Hillstone防火墙抓包方法

2012-03-10 · 网络分析 · 参考资料 · 25149 次阅读

debug

通过Debug定位NBC策略匹配问题相关说明如下：

使用注意：
Debug功能开启后，有可能会产生CPU使用率高或设备打印输出大量信息，引起设备无法管理。
请仔细理解Debug功能后，再使用相关调试功能。
使用过程中，可以双击ESC关闭Debug功能；当设备开启Debug后无法管理设备，您也可以选择重启设备，设备重启后会自动关闭Debug功能
相关命令介绍：
Debug dp filter src-ip X.X.X.X //配置debug需要定位分析的源IP地址
Show dp-filter //确认上一条配置的debug 数据转发过滤条件是否正确，如果配置错误可以使用“undebug dp filter id ”删除后重新配置
debug dp policy lookup //开启设备策略查找调试功能
show debug //确认已经开启的设备调试功能
clear logging debug //清除历史调试打印信息
show logging debug //查看debug打印日志
使用举例：
设备配置了很多的NBC策略，目前发现172.20.10.68这个源IP没有达到客户城的NBC策略功能，现要求查看172.20.10.68访问某URL时匹配的NBC策略名称。
相应的调试过程如下（红色为输入的命令）：
SG6000-1(M)# debug dp filter src-ip 172.20.10.68
assigned id: 1
SG6000-1(M)# show dp-filter
---------------------------------------------------------------
vrouter name:trust-vr
---------------------------------------------------------------
id: 1
src-ip: 172.20.10.68 vrouter: trust-vr
---------------------------------------------------------------
SG6000-1(M)# debug dp policy lookup
SG6000-1(M)# show debug
dp:
policy:
lookup, enabled
SG6000-1(M)# clear logging debug
SG6000-1(M)# show logging debug
2011-05-24 10:00:32, DEBUG@FLOW: core 1 (sys up 0x169795ff ms): Pak src zone tru
st, dst zone untrust, prot 6, dst-port 80.
Auth-user id 0
Policy 37 matches, ===PERMIT=== （此处显示匹配了防火墙第37条策略，行为允许）
nbc match rule = 139\163mail （此处显示匹配了NBC的“139\163mail”这条策略）

2011-05-24 10:00:32, DEBUG@FLOW: core 2 (sys up 0x1697962d ms): Pak src zone tru
st, dst zone untrust, prot 6, dst-port 80.
Auth-user id 0
Policy 37 matches, ===PERMIT===
nbc match rule = 139\163mail

SG6000-1(M)# undebug all （此处非常重要，一定要在Debug使用完成后，关闭所有Debug功能）
SG6000-1(M)# undebug dp filter id 1
SG6000-1(M)# show debug
SG6000-1(M)# show dp-filter
---------------------------------------------------------------
vrouter name:trust-vr
---------------------------------------------------------------
[ FAQ88 ] 如何通过Debug定位NBC策略匹配问题？ - FAQ Information Updated today (24 May 2011)

snoop

Snoop的语法应该跟juniper的差不多，暂无详细的相关资料。