国家 / 地区

H3C SecPath 防火墙产品 故障处理手册(V7)-6W400

手册下载

H3C SecPath 防火墙产品

故障处理手册(V7)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W400-20200204

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 适用款型及版本··· 1

2 简介··· 2

2.1 故障处理注意事项·· 2

2.2 收集设备运行信息·· 2

2.3 故障定位和处理·· 4

3 硬件类故障处理··· 7

3.1 主机故障·· 7

3.2 风扇故障·· 8

3.3 温度告警·· 8

3.4 故障诊断命令·· 9

4 端口故障处理··· 9

4.1 端口错包·· 9

4.2 端口无法UP· 11

4.3 端口频繁UP/Down· 13

4.4 光模块故障·· 13

4.5 故障诊断命令·· 16

5 报文转发故障处理··· 16

5.1 ping不通或丢包·· 16

5.2 NAT转换情况下,ping丢包或不通·· 18

5.3 设备在转发过程中,有丢包现象·· 19

5.4 故障诊断命令·· 20

6 IRF类故障处理··· 21

6.1 IRF无法形成·· 21

6.2 IRF出现分裂·· 23

6.3 故障诊断命令·· 24

7 双机热备故障处理··· 24

7.1 没有加入冗余组的冗余口直连无法ping·· 24

8 NAT类故障处理··· 26

8.1 动态NAT转换故障(以动态nat outbound为例) 26

8.2 设备作为出口网关设备,NAT业务不通,但是接口地址可以ping·· 27

8.3 故障诊断命令·· 27

9 IPsec/IKE类故障处理··· 28

9.1 IPsec SA可以成功建立,但是IPsec保护的流量不通·· 28

9.2 故障诊断命令·· 28

10 负载均衡故障处理··· 29

10.1 CPU/内存较高时对负载均衡的影响·· 29

10.2 故障诊断命·· 29

10.3 负载分担不均匀时如何排查优化·· 29

10.4 故障诊断命令·· 30

11 系统管理维护类故障处理··· 30

11.1 CPU占用率高·· 30

11.2 内存占用率高·· 34

11.3 故障诊断命令·· 35

12 SSL VPN 类故障处理··· 36

12.1 SSL VPN登录,无法打开SSL VPN页面·· 36

12.2 TCP客户端控件无法安装·· 37

13 DPI故障处理··· 38

13.1 正常业务流量被IPS误报攻击拦截·· 38

13.2 攻击流量不能被阻断,设备不报攻击日志·· 39

13.3 特定应用限速不生效·· 43

13.4 正常业务流量被AV误报攻击拦截·· 45

13.5 符合文件过滤的文件类型没有丢弃,且没有产生日志·· 46

13.6 符合数据过滤的报文没有丢弃,且没有产生日志·· 50

13.7 SSL卸载,Web页面没有成功卸载·· 53

13.8 符合应用审计没有生效,且没有产生日志·· 59

13.9 指定的网页设备没有阻断,且没有产生日志·· 61

13.10 开启WAF攻击流量不能被阻断,设备不报攻击日志·· 64

13.11 服务器发出异常外联行为,设备没有输出告警日志·· 68

13.12 具有风险的IP与本地用户连接成功,无告警日志·· 69

13.13 数据中心无日志输出·· 71

13.14 数据中心日志长时间不更新·· 73

 


1 适用款型及版本

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

文档所描述的内容适用于如下款型及版本:

款型

软件版本

F5030-DF5060-DF5080-DF5000-AK515F5000-AK525

E9620

F5030F5030-6GWF5060F5080F5000-MF5000-AF5000-AI-20F5000-AI-40F5000-V30

E9628

F5010F5020-GMF5020F5040F5000-CF5000-S

E9342

F1000-AI-20F1000-AI-30F1000-AI-50

E9345

F1000-AI-60F1000-AI-70F1000-AI-80F1000-AI-90

E8601

F1005F1010F1003-LF1005-LF1010-L

E9536

F1020F1020-GMF1030F1030-GMF1050F1060F1070F1070-GMF1070-GM-LF1080F1000-V70

E9345

F1090

E8601

F1000-AK1110F1000-AK1120F1000-AK1130F1000-AK1140

E9536

F1000-AK1212F1000-AK1222F1000-AK1232F1000-AK1312F1000-AK1322F1000-AK1332

E9345

F1000-AK1414F1000-AK1424F1000-AK1434F1000-AK1514F1000-AK1524F1000-AK1534F1000-AK1614

E8601

F1000-AK108F1000-AK109F1000-AK110F1000-AK115F1000-AK120F1000-AK125F1000-AK710

E9536

F1000-AK130F1000-AK135F1000-AK140F1000-AK145F1000-AK150F1000-AK155F1000-AK160F1000-AK165F1000-AK170F1000-AK175F1000-AK180F1000-AK185F1000-AK711F1000-GM-AK370F1000-GM-AK380

