H3C 防火墙日常运维宝典 H3C网络交换机设备巡检命令

俗话说“小洞不补、大洞吃苦”，根据H3C技术支持中心长年收集汇总的设备运行情况分析，有很多典型的网络故障其根本原因就在于忽视了基本的日常运维工作。为保证防火墙在网长期稳定运行，可以采取以下介绍的运维操作，以检查设备运行状态，提前规避故障风险，这时候就需要精准使用交换机的巡检命令，下面我们来介绍一下几个常见厂商的巡检命令：

1. 硬件运行环境检查

1.1 设备安装运行环境检查

1) 承重检查：

应根据安装防火墙及其附件（如机柜、接口模块等）的实际重量来估计地面承重要求，并确保安装场所地面的承重能力满足此需求。有关重量的规格参数可通过相应防火墙产品的《安装手册》或《安装指导》确认，该类文档可通过H3C公司网站获得。承载设备的机柜、机架等对硬件运行有着决定性的影响，如果不能为防火墙提供一个平稳、牢固的支撑，出现震动、倾倒等问题，后果将不堪设想。

2) 温度/湿度检查：

为保证防火墙正常工作，并延长使用寿命，机房内需要维持一定的温度和湿度。若机房内长期相对湿度过高，则容易造成绝缘材料绝缘不良甚至漏电，还可能发生材料机械性能变化、金属部件锈蚀等现象。若机房内长期相对湿度过低，绝缘垫片会干缩并且容易引起紧固螺丝松动，在干燥的气候环境下，还容易产生静电，危害防火墙上的CMOS 电路。温度过高危害更大，因为高温会加速绝缘材料的老化过程，使防火墙的可靠性大大降低，严重影响其使用寿命。设备对机房环境温度要求通常为0－45℃，对湿度要求通常为5%-95%(非凝露)。通常情况下，配备了空调系统的设备机房都可以满足上述温湿度要求，因此在日常运维过程中要经常关注空调系统的运行状态，测试机房内温度是否均匀，避免出现局部过热或者机柜内部通风不良的情况。

3) 洁净度要求

为保证防火墙的正常工作，机房内需维持一定的洁净度。灰尘对于防火墙的运行是一大危害，因为室内灰尘落在机体上会造成静电吸附，使金属接插件或金属接点接触不良，不但会影响防火墙寿命，而且容易造成通信故障。当室内相对湿度偏低时，更易产生这种静电吸附。除灰尘外，设备机房对空气中所含的盐、酸、硫化物也有严格的要求，因为这些有害气体会加速金属的腐蚀和某些部件的老化过程。灰尘对防火墙的散热也会造成较大影响，严重时可能造成风扇损坏，甚至阻塞散热孔，在这种状态下，势必会造成设备自身温度过高，出现温度传感器告警、启动过热保护单板自动下电等现象。一般而言，对机房内的灰尘含量及粒径要求，以三天内桌面无可见灰尘为限，当然，以最大程度减少灰尘为最佳。

4) 通风要求

目前防火墙产品（插卡形式防火墙采用宿主路由交换设备的散热风道设计）通常采用左进风、右出风的散热方式。为了保证防火墙具有良好的通风效果，要求防火墙的入风口及出风口处留有空间（建议大于 10cm），以利于防火墙机箱的散热。一般情况下，设备安装机房应该具有空调系统或通风系统，保证环境温度达到要求。避免出现通风不良引发散热问题。

5) 防雷击要求

尽管防火墙在硬件设计时已经针对防雷击进行大量的工作，但为了避免高强度的雷击造成设备故障，引起通信中断，应定期检查设备机箱的保护地线与大地连接是否良好可靠，检查交流电源插座的接地点与大地连接是否良好可靠，对于可能受雷击影响的电缆（如室外走线）应注意评估风险，适当加装防雷器件。保接地线与接地器件连接处时有出现生锈现象，这会影响接地线的相关电气性能，发生此类问题后应及时更换连接器件并做好防锈处理。

1.2 设备指示灯状态检查

1) 电源指示灯：

电源指示灯可以直观地反映设备电源模块的工作状态，正常时应为常亮状态，如果电源出现故障为常灭状态。部分设备支持配置多个电源，检查时需注意没有安装电源模块时，对应的电源灯为常灭状态。在电源状态检查过程中，如果发现可疑情况，应及时指出并反馈。

2) 系统指示灯：

系统指示灯主要反映了设备整体运行状态，正常时应为慢速闪烁状态，约1秒闪烁1次。如果检查过程中发现系统指示灯出现快闪，约1秒闪烁8次，则说明设备正在尝试加载软件并启动，若长时间停留在该状态，一般是由于设备的存储介质中没有可用的启动软件导致，须通过Console管理界面进一步作检查，确认设备存储介质中的版本文件是否正常，是否正确配置了启动文件。若系统指示灯处于常灭状态，则说明设备尚未加电，如果确认电源正常，则可能是由于设备硬件故障造成的，应及时向H3C技术支持中心反馈。

