唯快不破

H3C安全防火墙产品采用业界主流的多核多线程网络处理器硬件架构、以及成熟稳定的Comware V5软件平台，为众多客户的基础数据通信网络提供安全防护。由于防火墙通常部署于网络关键位置，提供安全策略、网络地址转换等基础架构功能，一旦出现问题客户通常要求必须在最短的时间内恢复业务，而要彻底定位解决问题，则又取决于是否能够收集全面的现场信息。如何解决这一天然的矛盾？本文将为大家介绍当防火墙设备出现问题时，快速收集信息以供后续分析诊断的具体方法。

1)诊断信息收集

诊断信息可以一次性收集防火墙各个功能模块的运行状态信息，针对故障类问题提供有力的分析与诊断证据。当设备出现不能立即定位的问题时，现场工程师应当在问题现象持续发生时，每隔5分钟收集1次，连续采集2~3次。通过这种方式收集的诊断信息更有助于后续的分析。建议先通过命令将设备输出的信息以文件形式保存在存储介质上，然后再通过FTP/TFTP等方式下载并反馈。

可以在任意视图下执行display diagnostic-information 命令并收集信息：

<H3C> display diagnostic-information

Save or display diagnostic information (Y=save, N=display)? [Y/N]:y

Please input the file name(*.diag)[flash0:/default.diag]:20131030_fw1.diag

Diagnostic information is outputting to flash0:/20131030_fw1.diag.

Please wait...

Save successfully.

2)日志文件收集

由于防火墙在正常运行过程中可能产生较多的日志，使得软件日志缓冲区达到一定的数量后，新产生的日志会将旧日志覆盖。设备支持将日志定期转储至存储介质上的日志文件中。在收集设备信息时，需要将这部分日志文件一并下载反馈。日志文件正常情况下存储在根目录下的“logfile”文件夹中。

进入设备存储介质的“logfile”目录，将“logfile.log”文件下载并反馈：

<H3C> cd logfile/

<H3C> dir

Directory of cfa0:/logfile/

  0     -rw-  10210132  Dec 12 2013 10:05:56   logfile.log

252420 KB total (200368 KB free)

File system type of cfa0: FAT32

3)会话信息收集

会话表项是防火墙实施安全策略，对报文执行状态检查的重要依据，分析具体的会话表项往往对故障诊断能启到拨云见日般的奇效。在时间与现场条件允许的前提下，请在问题现象持续发生时尽可能多地收集当前防火墙设备上的会话表项信息。会话表项支持根据发起方的源/目的IP地址等进行查询。如果设备当前会话表项数非常大，可以优先根据问题现象按相关的IP地址过滤查询后再收集。

推荐通过Telnet/SSH方式登录设备后收集当前设备上的会话表项：

<H3C> display session table source-ip 10.255.255.1 destination-ip 10.255.255.13 verbose

Initiator:

  Source IP/Port : 10.255.255.1/9484

  Dest IP/Port   : 10.255.255.13/23

  VPN-Instance/VLAN ID/VLL ID:

Responder:

  Source IP/Port : 10.255.255.13/23

  Dest IP/Port   : 10.255.255.1/9484

  VPN-Instance/VLAN ID/VLL ID:

Pro: TCP(6)     App: TELNET            State: TCP-EST

Start time: 2013-12-12 07:34:43  TTL: 3600s

Root                     Zone(in): Management

                         Zone(out): Local

Received packet(s)(Init): 46 packet(s) 1918 byte(s)

Received packet(s)(Reply): 46 packet(s) 2602 byte(s)

 Total find: 1

4)设备配置文件收集

设备配置文件能够真实地反映问题发生期间实际组网环境，能够从设备配置角度为问题分析提供重要依据，同时也是保证后续能够在实验室1：1模拟真实场景最重要的条件，因此收集设备配置信息十分关键。在从设备上收集配置文件前，应先执行一次保存配置操作，使当前运行配置得以完整地记录到配置文件中，然后再下载配置文件。

进入设备存储介质的根目录，将“startup.cfg”、“system.xml”两个文件下载并反馈。其中前者为命令行相关配置文件，可能重命令为其他文件名，以实际为准，后者为Web管理页面相关配置文件。

<H3C> dir

Directory of cfa0:/

   0     -rw-       891     Apr 26 2000 12:00:00   default_ca.cer

   1     -rw-      1411 Apr 26 2000 12:00:00   default_local.cer

   2     drw-         -      Apr 26 2000 12:00:02   logfile

   3     drw-         -      Apr 26 2000 12:00:02   seclog

   4     -rw-  21461216    Sep 16 2013 15:28:22   cmw520-r3177.bin

   5     -rw-  21461624    May 01 2000 08:12:42   cmw520-r3178p02.bin

   6     -rw-      5951 Dec 12 2013 14:43:12   startup.cfg

   7     -rw-     12499 Dec 12 2013 14:43:10   system.xml

   8     -rw-  20503216    Dec 12 2013 14:42:42   cmw520-f3171p22.bin

252420 KB total (180316 KB free)

File system type of cfa0: FAT32

5)紧急模式信息收集

如果设备发生比较严重的问题，出现无法登录防火墙Web页面、无法通过Telnet/SSH连接防火墙命令行界面，甚至直接通过Console连接设备也无响应时，可尝试进入紧急模式收集信息。进入紧急模式的方法是，在确认已正确连接Console线缆后，在命令行界面，按下“Ctrl”键的同时按两次“Q”键，观察命令行界面是否有如下响应信息输出：

*********************    

* Emergency Control *    

*********************

 0.Create an emergency user.

 1.Display memory information.

 2.Display task information.

 3.Display queue information.

 4.Display memory-dump.

Input number:

若成功进入紧急模式，可收集四类设备运行信息，编号分别为1~4，现场工程师应依次收集这四类信息并反馈。若要退出紧急模式，方法相同。

防火墙设备出现临时故障是任何一名专业的网络安全工程师都不希望看到的，但只有在问题出现时，尽可能收集完整、详细的信息，才能更准确地分析原因、更有效地解决故障，真正排除隐患，保证防火墙稳定运行不再出现同样的问题。