juniper防火墙常用维护指南(2)

4、检查NSRP工作状态

使用get nsrp命令检查nsrp集群工作状态，如nsrp状态出现异常或发生切换，需进一步确认引起切换的原因，引起NSRP切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。

5、 防火墙发生故障时处理方法

如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。

总结改进

故障处理后的总结与改进是进一步巩固网络可靠性的必要环节，有效的总结能够避免很多网络故障再次发生。

1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。

2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整的配置参数在上线前进行测试评估，避免因配置调整带来新的故障隐患。

3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。 故障处理工具

Netscreen防火墙提供灵活多样的维护方式，其中故障处理时最有用的两个工具是debug(调试)和snoop（探听），debug用于跟踪防火墙对指定包的处理，snoop用于捕获流经防火墙的数据包，由于debug和snoop均需要消耗防火墙的cpu和memory资源，在使用时务必要设置过虑列表，防火墙将仅对过虑列表范围内的包进行分析，包分析结束后应在第一时间关闭debug和snoop功能。下面简要介绍一下两个工具的使用方法。

Debug：跟踪防火墙对数据包的处理过程

1. Set ffiltersrc-ip

x.x.x.xdst-ipx.x.x.xdst-port xx

设置过滤列表,定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包

3、debug flow basic 开启debug数据流跟踪功能

4、发送测试数据包或让小部分流量穿越防火墙

5、undebug all 关闭所有debug功能

6、get dbuf stream 检查防火墙对符合过滤条件数据包的分析结果

7、unset ffilter 清除防火墙debug过滤列表

8、clear dbuf 清除防火墙缓存的debug信息

9、get debug 查看当前debug设置

Snoop：捕获进出防火墙的数据包，与Sniffer嗅包软件功能类似。

1. Snoop filter ipsrc-ipx.x.x.xdst-ipx.x.x.xdst-port xx

设置过滤列表,定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包

3、snoop 开启snoop功能捕获数据包

4、发送测试数据包或让小部分流量穿越防火墙

5、snoop off 停止snoop

6、get db stream 检查防火墙对符合过滤条件数据包的分析结果

7、snoop filter delete 清除防火墙snoop过滤列表

8、clear dbuf 清除防火墙缓存的debug信息

9、snoop info 查看snoop设置

三、Netscreen冗余协议（NSRP）

Nsrp协议提供了灵活的设备和路径冗余保护功能，在设备和链路发生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。

NSRP部署建议：

l 基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式（preempt），避免因交换机端口不稳定而引发nsrp反复切换。

l 当配置两组或两组以上的防火墙到同一组交换机上时，每组nsrp集群应设置不同的cluster ID号，避免因相同的cluster ID号引发接口MAC地址冲突现象。

l 防火墙nsrp集群建议采用接口监控方式，仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。

l 在单台防火墙设备提供的session和带宽完全可以满足网络需求时，建议采用基于路由的Active-Passive主备模式，该模式组网结构清晰，便于维护和管理。

l 设备运行时应保证HA线缆连接可靠，为确保HA心跳连接不会出现中断，建议配置HA备份链路“secondary－path”。

l NSRP许多配置参数是经过检验的推荐配置，通常情况下建议采用这些缺省参数。 NSRP常用维护命令

l get license-key 查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话 同步。

l exec nsrp sync global-config check-sum 检查双机配置命令是否同步

l exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。

l get nsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。

l Exec nsrp sync rto all from peer 手动执行RTO信息同步，使双机保持会话信息一致

l exec nsrpvsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。

l exec nsrpvsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。

l set failover on/set failover auto启用并容许冗余接口自动切换

l exec failover force 手动执行将主用端口切换为备用端口。

l exec failover revert 手动执行将备用端口切换为主用端口。

l get alarm event 检查设备告警信息，其中将包含NSRP状态切换信息

四、策略配置与优化（Policy）

防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。策略配置与维护需要注意地方有： l 试运行阶段最后一条策略定义为所有访问允许并作log，以便在不影响业务的情况下找漏补遗；当确定把所有的业务流量都调查清楚并放行后，可将最后一条定义为所有访问禁止并作log，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。

l 防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说幼小课堂juniper防火墙常用维护指南(2)在线全文阅读。