在網路檢查中有時會需要透過 CLI 命令列進行操作,這些指令並沒有放在 ZyXEL ATP / USG Flex 防火牆 WebGUI 圖形管理界面,本文說明一些進行網路檢查時常用 CLI 指令,以及它們的用途,請繼續閱讀。
登入 ZyXEL ATP / USG Flex 防火牆管理介面後,點擊右上角 CLI 功能。
Flash 已滿(Flash 使用率 100%):在某些罕見的情況下,Flash 可能已滿 (100%)。可以使用此指令進行清理。
Router# debug system _disk-cleanup
風扇速度檢查/溫度檢查:查看風扇速度或溫度信息。
Router# debug hardware
Router(debug hardware)# fan-get
Sensor[0]:58 degree
Sensor[1]:35 degree
Sensor[2]:38 degree
FAN[0]:5763 RPM
查看基於 interface 的詳細統計信息:
Router# debug interface ifconfig
eth0 Link encap:Ethernet HWaddr fc:22:f4:e0:b0:a0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
eth3 Link encap:Ethernet HWaddr fc:22:f4:e0:b0:a8
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5637 errors:0 dropped:0 overruns:0 frame:0
TX packets:11982 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1174602 (1.1 MB) TX bytes:7855391 (7.8 MB)
將 interface 名稱與防火牆上的自定義名稱進行匹配:
Router# debug interface show mapping
No. External Name Internal Name
===========================================
1 sfp eth0
2 wan1 eth1
3 wan2 eth2
4 lan1 eth3
5 lan2 eth4
6 dmz eth5
7 opt eth6
8 reserved eth7
9 wan1_ppp ppp118
10 wan2_ppp ppp119
11 opt_ppp ppp120
檢查 interface 流量:查看進出接口的特定流量:
packet-trace interface [NAME OF INTERFACE] port [PORT-NUMBER]
packet-trace interface [NAME OF INTERFACE] ip-proto [NAME OF IP-PROTOCOL]
第一個命令在掃描端口時使用,後一個命令在掃描 ip 協議時使用 - 下面是一些示例:
掃描 WAN1 上傳入的 IKE Port 500 封包 - 常用於 VPN 調試:
packet-trace interface wan1 port 500
將在 lan1 上掃描任何 ICMP 相關流量,例如在 LAN 接口進出的 PING - 對於檢查所有類型的防火牆應用程序、VPN 是否正確地將流量推入遠程 LAN 等非常有用:
packet-trace interface lan1 ip-proto icmp
顯示鎖定用戶:顯示當前被防火牆阻止的 IP 地址列表。
show lock-out users
解鎖特定的 IP 地址:(範例為WXYZ)
configure terminal
unlock lock-out users <W.X.Y.Z>
顯示安全性策略:
Router# show secure-policy
secure-policy rule: 1
name: LAN1_Outgoing
description:
user: any, schedule: none
from: LAN1, to: any
source IP: any, source port: any
destination IP: any, service: any
device: any
log: no, action: allow, status: yes
connection match: no
content-filter profile: none
enable: no, log: by-profile
threat-website profile: none
enable: no, log: by-profile
anti-spam profile: none
enable: no, log: by-profile
anti-virus profile: none
enable: no, log: by-profile
idp profile: none
enable: no, log: by-profile
ssl-inspection profile: none
enable: no, log: by-profile
app-patrol profile: none
enable: no, log: by-profile
dns-filter profile: none
enable: no, log: by-profile
dns-content-filter profile: none
enable: no, log: by-profile
刪除安全性策略:
configure terminal
secure-policy delete [rule-number]
關閉用戶端證書驗證:
configure terminal
no ip http secure-server auth-client
顯示 interface 統計訊息:
Router# show interface all
No. Name Status IP Address Mask IP Assignment
===============================================================
1 sfp Down 0.0.0.0 0.0.0.0 Static
2 wan1 Port Group Inactive 0.0.0.0 0.0.0.0 DHCP client
3 wan2 Port Group Inactive 0.0.0.0 0.0.0.0 DHCP client
4 lan1 Down 192.168.1.1 255.255.255.0 Static
5 lan2 Port Group Up 0.0.0.0 0.0.0.0 Static
6 dmz Port Group Inactive 0.0.0.0 0.0.0.0 Static
7 opt Port Group Inactive 0.0.0.0 0.0.0.0 Static
8 reserved Port Group Inactive 0.0.0.0 0.0.0.0 Static
本文來源資料:
沒有留言:
張貼留言