juniper日常维护和故障响应剖析

防火墙日常维护和故障响应常规维护•获得基本信息•检查NSRP状态•提高预警水平•策略配置与优化•攻击防御•特殊应用处理•整理业务拓扑和记录•搭建模拟环境常规维护－获得系统基本信息•Getsys-cfg：了解系统的各种缺省参数设置•Getclock：确定系统时间•getsessioninfo：85%•Getsession：查看session列表•Getperformancesessiondetail：查看session的历史记录•getsessionidnumber：查看session细节•getperformancecpu：50%•getperformancecpudetail：查看CPU历史记录•getperformancecpualldetail常规维护－获得系统基本信息•Getmemory：采用“预分配”机制，90％•Getinterface：查看端口细节•Getroute：查看路由表•Getlogevent：查看普通事件记录•Getalarmevent：查看告警事件记录可以通过《Netscreen防火墙日志信息速查表.pdf》检索所关心的日志信息的具体含义。•Getchassis：查看防火墙硬件板卡状态和温度等常规维护－检查NSRP状态•execnsrpsyncglobal-configcheck-sum检查双机配置命令是否同步•execnsrpsyncglobal-configsave如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。•getnsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。•Execnsrpsyncrtoallfrompeer手动执行RTO信息同步，使双机保持会话信息一致•getalarmevent检查设备告警信息，其中将包含NSRP状态切换信息常规维护－检查NSRP状态•execnsrpvsd-group0modebackup手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。•execnsrpvsd-group0modeineligible手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。•setfailoveron/setfailoverauto启用并容许冗余接口自动切换•execfailoverforce手动执行将主用端口切换为备用端口。•execfailoverrevert手动执行将备用端口切换为主用端口。常规维护－提高预警水平•以CPU监控为例，在SNMP网管中可以实时监控获得CPU负载性能曲线，在此基础上可以设置多个报警阈值，如设置五级报警，分别在CPU负载50%、60%、70%、80%、90%时报警，这样可以实现一种“预报警”的功能，在对网络通讯产生严重影响之前就能主动进行响应，提高系统的可靠性。常规维护－提高预警水平•nsResCpuAvg：当前CPU利用率（1.3.6.1.4.1.3224.16.1.1）•nsResCpuLast1Min：最后1分钟CPU利用率（1.3.6.1.4.1.3224.16.1.2）•nsResSessAllocate：当前session数（1.3.6.1.4.1.3224.16.3.2）•IfEntry：RFC1213端口属性表（1.3.6.1.2.1.2.2.1）。其中重点监控表中的ifOperStatus、ifInOctets、ifInUcastPkts、ifInNUcastPkts、ifInDiscards、ifInErrors、ifInUnknownProtos、ifOutOctets、ifOutUcastPkts、ifOutNUcastPkts、ifOutDiscards、ifOutErrors、ifOutQLen•nsrpRtoCounterEntry：NSRP双机冗余协议RTO对象计数统计（1.3.6.1.4.1.3224.6.3.3.3.1），，其中重点监控表中的session的建立、清除和变化性能曲线（nsrpRtoCounterName中的SESS_CR、SESS_CL和SESS_CH三项的变化速率曲线）•nsrpVsdMemberStatus：NSRP双机冗余协议成员状态（1.3.6.1.4.1.3224.6.2.2.1.3）常规维护－提高预警水平追踪处理流程：•安全事件预告警（CPU、Session）•检查各条策略的流量或者session数增长是否异常•确定对应的异常流量的地址范围•Debug或者Sniffer分析常规维护－策略配置与优化•Log(记录日志)•Count(流量统计)•地址组和服务组•策略和对象的删除•区段间策略、区段内策略和全局策略•MIP/VIP地址属于全局区段地址•策略变更控制•execpolicyverify•execpolicyverifyglobal常规维护－攻击防御（Screen）•抵御攻击的功能会占用防火墙部分CPU资源；•自行开发的一些应用程序中，可能存在部分不规范的数据包格式；•网络环境中可能存在非常规性设计•防攻击选项的启用需要采用逐步逼近的方式•GenerateAlarmswithoutDroppingPacket选项常规维护－特殊应用处理•Setserviceservicenametimeoutnumber•unsetflowtcp-syn-check•setalgh323disable•SetpolicyidXfromtrusttountrustanyanyh.323permit•SetpolicyidXapplicationignore常规维护－整理业务拓扑和记录•深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。•整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。