在这个课程中你将学习如何使用一些诊断命令和工具。

在完成这一课程之后，你该具备这些实践技能，以确定你的网络基线、读取诊断输出、对物理层和网络层进行故障诊断、通过FortiGate进行跟踪包流，并找出异常高CPU或内存使用的根本原因。

为了定义任何问题，首先你必须知道你的网络的正常行为是什么。

　　在图中所示的图中，表示“正常”的范围是蓝色的。这条蓝色的线是什么?它表示平均值，也就是我们的基线。粗黑线是什么?这就是现在的行为。当当前的行为(黑线)离开正常范围时，就会发生异常事件。

　　在许多方面衡量和定义了正常。它可以是性能：预期的CPU和内存利用率、带宽和流量。但它也可以是你的网络拓扑：在每个节点上通常连接的设备。它也是一种行为：流量方向，协议被阻塞或被禁止，以及在特定时间、星期或年期间使用的协议和应用程序的分布。

在本节中，我们将讨论一些度量，如何确定网络是否存在问题。

　　如果你正在建立一个新的网络，许多事情可能还没有开始。许多问题是显而易见的，而正常的行为也是如此。

　　但是，在大型或已建立的网络中，正常与破坏之间的区别可能是微妙的。你怎样才能找到需要解决的问题呢?

什么是定义你的网络正常的第一个方法?

　　拓扑。流程和其他规范的规范源自于此。因此，在故障排除期间，网络图是必不可少的。如果你创建了一个带有Fortinet技术支持的票据，它应该是你首先附加的东西。

　　网络图有时结合这两种类型：

• 物理

• 逻辑

　　一个物理图表显示了电缆、端口和设备是如何在建筑物和橱柜之间连接的。逻辑图显示了虚拟局域网、IP子网和路由器之间的关系(通常在OSI层3)。它还可以显示诸如HTTP或DHCP之类的应用程序协议。

定义正常的另一种方法是了解平均性能范围。在持续的基础上，收集显示正常使用情况的数据。

　　例如，如果流量处理突然变慢，而你的FortiGate的CPU使用率是75%，这说明了什么?如果CPU利用率通常是60-69%，那么75%可能仍然是正常的。但如果正常情况是12-15%，可能会有问题。

　　获取时间和日期的典型最大值和最小值：即在工作日或假期中，网络图中的每个接口每秒钟有多少位在进入或输出?

如果你发现有些事情不正常，你该怎么办?

　　这取决于问题的类型。

我们如何才能获得当前的状态?首先，让我们看一下CLI命令：你可以通过本地控制台使用它们，即使网络问题使GUI访问变得缓慢或不可能。

　　一些命令提供系统状态。〖get system status〗命令提供了大多数通用的目的信息。输出显示了：

• 型号

• ***

• 固件版本

• 主机名

• FortiGuard许可状态

• 系统时间

• FortiGuard防病毒、IPS和数据防泄露及其它版本

在物理层，故障排除分析哪些端口被插入，媒体容量，以及协商的速度和双工模式。

　　在数据链路层，诊断常常分析由于CRC错误或冲突导致的帧数减少。

　　根据模型和NIC驱动程序的不同，输出可能会有所不同。在所有的情况下，输出都显示了物理MAC地址、管理状态和链接状态。

这个命令可以在带有SFP/SFP+接口的FortiGate型号中使用。它提供了光学接收的信号强度，可用于诊断1层光学问题。

如果你怀疑存在IP地址冲突，或者IP地址被分配到错误的设备，那么你可能需要查看ARP映射表。此命令用于此目的。它显示了FortiGate的接口，IP地址，以及相关的MAC地址。这个命令列出了所有连接到同一局域网的所有外部设备的信息，这些设备都连接了FortiGate。FortiGate的自己的IP和MAC地址不包括在内。

我们说，FortiGate可以通过port1联系一些主机，而不是其他的主机。物理或链接层的问题是什么?没有一个人。至少部分网络已经证明了连通性。相反，你应该检查网络层。为了测试这一点，像往常一样，我们从ping和traceroute开始。

　　IPv6也存在同样的命令：例如，〖execute ping〗就变成了〖execute ping6〗。

　　记住：位置很重要。只有当你使用与你正在进行故障排除的流量相同的路径时，测试才会准确。要从FortiGate(例如，到FortiAnalyzer或FortiGuard)进行测试，可以使用FortiGate自己的〖execute ping〗命令和〖execute traceroute〗命令。但是，要测试穿过FortiGate的路径，还可以从Windows、Linux或Mac OS X计算机上使用ping和tracert或 traceroute，不仅仅是从FortiGate的CLI中。

