使用华为USG与S5720流量统计功能排查网络丢包问题

最新推荐文章于 2023-12-07 16:49:37 发布
最新推荐文章于 2023-12-07 16:49:37 发布
阅读量1.8k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NewTyun/article/details/106935322
版权

说明

防火墙与交换机直连 ping 有问题,每次只通前两个包,有时完全 ping 不通,但正常业务未受影响,通过使用流量统计的方法找到了问题,是中间串了一台深信服的行为管理的原因。

如果事先知道中间有台行为管理,那么排查起来就比较简单了,但是流量统计功能对本次问题或其他相关的问题是一个很好排错手段。

拓扑介绍

公网 ----- 防火墙(HUAWEI USG 6350) ---- 行为管理(SANGFOR) ----- 核心交换机(HUAWEI S5720)

  • 防火墙:地址直接配置在接口

  • 行为管理:透明部署在中间

  • 核心交换机:使用 vlanif 与其防火墙对接

现象描述

  1. 从核心 ping 防火墙直连口,前两个包能通,后续报文不通,从防火墙 ping 核心现象同样现象

  2. 上网正常,其他业务也未受影响

排查过程

  1. 确认核心交换机没有 ACL 限制 ping 

  2. 确认防火墙与核心对接的端口允许 ping 

    display cu int g0/0/0interface GigabitEthernet0/0/0 service-manage ping permit   # 确认允许 ping

  3. 确认防火墙安全策略没有阻挡

    注意查看 trust ---> local 的策略,如果没有放行,可以加一条放行的策略

  4. 配置核心交换机的流量统计

    # 配置流分类traffic classifier test_c if-match acl 3000# 配置流行为traffic behavior test_b statistic enable # 配置流策略traffic policy test_p match-order config classifier test_c behavior test_b# 与防火墙连接端口调用策略interface GigabitEthernet0/0/1 traffic-policy test_p inbound

  5. 配置 USG防火墙的五元组丢包统计

    注:防火墙配置不是像核心交换机那样使用流分类、流行做统计,而是使用基于五元组丢包的统计方法

    配置如下

    # 注意不要和现有的 ACL 冲突acl 3002rule permit ip source 10.10.10.254 0 destination 10.10.10.1 0# 进入诊断模式diag# 将报文统计功能与 acl 绑定firewall statistics acl 3002 enable

