Check Point防火墙故障处理
指导手册V2.1
2012/03/30
文档修订记录
标题 | Check Point防火墙故障处理指导手册V2.1版 |
文档类型 | 管理文档 | 设计方案 | 实施文档 √ |
配置文档 | 测试文档 | 其他 |
当前版本 | V2.0版 |
文档作者 | 陈世雄孔最 |
文档审阅 | 刘刚 |
创建日期 | 2012/03/30 |
看破红尘的经典诗句| 孤单的背影 文档名称 | Check Point防火墙设备故障处理指导手册V2.1版 |
版本变更 | V2.0版 2012/03/30 |
| V2.1 添加core dump搜集的详细操作步骤 |
| | | |
文档说明
此文档是由以色列捷邦安全软件科技公司于2012/3/30制定的内部文档。本文档仅就CheckPoint内部与相关合作伙伴和CheckPoint最终用户使用。
版权说明
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容,除由特别注明,版权均属于以色列捷邦安全软件科技公司所有,受到有关产权及版权法保护。任何个人、机构未经以色列捷邦安全软件科技公司书面授权许可,不得以任何方式复制或引用本文档的任何片断。
1文档描述
本文档用于Check Point防火墙设备出现故障时作为判断及收集信息使用。在日常的排除故障过程中,除了必要的网络情况判断,拓扑信息描述等,还需要收集防火墙以及相关设备
的有关信息,以下主要对防火墙的相关故障所需获取的信息及排错过程进行描述。
首先,防火墙设备存在的故障问题主要分如下几大类:
✧设备崩溃问题
适用于设备出现无故重启、设备无响应或设备出现完全失去工作能力,即设备硬件或者软件导致的宕机等情况。
✧性能处理问题
适用于防火墙出现性能处理问题的环境,如出现严重的丢包、极高的网络延时、所有业务出现访问缓慢等情况。
✧业务访问问题
适用于业务数据流通过防火墙之后出现的业务不通,或访问缓慢等情况。
✧OSPF问题
适用于防火墙启用动态OSPF路由协议的环境,如出现OSPF路由问题,邻居协商问题等。
防火墙出现不同故障,必须使用不同的命令收集相应信息,在命令的使用过程中,基本信息命令收集是必须的,DEBUG的命令信息视具体情况而定,最好能够获取该类信息。
注意:运行命令过程中需启用终端软件的日志记录功能,记录所有操作会话。
2故障排错流程
2.1防火墙故障处理流
死人化妆师
流程说明:从防火墙的排障的总体流程来看,首先必须确定故障点设备,再从故障点设备进行排错。流程主要集中在防火墙的问题进行说明,以下对流程进行说明:
2.2故障级别定义:
故障级别 | 影响 |
1级 | 对业务运营造成灾难性影响 网络或系统停机,导致客户业务完全停止服务; 那么重要• 连续不断或经常发生的不稳定性,影响大部分网络的流量处理能力; • 大部分网络连接中断或被隔离; • 发生危险或紧急情况,比如自然环境灾难或误操作导致。 |
2级 | 阿尔福斯严重影响业务运营。• 对最终客户造成间歇影响的网络或系统事件; • 主或备做冗余设备发生故障; • 无法进行例行管理或诊断功能; • 需要的关键功能无法实现; • 由于硬件部件故障导致业务出现间歇性故障。 |
3级 | 天使惹的祸只对最终客户造成有限影响的网络事件; • 测试或试运行环境中发现的问题,通常会对运营网络造成负面影响; • 有现成的成功临时变通方法,可以用来解决优先级较高的问题 |
4级 | 信息请求; • 有关设备配置或功能的标准问题。 • 有关设备相关信息提供说明。 |
| |
3防火墙故障处理
3.1.防火墙一级故障处理:
名人颁奖词
A:一级故障定义:
对业务运营造成灾难性影响
网络或系统停机,导致客户业务完全停止服务;
如:防火墙系统crash,且未发生切换,业务完全受阻。
B:信息内容搜集:
如无法快速判断故障问题,请抓取最基本数据:注意需要收集两台设备信息
如无法通过SSH登录设备,请通过原装console线登录设备命令行收集,所有会话需要记录到文件。
IP平台设备信息搜集:
设备宕机没有切换,硬关机,然后加电重启设备,使用Console线搜集重启的字符输出。
登录系统后搜集所有coredump文件,如下所示,通常在/var/crash目录
[admin]# find / -name "*core*"
/var/crash/
/var/crash/
/var/crash/
搜集系统CST文件
CST是Configuration Summary Tool的简写,CST文件会包含系统配置、版本信息、系统运行情况、系统日志、甚至保存在本地硬盘上的防火墙日志,如果不需要搜集防火墙日志可以使用IPSO-A[admin]# cst –small命令,缩短搜集CST的时间,搜集完整的CST过程如下:
IPSO-A[admin]# cst
CST version 2007-09-26
=============== N O T I C E: VOYAGER LOCKS =========================
Plea make sure you are logged out of Voyager.
CST gathers certain information from clish, which may not work
when there is a configuration lock in place established by an active
