华为USG防火墙运维命令大全

华为USG防火墙运维命令大全

1查会话

使用场合

针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。

命令介绍（命令类）

display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ]

使用方法（工具类）

首先确定该五元组是否建会话，对于TCP/UDP/ICMP（ICMP只有echo request和echo reply建会话）/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防火墙的问题，除非碰到来回路径不一致情况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。

Global：表示在做NAT时转换后的IP。

Inside：表示在做NAT时转换前的IP。

使用示例

display firewall session table verbose source inside

10.160.30.2

14:29:51 2010/07/01

Current total sessions :

1

icmp VPN: public

->public

Zone: trust -> local TTL: 00:00:20 Left:

00:00:20

Interface: I0 Nexthop: 127.0.0.1 MAC:

00-00-00-00-00-00

<-- packets:4462 bytes:374808 --> packets:4461 bytes:374724

10.160.30.17:43986<--10.160.30.2:43986

对于TCP/UDP/ICMP/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP无法使用该方法排查。

2检查接口状态

使用场合

在报文不通时，可以先检查接口状态，排除由于接口down而导致报文不通的情况。

命令介绍

display ip interface brief

使用方法

查看接口物理层和协议层状态，正常情况下三层接口物理层（Physical）和协议层（Protocol）都是up，如果有down现象，检查网线连接和网线(光纤，光模块)本身是否有问题，更换网线(光纤，光模块)尝试。

使用示例

[USG5360]display ip interface brief

*down: administratively down

(l): loopback

(s): spoofing

Interface IP Address Physical Protocol Description

GigabitEthernet0/0/0 192.168.1.124 up up Huawei, USG5000

GigabitEthernet0/0/1 10.160.30.17 up up Huawei, USG5000

GigabitEthernet0/0/2 2.1.1.2 up up Huawei, USG5000 GigabitEthernet0/0/3 3.1.1.2 down down Huawei, USG5000 GigabitEthernet1/0/0 unassigned down down Huawei, USG5000

GigabitEthernet1/0/1 unassigned up down Huawei, USG5000

如上显示，GigabitEthernet0/0/3和GigabitEthernet1/0/0的物理层是down，其中GigabitEthernet0/0/3已经配置了IP地址，而GigabitEthernet1/0/0未配置，物理层down可能是因为网线被拔出或网线出问题，或者是与其对接的接口down，需要检查线路。GigabitEthernet1/0/1的协议层down是因为没有配置ip地址。

3检查接口统计信息

使用场合

在发现报文传输有性能下降或者ping有丢包时，可以检查接口统计信息，确认接口是否有丢包。

命令介绍

display interface [ interface-type [interface-number] ]

使用方法

查看出入接口统计是否计数正在增加，如果有增加则说明该接口链路正常，如果只有一条流则可以确定报文是否进入防火墙。

查看接口协商的情况，包括协商速率，全双工/半双工等。

关注接口五分钟流量统计与正常时的差别，关注业务经过设备的两个方向出入接口流量是否差不多。

使用示例

GigabitEthernet1/0/0 current state :

UP

Line protocol current state :

UP

GigabitEthernet1/0/0 current firewall zone :

trust

Description : Huawei, USG5000 Series, GigabitEthernet1/0/0

Interface

The Maximum Transmit Unit is 1500 bytes, Hold timer is

10(sec)

Internet Address is

11.110.30.17/24

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is

0018-82fd-9d3b

Media type is twisted pair, loopback not set, promiscuous mode not