•在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。常规维护－整理业务拓扑和记录•重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。•建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。•故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：NSRP集群中设备出现故障，网线故障及交换机故障时的路径保护切换。常规维护－搭建模拟环境•通过实验来学习、理解和验证应急响应•数据包处理流程•快速检查和保留故障信息•NSRP应急操作•防火墙旁路•Debug•Snoop•Sniffer应急响应－数据包处理流程应急响应－快速检查和保留故障信息•getclock：获得分析记录的时间点•gettech：获得基本信息，寻求TAC支持•getlogsystem：检查系统模块日志•getlogsyssaved：检查系统模块存储的日志，用于系统crash情况下的dumped数据分析•getsessioninfo：检查session数•getperformancesessiondetail：检查session生成的历史记录•getperformancecpualldetail：检查双cpu负载的历史记录•getmemory：检查free内存容量•getmemorychunk：检查内存分配情况应急响应－快速检查和保留故障信息•getostask：检查系统进程•getnet-pakstats：数据包统计分析•getsocket：检查防火墙开放端口•getpport：检查端口地址转换•getgate：检查网关应用•gettcp：检查TCP连接•getinterface：检查端口状态•getevent：＝getalarmevent＋getlogevent应急响应－NSRP应急操作应急响应－NSRP应急操作•getnsrp•execnsrpvsd-group0modebackup应急处理－防火墙旁路•通过备份的路由器或三层交换机进行旁路处理，但是不要关闭防火墙。应急处理－Debug•跟踪防火墙对指定包的处理•TrafficNotPassing-debugflowbasic•VPNNotWorking-debugikedetail•EverythingElse!-debug?应急处理－Debug•Setffiltersrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表,定义捕获包的范围•cleardbuf：清除防火墙内存中缓存的分析包•debugflowbasic：开启debug数据流跟踪功能•发送测试数据包或让小部分流量穿越防火墙•undebugall：关闭所有debug功能•getdbufstream：检查防火墙对符合过滤条件数据包的分析结果•unsetffilter：清除防火墙debug过滤列表•cleardbuf：清除防火墙缓存的debug信息•getdebug：查看当前debug设置应急处理－Debug******997629.0:Trust/trustpacketreceived[60]******ipid=5359(14ef),@03c9f550packetpassedsanitycheck.trust:192.168.100.205/4608-172.27.10.251/512,1(8/0)Rootchoseinterfacetrustasincomingnatif.searchrouteto(trust,192.168.100.205-172.27.10.251)invrtrust-vrforvsd-0/flag-0/ifp-null[Dest]2.route172.27.10.251-0.0.0.0,tountrustrouted(172.27.10.251,0.0.0.0)fromtrust(trustin0)tountrustpolicysearchfromzone2-zone1NoSWRPCrulematch,searchHWrulePermittedbypolicy9Nosrcxlatechooseinterfaceuntrustasoutgoingphyifnolooponifpuntrust.sessionapplicationtype0,nameNone,timeout60secservicelookupidentifiedservice0.Session(id:818)createdforfirstpak1routeto172.27.10.251arpentryfoundfor172.27.10.251nsp2wingprepared,readycachemacinthesessionflowgotsession.flowsessionid818postaddrxlation:192.168.100.205-172.27.10.251.应急处理－Debug******997629.0:Untrust/untrustpacketreceived[60]******ipid=29278(725e),@03c391d0packetpassedsanitycheck.untrust:172.27.10.251/512-192.168.100.205/4608,1(0/0)Rootexistingsessionfound.sesstoken3flowgotsession.flowsessionid818postaddrxlation:172.27.10.251-192.168.100.205.IKEDebuggerBasics•Forsimplicity,trytoonlyinitiateonly1IKEtunnelatatime.•ToturnthedebuggerO