《上面检查网络连通性的几个方法日常维护系统管理.docx》由会员分享,可在线阅读,更多相关《上面检查网络连通性的几个方法日常维护系统管理.docx(6页珍藏版)》请在三一文库上搜索。
1、感谢你的观看FortiGate 上面检查网络连通性的几个方法_FGT、日常维护、系统管理 7FortiGate 上面检查网络连通性的三个步骤1 适用范围更多: 所有的运行在NAT 或者 TP 模式下面的FortiGate 设备。2说明本文描述的是在FortiGate 上面检查网络连通性的三个典型步骤,这三个步骤的输出信息同样对于FortiGate 技术支持中心来说是非常有用的也是提交tcket 必须的附件。我们假设的网络环境如下显示: PC1 = portA FortiGate portB = PC2PC1和PC2分别直连在FortiGate的portA和portB 口上或者是跨过路由器连到F
2、ortiGate 的 portA 和 portB 口上, 出现的问题是 PC1 不能连接到PC2。3解决方案注意:在使用了NP2 网络处理器的FortiGate 接口上,由于网络流量有可能被 NP2处理器硬件加速从而导致 sniffer和debugflow 输出结果错误。请在使用这2 个命令前先确认你所使用的FortiGate 设备是否具有NP2 接口,如果是NP2 接口的话请参照“如何在 FortiGate 的 NP2 网络接口上面使用sniffer 或 debug flow功能”文章描述禁用 NP2 硬件加速功能。大体上的故障排除过程如下:步骤一:sniffer步骤二:debug flow
3、步骤三:session list4步骤一,sniffer可以让PC1持续的ping着PC2然后确认如下几个问题结果:1, Ping 请求包是否从所期望的FortiGate 网口收到;2,检查ARP 请求是否正确的从目的接口发出去;3,检查ping 请求包是否从期望的FortiGate 几口发出去;4,检查ping 响应是否从上面的出接口收到;5,检查ping 响应是否正确的从FortiGate 的 portA 口发向PC1。具体命令如下:FGT# diagnose sniffer packet any host or host 4或者FGT# diagnose sniffer packet a
4、ny (host or host ) and icmp 4在 sniffer 过滤器里面可以同时增加ARP 协议,这样有助于发现到PC2的ARP请求响应是否正确。具体命令如下:FGT# diagnose sniffer packet any host or host or arp 4敲“ CTRL+C ”可以中止 snifferSniffer 命令参数4可以显示出报文具体的进口和出口。5步骤二,debug flow正确的ping包应该可以正常的穿过 FortiGate,如果没有正常穿越,可以尝试用debug flow 命令来查找问题:diag debug enablediag debug fl
5、ow filter add 或者diag debug flow filteradd diag debug flow show console enablediag debug flow trace start 100 diag debug enable要停止 debug flow, 可以使用命令diag debug flow trace stop1,下面是debug flow 具体的数据流由于没有匹配上了防火墙策略而被阻挡输出:id=20085 trace_id=319 func=resolve_ip_tuple_fast line=2825msg=vd-rootreceivedapacket
6、(proto=6,192.168.129.136:2854-192.168.96.153:1863) from port3.id=20085 trace_id=319 func=resolve_ip_tuple line=2924 msg=allocate a new session-013004acid=20085 trace_id=319 func=vf_ip4_route_input line=1597 msg=find a route: gw-192.168.150.129 via port1id=20085 trace_id=319 func=fw_forward_handler l
7、ine=248 msg= Denied by forward policy check2,下面是debug flow 具体的数据流匹配上了防火墙基于策略IPSEC VPN策略ID = 2的输出:id=20085 trace_id=1 msg=vd-root received a packet (proto=1,10.72.55.240:1-10.71.55.10:8) from internal.id=20085 trace_id=1 msg=allocate a new session-00001cd3id=20085 trace_id=1 msg=find a route: gw-192.
8、168.56.230 via wan1id=20085 trace_id=1 msg=Allowed by Policy-2: encryptid=20085 trace_id=1 msg=enter IPsec tunnel-RemotePhase1id=20085 trace_id=1 msg=encrypted, and send to 192.168.225.22 withsource 192.168.56.226id=20085 trace_id=1 msg=send to 192.168.56.230 via intf-wan1 “id=20085 trace_id=2 msg=v
9、d-root received a packet (proto=1,10.72.55.240:1-10.71.55.10:8) from internal.id=20085 trace_id=2 msg=Find an existing session, id-00001cd3, original directionid=20085 trace_id=2 msg=enter IPsec =encrypted, and send to192.168.225.22 with source 192.168.56.226tunnel-RemotePhase1id=20085 trace_id=2 ms
10、gid=20085 trace_id=2 msg=send to192.168.56.230 via intf-wan16步骤三,session list再进一步的故障分析可以检查防火墙的连接表,连接表查看支持过滤器设置,可以根据具体的源目的IP 地址或端口等信息过虑需要查看的防火墙连接表信息,具体如下:diag sys session filter src PC1diag sys session list或者diag sys session filter dst PC1diag sys session list清楚过虑器过虑出来的防火墙连接的命令如下:diag sys session filter dst PC1diag sys session clear 感谢你的观看