《FortiGate上面检查网络连通性的几个方法FGT、日常维护、系统管理.docx》由会员分享,可在线阅读,更多相关《FortiGate上面检查网络连通性的几个方法FGT、日常维护、系统管理.docx(6页珍藏版)》请在三一文库上搜索。
1、感谢你的观看FortiGate 上面检查网络连通性的几个方法 _FGT 、日常维护、系统管理7FortiGate 上面检查网络连通性的三个步骤1 适用范围更多: 所有的运行在 NAT 或者 TP 模式下面的 FortiGate 设备。2说明本文描述的是在 FortiGate 上面检查网络连通性的三个典型步骤,这三个步骤的输出信息同样对于 FortiGate 技术支持中心来说是非常有用的也是提交tcket 必须的附件。我们假设的网络环境如下显示: PC1 = portA FortiGate portB = PC2PC1 和 PC2 分别直连在FortiGate 的 portA 和 portB 口
2、上或者是跨过路由器连到 FortiGate 的 portA 和 portB 口上,出现的问题是PC1 不能连接到PC2。3 解决方案注意:在使用了 NP2 网络处理器的 FortiGate 接口上,由于网络流量有可能被 NP2 处理器硬件加速从而导致sniffer 和 debug flow 输出结果错误。请在使用这 2 个命令前先确认你所使用的 FortiGate 设备是否具有NP2 接口,如果是 NP2 接口的话请参照“如何在FortiGate 的 NP2 网络接口上面使用 sniffer或 debug flow 功能”文章描述禁用 NP2 硬件加速功能。大体上的故障排除过程如下:步骤一:s
3、niffer步骤二:debug flow步骤三:session list4 步骤一,sniffer可以让 PC1 持续的 ping 着 PC2 然后确认如下几个问题结果:1 , Ping 请求包是否从所期望的 FortiGate 网口收到;2 ,检查ARP 请求是否正确的从目的接口发出去;3 ,检查ping 请求包是否从期望的FortiGate 几口发出去;4 ,检查ping 响应是否从上面的出接口收到;5 ,检查ping 响应是否正确的从FortiGate 的 portA 口发向 PC1 。具体命令如下:FGT# diagnose sniffer packet any host or hos
4、t 4或者FGT# diagnose sniffer packet any (host or host ) and icmp 4在 sniffer 过滤器里面可以同时增加ARP 协议,这样有助于发现到 PC2 的ARP 请求响应是否正确。具体命令如下:FGT# diagnose sniffer packet any host or host or arp 4敲“ CTRL+C ”可以中止snifferSniffer 命令参数4可以显示出报文具体的进口和出口。6 步骤二,debug flow正确的 ping 包应该可以正常的穿过FortiGate ,如果没有正常穿越,可以尝试用 debug fl
5、ow 命令来查找问题:diag debug enablediag debug flow filter add 或者 diag debug flow filter add diag debug flow show console enablediag debug flow trace start 100 diag debug enable要停止 debug flow ,可以使用命令diag debug flow trace stop1 ,下面是 debug flow 具体的数据流由于没有匹配上了防火墙策略而被阻挡输出:id=20085 trace_id=319 func=resolve_ip_t
6、uple_fast line=2825 msg=vd- root received a packet(proto=6, 192.168.129.136:2854-192.168.96.153:1863) from port3.id=20085 trace_id=319 func=resolve_ip_tuple line=2924 msg=allocate anew session-013004acid=20085 trace_id=319 func=vf_ip4_route_input line=1597 msg=find aroute: gw-192.168.150.129 via por
7、t1id=20085 trace_id=319 func=fw_forward_handler line=248 msg= Deniedby forward policy check2 ,下面是 debug flow 具体的数据流匹配上了防火墙基于策略IPSEC VPN策略ID = 2的输出:id=20085 trace_id=1 msg=vd-root received a packet (proto=1,10.72.55.240:1-10.71.55.10:8) from internal.id=20085 trace_id=1 msg=allocate a new session-000
8、01cd3id=20085 trace_id=1 msg=find a route: gw-192.168.56.230 via wan1id=20085 trace_id=1 msg=Allowed by Policy-2: encryptid=20085 trace_id=1 msg=enter IPsec tunnel-RemotePhase1id=20085 trace_id=1 msg=encrypted, and send to 192.168.225.22 withsource 192.168.56.226id=20085 trace_id=1 msg=send to 192.1
9、68.56.230 via intf-wan1 “id=20085 trace_id=2 msg=vd-root received a packet (proto=1,10.72.55.240:1-10.71.55.10:8) from internal.id=20085 trace_id=2 msg=Find an existing session, id-00001cd3, original directionid=20085 trace_id=2 msg=enter IPsec =encrypted, and send to192.168.225.22 with source 192.1
10、68.56.226“ tunnel-RemotePhase1id=20085 trace_id=2 msgid=20085 trace_id=2 msg=send to192.168.56.230 via intf-wan16 步骤三,session list再进一步的故障分析可以检查防火墙的连接表,连接表查看支持过滤器设置,可以根据具体的源目的 IP 地址或端口等信息过虑需要查看的防火墙连接表信息,具体如下:diag sys session filter src PC1diag sys session list或者diag sys session filter dst PC1diag sys session list清楚过虑器过虑出来的防火墙连接的命令如下:diag sys session filter dst PC1diag sys session clear 感谢你的观看