼀般情况下,除⾮有特殊的安全需求,这个六个命令基本上可以搞定防⽕墙的配置。

下⾯笔者就结合CISCO的防⽕墙,来谈谈防⽕墙的基本配置,希望能够给⼤家⼀点参考。

第⼀个命令:interfaceInterface是防⽕墙配置中最基本的命令之⼀,他主要的功能就是开启关闭接⼝、配置接⼝的速度、对接⼝进⾏命名等等。

在买来防⽕墙的时候,防⽕墙的各个端都都是关闭的,所以,防⽕墙买来后,若不进⾏任何的配置,防⽌在企业的⽹络上,则防⽕墙根本⽆法⼯作,⽽且,还会导致企业⽹络不同。

1、配置接⼝速度在防⽕墙中,配置接⼝速度的⽅法有两种,⼀种是⼿⼯配置,另外⼀种是⾃动配置。

⼿⼯配置就是需要⽤户⼿⼯的指定防⽕墙接⼝的通信速度;⽽⾃动配置的话,则是指防⽕墙接⼝会⾃动根据所连接的设备,来决定所需要的通信速度。

如:interface ethernet0 auto --为接⼝配置“⾃动设置连接速度”Interface ethernet2 100ful --为接⼝2⼿⼯指定连接速度,100MBIT/S。

这⾥,参数ethernet0或者etnernet2则表⽰防⽕墙的接⼝,⽽后⾯的参数表⽰具体的速度。

笔者建议在配置接⼝速度的时候,要注意两个问题。

⼀是若采⽤⼿⼯指定接⼝速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现⼀些意外的错误。

如在防⽕墙上,若连接了⼀个交换机的话,则交换机的端⼝速度必须跟防⽕墙这⾥设置的速度相匹配。

⼆是虽然防⽕墙提供了⾃动设置接⼝速度的功能,不过,在实际⼯作中,作者还是不建议⼤家采⽤这个功能。

因为这个⾃动配置接⼝速度,会影响防⽕墙的性能。

⽽且,其有时候也会判断失误,给⽹络造成通信故障。

所以,在⼀般情况下,⽆论是笔者,还是思科的官⽅资料,都建议⼤家采⽤⼿⼯配置接⼝速度。

2、关闭与开启接⼝防⽕墙上有多个接⼝,为了安全起见,打开的接⼝不⽤的话,则需要及时的进⾏关闭。

常用网络防火墙管理命令与技巧(九)

网络防火墙是保障网络安全的重要工具,通过限制网络流量和实施访问控制,防火墙可以有效地阻止恶意攻击和未经授权的访问。

为了正确地管理和配置网络防火墙,掌握一些常用的管理命令和技巧是非常有必要的。

一、命令行界面管理网络防火墙通常提供命令行界面,使管理员能够通过输入命令来配置和管理防火墙。

对于Linux系统来说,常用的命令行工具是iptables。

通过iptables,管理员可以设置各种规则和策略,以控制网络流量的进出。

1. 查看当前的规则和策略:使用命令"iptables -L"可以列出当前的防火墙规则和策略。

这对于了解当前防火墙配置的状态非常有用。

管理员可以查看已经定义的规则、策略以及它们的顺序。

2. 添加新的规则:命令"iptables -A"用于添加一个新的规则到防火墙中。

管理员需要指定规则的类型(输入、输出或转发),以及规则所适用的源IP地址、目标IP地址和端口号等信息。

例如,"iptables -A INPUT -s/24 -p tcp --dport 22 -j ACCEPT"将允许从/24网络的主机访问防火墙上的SSH服务。

