标签：10.1 收集 FW ip 防火墙 packet acl 故障 链路

作为弱电农民工，最糟心的事就是一顿操作猛如虎，最后发现整个网络不通，。。这个时候就需要沉着冷静，快速定位故障点。

本次以防火墙为例，介绍两种简单常见的快速定位网络故障点的方法。

一、tracert命令

Tracert命令诊断通过向目标计算机发送具有不同生存时间的ICMP数据包，来确定至目标计算机的路由，也就是说用来跟踪一个消息从一台计算机到另一台计算机所走的路径。通过tracert命令可以查看源网段到目的网段之间中间哪个节点故障，快速定位问题。

二、debug命令

通过debugging ip packet /debugging aspf packet /debugging security-policy packet ip 命令定位故障点，详细命令见如下配置。

实验拓扑

配置说明

PC1模拟内网终端，SERVER1模拟内网的服务器，按照拓扑图配置完成后，PC1与SERVER1之间不通，检查相关原因。

配置需求

1.按照实验拓扑配置IP地址；

2.在防火墙上将2口加入到trust域，将1口加入到DMZ区，在防火墙上故意不放通域间策略，检查用tracert命令、debug命令能否检查到链路故障。

配置步骤

1.配置ip地址部分，略。

2.在防火墙上分别创建untrust域与DMZ域，将1口、2口分别加到对应域中。

[FW]security-zone name Trust [FW-security-zone-Trust]import  interface GigabitEthernet 1/0/2[FW-security-zone-Trust]security-zone name DMZ[FW-security-zone-DMZ]import  interface GigabitEthernet 1/0/1

3.tracert命令故障定位

3.1 在PC1、FW、SERVER1上分别配置ip ttl-expires enable 、ip unreachables enable命令。

备注：在实际环境中，需要在源地址、目的地在之间链路的所有交换机、路由器、防火墙上开启这两条命令，服务器、PC等终端设备上不需要。

[FW]ip ttl-expires enable [FW]ip unreachables enable

[PC1]ip ttl-expires enable [PC1]ip unreachables enable

[SERVER1]ip ttl-expires enable [SERVER1]ip unreachables enable

3.2 在pc1上tracert SERVER1的地址，查看结果

[PC1]tracert 10.1.1.2traceroute to 10.1.1.2 (10.1.1.2), 30 hops at most, 40 bytes each packet, press CTRL_C to break 1  192.168.1.1 (192.168.1.1)  1.000 ms  1.000 ms  0.000 ms 2  * * * 3  * * * 4  * * * 5  * * *

 可以看到链路到了防火墙之后就没有发出去，定位问题节点在防火墙。检查防火墙的IP、路由、域间策略等解决故障。
4.debug命令故障定位4.1 在防火墙上创建acl。备注：只抓取需要检测的流量报文而不是全部报文，降低对设备性能的影响。

[FW]acl a  3000[FW-acl-ipv4-adv-3000]rule permit ip source 192.168.1.10 0 destination 10.1.1.2 0[FW-acl-ipv4-adv-3000]rule permit ip source 10.1.1.2 0 destination 192.168.1.10 0[FW-acl-ipv4-adv-3000]dis this#acl advanced 3000 rule 0 permit ip source 192.168.1.10 0 destination 10.1.1.2 0 rule 5 permit ip source 10.1.1.2 0 destination 192.168.1.10 0

4.2 在防火墙上开启debug命令。

<FW>terminal debugging The current terminal is enabled to display debugging logs.<FW>terminal monitor The current terminal is enabled to display logs.

<FW>debugging ip packet acl 3000<FW>debugging aspf packet acl 3000<FW>debugging security-policy packet ip acl 3000

4.3 在pc1上ping SERVER1的地址，在防火墙上查看结果。

<FW>

<FW>*Apr  8 11:43:51:293 2021 FW IPFW/7/IPFW_PACKET: -Context=1; 

Receiving, interface = GigabitEthernet1/0/2

version = 4, headlen = 20, tos = 0

pktlen = 84, pktid = 81, offset = 0, ttl = 255, protocol = 1

checksum = 61090, s = 192.168.1.10, d = 10.1.1.2

channelID = 0, ***-InstanceIn = 0, ***-InstanceOut = 0.

prompt: Receiving IP packet from interface GigabitEthernet1/0/2.

Payload: ICMP

  type = 8, code = 0, checksum = 0x8968.

*Apr  8 11:43:51:293 2021 FW ASPF/7/PACKET: -Context=1; The first packet was dropped by ASPF for nonexistent zone pair. Src-Zone=Trust, Dst-Zone=DMZ;If-In=GigabitEthernet1/0/2(3), If-Out=GigabitEthernet1/0/1(2); Packet Info:Src-IP=192.168.1.10, Dst-IP=10.1.1.2, ***-Instance=none, Src-Port=233, Dst-Port=2048. Protocol=ICMP(1).

通过报文显示可以看到报文被丢弃是由于防火墙的安全域。因此此时可以检查防火墙的域，快速解决问题。

5.debug命令关闭ctrl + O 关闭所有debug命令。=undo debugging alldebug命令会消耗设备性能，可能会导致正在运行业务的卡顿，所以在收集玩debug日志后，一定要关闭debug命令。

<FW><FW>undo debugging allAll possible debugging has been turned off.

附：

关注我，获取此次配置工程、更多配置案例、最新影视及常用办公软件

标签：10.1,收集,FW,ip,防火墙,packet,acl,故障,链路
来源： https://blog.51cto.com/14302472/2692344

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。