使用华为USG与S5720流量统计功能排查网络丢包问题

最新推荐文章于 2023-12-15 00:59:36 发布
最新推荐文章于 2023-12-15 00:59:36 发布
阅读量1.8k 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oQiZhuKanXiYang/article/details/106016923
版权

说明

防火墙与交换机直连 ping 有问题,每次只通前两个包,有时完全 ping 不通,但正常业务未受影响,通过使用流量统计的方法找到了问题,是中间串了一台深信服的行为管理的原因。

如果事先知道中间有台行为管理,那么排查起来就比较简单了,但是流量统计功能对本次问题或其他相关的问题是一个很好排错手段。

拓扑介绍

公网 ----- 防火墙(HUAWEI USG 6350) ---- 行为管理(SANGFOR) ----- 核心交换机(HUAWEI S5720)

  • 防火墙:地址直接配置在接口

  • 行为管理:透明部署在中间

  • 核心交换机:使用 vlanif 与其防火墙对接

现象描述

  1. 从核心 ping 防火墙直连口,前两个包能通,后续报文不通,从防火墙 ping 核心现象同样现象
  2. 上网正常,其他业务也未受影响

排查过程

  1. 确认核心交换机没有 ACL 限制 ping

  2. 确认防火墙与核心对接的端口允许 ping

    display cu int g0/0/0

interface GigabitEthernet0/0/0
 service-manage ping permit   # 确认允许 ping

  3. 确认防火墙安全策略没有阻挡

    注意查看 trust —> local 的策略,如果没有放行,可以加一条放行的策略

  4. 配置核心交换机的流量统计

    # 配置流分类
traffic classifier test_c 
 if-match acl 3000

# 配置流行为
traffic behavior test_b
 statistic enable
 
# 配置流策略
traffic policy test_p match-order config
 classifier test_c behavior test_b

# 与防火墙连接端口调用策略
interface GigabitEthernet0/0/1
 traffic-policy test_p inbound

  5. 配置 USG防火墙的五元组丢包统计

    注:防火墙配置不是像核心交换机那样使用流分类、流行做统计,而是使用基于五元组丢包的统计方法

    配置如下

    # 注意不要和现有的 ACL 冲突
acl 3002
rule permit ip source 10.10.10.254 0 destination 10.10.10.1 0

# 进入诊断模式
diag

# 将报文统计功能与 acl 绑定
firewall statistics acl 3002 enable

  6. ping 测试

    从防火墙 ping 核心交换机的直连口

    # 查看报文的统计信息
display firewall statistics acl

2020-05-08 21:52:59.550 +08:00
 Protocol(icmp) SourceIp(10.10.10.254) DestinationIp(10.10.10.1)
 SourcePort(43989) DestinationPort(2048) VpnIndex(public)
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag
 Obverse(pkts) : 5           0           2           0           0
 Reverse(pkts) : 5           0           2           0           0

 Discard detail information:

 ICMP packet detail information:
  ICMP_ECHO                     :     5
  ICMP_ECHOREPLY                :     2
  

# 
dis traffic policy statistics all

 Interface: GigabitEthernet0/0/1
 Traffic policy inbound: test_p
 Rule number: 1
 Current status: success
 Statistics interval: 300
---------------------------------------------------------------------
 Board : 0
---------------------------------------------------------------------
 Matched          |      Packets:                             2
                  |      Bytes:                             204
                  |      Rate(pps):                           0
                  |      Rate(bps):                           0
---------------------------------------------------------------------
   Passed         |      Packets:                             2
                  |      Bytes:                             204
                  |      Rate(pps):                           0
                  |      Rate(bps):                           0
---------------------------------------------------------------------
   Dropped        |      Packets:                             0
                  |      Bytes:                               0
                  |      Rate(pps):                           0
                  |      Rate(bps):                           0
---------------------------------------------------------------------
     Filter       |      Packets:                             0
                  |      Bytes:                               0
---------------------------------------------------------------------
     Car          |      Packets:                             0
                  |      Bytes:                               0
---------------------------------------------------------------------

    查看防火墙与交换机的报文的统计信息,可以看到防火墙发出了5个包,但是只有2个回复,核心交换机收到了两个包,另外三个未收到

  7. 反向测试

    将核心交换机的 ACL 的源和目的地址倒换一下,在上连口的 outbound 方向调用策略,然后分别在防火墙和核心交换机查看报文的统计信息

  8. 小结

    通过报文的统计现象可以看到防火墙与核心都发出了前两个 ping 包,但是对端并未收到,实际场景中,可以问下客户中间是否有其他设备。

    本次发现中间有深信服的行为管理,进入 web 控制台查看后,发现是由于硬件平台的限制,设备后台有限制同时在线的人数,并且没有配置自动清楚不长时间无流量的用户,所以才导致设备随机锁定较早上线的 IP,出现本次问题。

  9. 清除排错使用的配置

    # 清除核心交换机配置的 ACL 和 流策略、流行为、流分类
int g0/0/1
 undo traffic-policy inbound
 undo traffic-policy outbound
 
traffic policy test_p
 undo classifier test_c
 
undo traffic policy test_p
undo traffic behavior test_b
undo traffic classifier test_c

