Juniper防火墙常见故障应急预案
Juniper防火墙常见故障快速处理指南
凯隐技能应急启动条件:
故障一:CPU负载突发升高
故障二:并发会话突发升高
故障三:防火墙主备关系紊乱
应急操作步骤:
故障一:CPU负载突发升高
如果CPU持续升高,并且影响了业务的正常通信,而在规定时间内无法找到原因(例如找不
到突发数据源、因为软硬件故障造成的CPU升高),可在收集完信息后,通过三层交换机替代防火墙,进行防火墙旁路的应急操作。(注意:在外联区与Internet区等需要NAT的地方不能使用此替代方案)
收集的信息至少包括如下内容:
request support information
t cli timestamp
show chassis routing-engine
show system process extensive
show curity monitoring performance ssion
show curity monitoring ssion fpc <number> pic <number>
show curity monitoring performance spu
故障二:并发会话突发升高
一般在会话总数升高时,可通过命令clear curity flow ssion及时关闭无用的会话,此命令可以基于源/目标地址、源/目标端口、IP协议来关闭会话。
另外,可以通过命令 delete curity flow tcp-ssion no-syn-check 打开对建立会话的包头syn标志位检测,以避免有攻击流量(例如rst flood)在防火墙上建立无用会话。
同时,可通过以下命令,临时降低每个ip允许的会话,以保证大部分的业务通讯:
t curity screen ids-option <screen> limit-ssion source-ip-bad <number>
t curity screen ids-option <screen> limit-ssion destination-ip-bad <number>
t curity zones curity-zone <zone> screen <screen>
如果会话持续升高,并且影响了业务的正常通信,而在规定时间内无法找到原因(例如找不到突发数据源、因为软硬件故障造成的会话升高),可在收集完信息后,通过三层交换机替代防火墙,进行防火墙旁路的应急操作。(注意:在外联区与Internet区等需要NAT的
红苔菜地方不能使用此替代方案)
收集的信息至少包括如下内容:
request support information
t cli timestamp
monitor interface <name>
monitor interface traffic
show curity flow ssion summary
show curity flow cp-ssion summary
show curity flow ssion destination-prefix <ip-prefix>
show curity flow ssion ssion-identifier
鲤形目show interface extensive
故障三:防火墙主备关系紊乱午餐食谱大全
当两台防火墙都变成Master状态时,网络并不会中断,所有的流量会指向最后一台变成Master的防火墙。此时只要恢复主备防火墙之间的连线,网络即可恢复正常如果没有备用的线缆或者光线模块可以恢复主备防火墙的连接,可以强行将其中一台防火墙的连线拔下,以保证只有一台防火墙处在Master状态。
不良饮食习惯
丙寅时1 CPU负载突发升高
1.1 基础概念光前裕后
Juniper SRX防火墙内有两类CPU:转发 CPU和控制CPU。
转发CPU也称为SPU,位于防火墙的SPC板卡,负责处理经过防火墙的业务流量,例如新建会话连接和基于ssion的转发;控制CPU位于防火墙的RE板卡,负责处理管理防火墙的
任务流量,比如syslog/telnet等等。Flow CPU没有进程的概念,而Task CPU有进程可以通过get os task命令查看进程。
防火墙CPU突发升高时,要判断是哪类CPU升高,可通过如下命令查看SPU和RE CPU的利用率:
SPU利用率:
root@SRX# run show curity monitoring performance spu
海拔高度表node0:
--------------------------------------------------------------------------
fpc 8 pic 0
Last 60 conds:
0: 0 1: 0 2: 0 3: 0 4: 0 5: 0
6: 0 7: 0 8: 0 9: 0 10: 0 11: 0
12: 0 13: 0 14: 0 15: 0 16: 0 17: 0
18: 0 19: 0 20: 0 21: 0 22: 0 23: 0
24: 0 25: 0 26: 0 27: 0 28: 0 29: 0
30: 0 31: 0 32: 0 33: 0 34: 0 35: 0
36: 0 37: 0 38: 0 39: 0 40: 0 41: 0
42: 0 43: 0 44: 0 45: 0 46: 0 47: 0