3) 槽位指示灯：

支持扩展插槽的设备，可以通过槽位指示灯检查对应槽位的硬件模块工作是否正常，安装扩展插槽后正常情况下指示灯应处于常亮状态，若指示灯常灭，则说明扩展插槽未安装好；如果确认已正确安装但指示灯状态仍不正常，则可能是设备硬件故障造成，应及时向H3C技术支持中心反馈。

4) 端口指示灯：

端口指示灯可以直观地反映设备物理端口的工作状态。接口速率指示灯反映了物理线路的传输速率协商情况，正常情况下应显示为绿色，若高速率端口协商结果为低速率状态，则会显示为黄色，提醒网络管理员在维护时进行检查确认。若网络线缆或光纤已经连接好，但连接指示灯不亮，则可能是线缆或光纤自身出现故障，需要立即进行检查。动作指示灯可以反映物理端口是否有收发数据，若指示灯常亮表示链路建立正常，闪烁表示该端口正在收发数据。对端口指示灯的检查可与对线缆或光纤的检查同时进行，重点查看电缆水晶头或光纤连接器是否连接可靠，避免出现线缆长期运行过程中因外力导致从设备端口中松脱的问题。

2. 软件运行状态检查

1.1 设备软件运行状态检查

1)检查防火墙硬件相关详细信息

通过执行<H3C> display device verbose 命令，可查看防火墙及接口模块的详细信息。包括：防火墙及接口模块的运行状态和硬件的版本等。设备工作正常时，可以查看到“Status:OK”、“Status:Normal”，若没有安装扩展卡，则相应的子卡插槽位置会显示“Status:Absent”。

2)检查防火墙的软件版本

<H3C> display version

3)检查防火墙电子标签信息

通过执行<H3C> display device manuinfo 命令，可查看到固化在防火墙硬件中的电子标签信息。其中，“DEVICE_NAME”代表设备型号，“DEVICE_SERIAL_NUMBER”代表设备生产序列号。电子标签信息与客户购买设备后能否正常获得维保有关，请注意将该电子标签信息与设备外壳、包装上的信息核对，若相关信息不一致，可及时向H3C技术支持中心反馈。

<H3C> display device manuinfo

4)检查防火墙CPU利用率统计信息

通过执行<H3C> display cpu-usage 命令，可查看防火墙CPU 利用率的统计信息。通常情况下，CPU利用率不超过20%。若CPU利用率持续较高，甚至出现业务应用受影响，可参考H3C技术支持中心提供的“云图”相关章节做进一步诊断。

<H3C> display cpu-usage

5)检查防火墙内存利用率统计信息

通过执行<H3C> display memory 命令，可查看防火墙内存的使用状况，其中“Used Rate”项显示的百分比数据即为内存利用率。若内存利用率持续较高，甚至超过95%以上，可参考H3C技术支持中心提供的“云图”相关章节做进一步诊断。

<H3C> display memory

6)检查防火墙会话统计信息

通过执行<H3C>display session statistics命令，可查看防火墙当前各种协议会话的新建速率，并发连接数等关键信息。若会话统计信息出现异常增加，需要及时关注网络流量情况，确认网络是否存在环路和攻击。

<H3C>display session statistics

7)检查防火墙风扇工作状态

通过执行<H3C> display fan 命令，可查看防火墙风扇的工作状态。“Normal”表示风扇工作正常，“Absent”表示风扇不在位，“Fault”表示风扇出现故障。若网络管理员发现风扇存在问题，须尽快检查风扇物理工作状态，避免防火墙设备因散热不良引起网络中断问题。

<H3C> display fan

8)检查防火墙电源工作状态

通过执行<H3C> display power 命令，可查看防火墙电源的工作状态。“Normal”表示电源模块工作正常，“Absent”表示电源模块未安装或不在位，“Fault”表示电源模块出现故障。防火墙设备安装双电源后，若网络管理员发现其中一个电源故障，须尽快检查电源工作状态并修复存在故障的电源，避免两个电源同时出现故障时造成网络中断。

<H3C> display power

9)检查防火墙环境温度传感器工作状态

通过执行<H3C> display environment 命令，可查看防火墙的温度信息及温度告警门限。“Temperature”代表某个温度传感器当前探测到的温度值，“LowerLimit”代表对应传感器低温告警门限值，“Warning-UpperLimit”、“Alarm-UpperLimit”、“Shutdown-UpperLimit”分别代表一般、严重、关断级高温告警门限值。目前部分产品仅支持一般高温告警门限值。若网络管理员在日常运维过程中发现传感器反馈的环境温度值不正常，应及时检查设备机房环境，是否存在空调故障、设备散热条件不佳等问题。