# 清除防火墙的配置
diagnose
 undo firewall statistics
 
undo acl 3002

总结

  1. 生产环境中,防火墙与核心交换机可能会有行为管理等透明部署的设备,如果排错中遇到一些奇怪的问题,要多问客户中间是否有什么设备

  2. 流量统计对于网络故障定位非常有帮助,并且配置较简单,是一个很重要的手段

纯牛奶xx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙CPU频繁升高导致丢包案例一则
有莘不破的博客
03-26 1821
防火墙CPU升高导致丢包案例一则
华为USG6000系列防火墙固件文件包括USG6000v1到V5升级包
06-13
华为USG6000系列防火墙固件。压缩包包含文件USG6000v500r001c30spc100.bin+USG6000V500R005C20SPC500(mini).bin+USG6000V500R005C20SPC500三个文件。
华为交换机使用文档--排查交换机丢包
06-29
作为一个测试人员需要对交换机有所了解,通过查看交换机判断是否在交换机上丢包
华为三层交换机(s5720s)统计在线ip总数
kevinsingapore的博客
09-06 4727
命令如下: display ip pool name vlan110
5720怎么查看流量_流量计测量不准,第3点很重要,容易被忽略
weixin_39629679的博客
11-26 176
流量计测量不准,第3点很重要,要掌握流量计在工厂中有很重要的作用,不仅把控着产品的合格率,同时也计算着生产成本。可以说是生产需求量全由流量计来控制,多了不行少了也不行。因此流量计在生产过程中不能出一点问题,如果出现故障,工艺人员真就成了睁眼瞎,他们是相当的着急,时间长了很容易造成产品报废,所以作为仪表人员,我们必须掌握流量计的一些基本的故障维修方法。当工艺人员说流量计测量不准时,我们怎么做。一、查...
1.华为设备CPU过高排查过程
分享学习网络的点点滴滴
07-26 1036
华为设备CPU过高排查过程华为设备CPU过高排查过程首先进入诊断模式之后输入dispaly cpu-usage或者dispaly cpu-usage查看具体什么进程占用的cpu进程华为S级交换机cpu各任务名称和功能说明 华为设备CPU过高排查过程 首先进入诊断模式 diagnose //进入诊断模式的命令 // 之后会有一个警告提示,大概的内容为: 警告:进入诊断视图,用Ctrl+Z返回用户视图。 信息:诊断视图用于调试系统硬件和软件。此视图中某些命令的误用可能会影响系统性能。因此,在华为工程师的指导下
华为USG6000V镜像包.rar
12-02
华为ensp防火墙USG6000V镜像包
华为 USG6000, USG9500, NGFW Module License使用指南
09-16
HUAWEI USG6000, USG9500, NGFW Module License使用指南
华为USG6350升级V500R005C20SPC500最新版本过渡包 过渡USG6300V500R001C30SPC100
12-12
华为USG6350低版本V100升级V500R005C20SPC500最新版本过渡包。 文件内容 1.过渡USG6300V500R001C30SPC100。 2.最新升级包USG6000V500R005C20SPC500.bin。 3.HUAWEI USG6000, USG9500, NGFW Module V500R005C20SPC...
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
ssh脚本自动将IP加入华为USG6300防火墙黑名单
05-12
1.从ip.txt文件中取出ip列表。2.将每一个ip设置到防火墙黑名单。3.使用expect自动登录防火墙。4.进入到防火墙系统视图。5.将IP加入到防火墙。6.查看IP黑名单列表。完整代码见附件
适用于eNSP 1.3.00 可加载的USG6000V防火墙设备包
03-30
适用于eNSP 1.3.00【V100R003C00】可加载的USG6000V防火墙设备包,导入后直接开机使用,亲测可用
EVE-NG的华为USG6000V镜像
08-02
EVE-NG模拟华为USG6000V镜像包 华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用。产品具备丰富的网关业务能力,如vFW、vIPSec、...
华为防火墙USG2130BSR固件sup-512M.binsup-256M.binUSG2100 V300R001C10S
12-24
USG2100 V300R001C10SPC600 (VRP (R) Software, Version 5 512M和256M的 华为防火墙 防火墙固件 USG2000系列 sup-512M sup-256M
华为USG6000V500R001C30SPC100.bin,V1升级V5过渡包+最新的USG6000V500R005C20
05-16
附件包含USG6000v100r001c30spca00.bin+USG6000V500R001C30SPC100.bin+USG6000V500R005C20SPC500.bin 华为USG6000系列升级通刷,已经测试过usg6300和usg6500系列
超级详细的华为防火墙基础知识
weixin_46622350的博客
06-03 7310
文章整理自《华为防火墙技术漫谈》 1.1 什么是防火墙 防火墙,顾名思义,阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。 引入到通信领域,防火墙也形象化地体现了这一特点:防火墙这一具体的网络设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”能穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。 那么,用通信语言来定义,防火墙主要用于保护一个网络免受来自另一个网络的攻击和入...
查看华为防火墙会话和流量top数据
MrZhangTS的博客
02-10 1617
查看华为防火墙会话和流量top数据
华为流量统计的2种配置方法
IT技术
11-19 573
华为流量统计的2种配置方法
【HW防火墙】华为防火墙出方向丢包-(IDC内部三层环路)
最新发布
qq_43751649的博客
12-15 1098
网络延迟借助FW排查延迟及丢包问题,帮助我们故障定位,减少业务影响,加速技术提高
华为USG6000v防火墙详尽配置教程与故障排除
使用华为USG6000v防火墙时,学习者需要准备ensp v380或v390版本的软件包,以及VirtualBox 5.x或更高版本的虚拟机环境,因为web-manager功能需要启用,并且推荐使用特定版本的固件以确保兼容性。 首先,用户需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值