FAQ-USG9520怎样确认数据包是否被本机丢弃

发布时间:  2015-10-29 浏览次数:  485 下载次数:  0
问题描述
USG9520不能像USG2000/USG5000一样做流量统计查看数据包丢弃情况,如果数据包被设备丢弃了,不会生成会话表。如何快速定位数据包是否到达USG9520以及USG9520是否将收到的数据包丢弃呢?
解决方案
在定位USG9500防火墙问题时,可以通过以下Debug命令打印出SPU单板上的报文处理情况,如果没有任何打印,就说明防火墙没有收到任何报文。

1. 根据测试IP地址定义一个ACL。

acl 3999
rule 5 permit tcp source 210.21.230.28

2. 打开Debug开关。

terminal monitor
terminal debugging
debugging dataplane  trace acl 3999

防火墙收到报文时设备打印信息示例如下。

HRP_M<USG9520>
# <PACKET-TRACER:3/3/8:1568246285> TCP: X.21.230.28:50697 -> X.168.225.2:21 pkt-id:8585
New packet arrived, interface: 1f42105, zone: 10, vrf: 0
# <PACKET-TRACER:3/3/8:1568246285> TCP: X.21.230.28:50697 -> X.168.225.2:21 pkt-id:8585
The receiving interface changes to 0x03f42002.
# <PACKET-TRACER:3/3/8:1568246285> TCP: X.21.230.28:50697 -> X.168.225.2:21 pkt-id:8585
DROP-PACKET:SYN-FLOOD defend

END