Netscreen 防火墙设备性能监控之debug 和snoop

通过日常的设备性能指标监控，对有可能的故障隐患进行排查。

----常规维护中需要重点关注的信息

1.CPU ：
get per session 如出现cpu利用率过高应及时查看是否有网络***，正常运行利用率应小于45%
2.memory：
空载时内存使用率在50%左右，随这流量不断增加，使用率在60%左右，基本保持稳定，如果出现超过75%的情况应检查是否有恶意***流量。
3.session：
如果session值接近系统最大值，应考虑设备容量限制，并及时升级。get per session
在业务使用高峰时间检查以上信息，建立基准值，等遇到突发情况时，对比基准值，如果超过基准20%，要检查session和告警信息，如果cpu占用超基准值30%时，需查看异常流量、告警日志等.

------应急处理

  当网络出现异常情况时应尽快检查防火墙各项指标状态，也可打开debug 功能跟踪包处理过程，检查配置策略是否有问题。
        1、检查设备运行状态
             快速查看CPU、memory、session等是否正常
        2、跟踪防火墙数据包处理情况
              如果出现部分网络无法正常访问，顺序检查接口状态、路由、策略配置等。
            3、检查是否存在***流量
                通过查看告警信息来确认是否有异常信息。

总结改进：
每次出现故障后，都应及时总结和改进，这样才能有效的避免再次发生类似故障。总结故障产生原因，并确认故障已排除，条件允许的情况下可以构建测试环境，对相关的问题进行再次测试，评估现有配置是否还有问题。通过分析找出可能存在的薄弱环节和潜在隐患。

故障处理工具之---------debug
用于跟踪防火墙对数据包的处理过程

1、set ffilter src-ip dst-ip dst-port xx 设置过滤列表，定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包

3、debug flow basic 开启debug功能

4、发送测试数据包

5、undebug all 关闭debug功能

6、get dbuf stream 检查防火墙对数据包的分析结果

7、unset ffilter 清除防火墙debug过滤列表

8、clear dbuf 清除防火墙debug缓存信息

9、get debug 查看当前debug设置

故障处理工具之--------snoop
与sniffr软件功能类似

1、set ffilter src-ip dst-ip dst-port xx 设置过滤列表，定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包

3、snoop 开启snoop功能

4、发送测试数据包

5、snoop off 停止snoop功能

6、get db stream 检查防火墙对数据包的分析结果

7、snoop ffilter delete 清除防火墙snoop过滤列表

8、clear dbuf 清除防火墙snoop缓存信息

9、snoop info 查看当前snoop设置