防火墙用户手册.docx
《防火墙用户手册.docx》由会员分享,可在线阅读,更多相关《防火墙用户手册.docx(55页珍藏版)》请在冰豆网上搜索。
防火墙用户手册
USG6550防火墙
用户手册
1查看类
关于本章
1.1查看设备运行状态
介绍查看设备运行状态的相关操作。
1.2查看接口流量
介绍查看接口流量的相关操作。
1.3查看ESN和系列号(USG6000)
通过displayesn命令可以查看设备与各部件的ESN。
1.4查看ESN和系列号(USG9500)
通过displayesn命令可以查看设备与各部件的ESN。
1.5查看光模块信息
通过displayesninterface命令可以查看光模块信息。
1.6查看会话表
会话表是设备转发报文的关键表项。
所以当出现业务故障时,通常可以通过Web查看会话表信息,大致定位发生故障的模块或阶段。
1.7查看日志
1.8查看报表
介绍查看报表的相关操作。
1.9查看VPN状态
1.1查看设备运行状态
介绍查看设备运行状态的相关操作。
通过Web方式查看设备部件状态
选择“面板>设备资源信息”,查看CPU使用率、内存使用率、CF卡使用率,如图1-1所示。
图1-1设备资源信息
参数
说明
CPU使用率
以标度盘和百分比显示当前CPU的使用情况。
当仪表盘指针移到黄色区域,表示当前CPU使用率达到预警状态。
当仪表盘指针移到红色区域,表示当前CPU使用率达到警告状态。
CPU使用率代表当前设备处理业务的繁忙程度,如果CPU使用率一直居高不下,可能是设备处理能力达到极限,不满足当前网络的部署需求,建议更换高处理性能的设备。
内存使用率
以标度盘和百分比显示当前内存的使用情况。
当仪表盘指针移到黄色区域,表示当前内存使用率达到预警状态。
当仪表盘指针移到红色区域,表示当前内存使用率达到警告状态。
CF卡使用率
以标度盘和百分比显示当前CF卡的使用情况。
当仪表盘指针移到黄色区域,表示当前CF卡使用率达到预警状态。
当仪表盘指针移到红色区域,表示当前CF卡使用率达到警告状态。
在软件或特征库等升级前,请确定剩余空间大小是否可存放待升级的文件。
如果空间不足,需要清理无用文件以保证存储空间满足新需要。
通过CLI方式查看设备部件状态
查看设备状态。
通常在发现某单板运行不正常时查看该单板状态。
displaydevice
USG6380'sDevicestatus:
SlotSubTypeOnlinePowerRegisterStatusRole
-------------------------------------------------------------------------------
0-RPUPresentPowerOnRegisteredNormalMaster
1-FIBAPresentPowerOnRegisteredNormalNA
5-PWRPresentPowerOnRegisteredNormalNA
7-FANPresentPowerOnRegisteredNormalNA
displaydevice
USG9560'sDevicestatus:
Slot#TypeOnlineRegisterStatusPrimary
--------------------------------------
1LPUPresentRegisteredNormalNA
2SPUPresentRegisteredNormalNA
6LPUPresentRegisteredNormalNA
8SPUPresentRegisteredNormalNA
9MPUPresentNANormalMaster
10MPUPresentRegisteredNormalSlave
12SFUPresentRegisteredNormalNA
13SFUPresentRegisteredNormalNA
14CLKPresentRegisteredNormalMaster
15CLKPresentRegisteredNormalSlave
16PWRPresentRegisteredAbnormalNA
17PWRPresentRegisteredNormalNA
18FANPresentRegisteredNormalNA
19FANPresentRegisteredNormalNA
项目
描述
Slot
当前在位设备的槽位号
Sub
子卡槽位号
Type
设备类型
Online
设备是否在线
●Present表示设备在线
●Absent表示设备不在线
Power
设备是否上电
●PowerOn表示设备上电
●PowerOff表示设备下电
Register
设备是否注册成功,NA表示FW启动必须运行的设备,没有这些设备FW就不能启动
Status
设备的状态
Primary
Role
当前设备是否有备份设备,NA表示该设备没有主备之分
其中Status状态为Abnormal说明状态异常。
可能的故障原因为:
1.设备的该槽位不支持这种接口卡。
2.接口卡损坏。
3.背板或主板上的插针损坏,如不正确的单板安装方式导致插针倾斜。
4.如果是FAN状态为Abnormal,则可能为风扇故障或不在位。
查看设备的健康检查信息
用户在任意视图下执行命令displayhealth命令查看设备的健康检查信息,包括CPU占用率和内存占用率。
#显示USG9500单板的健康检查信息。
displayhealth
SlotCPUUsageMemoryUsage(Used/Total)SimulateCPU
-----------------------------------------------------------------------
9MPU(Master)10%51%907MB/1746MBNone
1LPU14%18%384MB/2099MBNone
2SPU-CPU065%16%84MB/500MB0%
2SPU-CPU164%16%84MB/500MB0%
2SPU-CPU264%16%84MB/500MB0%
2SPU-CPU364%16%84MB/500MB0%
2SPU-CPU62%15%61MB/398MBNone
6LPU16%18%386MB/2099MBNone
8SPU-CPU265%16%84MB/500MB0%
8SPU-CPU362%16%84MB/500MB0%
8SPU-CPU62%15%60MB/398MBNone
10MPU(Slave)4%24%870MB/3602MBNone
-----------------------------------------------------------------------
SPUCPUAverageUtilization:
Management64%Dateplane3%
表1-1displayhealth命令的输出信息描述
项目
描述
Slot
单板槽位号。
