75Juniper防火墙使用故障检查

Juniper防火墙使用故障检查2任务描述华云数据集团承建无锡地铁云计算平台，通过应用虚拟化技术和云计算平台来整合内部IT系统，实现资源统筹管理，提升现有资源的可靠性和可用性，大幅度节约企业硬件成本和管理成本，提高资源使用率，为应用提供动态、灵活、弹性、虚拟、共享和高效的资源服务，以加快生产和开发的效率，满足无锡地铁信息化建设构建统一管理平台的发展需求。本小节介绍项目出口Juniper防火墙使用故障检查。目录使用故障检查资源应急处理日常性能检查3使用故障检查资源CLI命令行4对于SRX的硬件、软件、路由协议、网络连接性的控制和故障检查、，JUNOS的CLI命令行是主要的使用工具。CLI命令行可以显示路由表信息，路由协议的信息，使用ping和traceroute工具体现的网络连接信息。可以通过连接路由引擎上的CONSOLE、ETHERNET、AUX口进入CLI命令行接口。关于使用CLI显示端口和机箱产生的告警信息，请参阅“硬件和端口告警信息”。使用故障检查资源LED

下面描述的LED位于各个组件上，用于显示各个组件的状态。

CraftInterfaceLED：SRX3600前面板由一个Craft面板指示系统状态，Craft面板上包括路由引擎状态指示灯，电源状态指示灯，DPC状态指示灯，SCB状态指示灯，风扇状态指示灯和告警指示灯等等

ComponentLED：SRX3600的各个系统组件还有自己单独的状态指示灯，比如DPC上的每个端口都有一个LED指示端口状态5使用故障检查资源硬件和端口告警信息当路由引擎检测到一个告警的时候，会将前面板上相应的红色或者黄色的告警LED点亮。可以在命令行中使用showchassisalarms显示详细的告警描述。uer@host>showchassisalarms这里将描述两类告警消息：机箱告警（Chassisalarms）——指示机箱组件的告警信息，例如冷却系统或者电源系统，详情请查阅下面的表格。端口告警（Interfacealarms）——指示某个端口的问题，详情请查阅下面的表格。下面的两个表格中的信息为使用命令showchassisalarms输出的结果。6冷却系统故障检查冷却系统故障检查冷却系统包含安装在机箱侧面的风扇盘来保证SRX工作在一个可以接受的温度环境下。要检查风扇盘，执行下面的步骤：通过CLI命令行检查电源模块状态。通过下面的命令，观察输出的Status域的状态：root@FW02>showchassisenvironmentClassItemStatusMeasurementFansLeftFan1OKSpinningatnormalspeedLeftFan2OKSpinningatnormalspeedLeftFan3OKSpinningatnormalspeedLeftFan4OKSpinningatnormalspeed...如果有风扇盘发生故障，可以通过观察判断出哪一个风扇除了问题。然后再处理。7日常性能检查

监控RECPU利用率8SRX3600的路由引擎主要工作是维护路由信令和路由表root@FW02>showchassisrouting-engineroot@FW02>showchassisrouting-enginenode0:--------------------------------------------------------------------------RoutingEnginestatus:Slot0:CurrentstateMasterElectionpriorityMaster(default)DRAM1023MBMemoryutilization29percentCPUutilization:User2percentBackground0percentKernel8percentInterrupt2percentIdle88percentModelRE-SRX3600Starttime2010-01-1922:15:50CSTUptime7days,16hours,45minutes,20secondsLastrebootreason0x1:powercycle/failureLoadaverages:1minute5minute15minute0.010.050.07

日常性能检查

监控SPU利用率9由于SRX3600的会话查找，维护都是SPC负责的，因此需要监控SPC板卡的利用率。正常工作状态下，SPC的CPU利用率应该在60%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。SRX防火墙对内存采用“预分配”机制，空载时内存使用率为约50-70%，随着流量不断增长，内存的使用率应基本保持稳定。如果出现内存使用率高达90％时，则需检查网络中是否存在攻击流量。当前北京TD的SPU上内存利用率稳定在64%左右。root@FW02>showsecuritymonitoringfpc6#”6”是SPC所在的槽位编号node0:--------------------------------------------------------------------------FPC6PIC0CPUutilization:13%（SPC的CPU利用率）

Memoryutilization:64%（SPC的内存利用率）

Currentflowsession:73155Maxflowsession:524288CurrentCPsession:461767MaxCPsession:2359296node1:--------------------------------------------------------------------------日常性能检查

监控并发会话数root@FW02>showsecuritymonitoringfpc6#”6”是SPC所在的槽位编号root@FW02>showsecuritymonitoringfpc6node0:--------------------------------------------------------------------------FPC6PIC0CPUutilization:13%Memoryutilization:64%Currentflowsession:73155Maxflowsession:524288CurrentCPsession:461767（当前并发为461767）

MaxCPsession:235929610日常性能检查

监控双机状态正常情况（优先级为1-255，数值高则优先级高）root@FW02>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0254primarynoyesnode1100secondarynoyesRedundancygroup:1,Failovercount:3node0254primarynononode1100secondarynono11日常性能检查

切换双机状态方法一：CLI方式root@FW02>requestchassisclusterfailovernode1redundancy-group1(将nod1变为group1的主机)root@FW02>requestchassisclusterfailoverresetredundancy-group1（将nod1的优先级恢复为254）方法二：物理方式，直接拔线12日常性能检查

防火墙的debug（用于判断防火墙内部对数据包的处理过程）root@SRX3600#setsecurityflowtraceoptionsfileflow-trace(定义抓报文件名，此处为flow-trace)root@SRX3600#setsecurityflowtraceoptionsflagbasic-datapath(定义只捕获设备处理flow的信息)root@SRX3600#setsecurityflowtraceoptionspacket-filterdebugsource-prefix10.1.10.5/32destination-prefix2.2.2.2/3213(定义需要捕获报文的条件)root@SRX3600#commit(注意所有配置都需要commit)root@SRX3600#runmonitorstartflow-trace(启动该debug功能)(发送测试报文)root@SRX3600#runmonitorstopflow-tace(停止debug功能)root@SRX3600#runshowlogflow-trace(查看捕获报文的信息)应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行双机切换。在故障明确定位前建议不要关闭或重起防火墙。1、检查设备运行状态网络出现故障时，应快速判断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。2、