3. 删除已有的规则:使用命令"iptables -D"可以删除已经存在的规则。

管理员需要指定规则的类型和规则的编号。

例如,"iptables -D INPUT 2"将删除INPUT链上的第二条规则。

4. 保存和加载规则集:在对防火墙进行配置和修改后,管理员需要保存规则集,以便在系统重启后能够重新加载。

通过命令"iptables-save"可以将当前的规则集保存到文件中。

而通过命令"iptables-restore"可以从文件中加载规则集。

二、图形界面管理除了命令行界面,一些网络防火墙还提供了图形界面用于管理和配置。

这种类型的管理界面通常提供了可视化的操作,使得管理者可以更直观地配置和监视防火墙。

防火墙配置常用命令

防火墙配置常用命令firewall zone name userzone 创建一个安全区域,进一个已建立的安全区域视图时不需要用关键字。

set priority 60 设置优先级add interface GigabitEthernet0/0/1 把接口添加进区域dis zone [userzone]显示区域配置信息[FW]policy interzone trust untrust outbound[FW-policy-interzone-trust-untrust-outbound]policy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enable[SRG]firewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址绑定配置firewall mac-binding 202.169.168.2 00e0-fc00-0100[FW2]firewall zone untrust[FW2-zone-untrust]add interface g0/0/0[FW2]firewall packet-filter default permit interzone trust untrust[FW2]firewall packet-filter default permit interzone local untrustIPSec相关配置:先配置ACL:acl number 3000rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.2551、配置安全提议,封闭使用隧道模式,ESP协议,ESP使用DES 加密算法,完整性验证使用SHA1算法。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙常用命令汇总
客服中心 2011年01月
• system show 查看防火墙版本信息
可以看到防火墙名,硬件型号,软件版本以及序列号。 • admhost show 查看管理主机
• admhost add ip x.x.x.x 添加管理主机 • admhost del ip x.x.x.x 删除管理主机
2.遇到其他占用cpu利用率高蛤不常见的进程 ,可反到客服中心
• filterconfig state count 查看防火墙的并发连接数
• filterconfig state remove 清除防火墙上的连接(所有连接包括你的 web连接和SSH连接)
• filterconfig state list 查看防火墙的连接表(建议与grep参数配合使用) eg: filterconfig state list | grep 211.103.135.147
查看完以后千万千万不要忘记退出/mnt目录,然后umont /mnt。
• ps –aux 查看防火墙进程
• top命令是以上所有命令的集合,使用top命令可以很直观的查询到很 多防火墙的基本信息,但是由于top命令启用以后占用防火墙资源比 较大,如果你的设备在网络中处于超负荷运转的时候,这个命令则需 要谨慎使用。
• 可以显示w命令的内容
• 可以显示free命令的内容
• 可以显示cpu实时的使用率大小
• 可以显示所有进程,并且可以显示进程使用cpu,内存的大小,并实 时动态变化。
• 我们经常可以看到cli进程占用CPU100%,pluto进程占用CPU大,或 者syslogd进程占用CPU大等等。这就说明防火墙的某个模块使用率 特别大,要注意优化。
• 3.4.3.8(含)以下版本防火墙语音传输不通或者有时通,有时不通或 者日志中有大量关于sip、h323的报错信息时,可以用如下命令,彻 底删除sip和h323模块。但是卸载以上模块会牺牲掉ha模块,以后将 无法使用双机功能。
• themis> cd /lib/modules/2.4.22/kernel/net/ipv4/netfilter
• W(输入命令w)
非常简单的命令,但是很有用,应该说非常有用。 这个命令纪录了防火墙自正常启动以来,累计时长,可以清楚的知道 防火墙运行了多长时间。也可以知道防火墙是否出现频繁重启的问题 。 Load average后面的三组数字可以看出防火墙在使用资源(cpu,内 存,磁盘)的情况。这个数字大于1的时候,说明内核已经超负荷运 转。
• cpu 100%问题 1.用ps aux问题查看具体是哪一个进程导致cpu利用率高
Cli进程问题 kill all cli 杀掉所有cli进程 再打上 patch207-解决Cli命令导致cpu利用率百分之百升级包(3.4.X.X)
severadd进程问题 添加资源定义时报错导致 cpu100%,直接kill +进程id杀掉进程即可 3.4.5.0/1可打 Patch193-解决资源定义报错显示乱码和操作资源定义模块时CPU 占用率为100%问题升级包(3.4.5.0-1版本)
• free 查看内存使用情况
这个命令可以清楚的知道设备的总共内存多大,使用多少,空闲多少 配合其他命令就可以整体把握设备的运行情况,
• 查看防火墙磁盘大小的一系列操作
首先,先运行mnt.boot /mnt,然后cd /mnt,再df查看各分区大小。磁盘 使用率显示的是/mnt资源占用的大小。
由图我们可以看出这个防火墙的磁盘大小为132M。(一般磁盘 32M,64M,128M等)
• collision 冲突
长连接,慎用。作用是将连接的时间变短或者变长 不能加any到any的长连接 具体协议,服务不能使ANY 不然出问题。
• ethtool ethX 查看网口协商情况
从上图我们可以看出网口协商为100M全双工。由于很多设备都设置为 自适应,这样两个设备协商后速率和双工模式自动协商后到底是什么从 防火墙界面是看不出来的,所以就需要我们用ethtool命令查看,关于网 口不通的情况,很多时候使用ethtool排错是非常有用的。
• acsc on和acsc show top
– 开启连接管理功能 – 查看top 10的连接
以上命令主要是让工程师在 不打开页面的情况下可以更 好的分析那个主机IP大量进 行连接。
• config reset 是恢复出厂设置 • config save是保存配置
这些命令大家可能都知道, 我在这里重复只是希望大家真正 熟练掌握,并在现场第一时间使用
息;
-VV
输Байду номын сангаас详细的报文信息;
-C
在收到指定的包的数目后,TCPDUMP就会停止;
-F
从指定的文件中读取表达式,忽略其它的表达式;
-I
指定监听的网络接口;
-R
从指定的文件中读取包(这些包一般通过-W选项产生);
-W
直接将包写入文件中,并不分析和打印出来;
-T
将监听到的包直接解释为指定的类型的报文,常见的类型有RPC (远程
• lsmod 查看防火墙模块的命令,主要用于查看防火墙模块是否存在, 有时候模块没有起来,倒是防火墙功能不可用。
• 如果语音,视频不能通过防火墙,则需要去移除关于sip,h.323, h.323gk 等相关模块
防火墙上root权限登录后,输入lsmod,查看到关于sip的报错信息如 下:
file: osip_message_parse.c, line: 850 --->Could not parse start line of message.
• admmode show 查看管理方式 显示管理方式 WEB/串口 SSH/PPP admmode on ssh
• Interface show all
查看防火墙的接口信息,包括接口数量,ip地址,子网掩码,开启状态 主要查看接口配置是否正常,配合周边设备查看网络是否通与不通。
• Interface show if feX (X代表接口序号,例如fe1,fe2,fe3等)
• themis> mv ha.o ha.o.old
• themis> mv ip_conntrack_h323.o ip_conntrack_h323.o.old
• themis> mv ip_conntrack_h323_gk.o ip_conntrack_h323_gk.o.old
• themis> mv ip_nat_h323.o ip_nat_h323.o.old
• 查看日志,含有有用的VPN日志 :tail –f /var/log/fw.log
上面的图中有防火墙DHCP和VPN的日志,如果你的防火期记录日志 打钩多的话,可以查看到更多的日志。
• 查看VPN的后台配置:cat /etc/ipsec.d/confs/ipsec.gateways.conf等 可以查看在/etc/ipsec.d/confs/相应的其它配置文件
• themis> mv ip_nat_h323_gk.o ip_nat_h323_gk.o.old
• themis> mv ip_conntrack_sip_module.o