displayhealthverbose命令可以显示从核CPU利用率使用情况。
例如
●LPU(VCPU0)为多核0号,(VCPU1)为多核1号,以此类推
●LPU为单核
CPUUsage
CPU利用率。
MemoryUsage(Used/Total)
所有注册状态板的内存使用情况。
●Total:
单板上当前可用的内存。
●Used:
单板上可用内存中已经被占用的内存。
#显示USG6000的健康检查信息。
displayhealth
-------------------------------------------------------------------------------
SlotCardSensorSensorNameStatusCurrent(V)Lower(V)Upper(V)
-------------------------------------------------------------------------------
0-01.1V_CORENormal1.10001.04001.1500
-13.3VNormal3.30003.12003.4500
-22.5VNormal2.52002.37002.6100
-31.5VNormal1.49001.42001.5700
-41.1VNormal1.09001.04001.1500
-50.75V_DDRNormal0.74000.71000.7800
-612VNormal11.880011.400012.6000
1-05.0VNormal4.95004.74005.2500
-12.5VNormal2.50002.36002.6200
-21.0VNormal0.99000.95001.0500
-31.8VNormal1.78001.71001.8900
-40.9VNormal0.90000.85000.9400
-53.3VNormal3.28003.12003.4600
-612VNormal11.940011.400012.6000
---------------------------------------------------------------
SlotCardSensorStatusCurrent(C)Lower(C)Upper(C)
---------------------------------------------------------------
0-0Normal36063
-1Normal51090
1-0Normal31063
--------------------------------------------------------------------------
PowerIDOnlineModeStateCurrent(A)Voltage(V)RealPwr(W)
--------------------------------------------------------------------------
5PresentACSupply14.212170
6Absent-----
-------------------------------------------------------------------------------
FanIDFanNumOnlineRegisterSpeedModeAirflow
-------------------------------------------------------------------------------
FAN0[3]PresentRegistered1(6880)AUTOLeft-to-Right
FAN1[2]PresentRegistered1(6880)AUTOLeft-to-Right
SystemMemoryUsageInformation:
Systemmemoryusageat2015-03-2616:
25:
01
-------------------------------------------------------------------------------
SlotTotalMemory(MB)UsedMemory(MB)UsedPercentageUpperLimit
-------------------------------------------------------------------------------
03789226559%95%
-------------------------------------------------------------------------------
SystemCPUUsageInformation:
Systemcpuusageat2015-03-2616:
25:
01
-------------------------------------------------------------------------------
SlotCPUUsageUpperLimit
-------------------------------------------------------------------------------
032%80%
-------------------------------------------------------------------------------
DiskUsageInformation:
Systemdiskusageat2015-03-2616:
25:
02
-------------------------------------------------------------------------------
SlotDeviceTotalMemory(MB)UsedMemory(MB)UsedPercentage
-------------------------------------------------------------------------------
0hda1:
117272561%
-------------------------------------------------------------------------------
1.2查看接口流量
介绍查看接口流量的相关操作。
通过Web方式查看接口流量
选择“面板>设备状态图”,将鼠标光标停留在某接口上,可查看该接口的详细信息,如图1-2所示。
单击“刷新”后能够查看到接口的最新信息。
图1-1接口信息
参数
说明
接口状态
显示该接口的物理状态/链路状态。
●Up/LineUp:
接口物理/链路处于正常启动的状态。
●Down/LineDown:
接口物理层出现故障。
●AdministrativelyDown/LineDown:
说明该接口已被禁用。
