使用华为USG与S5720流量统计功能排查网络丢包问题

最新推荐文章于 2024-05-12 00:21:42 发布
最新推荐文章于 2024-05-12 00:21:42 发布
阅读量1.8k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NewTyun/article/details/106935322
版权

说明

防火墙与交换机直连 ping 有问题,每次只通前两个包,有时完全 ping 不通,但正常业务未受影响,通过使用流量统计的方法找到了问题,是中间串了一台深信服的行为管理的原因。

如果事先知道中间有台行为管理,那么排查起来就比较简单了,但是流量统计功能对本次问题或其他相关的问题是一个很好排错手段。

拓扑介绍

公网 ----- 防火墙(HUAWEI USG 6350) ---- 行为管理(SANGFOR) ----- 核心交换机(HUAWEI S5720)

  • 防火墙:地址直接配置在接口

  • 行为管理:透明部署在中间

  • 核心交换机:使用 vlanif 与其防火墙对接

现象描述

  1. 从核心 ping 防火墙直连口,前两个包能通,后续报文不通,从防火墙 ping 核心现象同样现象

  2. 上网正常,其他业务也未受影响

排查过程

  1. 确认核心交换机没有 ACL 限制 ping 

  2. 确认防火墙与核心对接的端口允许 ping 

    display cu int g0/0/0interface GigabitEthernet0/0/0 service-manage ping permit   # 确认允许 ping

  3. 确认防火墙安全策略没有阻挡

    注意查看 trust ---> local 的策略,如果没有放行,可以加一条放行的策略

  4. 配置核心交换机的流量统计

    # 配置流分类traffic classifier test_c if-match acl 3000# 配置流行为traffic behavior test_b statistic enable # 配置流策略traffic policy test_p match-order config classifier test_c behavior test_b# 与防火墙连接端口调用策略interface GigabitEthernet0/0/1 traffic-policy test_p inbound

  5. 配置 USG防火墙的五元组丢包统计

    注:防火墙配置不是像核心交换机那样使用流分类、流行做统计,而是使用基于五元组丢包的统计方法

    配置如下

    # 注意不要和现有的 ACL 冲突acl 3002rule permit ip source 10.10.10.254 0 destination 10.10.10.1 0# 进入诊断模式diag# 将报文统计功能与 acl 绑定firewall statistics acl 3002 enable