　　由于NAT和路由，你可能需要指定一个不同的ping源IP地址，默认是传出接口的IP。如果没有响应，请验证目标配置为响应ICMP echo请求。

在FortiGate中，最强大的故障排除工具之一是调试流。我们将在这一节中学习它。

如果FortiGate正在丢弃数据包，可以用一个包捕获(嗅探器)来知道原因吗?要找到原因，你应该使用debug(包)流。

　　调试流逐步展示了CPU是如何处理每个包的。

　　要启用调试流，请遵循以下步骤：

1. 启用控制台输出

2. 定义一个过滤器

3. 启用调试输出

4. 启动跟踪

5. 当你完成后停止

这是一个调试流输出的示例。这里我们捕获了第一个TCP 3路握手的数据包，即SYN包。它显示：

　　数据包到达FortiGate，表明源和目标IP地址、端口号和输入接口，用于此通信的现有会话ID，这个数字应该与在SYN包中创建的会话的ID匹配。如何应用目的地NAT，找到目的地的路线，显示下一跳的IP地址和发送接口。

　　同样重要的是，如果这个包被加固了，这个输出显示了这个操作的原因。

　　这个工具对于许多其他的故障排除情况非常有用，例如，当您需要理解为什么一个包采用了特定的路由，或者为什么要使用一个特定的NAT IP地址时。

这是SYN/ACK包的输出。它显示：

　　包到达，再次指示源和目标IP地址、端口号和传入接口，用于此通信的现有会话的ID。这个数字应该匹配在SYN包中创建的会话的ID，即如何应用目的地NAT，并找到到达目的地的路由，指示下一个跃点IP地址和传出接口。

　　同样重要的是，如果这个包被加固了，这个输出显示了这个操作的原因。

　　这个工具对于许多其他的故障排除情况非常有用，例如，当你需要理解为什么一个包采用特定的路由时，或者为什么要应用一个特定的NAT IP地址。

现在我们将讨论一些用于CPU和内存诊断的命令。

并不是所有的问题都是网络连接故障。有时设备中可能存在资源问题。

　　还有什么会导致延迟？一旦你排除了物理介质和带宽使用的问题，你应该检查一下FortiGate的资源使用情况：CPU和内存。

　　如果使用率很高，工具会发现哪个功能消耗的最多。另外，如果你准确地知道问题开始时是什么变化(如果有的话)，你可以更快地排除故障。因此，逐步启用功能是一个好主意。不要一下子就做所有的事情。如果CPU或RAM使用率过高，并且你刚刚启用了许多功能，那么决定如何降低使用率将变得更加复杂。

让我们从显示系统性能状态开始。

　　在顶部，输出显示这个FortiGate型号有一个多核CPU：CPU0到CPU3每个核心都显示了使用。接下来是RAM的使用。

　　在底部，输出显示了你的网络流量。

接下来，让我们检查一下诊断系统顶部的输出。它列出使用最多CPU或内存的进程。一些常见的流程包括：

• ipsengine、scanunitd和其他检查过程

• reportd

• fgfmd用于FortiGuard与FortiManager连接

• forticron为调度

• 管理流程(newcli、miglogd、cmdb、sshd和httpsd)

　　按最高的CPU排序，按shift-p。按最高的RAM使用率排序，按下shift-m。

在此之前，我们展示了〖diagnose sys top〗具有流程状态的一列。这就解释了各州之间的关系。

　　大多数情况下，进程状态将是R或者S，这意味着进程正在做一些事情(正在运行)，或者等待被告知去做一些事情(睡觉)。

　　偶尔在短时间内，你可能还会在写到磁盘时看到D状态的进程。如果一个进程在D状态中停留很长时间，这可能意味着存在一个读或写问题。

　　你选择启用的事件日志取决于你正在实现的特性以及需要从日志中获得的信息。

〖diagnose sys top-summary〗命令与〖diagnose sys top〗命令略有不同。前者更好地检查内存使用情况。为什么?

　　它收集进程及其子进程使用的所有内存，包括进程之间共享的任何内存。

　　让我们比较一下〖diagnose sys top〗和〖diagnose sys top-summary〗，它们是不同的。在〖diagnose sys top〗输出中，子进程是单独列出的。但是在〖diagnose sys top-summary〗输出中，所有的子进程都被列在一起。这个名称是由X标记的，表示进程有多少次是分叉的。

　　因为对于所有的叉(子)的RAM都被加到一起，所以当你需要确定要调整哪个功能以纠正性能时，〖diagnose sys top-summary〗会更好。

　　分支是什么?

