SANGFOR_各产品线命令控制台功能介绍_20130731

各产品线命令控制台

功能介绍

深信服电子科技有限公司

2013年7月31日

第1章命令控制台简介

命令控制台提供一个简单的控制台命令行，可用于对设备的一些简单信息进行查看，支持的命令包括：vlan（查看vlan上的接口）、arp（查看arp表）、mii-tool（列出网口的连接情况）、ifconfig（查看网口信息）、ping（测试主机地址连通）、telnet（测试端口连通性）、ethtool（查看网卡信息）、route（显示路由表）和traceroute（跟踪数据包转发路径），在命令行页面直接输入命令回车即可，如下图：

目前深信服AC/SG、WOC、AF产品线都带有命令控制台功能，给问题的排查提供了简单快捷的排错方式，掌握命令控制台的使用方法，可以有效提高问题的处理效率，本文以AC 的命令控制台为例讲解其使用方法，其他产品线使用方法类似。

第2章命令使用介绍

vlan

用于查看vlan下的接口；

例：

可以看出eth3属于trunk口，允许通过的vlan为1-1000和1002-1005（vlan1和1002~1005是自动创建，为特殊用途，trunk默认放行。vlan1用于默认管理，1002~~1005保留给与令牌环和FDDI交换相关的功能使用）。

Eth2为一个acess口，属于vlan4.

arp

查看设备上指定的接口学习到的arp；

例：

常见情况：pc访问不到设备，通过dmz口可以，lan口下二层网络，此时通过dmz口登录设备查看arp表项，看设备是否能学习到pc的arp表。学不到肯定通信不了，查网络原因。

mii-tool

看所有网卡当前的工作模式，接线情况；

例：

Eth0口自动协商100M 全双工接线状态ok

查看网络配置，包括接口ip、mac、收发包状态以及错误包等信息；例：

ping

测试和目的主机之间的网络连通性；

例：

telnet

测试到目的主机端口的连通性；

例：

ethtool

查看网卡工作模式，接线状态等；

例：

查看设备的路由；

例：

sangfor vpn对接学习到的对方的路由可以用这个命令查看到

注：如果第三方对接用route命令无法查看学习到路由。

traceroute

跟踪数据包转发路径；

例：

如果网络通信有问题，可以用此命令查看数据是在哪一跳丢包，然后排查相应网络问题。

第3章抓包工具使用介绍

抓包工具用于对经过设备的数据包进行抓取，以便快速定位问题，可以作为排错的辅

【抓包选项】界面，[简易（抓取未知流量）]可根据内网范围、外网范围和数据包类型来进行条件过滤，抓取符合条件的未知应用数据包。如下图：

注意：进行简易抓包时，只是抓取了设备无法识别的未知应用数据包，如果需要抓取指定条件的所有数据包，请使用[高级（TCPDUMP）]进行抓包。一般情况下我们使用高级抓包。高级抓包设备会抓取指定网口的数据包，过滤表达式用来设置抓取数据包的条件（过滤表达式使用的是linux下的标准TCPDUMP格式）。

常见的pc和设备之间互访不通，可以尝试抓取pc和设备之间是否有数据交互，如下：

抓取ip地址为10.10.2.248的完整ping包，看pc的ping包是否有到达设备，设备是否有回包，没有收到或者设备有回包则排查中间网络问题。VPN对接之后无法互访也可用此功能进行排查。