安全区域
显示该接口所在安全区域。
IP地址/掩码
显示该接口的IP地址与子网掩码。
速率
显示该接口的速率。
模式
显示接口的双工模式。
输入/出流量
显示该接口接收/发送的流量大小。
输入/出错包数
显示该接口接收/发送的流量中的错包数。
通过CLI方式查看接口信息
该命令可以查看接口的IP地址、物理层与协议层状态、接口描述。
下面以USG6370系列为例。
displayinterfaceGigabitEthernet1/0/1
GigabitEthernet1/0/1currentstate:
UP
Lineprotocolcurrentstate:
UP
GigabitEthernet1/0/1currentfirewallzone:
untrust
Description:
Huawei,USG6370Series,GigabitEthernet1/0/1Interface
RoutePort,TheMaximumTransmitUnitis1500bytes,Holdtimeris10
InternetAddressis10.1.2.1/24
IPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis0022-a100-a101
Mediatypeistwistedpair,loopbacknotset,promiscuousmodenotset
100Mb/s-speedmode,full-duplexmode,linktypeisautonegotiation
Max-bandwidth:
100000Kbps
Lastphysicaluptime:
-
Lastphysicaldowntime:
2015-05-0720:
33:
13
Currentsystemtime:
2015-05-1110:
08:
18
Last300secondsinputrate8bytes/sec,0packets/sec
Last300secondsoutputrate8bytes/sec,0packets/sec
Input:
1149packets,99478bytes
12unicasts,4broadcasts,1133multicasts,0pauses
0overruns,0runts,0jumbos,0FCSerrors
0lengtherrors,0codeerrors,0alignerrors
0fragmenterrors,0giants,0jabbererrors
0dribbleconditiondetected,0othererrors
Output:
1104packets,94646bytes
7unicasts,10broadcasts,1087multicasts,0pauses
0underruns,0runts,0jumbos,0FCSerrors
0fragmenterrors,0giants,0jabbererrors
0collisions,0latecollisions
0ex.collisions,0deferred,*othererrors
Inputbandwidthutilization:
0%
Outputbandwidthutilization:
0%
显示信息
说明
GigabitEthernet1/0/1currentstate:
UP
显示该接口的物理状态。
●UP:
接口物理层处于正常启动的状态。
●DOWN:
接口物理层出现故障。
建议做如下检查:
−线缆是否连接到正确的接口
−使用speed命令修改了接口速率,且两端不一致。
−使用duplex命令修改了双工模式,且两端不一致。
−更换连接线缆,确认是否线缆故障。
●Administrativelydown:
说明该接口下执行了shutdown命令,可以通过undoshutdown取消配置。
Lineprotocolcurrentstate:
UP
显示该接口的协议状态。
●UP:
接口的协议层正常启动。
●DOWN:
接口的链路或协议层出现故障。
●UP(s):
当逻辑接口状态为UP后。
GigabitEthernet1/0/1currentfirewallzone:
untrust
显示该接口所属安全区域。
Description:
Description后边显示该接口的Description信息,该信息可以使用description进行配置和修改。
RoutePort
说明该接口的端口类型为路由端口,如果显示为SwitchPort则说明为交换端口。
端口类型可以使用portswitch命令进行切换。
TheMaximumTransmitUnitis
接口的最大传输单元(MTU)。
长度大于接口MTU的报文,将会被分片后再发送。
如果IP报文内设置了不分片,大于接口MTU的报文会被丢弃。
通常在设备之间可以建立连接,但是无法传输数据(比如FTP可以登录但传输不了文件)时,检查接口MTU是否设置过小。
Holdtimeris
报文的生命周期。
报文如果在生命周期内没有被发送出去,则将被丢弃。
InternetAddressis
接口的IP地址和掩码,可以是静态配置或者通过DHCP等动态方式获取到的IP地址。
如果没有IP地址则显示“Internetprotocolprocessing:
disabled”。
IPSendingFrames'Formatis
接口发送的Ethernet帧的格式。
Ethernet_2为缺省的帧格式。
Ethernet在接收帧时,可以识别如下几种帧格式:
●Ethernet_2
●Ethernet_SNAP
●802.2
●802.3
Hardwareaddressis
接口的硬件地址,即接口MAC地址。
Mediatypeistwistedpair
显示线缆类型是双绞线。
full-duplexmode
显示该接口的双工模式是全双工。
以太网两端的双工模式需要一致。
linktype
显示接口的双工模式为自协商模式,如果用户手工指定为half/full显示为forcelink。
Max-bandwidth
接口可用的最大带宽是1000000Kbps,使用speed命令会影响显示的带宽。
Lastphysicaluptime
接口上次状态为UP的时间。
Lastphysicaldowntime
接口上次状态为UDOWN的时间。
Currentsystemtime
当前系统时间。
Last300secondsinput/output
该接口最近5分钟的报文收发速率,可以观察到接口的近期报文发送统计,在发生故障的第一时间查看效果比较明显。
Input
接收报文的统计信息。
●unicasts:
单播报文数。
●broadcasts:
广播报文数。
●multicasts:
组播报文数。
●pauses:
接收到Pause帧个数。
●overruns:
当接口的接收速率超过接收队列的处理能力时,设
升级会员 