Netscreen 防火墙设备性能监控之debug 和snoop

经过平常的设备性能指标监控，对有可能的故障隐患进行排查。

----常规维护中须要重点关注的信息

1.CPU ：
get per session 如出现cpu利用率太高应及时查看是否有网络***，正常运行利用率应小于45%
2.memory：
空载时内存使用率在50%左右，随这流量不断增长，使用率在60%左右，基本保持稳定，若是出现超过75%的状况应检查是否有恶意***流量。
3.session：
若是session值接近系统最大值，应考虑设备容量限制，并及时升级。get per session
在业务使用高峰时间检查以上信息，创建基准值，等遇到突发状况时，对比基准值，若是超过基准20%，要检查session和告警信息，若是cpu占用超基准值30%时，需查看异常流量、告警日志等.

------应急处理

当网络出现异常状况时应尽快检查防火墙各项指标状态，也可打开debug 功能跟踪包处理过程，检查配置策略是否有问题。
        一、检查设备运行状态
             快速查看CPU、memory、session等是否正常
        二、跟踪防火墙数据包处理状况
              若是出现部分网络没法正常访问，顺序检查接口状态、路由、策略配置等。
            三、检查是否存在***流量
                经过查看告警信息来确认是否有异常信息。

总结改进：
每次出现故障后，都应及时总结和改进，这样才能有效的避免再次发生相似故障。总结故障产生缘由，并确认故障已排除，条件容许的状况下能够构建测试环境，对相关的问题进行再次测试，评估现有配置是否还有问题。经过分析找出可能存在的薄弱环节和潜在隐患。

故障处理工具之---------debug
用于跟踪防火墙对数据包的处理过程

一、set ffilter src-ip dst-ip dst-port xx 设置过滤列表，定义捕获包的范围

二、clear dbuf 清除防火墙内存中缓存的分析包

三、debug flow basic 开启debug功能

四、发送测试数据包

五、undebug all 关闭debug功能

六、get dbuf stream 检查防火墙对数据包的分析结果

七、unset ffilter 清除防火墙debug过滤列表

八、clear dbuf 清除防火墙debug缓存信息

九、get debug 查看当前debug设置

故障处理工具之--------snoop
与sniffr软件功能相似

一、set ffilter src-ip dst-ip dst-port xx 设置过滤列表，定义捕获包的范围

二、clear dbuf 清除防火墙内存中缓存的分析包

三、snoop 开启snoop功能

四、发送测试数据包

五、snoop off 中止snoop功能

六、get db stream 检查防火墙对数据包的分析结果

七、snoop ffilter delete 清除防火墙snoop过滤列表

八、clear dbuf 清除防火墙snoop缓存信息

九、snoop info 查看当前snoop设置