ip_conntrack_sip_module.o.old
• themis> mv ip_nat_sip_module.o ip_nat_sip_module.o.old
• RX packets 接受数据包的数量 收包丢弃量大
• TX packets 发送数据包的数量
• errors 错误包的数量
硬件信号错误
• dropped 丢弃的数据包数量
如果有丢弃的数据包说明流量大或者驱动有问题
• overruns 数据包溢出的数量
• frame 帧错误
• carrier 载波
# ifconfig eth0:1 192.168.4.2 示例3:激活(禁用)设备
# ifconfig eth0:1 up(down) 示例4:查看所有(指定)网络接口配置
# ifconfig (eth0) 备注:如果要对接口添加允许管理允许ping等相关参数的时候,则要使
用防火墙自身的命令interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on
• tcpdump 抓包命令,在这里我们将详细介绍抓包命令,以为在网络中 遇到任何奇怪的且不能正常解释的内容,都可以用抓包分析来论证。
TCPDUMP的选项介绍
-A
将网络地址和广播地址转变成名字;
-D
将匹配信息包的代码以人们能够理解的汇编格式给出;
-DD
将匹配信息包的代码以C语言程序段的格式给出;
• themis> mv osipparser2.o osipparser2.o.old
• themis> backpkg modules
VPN命令汇总
• 查看建立的ipsec隧道及路由 :ipsec eroute
• 查看VPN状态信息,用于VPN排错:ipsec auto –status
• 查看日志,含有有用的VPN日志 :tail –f /var/log/fw.log
• ip route show
显示路由表信息,对于大型网络和复杂网络,路由表是非常重要的。 排错的时候40%的路由表的问题,20%的故障是跟路由表相关的其他 功能的问题。所以路由表是非常重要的。
• HA show config • HA show status
可以查看HA配置 和HA的协商情况 以及目前的主备 状态
• 查看VPN的后台配置