  6. ping 测试

    从防火墙 ping 核心交换机的直连口

    # 查看报文的统计信息display firewall statistics acl2020-05-08 21:52:59.550 +08:00 Protocol(icmp) SourceIp(10.10.10.254) DestinationIp(10.10.10.1) SourcePort(43989) DestinationPort(2048) VpnIndex(public)                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag Obverse(pkts) : 5           0           2           0           0 Reverse(pkts) : 5  
最低0.47元/天 解锁文章
新钛云服
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【华为交换机】流量统计及配置实例
weixin_45992046的博客
11-23 5150
【华为交换机】流量统计及配置实例
流量统计配置
qq_32044265的博客
05-27 891
流量统计主要用来对网络故障进行定位,协助判断设备是否正确转发报文,是否正确接收报文,是否正确发送报文等。进而逐步缩小故障范围,最终确定故障点。 配置MQC实现流量统计后,可以通过display traffic policy statistics命令查看应用流策略后流量通过和被弃的情况。通过对符合流分类规则的报文进行报文数和字节数的统计,可以帮助用户了解应用流策略后流量通过和被弃的情况,由此分析和判断流策略的应用是否合理,也有助于进行相关的故障诊断与排查。 如图1所示,如果PC访问服务器慢,或者Pin
华为USG6000系列防火墙固件文件USG6000v1到V5升级
06-13
华为USG6000系列防火墙固件。压缩含文件USG6000v500r001c30spc100.bin+USG6000V500R005C20SPC500(mini).bin+USG6000V500R005C20SPC500三个文件。
华为与华三设备完成SNMPv3配置
August_cats的博客
11-27 1433
snmpV3,配置,以及故障排查
华为交换机开启vlan接口流量统计功能
xiaopeng_thriller的博客
03-06 2413
# interface Vlanif88 statistic enable inbound #开启接口in统计 statistic enable outbound# 开始接口out统计 # [pengxiao_home-Vlanif88]dis int vlan 88 # 查看vlan接口流量信息 Vlanif88 current state : UP Line protocol current state : UP Last line protocol up time : 2022-01-26.
华为流量统计的2种配置方法
11-19 501
华为流量统计的2种配置方法
华为USG6380与安达通过滤防火墙建立ipsec隧道后
weixin_42645631的博客
07-29 1437
外网皆直连防火墙上 隧道已经处于活动状态: 安达通防火墙侧局域网:172.16.0.0 255.255.0.0 华为USG6380侧局域网:192.168.10.0 255.255.255.0 从安达通侧pingUSG侧则出现: 从USG侧发20个ICMP,在安达通wan口和lan口分别抓(不是同一次): wan: lan: 安达通lan侧只有9条回复,且在...
【分享】网络故障处理方案
XMWS-IT
05-26 3572
出现网络现象时,第一步需要确定网络位置,其次是确定的故障原因,然后依据定位的故障原因再进行解决。 一、网络的定位与处理 二、确认发生网络 三、排查产生现象的PC 四、检查接口物理状态是否为Down 五、检查接口入方向是否存在CRC校验错误 六、检查接口出方向是否存在Discard计数 七、检查是否存在环路
华为交换机检查主机流量统计配置
玩人工智能的辣条哥的博客
06-09 4821
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 配置说明 1、先定义acl,匹配ping的源、目的IP地址: acl number 3333 rule 5 permit icmp source 192.168.11.66 0 destination 192.168.12.1 0 rule 10 permit icmp source 192.168.12.1 0 destination 192.168
HCIE论述-网络
m0_62017216的博客
02-19 248
HCIE
华为交换机使用文档--排查交换机
06-29
作为一个测试人员需要对交换机有所了解,通过查看交换机判断是否在交换机上
华为USG6000V镜像.rar
12-02
华为ensp防火墙USG6000V镜像
华为 USG6000, USG9500, NGFW Module License使用指南
09-16
HUAWEI USG6000, USG9500, NGFW Module License使用指南
华为USG6350升级V500R005C20SPC500最新版本过渡 过渡USG6300V500R001C30SPC100
最新发布
12-12
华为USG6350低版本V100升级V500R005C20SPC500最新版本过渡。 文件内容 1.过渡USG6300V500R001C30SPC100。 2.最新升级USG6000V500R005C20SPC500.bin。 3.HUAWEI USG6000, USG9500, NGFW Module V500R005C20SPC...
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
华为防火墙笔记-报文处理流程
weixin_46622350的博客
12-06 6201
全系列状态检测防火墙报文处理流程 状态检测与会话机制是华为防火墙对报文处理的关键环节,即防火墙收到报文后,何时、如何创建会话,命中会话表的报文如何被转发。我们自然而然地就会把防火墙上的报文处理过程分为查询会话表前、中、后三个阶段。 查询会话前的处理过程:基础处理 这个阶段的主要目的是解析出报文的帧头和IP头,并根据报文头部中的信息进行一些基础的安全检测(单攻击防范)。 查询会话中的处理过程:转发处理,关键是会话建立 这个阶段是防火墙对报文转发处理的核心。建立会话表,根据会话...
华为防火墙内容过滤技术
drrui520的博客
12-07 428
1 背景 随着计算机网络技术的迅猛发展,计算机网络在社会生活的各个领域正在迅速普及,信息的获取、共享和传播更加方便。各种组织如***、企业对于网络的依赖程度也越来越大,组织需要及时获取相关的信息以指导自身的工作、发展等,与此同时,信息安全的重要性也在不断提升。 一方面,互联网中存在着太多的风险,如钓鱼网站、网络病毒、信息窃取及各种各样的恶意代码,给组织网络带来巨大安全威胁;另一方面,海量...
华为交换机查看端口相关信息常用命令,排查故障法宝,转发收藏
热门推荐
一口Linux的专栏
04-30 6万+
一、查看接口状态 1、显示接口的运行状态和相关信息 display interface Ethernet brief 查看以太网端口的简要信息,物理端口是否连通,端口是否是全双工,带宽是多少,端口的流入流出的流量百分比。可以排查端口的基本信息,比如有的端口用户网速慢,可以查看该端口的接口速率,是否是全双工状态,是否是网卡速率,比如本来是1000M的网卡,但是速率显示的是10M,那么该条链路一定是有问题的。 2、查看接口的描述信息 display interface descript.
内网ip 查 核心交换机 流量_华为交换机做端口流量统计
weixin_32350433的博客
01-14 3005
1、拓扑图电脑IP:192.168.1.2/24 LSW1接口IP:192.168.1.1/24,使用流量统计,对报文弃原因可以快速定位。2、流量统计ACL配置方法#acl number 3000rule 5 permit icmp source 192.168.1.2 0 destination 192.168.1.1 0rule 10 permit icmp source 192.168....
华为usg6000安装
08-06
华为USG6000安装是由华为公司提供的一种网络设备安装软件。它含了安装USG6000系列防火墙所需的所有软件、配置文件和驱动程序等组件。 首先,要安装华为USG6000防火墙,您需要从华为官方网站或授权渠道获取最新的USG6000安装。这个安装通常是一个压缩文件,您需要将其解压缩到您的计算机或其他存储设备中。 接下来,您需要将解压缩后的安装文件复制到您计划安装USG6000的设备上。您可以通过使用USB闪存驱动器或其他数据传输方式将文件拷贝到设备上。 一旦安装复制到设备上,您需要运行安装程序以开始USG6000的安装过程。通常,此安装程序会自动检测您的设备型号并提示您进行相应的操作。 安装过程中,您需要按照安装向导的指示,选择适当的安装选项,如安装路径、语言设置和其他系统配置。一旦所有必要的选项都设置好,您可以点击“安装”按钮开始安装过程。 安装过程可能需要一些时间,取决于您的设备性能和安装的大小。在安装过程中,您可能需要输入一些必要的信息,如设备名称、管理员密码和网络设置等。 一旦安装完成,您可以通过登录到USG6000的管理界面来进行进一步的配置和管理。您可以使用默认的IP地址或根据您的网络环境进行自定义配置。 总而言之,华为USG6000安装是安装USG6000防火墙所需的软件,安装过程中需要解压缩安装文件并运行安装程序。安装完成后,您可以登录到设备的管理界面进行进一步的配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值