《防火墻典型組網(wǎng)及常見故障診斷》由會員分享,可在線閱讀���,更多相關《防火墻典型組網(wǎng)及常見故障診斷(17頁珍藏版)》請在裝配圖網(wǎng)上搜索���。
1���、,#,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,杭州華三通信技術有限公司,,防火墻典型組網(wǎng)及常見故障診斷,防火墻典型組網(wǎng)及常見故障診斷,第1頁,掌握,SecPath,防火墻常見組網(wǎng),掌握,SecPath,防火墻故障診療技巧,課程目標,學習完本課程,您應該能夠:,防火墻典型組網(wǎng)及常見故障診斷,第2頁,防火墻常見組網(wǎng),防火墻常見故障診療,目錄,防火墻典型組網(wǎng)及常見故障診斷,第3頁,防火墻常見組網(wǎng)案例,在政府���、企業(yè)縱向網(wǎng)絡出口中應用,金融證券行業(yè)組網(wǎng)應用,電信級可靠性應用,防火墻典型組網(wǎng)及常見故障診斷,第4頁,在政府���、企業(yè)縱向網(wǎng)絡出口中應用,SecPath,
2���、防火墻,企業(yè)用戶,trust,域,untrust,域,DMZ,域,服務器群,防火墻典型組網(wǎng)及常見故障診斷,第5頁,金融證券行業(yè)組網(wǎng)應用,認證服務器,數(shù)據(jù)中心,網(wǎng)上銀行,電子商務,網(wǎng)頁瀏覽,內(nèi)部網(wǎng),Server,SecPath A,SecPath B,企業(yè)用戶,企業(yè)用戶,untrust,區(qū)域,DMZ,區(qū)域,1,DMZ,區(qū)域,2,trust,區(qū)域,防火墻典型組網(wǎng)及常見故障診斷,第6頁,電信級可靠性組網(wǎng)應用,internet,分支機構,企業(yè)用戶,內(nèi)部網(wǎng),公網(wǎng)服務器,防火墻典型組網(wǎng)及常見故障診斷,第7頁,防火墻常見組網(wǎng),防火墻常見故障診療,目錄,防火墻典型組網(wǎng)及常見故障診斷,第8頁,故障診療流程,檢驗
3、物理鏈路狀態(tài),檢驗防火墻缺省動作是攔截還是放行,檢驗接口是否加入正確域,檢驗,ARP,表項是否正確,檢驗,ACL,規(guī)則匹配情況,檢驗,NAT,表項是否正確,檢驗,ASPF,是否啟用,是否應用到正確接口正確方向,檢驗域統(tǒng)計功效是否開啟,防火墻典型組網(wǎng)及常見故障診斷,第9頁,常見故障現(xiàn)象一,故障現(xiàn)象:防火墻接口配置,IP,地址后,,ping,不通,分析診療:,ping,不通存在以下可能���,請逐一檢驗,1,)確保防火墻物理鏈路,up,狀態(tài);,2,)確保物理接口加入?yún)^(qū)域中一個���;,3,)檢驗防火墻缺省規(guī)則及,ACL,規(guī)則;,4,)檢驗,ARP,表項中是否存在對端設備,MAC,地址���;,5,)經(jīng)過,debug
4���、,命令查看,ICMP,報文收發(fā)情況���。,防火墻典型組網(wǎng)及常見故障診斷,第10頁,常見故障現(xiàn)象二,故障現(xiàn)象:,配置端口掃描和地址掃描攻擊防范及動態(tài)黑名單后在防火墻上看不到攻擊日志���,同時沒有把掃描源地址動態(tài)加入到黑名單里���。,診療分析:,1,)檢驗掃描工具掃描速度是否超出配置文件文件設置每秒,max-rate,值,2,)檢驗是否啟用黑名單功效,3,)檢驗連接發(fā)起方域出方向,IP,統(tǒng)計功效是否開啟,防火墻典型組網(wǎng)及常見故障診斷,第11頁,常見故障現(xiàn)象三,故障現(xiàn)象:網(wǎng)頁內(nèi)容關鍵字過濾設置后���,不生效,分析診療:,1,)檢驗,ASPF,是否配置為檢測,HTTP,���;,2,)檢驗,ASPF,是否應用到接口或者域間
5���、,3,)經(jīng)過,display firewall web-filter,查看過濾統(tǒng)計,(注意事項:配置網(wǎng)頁過濾及郵件過濾時���,必須打開,ASPF,檢測功效),防火墻典型組網(wǎng)及常見故障診斷,第12頁,常見故障現(xiàn)象四,故障現(xiàn)象:系統(tǒng)不能檢測,2FE,卡,分析診療:,1,),display version,查看,2FE,卡是否已經(jīng)注冊,2,)檢驗,2FE,卡類型,有兩種類型,2FE,卡���。,secpath,只支持,82559,芯片,2fe,不支持,21143,芯片,2fe,還需要補充兩種類型板卡區(qū)分方法,(注:識別方法以下���,可用經(jīng)過單板物理芯片肉眼觀察識別���。,21143,芯片,2fe,在靠近,pci,插座
6、地方���,有一塊,4,平方厘米芯片���,上面有,21143,標識。假如是,82559,芯片,2fe,���,只有一塊,1,平方厘米芯片���,在單板中間���,上面有,82559,標識。),防火墻典型組網(wǎng)及常見故障診斷,第13頁,常見故障現(xiàn)象五,故障現(xiàn)象:防火墻透明模式設置為透明模式���,防火墻兩邊路由器不能建立,OSPF,鄰居關系���。,分析診療:,1,)檢驗是否開啟對,unknown-mac,泛洪或者廣播功效���。,2,)經(jīng)過,ping,檢驗兩端物理鏈路是否通暢。,3,)檢驗兩端,hello,報文個別區(qū)域號���、網(wǎng)絡號���、,hello,間隔時間和死亡時間等參數(shù)是否一致。,4,)其它個別請參考,OSPF,協(xié)議調(diào)試個別內(nèi)容���。,防火墻典型
7���、組網(wǎng)及常見故障診斷,第14頁,常見故障現(xiàn)象六,故障現(xiàn)象:,GRE,隧道設置完成后���,不能,ping,通對端,tunnel,接口,分析診療:對于可能存在原因���,逐一檢驗以下:,1,)確保隧道接口已經(jīng)加入公網(wǎng)接口所在域���;,2,),display interface tunnel,檢驗隧道接口是否已經(jīng)處于,up,狀態(tài)���;,2,)檢驗是否配置隧道是否配置了正確源和目標地址���;,3,)檢驗路由表里是否存在到隧道目標地址路由���,也能夠經(jīng)過,ping,命令測試隧道目標地址是否可達。,(注意事項:全部接口,不論是物理接口還是虛擬接口都必須加入某個域),防火墻典型組網(wǎng)及常見故障診斷,第15頁,常見故障現(xiàn)象七,故障現(xiàn)象:經(jīng)過瀏覽器登錄防火墻時���,提醒“找不到頁面”,分析診療:,1,)檢驗,PC,到防火墻物理鏈路是否問題���;,2,)經(jīng)過,dir,命令���,檢驗,flash,里是否已經(jīng)存在,http.zip,文件���;,3,)假如不存在,經(jīng)過,detach,命令把該文件從系統(tǒng)軟件中,分離���;,防火墻典型組網(wǎng)及常見故障診斷,第16頁,防火墻常見組網(wǎng)方式,SecPath,防火墻常見故障診療分析,本章總結,防火墻典型組網(wǎng)及常見故障診斷,第17頁,
防火墻典型組網(wǎng)及常見故障診斷
