还剩6页未读,继续阅读
文本内容:
防火墙排除故障方法1确认周边网络设备配置vlan、trunk是否正确,静态路由、动态路由、策略路由是否正确2在防火墙入、出口上同时抓包
2.1网卡、主机、协议、端口、vlan参数-ieth2表示在fe3口上抓包host
1.
1.
1.1表示抓发往或源自
1.
1.
1.1主机的包tcpudp表示抓tcp包或udp包port80表示抓80端口的包vlan(notvlan表示未解vlan标志(解开vlan标志)的包例子Tcpdump–ieth2host
1.
1.
1.1andtcpandport80andvlan表示从fe3口上抓源自或发往
1.
1.
1.1主机的TCP80端口的,还未解vlan标志的包注凡从交换机trunk进入墙的包,均使用vlan参数抓包,从墙出去进入交换机trunk口的包,均使用notvlan参数
2.2逻缉运算符and表示“与”or表示“或”not表示“非”\\表示“()”例子Tcpdumphost
1.
1.
1.1orhost
2.
2.
2.2andnotudp表示抓源自或发往
1.
1.
1.1或
2.
2.
2.2且不是udp的数据包
2.3抓包长度、抓包个数、保存文件参数-s0表示抓完整的数据包-c100表示抓100个数据包(不得大于3M)wrfile表示将抓到的包存于cap文件中没有”-“符号例子Tcpdump–ieth2–s0–c100wrfile表示在eth2上抓100个完整的包后,并将文件存
2.4将抓包文件传回ethereal分析以ssh方式,用dump/dump口令登录防火墙szcap(表示将刚才存的file.cap)文件传回ssh客户端在ssh客户端软件__目录的download目录下,可找到传回的文件
2.5及时清理抓包现场停止抓包如加了-c参数,会在抓到指定包数后停止,也可ctrl+c停止rmcap删除cap文件szcap会提示你没有找到cap文件这时刚才抓下的文件就已经删除了注意一定要记得及时停止抓包,并删除无用的抓包文件,否则可能造成严重的系统故障3检查防火墙入口是否正确收到包包大小(64-1518字节)源/目IP,源/目端口源/目__C地址筛选出一个TCP连接的方法TCP完整连接——三次握手TCP完整连接——数据包之间的确认TCP完整连接——两包之间的间隔和时间间隔TTL值(在使用测试仪测试时可能出错)应用层协议内容4检查防火墙出口是否正确转发包源/目IP地址在开启源地址转换及端口/IP映射规则时要特别注意核对包大小对于超过MTU大小的包,会进行分片,有可能造成小包转发时被相邻设备拒绝源/目__C地址有时会有冒用IP的现象路由表命令routeARP缓存表命令arp–n与入口处所抓包进行比对网络流量、防火墙CPU、内存(通过WEB管理界面上可看到)PAGE8。