如何在飞塔的NP2网络接口上面使用sniffer或debug flow功能
2020-06-16 01:06:00 作者: Administrator 来源:互联网,版权归作者所有 浏览次数: 355 文字大小:【大】【中】【小】
文档用途
本文描述的是如何如何在FortiGate的NP2网络接口上面使用sniffer或debug flow功能。
适应范围
所有的具有NP2网络处理器的FortiGate设备。
功能描述
新型号的FortiGate使用了NP2网络处理器,例如FG-310B,FG-620B等等,有一些网络流量将不再转发给设备主CPU处理而是直接由NP2网络处理器处理,这将导致debug flow和sniffer命令无法抓到从NP2接口上收发的报文。
然而,并不是所有的报文都无法抓到的,所有的连接建立过程的报文及不支持快速转发的报文还是可以通过debug flow和sniffer命令抓到的,如TCP三次握手的包,包括syn/syn-ack/ack。当TCP连接建立起来之后,所有的后续包就会被NP2 处理器通过快速转发功能直接转发了。
具体配置
出于故障调试目的,我们有的时候需要详细查看防火墙具体报文转发过程,这个时候我们可以手工的启用或者禁用NP2网络处理器硬件加速功能
请注意,此功能仅用户防火墙故障排错,它将极大影响防火墙性能,在不需要时请禁用此功能。
4.1 启用此功能,命令如下:
diagnose npu np2 fastpath-sniffer enable <port(s)_number>
这样一来,所有的进出此NP2接口的包都可以被命令sniffer 或者 debug flow 命令来查看了。
4.2 禁用此功能,命令如下:
diagnose npu np2 fastpath-sniffer disable <port(s)_number>
注意事项
这个命令启用/禁用将不会被保存在配置文件里面,重启FortiGate时设备将恢复到默认出厂配置状态。
服务原则及地区范围
宜兴通达团队,在企业网络维护和企业信息化建设与咨询方面,有10多年经验。
我团队愿与客户一道,力求彻底解决客户问题!
我们不是在给企业提供“头痛医头、脚痛医脚”的暂时解决方案,而是在部署根本性安全与稳定服务!!
我们愿携手客户,建立企业IT规划;杜绝随意安装系统、软件等操作;力求共同维护有序、安全、稳定的网络办公环境!!!
IT服务,服务是根本,客户是上帝;我们提供快速响应、快速上门、快速排查,提供优质高效的服务!!!!
通达团队提供全国范围内的服务,服务形式包括远程协助、电话咨询、电子邮件咨询、传真咨询、问答平台的问题解决等。
宜兴地区提供上门服务:
- 市区服务:宜城街道、城北街道(屺亭街道)、新街街道、新庄街道、环科园、渚桥开发区
- 市郊服务:张渚镇、西渚镇、太华镇、徐舍镇、官林镇、杨巷镇、新建镇、和桥镇、高塍镇、万石镇、周铁镇、芳桥镇、丁蜀镇、湖父镇。