<H3C>dis environment

10)检查防火墙系统时间

通过执行<H3C> display clock 命令，可查看防火墙的系统时间设置是否正确。系统时间正确与否，关系到防火墙日志等信息中的时间项是否准确、是否与其他网络设备的时间保持一致，推荐采用NTP方式为防火墙设备设置时间同步。

<H3C>dis clock

以上H3C防火墙产品的各项检查操作中，除了人工目视检查外，还可以对部分软件运行状态通过SNMP网络管理平台执行自动化检测，以提高效率。关于检查周期，可视设备安装环境灵活制定。

思科常用巡检命令

巡检命令–一般是show或者display

思科Cisco设备

#截图为虚拟环境

show version                  查看设备的版本信息和运行时长（uptime）

show interface                查看接口信息

show clock                      查看设备当前时间

show proc cpu                 查设备当前cpu用使用率

show proc mem               查看设备当前的内存使用率

show log                          查看日志信息

show model                     查看设备板卡信息

show tech-support           查看设备软硬体配置信息

show env                          查看设备环境信息

show ip interface brief      查看设备所有接口信息

1、show interface stats：查看交换机所有接口当前接口流量

2、show running-config：查看当前设备配置

3、show version：查看IOS版本信息及设备正常运行时间

4、show clock：查看设备时钟信息

5、show vtp status：查看交换机vtp配置模式

6、show vtp password：查看交换机vtp配置口令

7、show env all：查看设备温度，电源和风扇运转参数及是否报警

8、show inventory：调取设备内部板卡出厂模块型号及序列号

9、show spanning-tree root：查看交换机生成树根位置

10、show cdp neighbors：查看邻接cisco设备基本信息

11、show cdp neighbors detail：查看邻接cisco设备详细信息

12、show interface status：查看交换机接口状态是否存在errordisable接口disable接口

13、show interface summary：查看交换机所有接口当前接口流量

14、show interface |ierrors|FastEthernet|GigabitEthernet：查看接口是否存在大量input或output errors包错误

15、show processes cpu：查看设备cpu负载

16、show processes mem：查看设备mem负载

17、show access-list：查看访问控制列表配置及匹配数据包数量

18、show logging：查看本机内部日志记录情况

19、show ip route：查看路由表

20、show firewall：检查防火墙的工作模式

21、show conn count：检查防火墙并发数

22、show xlate count：检查防火墙nat工作状态

华为/H3C交换机常用巡检命令

system-view #进入系统视图

user-interface vty 0 4 #vty就是用telnet/ssh远程进入交换机的界面(虚拟界面)

screen-length 0 #指定要在屏幕上显示行数，0默认是没有分页（全部显示）

01 硬件状态、IOS版本信息检查

display clock  #系统时间

display version #查看版本信息，最近一次重新启动的时间

display enviroment #设备温度

display device #单板运行状态

display device manuinfor #查看设备序列号

display power #查看电源状况

display fan  #查看风扇状况

display cpu-usage  #查看cpu最近5S、1m、5m占用率

display cpu history #查看cpu使用记录

display cpu-usage task #查看CPU利用率

display memory  #查看内存大小和占用率

display logbuffer #日志缓冲区

dir flash: #查看flashdis boot-loader #显示软件映像文件

display arp #查看arp表(目的IP与目的MAC的映射关系)

display mac-address #查看mac地址表（二层转发通过mac地址表）

display ntp status #ntp状态信息

reset counters interface #清除接口统计信息，方便下次巡检查看接口错误包是否增加

display elabel #路由器设备命令—查看电子标签信息（华为）改用display device manuinfo

display ndp #路由器设备命令—华三V5版本支持，现在改用display lldp neighbor-information

display diagnostic-information #故障信息收集

02 系统运行配置状态检查

display interface #接口流量、链路状态

dis current-configuration inter #地址分配

dis current-configuration |include ospf #路由扩散

display ip routing-table #路由信息

display ip interface #显示 vlan 端口统计数据

display saved-configuration #保存配置文件

display logbuffer #日志信息

display port trunk #查看参与 trunk 的端口

03 STP 信息检查

display stp root #查看 stp 根情况

display stp brief #查看 stp 简单信息

display stp abnormal-port #查看是否有非正常端口

display stp region-configuration #生成树区域配置

display lldp neighbor-information #查看链路层邻居发现协议（邻居信息）

display tcp status #路由器设备命令—tcp统计数据

display tcp statistics #交换机设备命令—tcp统计数据

04 vrrp 和端口聚合检查

display vrrp #查看虚拟路由冗余协议

display vrrp statistics #查看主备用状态

display link-aggregation summary #查看链路聚合组的情况

H3C-基础配置命令参考

http://www.h3c.com/cn/d_202201/1528669_30005_0.htm#