宜兴通达竭诚为您服务。

如何在飞塔的NP2网络接口上面使用sniffer或debug flow功能

2020-06-16 01:06:00     作者: Administrator     来源:互联网,版权归作者所有     浏览次数: 110     文字大小:【】【】【

你没有登录,文章中的图片无法正常显示,请点击登录

文档用途 

本文描述的是如何如何在FortiGate的NP2网络接口上面使用sniffer或debug flow功能。 

适应范围 

所有的具有NP2网络处理器的FortiGate设备。 

功能描述 

新型号的FortiGate使用了NP2网络处理器,例如FG-310B,FG-620B等等,有一些网络流量将不再转发给设备主CPU处理而是直接由NP2网络处理器处理,这将导致debug flow和sniffer命令无法抓到从NP2接口上收发的报文。

然而,并不是所有的报文都无法抓到的,所有的连接建立过程的报文及不支持快速转发的报文还是可以通过debug flow和sniffer命令抓到的,如TCP三次握手的包,包括syn/syn-ack/ack。当TCP连接建立起来之后,所有的后续包就会被NP2 处理器通过快速转发功能直接转发了。 

具体配置 

出于故障调试目的,我们有的时候需要详细查看防火墙具体报文转发过程,这个时候我们可以手工的启用或者禁用NP2网络处理器硬件加速功能

请注意,此功能仅用户防火墙故障排错,它将极大影响防火墙性能,在不需要时请禁用此功能。 

4.1 启用此功能,命令如下:

 diagnose npu np2 fastpath-sniffer enable <port(s)_number>

这样一来,所有的进出此NP2接口的包都可以被命令sniffer 或者 debug flow 命令来查看了。

4.2 禁用此功能,命令如下:

 diagnose npu np2 fastpath-sniffer disable <port(s)_number>

注意事项

这个命令启用/禁用将不会被保存在配置文件里面,重启FortiGate时设备将恢复到默认出厂配置状态。


相关文章 评论

服务原则及地区范围

宜兴通达团队,在企业网络维护和企业信息化建设与咨询方面,有10多年经验。

我团队愿与客户一道,力求彻底解决客户问题!
我们不是在给企业提供“头痛医头、脚痛医脚”的暂时解决方案,而是在部署根本性安全与稳定服务!!
我们愿携手客户,建立企业IT规划;杜绝随意安装系统、软件等操作;力求共同维护有序、安全、稳定的网络办公环境!!!
IT服务,服务是根本,客户是上帝;我们提供快速响应、快速上门、快速排查,提供优质高效的服务!!!!

通达团队提供全国范围内的服务,服务形式包括远程协助、电话咨询、电子邮件咨询、传真咨询、问答平台的问题解决等。

宜兴地区提供上门服务:

  • 市区服务:宜城街道、城北街道(屺亭街道)、新街街道、新庄街道、环科园、渚桥开发区
  • 市郊服务:张渚镇、西渚镇、太华镇、徐舍镇、官林镇、杨巷镇、新建镇、和桥镇、高塍镇、万石镇、周铁镇、芳桥镇、丁蜀镇、湖父镇。
  • 联系电话:189-21-343434
  • 在线沟通: