SANGFOR_各产品线命令控制台功能介绍_20130731
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
各产品线命令控制台
功能介绍
深信服电子科技有限公司
2013年7月31日
第1章命令控制台简介
命令控制台提供一个简单的控制台命令行,可用于对设备的一些简单信息进行查看,支持的命令包括:vlan(查看vlan上的接口)、arp(查看arp表)、mii-tool(列出网口的连接情况)、ifconfig(查看网口信息)、ping(测试主机地址连通)、telnet(测试端口连通性)、ethtool(查看网卡信息)、route(显示路由表)和traceroute(跟踪数据包转发路径),在命令行页面直接输入命令回车即可,如下图:
目前深信服AC/SG、WOC、AF产品线都带有命令控制台功能,给问题的排查提供了简单快捷的排错方式,掌握命令控制台的使用方法,可以有效提高问题的处理效率,本文以AC 的命令控制台为例讲解其使用方法,其他产品线使用方法类似。
第2章命令使用介绍
vlan
用于查看vlan下的接口;
例:
可以看出eth3属于trunk口,允许通过的vlan为1-1000和1002-1005(vlan1和1002~1005是自动创建,为特殊用途,trunk默认放行。vlan1用于默认管理,1002~~1005保留给与令牌环和FDDI交换相关的功能使用)。
Eth2为一个acess口,属于vlan4.
arp
查看设备上指定的接口学习到的arp;
例:
常见情况:pc访问不到设备,通过dmz口可以,lan口下二层网络,此时通过dmz口登录设备查看arp表项,看设备是否能学习到pc的arp表。学不到肯定通信不了,查网络原因。
mii-tool
看所有网卡当前的工作模式,接线情况;
例:
Eth0口自动协商100M 全双工接线状态ok
查看网络配置,包括接口ip、mac、收发包状态以及错误包等信息;例:
ping
测试和目的主机之间的网络连通性;
例:
telnet
测试到目的主机端口的连通性;
例:
ethtool
查看网卡工作模式,接线状态等;
例:
查看设备的路由;
例:
sangfor vpn对接学习到的对方的路由可以用这个命令查看到
注:如果第三方对接用route命令无法查看学习到路由。
traceroute
跟踪数据包转发路径;
例:
如果网络通信有问题,可以用此命令查看数据是在哪一跳丢包,然后排查相应网络问题。
第3章抓包工具使用介绍
抓包工具用于对经过设备的数据包进行抓取,以便快速定位问题,可以作为排错的辅
【抓包选项】界面,[简易(抓取未知流量)]可根据内网范围、外网范围和数据包类型来进行条件过滤,抓取符合条件的未知应用数据包。如下图:
注意:进行简易抓包时,只是抓取了设备无法识别的未知应用数据包,如果需要抓取指定条件的所有数据包,请使用[高级(TCPDUMP)]进行抓包。一般情况下我们使用高级抓包。高级抓包设备会抓取指定网口的数据包,过滤表达式用来设置抓取数据包的条件(过滤表达式使用的是linux下的标准TCPDUMP格式)。
常见的pc和设备之间互访不通,可以尝试抓取pc和设备之间是否有数据交互,如下:
抓取ip地址为10.10.2.248的完整ping包,看pc的ping包是否有到达设备,设备是否有回包,没有收到或者设备有回包则排查中间网络问题。VPN对接之后无法互访也可用此功能进行排查。