  6. ping 测试

    从防火墙 ping 核心交换机的直连口

    # 查看报文的统计信息display firewall statistics acl2020-05-08 21:52:59.550 +08:00 Protocol(icmp) SourceIp(10.10.10.254) DestinationIp(10.10.10.1) SourcePort(43989) DestinationPort(2048) VpnIndex(public)                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag Obverse(pkts) : 5           0           2           0
最低0.47元/天 解锁文章
新钛云服
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为交换机做端口流量统计
weixin_30326741的博客
11-01 7516
华为交换机做端口流量统计 1、拓扑图电脑IP:192.168.1.2/24 LSW1接口IP:192.168.1.1/24,使用流量统计,对报文丢弃原因可以快速定位。2、流量统计ACL配置方法#acl number 3000rule 5 permit icmp source 192.168.1.2 0 destination 192.168...
交换机涉及丢包问题进行流量统计
weixin_33979363的博客
09-29 3300
交换机涉及丢包问题 进行流量统计 配置参考解决方案 关键配置如下:# acl number 3000 rule 0 permit icmp source 192.168.1.2 0 destination192.168.1.3 0 rule 1 permit icmp source 192.168.1.3 0 destination 192.168.1.2 0 /...
华为交换机使用文档--排查交换机丢包
06-29
作为一个测试人员需要对交换机有所了解,通过查看交换机判断是否在交换机上丢包
巡检交换机网络时延和丢包率的方法(以华为/h3c为例)
最新发布
qq_36382667的博客
05-12 867
pingping <目标IP地址>pingtraceroutetracertiperf3 -siperf3 -c <服务器IP地址> -t 30 -i 2。
华为交换机检查主机丢包流量统计配置
玩人工智能的辣条哥的博客
06-09 4894
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 配置说明 1、先定义acl,匹配ping的源、目的IP地址: acl number 3333 rule 5 permit icmp source 192.168.11.66 0 destination 192.168.12.1 0 rule 10 permit icmp source 192.168.12.1 0 destination 192.168
HuaWei ❀ Firewalld 流量统计与监控原理
无糖可乐没有灵魂
05-13 1021
文章目录1、系统级的流量统计和监控2、基于安全区域的流量统计和监控3、基于IP地址的流量统计和监控 防火墙不仅要对数据流量进行监控,还要对内部网络之间的连接发起情况进行检测,进行大量的统计计算与分析,防火墙统计分析一方面可以通过专门的分析软件对日志信息进行事后分析,另一方面,防火墙系统本身可以完成一部分分析功能,具有一定的实时性; 比如,通过分析外部网络向内部网络发起的TCP/UDP连接数是否超过设定阈值,可以确定是否需要限制该方向发起新连接,或者限制向内部网络某一IP地址发起新连接; 下图是防火墙的一个
华为设备IP流量统计
weixin_33738578的博客
10-31 1673
华为9303配置流量统计的方法【配置举例】acl number 3000rule 0 permit icmp source 1.1.1.1 0 destination 2.2.2.2 0 //其中1.1.1.1和2.2.2.2替换为ping测试时的源目的IP地址rule 5 permit icmp source 2.2.2.2 0 destination ...
华为USG6000系列防火墙固件文件包括USG6000v1到V5升级包
06-13
华为USG6000系列防火墙固件。压缩包包含文件USG6000v500r001c30spc100.bin+USG6000V500R005C20SPC500(mini).bin+USG6000V500R005C20SPC500三个文件。
华为USG6000V镜像包.rar
12-02
华为ensp防火墙USG6000V镜像包
华为 USG6000, USG9500, NGFW Module License使用指南
09-16
HUAWEI USG6000, USG9500, NGFW Module License使用指南
华为USG6350升级V500R005C20SPC500最新版本过渡包 过渡USG6300V500R001C30SPC100
12-12
华为USG6350低版本V100升级V500R005C20SPC500最新版本过渡包。 文件内容 1.过渡USG6300V500R001C30SPC100。 2.最新升级包USG6000V500R005C20SPC500.bin。 3.HUAWEI USG6000, USG9500, NGFW Module V500R005C20SPC...
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
复杂网络下根据包序号统计丢包
胖大星的博客
12-14 401
复杂网络下根据包序号统计丢包率 import org.slf4j.Logger; import org.slf4j.LoggerFactory; import java.text.DecimalFormat; import java.util.ArrayList; import java.util.HashMap; import java.util.List; import java.util.Map; /** * @Description: * @Date: 2020/12/14 9:55 *
华为USG6380与安达通包过滤防火墙建立ipsec隧道后丢包
weixin_42645631的博客
07-29 1448
外网皆直连防火墙上 隧道已经处于活动状态: 安达通防火墙侧局域网:172.16.0.0 255.255.0.0 华为USG6380侧局域网:192.168.10.0 255.255.255.0 从安达通侧pingUSG侧则出现丢包: 从USG侧发20个ICMP包,在安达通wan口和lan口分别抓包(不是同一次): wan: lan: 安达通lan侧只有9条回复,且在...
【分享】网络丢包故障处理方案
XMWS-IT
05-26 3645
出现网络丢包现象时,第一步需要确定丢包网络位置,其次是确定丢包的故障原因,然后依据定位的故障原因再进行解决。 一、网络丢包的定位与处理 二、确认发生网络丢包 三、排查产生丢包现象的PC 四、检查接口物理状态是否为Down 五、检查接口入方向是否存在CRC校验错误 六、检查接口出方向是否存在Discard计数 七、检查是否存在环路
华为交换机查看端口相关信息常用命令,排查故障法宝,转发收藏
热门推荐
一口Linux的专栏
04-30 6万+
一、查看接口状态 1、显示接口的运行状态和相关信息 display interface Ethernet brief 查看以太网端口的简要信息,物理端口是否连通,端口是否是全双工,带宽是多少,端口的流入流出的流量百分比。可以排查端口的基本信息,比如有的端口用户网速慢,可以查看该端口的接口速率,是否是全双工状态,是否是网卡速率,比如本来是1000M的网卡,但是速率显示的是10M,那么该条链路一定是有问题的。 2、查看接口的描述信息 display interface descript.
内网ip 查 核心交换机 流量_华为交换机做端口流量统计
weixin_32350433的博客
01-14 3125
1、拓扑图电脑IP:192.168.1.2/24 LSW1接口IP:192.168.1.1/24,使用流量统计,对报文丢弃原因可以快速定位。2、流量统计ACL配置方法#acl number 3000rule 5 permit icmp source 192.168.1.2 0 destination 192.168.1.1 0rule 10 permit icmp source 192.168....
华为交换机、路由器流量统计
许多网络
03-29 1万+
华为路由器、交换机流量统计方法 1、拓扑图 电脑IP:192.168.1.2/24  LSW1接口IP:192.168.1.1/24,使用流量统计,对报文丢弃原因可以快速定位。 2、流量统计ACL配置方法 # acl number 3000  rule 5 permit icmp source 192.168.1.2 0 destination 192.168.1.
华为交换机常用查看命令
qq_31146399的博客
03-01 1万+
save config.cfg 保存配置文件 display mac-address flapping record 查看MAC地址漂移记录 display ip routing-table 查看路由表 dis version 收集版本信息 dis device 设备信息 dis environment 温度 display power 电源状态 display fan 风扇状态信息 display cpu CPU利用率 dis cpu-usage history 最近60条记录的CPU占用率统计值 dis
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值