防火墙Hillstone StoneOS Debug(抓包)故障调试指南

1.Debug抓包说明

⇒ Debug抓包前请务必查看设备CPU情况，如当前CPU偏高（参考值：≥50%），请谨慎进行抓包操作，最好选择在当前设备CPU值偏低、业务低峰期进行Debug，查看设备CPU具体命令：SG-6000# show cpu detail (含历史CPU)。

⇒ Debug抓包后请务必关闭设备所有已开启的Debug，防止影响设备CPU等运行情况，关闭Debug方式：

① 命令行下：SG-6000# undebug all。

② 命令行下：长按或者按2下“Esc”键，提示 “The debug function for all modules is disabled” 表示所有已开启的 debug 均已关闭。

StoneOS 数据包(DP) Debug ⇓
IP sec Debug ⇓
其他类型 Debug ⇓
系统调试功能可以帮助用户对错误进行诊断和定位。安全网关的各种协议和功能基本上都具有相应的调试功能。默认情况下，所有协议和功能的系统调试功能都是关闭的。用户只可以通过设备命令行对系统调试功能进行配置。
Debug 操作有一定风险，尤其是设备流量大的时候开启 debug 会导致 CPU 高，请谨慎操作。 请在山石工程师的指导下操作， 不建议用户直接使用 debug。
此文中 StoneOS 默认指防火墙。

2.常见Debug抓包流程

（一）数据包(DP) Debug 抓包流程
a. Debug抓包前建议先了解下StoneOS数据包基础转发流程(非二层)：

图注一：StoneOS数据包基础转发流程图(非二层)

b. StoneOS数据包基础转发流程(非二层)具体如下：
识别数据包的逻辑入接口，可能是一般无标签接口，也可能是子接口。从而确定数据包的源安全域。
StoneOS 对数据包进行合法性检查。如果源安全域配置了攻击防护功能，系统会在这一步同时进行攻击防护功能检查。
会话查询。如果该数据包属于某个已建立会话，则跳过 4 到 10，直接进行第 11 步。
目的 NAT（DNAT）操作。如果能够查找到相匹配的 DNAT 规则，则为包做 DNAT 标记。因为路由查询需要 DNAT 转换的 IP 地址，所以先进行 DNAT 操作。
*如果系统配置静态一对一BNAT规则，那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后，按照 BNAT 的设定进行处理，不再查找普通的 DNAT 规则。
路由查询。 StoneOS 的路由查询顺序从前到后依次为：策略路由（PBR） >源接口路由（SIBR） >源路由（SBR） >目的路由（DBR） >ISP 路由。
此时，系统得到了数据包的逻辑出接口和目的安全域。
源 NAT（SNAT）操作。如果能够查找到相匹配的 SNAT 规则，则为包做 SNAT 标记。 *如果系统配置静态一对一 BNAT 规则，那么先查找匹配的 BNAT 规则。 数据包匹配了 BNAT规则之后，按照 BNAT