問題描述:
H3C-F5020防火牆抓包命令行,然後開啟debug查看數據轉發流程
組網及組網描述:
求助H3C-F5020防火牆命令行流程,怎麼寫acl,怎麼開啟debug?比如源地址192.168.2.1訪問 目的10.1.128.1:80服務
- 2022-04-27提問
- 舉報
-
(0)
1,收集現網的拓撲結構,需要明確網絡中設備具體的接口和IP地址以及不通時的源地址(X.X.X.X)和目的地址(Y.Y.Y.Y),ping測試。
2,確定防火牆的入接口和出接口以及對接的安全域和安全策略規則號。
3,開啟會話統計功能:session statistics enable
並查看故障時的會話狀態信息 display session table ipv4 source-ip X.X.X.X destination-ip Y.Y.Y.Y verbose (一定要帶上verbose!)
4,創建一個空ACL 3XXX,寫上兩條明細rule,分別對應來回流量的源目地址,如下:
[FW]acl advanced 3XXX
[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X 0 destination Y.Y.Y.Y 0
[FW-acl-ipv4-adv-3010]rule 5 permit ip destination X.X.X.X 0 destination X.X.X.X 0
另外如果有NAT,假設(X.X.X.X) NAT後的地址為(A.A.A.A 會話中可以看到NAT後的地址),則需要再寫上兩條rule ,分別對應NAT後的來回流量的源目地址,如下:
[FW]acl advanced 3XXX
[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X 0 destination Y.Y.Y.Y 0
[FW-acl-ipv4-adv-3010]rule 5 permit ip destination X.X.X.X 0 source X.X.X.X 0
[FW-acl-ipv4-adv-3010]rule 10 permit ip source A.A.A.A 0 destination Y.Y.Y.Y 0
[FW-acl-ipv4-adv-3010]rule 15 permit ip destination X.X.X.X 0 source A.A.A.A 0
5,以安全策略security-policy為例,分別進行以下debug調試:
<FW>debugging ip packet acl 3XXX # 查看報文具體從哪個接口,哪個slot上來和發出的情況
<FW>debugging ip info acl 3XXX # 如果有丟包則會打印信息丟包的具體模塊,如果沒有丟包則不打印
<FW>debugging aspf packet acl 3XXX # 如果報文狀態不合法,則會顯示被aspf丟棄,需檢查流量來回是否一致
<FW>debugging security-policy packet ip acl 3XXX # 如果是對象策略則用object-policy,如果是包過濾則用packet-filter
如果沒有會話,但是debug有報文上來,還需要收集:
<FW>debugging session session-table all acl 3XXX # 可以查看會話被刪除的具體情況
- 2022-04-27回答
- 評論(1)
- 舉報
-
(1)
學習了。
學習了。
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明