华为USG防火墙运维命令大全

华为USG防火墙运维命令大全

1查会话

使用场合

针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍（命令类）

display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法（工具类）

首先确定该五元组是否建会话，对于TCP/UDP/ICMP（ICMP只有echo request和echo reply建会话）/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防火墙的问题，除非碰到来回路径不一致情况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。

Global：表示在做NAT时转换后的IP。 Inside：表示在做NAT时转换前的IP。 使用示例

display firewall session table verbose source inside

10.160.30.2

14:29:51 2010/07/01

Current total sessions :

1 icmp VPN: public

->public Zone: trust -> local TTL: 00:00:20 Left:

00:00:20 Interface: I0 Nexthop: 127.0.0.1 MAC:

00-00-00-00-00-00

<-- packets:4462 bytes:374808 --> packets:4461

bytes:374724

10.160.30.17:43986<--10.160.30.2:43986

这里显示源地址为10.160.30.2的报文的会话。这条会话为icmp会话。以下是关键信息的解释： Zone: trust -> local 首包会话方向源域为trust，目地域为local（源域 -> 目的域） TTL: 00:00:20 Left: 00:00:20 ttl表示会话表老化时间，left表示会话表剩余多少时间老化 Interface: I0 Nexthop: 127.0.0.1 MAC: 00-00-00-00-00-00 会话首包方向出接口、下一跳IP地址和MAC地址 <-- packets:4462 bytes:374808 --> packets:4461 bytes:374724 <--代表会话inbound方向的字节数和报文数，-->代表会话outbound方向/同域的字节数和报文数 10.160.30.17:43986<--10.160.30.2:43986 <-- 表示会话首包是inbound，--> 表示会话首包是outbound或者同域 使用限制 对于TCP/UDP/ICMP/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP无法使用该方法排查。

2检查接口状态

使用场合

在报文不通时，可以先检查接口状态，排除由于接口down而导致报文不通的情况。 命令介绍

display ip interface brief 使用方法

查看接口物理层和协议层状态，正常情况下三层接口物理层（Physical）和协议层（Protocol）都是up，如果有down现象，检查网线连接和网线(光纤，光模块)本身是否有问题，更换网线(光纤，光模块)尝试。 使用示例

[USG5360]display ip interface brief *down: administratively down (l): loopback (s): spoofing

Interface IP Address Physical Protocol Description GigabitEthernet0/0/0 192.168.1.124 up up Huawei, USG5000 GigabitEthernet0/0/1 10.160.30.17 up up Huawei, USG5000

GigabitEthernet0/0/2 2.1.1.2 up up Huawei, USG5000 GigabitEthernet0/0/3 3.1.1.2 down down Huawei, USG5000 GigabitEthernet1/0/0 unassigned down down Huawei, USG5000 GigabitEthernet1/0/1 unassigned up down Huawei, USG5000

如上显示，GigabitEthernet0/0/3和GigabitEthernet1/0/0的物理层是down，其中GigabitEthernet0/0/3已经配置了IP地址，而GigabitEthernet1/0/0未配置，物理层down可能是因为网线被拔出或网线出问题，或者是与其对接的接口down，需要检查线路。GigabitEthernet1/0/1的协议层down是因为没有配置ip地址。

3检查接口统计信息

使用场合

在发现报文传输有性能下降或者ping有丢包时，可以检查接口统计信息，确认接口是否有丢包。 命令介绍

display interface [ interface-type [interface-number] ] 使用方法

查看接口下是否有error，确认CRC/ collisions有无增长，如果有增长确认接口双工模式和速率是否与对端设备一致。 Align Errors：对齐错误，即传送的包中存在不完整的字节，包括前导码和帧间隙。 Collision Errors：碰撞错误。 runts：超短包，长度小于64字节但CRC值正确的数据包。 giants：超长包，长度大于1618(如果带vlan是1622)字节的CRC值正确的数据包。 CRC （Input）：长度为64至1618字节之间但CRC值不正确的数据包。（路由器中长度为64至1618字节之间的Alignment、Dr类中统计）。 Error（Input）：PHY层发现的错包。 Overrun（Input）：接收队列满失败包。 Late Collision （Output）：发送64字节后发生碰撞的错误包。 查看出入接口统计是否计数正在增加，如果有增加则说明该接口链路正常，如果只有一条流则可以确定报文是否进入防火墙。 查看接口协商的情况，包括协商速率，全双工/半双工等。

关注接口五分钟流量统计与正常时的差别，关注业务经过设备的两个方向出入接口流量是否差不多。 使用示例

GigabitEthernet1/0/0 current state :

UP Line protocol current state :

UP GigabitEthernet1/0/0 current firewall zone :

trust Description : Huawei, USG5000 Series, GigabitEthernet1/0/0

Interface

The Maximum Transmit Unit is 1500 bytes, Hold timer is

10(sec) Internet Address is

11.110.30.17/24 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is

0018-82fd-9d3b

Media type is twisted pair, loopback not set, promiscuous mode not

本文来源：https://www.bwwdw.com/article/9ctd.html