75Juniper防火墻使用故障檢查

Juniper防火墻使用故障檢查2任務描述華云數據集團承建無錫地鐵云計算平臺，通過應用虛擬化技術和云計算平臺來整合內部IT系統(tǒng)，實現資源統(tǒng)籌管理，提升現有資源的可靠性和可用性，大幅度節(jié)約企業(yè)硬件成本和管理成本，提高資源使用率，為應用提供動態(tài)、靈活、彈性、虛擬、共享和高效的資源服務，以加快生產和開發(fā)的效率，滿足無錫地鐵信息化建設構建統(tǒng)一管理平臺的發(fā)展需求。本小節(jié)介紹項目出口Juniper防火墻使用故障檢查。目錄使用故障檢查資源應急處理日常性能檢查3使用故障檢查資源CLI命令行4對于SRX的硬件、軟件、路由協(xié)議、網絡連接性的控制和故障檢查、，JUNOS的CLI命令行是主要的使用工具。CLI命令行可以顯示路由表信息，路由協(xié)議的信息，使用ping和traceroute工具體現的網絡連接信息?？梢酝ㄟ^連接路由引擎上的CONSOLE、ETHERNET、AUX口進入CLI命令行接口。關于使用CLI顯示端口和機箱產生的告警信息，請參閱“硬件和端口告警信息”。使用故障檢查資源LED

下面描述的LED位于各個組件上，用于顯示各個組件的狀態(tài)。

CraftInterfaceLED：SRX3600前面板由一個Craft面板指示系統(tǒng)狀態(tài)，Craft面板上包括路由引擎狀態(tài)指示燈，電源狀態(tài)指示燈，DPC狀態(tài)指示燈，SCB狀態(tài)指示燈，風扇狀態(tài)指示燈和告警指示燈等等

ComponentLED：SRX3600的各個系統(tǒng)組件還有自己單獨的狀態(tài)指示燈，比如DPC上的每個端口都有一個LED指示端口狀態(tài)5使用故障檢查資源硬件和端口告警信息當路由引擎檢測到一個告警的時候，會將前面板上相應的紅色或者黃色的告警LED點亮?？梢栽诿钚兄惺褂胹howchassisalarms顯示詳細的告警描述。uer@host>showchassisalarms這里將描述兩類告警消息：機箱告警（Chassisalarms）——指示機箱組件的告警信息，例如冷卻系統(tǒng)或者電源系統(tǒng)，詳情請查閱下面的表格。端口告警（Interfacealarms）——指示某個端口的問題，詳情請查閱下面的表格。下面的兩個表格中的信息為使用命令showchassisalarms輸出的結果。6冷卻系統(tǒng)故障檢查冷卻系統(tǒng)故障檢查冷卻系統(tǒng)包含安裝在機箱側面的風扇盤來保證SRX工作在一個可以接受的溫度環(huán)境下。要檢查風扇盤，執(zhí)行下面的步驟：通過CLI命令行檢查電源模塊狀態(tài)。通過下面的命令，觀察輸出的Status域的狀態(tài)：root@FW02>showchassisenvironmentClassItemStatusMeasurementFansLeftFan1OKSpinningatnormalspeedLeftFan2OKSpinningatnormalspeedLeftFan3OKSpinningatnormalspeedLeftFan4OKSpinningatnormalspeed...如果有風扇盤發(fā)生故障，可以通過觀察判斷出哪一個風扇除了問題。然后再處理。7日常性能檢查

監(jiān)控RECPU利用率8SRX3600的路由引擎主要工作是維護路由信令和路由表root@FW02>showchassisrouting-engineroot@FW02>showchassisrouting-enginenode0:--------------------------------------------------------------------------RoutingEnginestatus:Slot0:CurrentstateMasterElectionpriorityMaster(default)DRAM1023MBMemoryutilization29percentCPUutilization:User2percentBackground0percentKernel8percentInterrupt2percentIdle88percentModelRE-SRX3600Starttime2010-01-1922:15:50CSTUptime7days,16hours,45minutes,20secondsLastrebootreason0x1:powercycle/failureLoadaverages:1minute5minute15minute0.010.050.07

日常性能檢查

監(jiān)控SPU利用率9由于SRX3600的會話查找，維護都是SPC負責的，因此需要監(jiān)控SPC板卡的利用率。正常工作狀態(tài)下，SPC的CPU利用率應該在60%以下，如出現CPU利用率過高情況需給予足夠重視，應檢查Session使用情況和各類告警信息，并檢查網絡中是否存在攻擊流量。SRX防火墻對內存采用“預分配”機制，空載時內存使用率為約50-70%，隨著流量不斷增長，內存的使用率應基本保持穩(wěn)定。如果出現內存使用率高達90％時，則需檢查網絡中是否存在攻擊流量。當前北京TD的SPU上內存利用率穩(wěn)定在64%左右。root@FW02>showsecuritymonitoringfpc6#”6”是SPC所在的槽位編號node0:--------------------------------------------------------------------------FPC6PIC0CPUutilization:13%（SPC的CPU利用率）

Memoryutilization:64%（SPC的內存利用率）

Currentflowsession:73155Maxflowsession:524288CurrentCPsession:461767MaxCPsession:2359296node1:--------------------------------------------------------------------------日常性能檢查

監(jiān)控并發(fā)會話數root@FW02>showsecuritymonitoringfpc6#”6”是SPC所在的槽位編號root@FW02>showsecuritymonitoringfpc6node0:--------------------------------------------------------------------------FPC6PIC0CPUutilization:13%Memoryutilization:64%Currentflowsession:73155Maxflowsession:524288CurrentCPsession:461767（當前并發(fā)為461767）

MaxCPsession:235929610日常性能檢查

監(jiān)控雙機狀態(tài)正常情況（優(yōu)先級為1-255，數值高則優(yōu)先級高）root@FW02>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0254primarynoyesnode1100secondarynoyesRedundancygroup:1,Failovercount:3node0254primarynononode1100secondarynono11日常性能檢查

切換雙機狀態(tài)方法一：CLI方式root@FW02>requestchassisclusterfailovernode1redundancy-group1(將nod1變?yōu)間roup1的主機)root@FW02>requestchassisclusterfailoverresetredundancy-group1（將nod1的優(yōu)先級恢復為254）方法二：物理方式，直接拔線12日常性能檢查

防火墻的debug（用于判斷防火墻內部對數據包的處理過程）root@SRX3600#setsecurityflowtraceoptionsfileflow-trace(定義抓報文件名，此處為flow-trace)root@SRX3600#setsecurityflowtraceoptionsflagbasic-datapath(定義只捕獲設備處理flow的信息)root@SRX3600#setsecurityflowtraceoptionspacket-filterdebugsource-prefix10.1.10.5/32destination-prefix2.2.2.2/3213(定義需要捕獲報文的條件)root@SRX3600#commit(注意所有配置都需要commit)root@SRX3600#runmonitorstartflow-trace(啟動該debug功能)(發(fā)送測試報文)root@SRX3600#runmonitorstopflow-tace(停止debug功能)root@SRX3600#runshowlogflow-trace(查看捕獲報文的信息)應急處理當網絡出現故障時，應迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位故障是否與防火墻有關。如果故障與防火墻有關，可在防火墻上打開debug功能跟蹤包處理過程，檢驗策略配置是否存在問題。一旦定位防火墻故障，可通過命令進行雙機切換。在故障明確定位前建議不要關閉或重起防火墻。1、檢查設備運行狀態(tài)網絡出現故障時，應快速判斷防火墻設備運行狀態(tài)，通過Console口登陸到防火墻上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、