SRX防火墙常见故障应急预案

Juniper防火墙常见故障应急预案-ii-Juniper防火墙常见故障快速处理指南应急启动条件：故障一：CPU负载突发升高故障二：并发会话突发升高故障三：防火墙主备关系紊乱应急操作步骤：故障一：CPU负载突发升高如果CPU持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的CPU升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。（注意：在外联区与Internet区等需要NAT的地方不能使用此替代方案）收集的信息至少包括如下内容：requestsupportinformationsetclitimestampshowchassisrouting-engineshowsystemprocessesextensiveshowsecuritymonitoringperformancesessionshowsecuritymonitoringsessionfpcnumberpicnumbershowsecuritymonitoringperformancespu故障二：并发会话突发升高一般在会话总数升高时，可通过命令clearsecurityflowsession及时关闭无用的会话，此命令可以基于源/目标地址、源/目标端口、IP协议来关闭会话。另外，可以通过命令deletesecurityflowtcp-sessionno-syn-check打开对建立会话的包头syn标志位检测，以避免有攻击流量（例如rstflood）在防火墙上建立无用会-iii-话。同时，可通过以下命令，临时降低每个ip允许的会话，以保证大部分的业务通讯：setsecurityscreenids-optionscreenlimit-sessionsource-ip-basednumbersetsecurityscreenids-optionscreenlimit-sessiondestination-ip-basednumbersetsecurityzonessecurity-zonezonescreenscreen如果会话持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的会话升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。（注意：在外联区与Internet区等需要NAT的地方不能使用此替代方案）收集的信息至少包括如下内容：requestsupportinformationsetclitimestampmonitorinterfacenamemonitorinterfacetrafficshowsecurityflowsessionsummaryshowsecurityflowcp-sessionsummaryshowsecurityflowsessiondestination-prefixip-prefixshowsecurityflowsessionsession-identifiershowinterfaceextensive故障三：防火墙主备关系紊乱当两台防火墙都变成Master状态时，网络并不会中断，所有的流量会指向最后一台变成Master的防火墙。此时只要恢复主备防火墙之间的连线，网络即可恢复正常如果没有备用的线缆或者光线模块可以恢复主备防火墙的连接，可以强行将其中一台防火墙的连线拔下，以保证只有一台防火墙处在Master状态。-iv-目录1CPU负载突发升高...................................................................................................11.1基础概念..........................................................................................................................11.2故障定位..........................................................................................................................31.2.1FlowCPU..................................................................................................................31.2.2TaskCPU..................................................................................................................51.3监控管理..........................................................................................................................51.4应急操作..........................................................................................................................62并发会话突发升高....................................................................................................72.1基础概念..........................................................................................................................72.2故障定位..........................................................................................................................72.2.1检查新建会话...........................................................................................................72.2.2检查会话关闭情况....................................................................................................82.3监控管理..........................................................................................................................92.4应急操作..........................................................................................................................93防火墙主备关系紊乱..............................................................................................103.1基础概念........................................................................................................................103.2故障定位........................................................................................................................103.3监控管理.........................................................................................................................113.4应急操作.........................................................................................................................11-1-1CPU负载突发升高1.1基础概念JuniperSRX防火墙内有两类CPU：转发CPU和控制CPU。转发CPU也称为SPU,位于防火墙的SPC板卡，负责处理经过防火墙的业务流量，例如新建会话连接和基于session的转发；控制CPU位于防火墙的RE板卡，负责处理管理防火墙的任务流量，比如syslog/telnet等等。FlowCPU没有进程的概念，而TaskCPU有进程可以通过getostask命令查看进程。防火墙CPU突发升高时，要判断是哪类CPU升高，可通过如下命令查看SPU和RECPU的利用率：SPU利用率：root@SRX#runshowsecuritymonitoringperformancespunode0:--------------------------------------------------------------------------fpc8pic0Last60seconds:0:01:02:03:04:05:06:07:08:09:010:011:012:013:014:015:016:017:018:019:020:021:022:023:024:025:026:027:028:029:030:031:032:033:034:035:036:037:038:039:040:041:042:043:044:045:046:047:048:049:050:051:052:053:054:055:056:057:058:059:0fpc8pic1-2-Last60seconds:0:01:02:03:04:05:06:07:08:09:010:011:012:013:014:015:016:017:018:019:020:021:022:023:024:025:026:027:028:029:030:031:032:033:034:035:036:037:038:039:040:041:042:043:044:045:046:047:048:049:050:051:052:053:054:055:056:057:058:059:0可以看到最近60秒的SPU利用率记录。RECPU利用率：root@SDTF01#runshowchassisrouting-enginenode0:--------------------------------------------------------------------------RoutingEnginestatus:Slot0:CurrentstateMasterElectionpriorityMaster(default)Temperature39degreesC/1