当操作系统复制一个进程的多个副本时，就可以对处理负载进行细分，或者处理多个相似的任务。

　　如果〖diagnose sys top〗显示scanunitd运行3次，那么〖diagnose sys top-summary〗会显示一个带有“x3”的条目，这意味着它是分叉的3次。但是，〖diagnose sys top-summary〗显示，所有的scanunitd进程都使用了12 MB的RAM，而〖diagnose sys top〗显示每个扫描单元都使用了不到2 MB的内存。为什么它们表示不同的RAM使用情况?

　　10 MB的反病毒数据库在每个子进程中没有在RAM中复制，它被加载到共享内存中，而不是由〖diagnose sys top〗来计算的。

　　FortiOS不允许不同的进程直接进行通信。因此，如果没有共享内存，那么需要为每个扫描进程加载一个反病毒数据库的副本。每个单独的进程将使用大约11 MB；只有三个并发扫描需要33 MB，性能会降低。

为了完成这一课程，我们将通过控制台端口和硬件测试来讨论固件安装。

从FortiGate的BIOS中，管理员可以在闪存和固件镜像上执行一些操作。要访问BIOS菜单，必须在连接到控制台端口时重新启动设备。在某个时刻，启动过程显示了消息：

　　按任何键显示配置菜单

　　在这个提示符被显示为中断引导过程并显示BIOS菜单时，按下任何键。

通过从BIOS菜单中按下F，你可以格式化闪存。

　　如果固件被破坏了，或者管理员想要干净地安装新固件，这可能是必需的。但是，请记住，格式化flash会删除存储在它上的任何信息，比如固件镜像、配置和数字证书。

在重新格式化flash之后，你需要从BIOS中安装固件镜像。遵循以下步骤：

1. 运行一个TFTP服务器

2. 使用存储固件映像文件的文件夹来配置TFTP服务器

3. 将PC以太网端口连接到FortiGate TFTP安装接口

4. 从BIOS菜单中get firmware image

　　作为TFTP安装接口分配的接口依赖于型号。然而，在大多数情况下，它要么是port1，要么是internal接口。

在BIOS菜单中，选择G安装一个新固件。

　　BIOS会要求：

• TFTP服务器的IP地址

• FortiGate的IP地址(它必须在与TFTP服务器相同的类c子网中)

• 固件映像的名称

　　如果一切正常，你应该看到一系列的英磅标志，表明设备正在下载镜像。然后，BIOS将验证文件的完整性，并给出以下三个选项：

• 将其保存为默认固件

• 将它保存为备份固件

• 在不保存镜像的情况下运行镜像

　　如果固件要在生产中使用，请选择第一个选项：将它保存为默认固件。

　　最后一个选项(运行映像而不保存它)允许你运行和测试固件，而不会在flash中覆盖任何现有的固件。一旦你完成了测试并准备回滚更改，你就需要重新启动设备，并且将使用先前存在的固件。

与其他任何电子设备一样，对RAM的损坏会导致间歇性的崩溃。

　　如果你怀疑硬件故障，你可以运行硬件测试。

　　你如何运行硬件测试?这取决于FortiGate的型号。

对于一些FortiGate E系列和D系列型号，你可以直接从FortiGate的CLI中运行硬件测试。

　　对于其他型号，你必须从Fortinet技术支持网站下载特殊的HQIP硬件测试镜像。

　　上传硬件测试映像的步骤与上传固件映像的步骤相同。你可以在不保存flash的情况下运行硬件测试镜像，因此任何现有的固件镜像都不会被覆盖。

对于一些E系列和D系列型号，命令〖diagnose hardware test suit all〗运行来自于FortiOS的硬件测试。硬件测试要求用户在运行时进行交互。用户可以跳过一些步骤，一些测试需要连接外部设备(比如u盘)或网络电缆到FortiGate。

你可能希望监视的另一个领域是崩溃日志。通过CLI可以获得崩溃日志。任何时候由于任何原因关闭一个进程，崩溃日志记录这是一个崩溃。崩溃日志中的大多数日志都是正常的。例如，任何时候更新反病毒定义包时，scanunit进程需要关闭，以便应用新的包。这是一个正常的关机。

　　崩溃日志中的一些日志可能表明问题。出于这个原因，为了故障诊断，常常需要Fortinet技术支持来请求崩溃日志。这里显示了你必须使用的命令来获取崩溃日志。

在这节课中我们讨论了如何测量网络、CPU和内存使用情况。我们讨论了物理和网络层的故障排除。这个教程还包括了调试流、从BIOS中加载固件、硬件测试和崩溃日志。

飞塔技术 - 老梅子   QQ：57389522

---