E9345

F1000-A-G3F1000-C-G3F1000-E-G3F1000-S-G3

E8601

F1000-990-AIF1000-980-AIF1000-970-AIF1000-960-AIF1000-950-AIF1000-930-AIF1000-920-AI

E9345

F1000-E-G2F1000-A-G2F1000-S-G2F1000-C-G2F100-A-G2F100-E-G2F100-A-G3F100-E-G3

E9345

F1000-C8180F1000-C8170F1000-C8160F1000-E-VG

E9345

F1000-C-EIF1000-C-HIF100-A-EIF100-E-EIF100-A-HIF100-A-SIF100-A80-WiNet

E9345

F1000-C8150F1000-C8130F1000-C8120F1000-C8110F1000-S-VG

E9536

F100-C-A6F100-C-A5F100-C-A3F100-C-G3F100-S-G3F100-M-G3F100-M-G2F100-S-G2F100-C-G2F100-C-EIF100-C-HIF100-S-HI

E9536

F100-C80-WiNetF100-C60-WiNetF100-C50-WiNetF100-S80-WiNet

E9536

F100-C-A6-WLF100-C-A5-WF100-C-A3-W

E9602

LSU3FWCEA0LSUM1FWCEAB0LSX1FWCEA1

R8239

LSPM6FWD

R8533

LSXM1FWDF1LSUM1FWDEC0IM-NGFWX-IVLSQM1FWDSC0LSWM1FWD0LSQM2FWDSC0

R8534

LSPM6FWD8

E8535

LSQM2FWDSC8

E8520

 

2 简介

本文档介绍防火墙产品软、硬件常见故障的诊断及处理措施。

2.1  故障处理注意事项

·     更换和维护设备部件时,请佩戴防静电手腕,以确保您和设备的安全。

·     设备正常运行时,建议您在完成重要功能的配置后,及时保存当前配置,以便设备出现故障后能迅速恢复配置。

·     设备出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),搜集信息越全面、越详细,越有利于故障的快速定位。

¡     记录具体的故障现象、故障时间、配置信息。

¡     记录完整的网络拓扑,包括组网图、端口连接关系、故障位置。

¡     记录现场采取的故障处理措施(比如配置操作、插拔线缆、手工重启设备)及实施后的现象效果。

¡     记录故障处理过程中配置的所有命令行显示信息。

¡     搜集设备日志信息和诊断信息。

¡     记录抓取的报文信息、系统输出的Debug信息、主控板与网板持续异常重启的输出信息。

¡     记录设备故障时单板、电源指示灯的状态,或给现场设备拍照记录。

·     故障处理过程中,请注意:

¡     明确每项配置操作的影响,保证操作出问题时能够被恢复,故障影响不会扩大。

¡     操作执行后请等待一定时间以确认执行效果。

¡     请不要保存故障处理过程中的配置,特别是出现IRF分裂,否则会引起配置丢失。

2.2  收集设备运行信息

说明

为方便故障快速定位,请使用命令info-center enable开启信息中心。缺省情况下信息中心处于开启状态。

 

设备运行过程中会产生logfile日志信息及记录设备运行状态的诊断信息。

日志在保存到日志文件前,先保存在日志文件缓冲区。系统会按照指定的频率将日志文件缓冲区的内容写入日志文件,用户也可以手工触发立即保存。诊断日志在保存到诊断日志文件前,先保存在诊断日志文件缓冲区。系统会按照指定的频率将诊断日志文件缓冲区的内容写入诊断日志文件,用户也可以手工触发立即保存。

在任意视图下执行logfile save命令,手动将日志文件缓冲区中的内容保存到日志文件。

在任意视图下执行diagnostic-logfile save命令,手动将诊断日志文件缓冲区中的内容保存到诊断日志文件。

这些日志文件存储在FlashCF卡中,可以通过FTPTFTP等方式导出。

表1     设备运行信息介绍

分类

文件名

内容

logfile日志

logfileX.log

命令行记录、Trap信息、设备运行中产生的记录信息

诊断信息

XXX.gz

设备状态、CPU状态、内存状态、配置情况、软件表项、硬件表项等

 

2.2.1  logfile日志

请先通过logfile save将设备缓存的logfile日志保存在存储介质中,并将日志搜集完整。

[H3C] logfile save

The contents in the log file buffer have been saved to the file flash:/logfile/l

ogfile.log.

设备的logfile日志:

<H3C> dir flash:/logfile/

Directory of flash:/logfile

   0 -rw-    10483632 Jul 08 2014 15:05:22   logfile.log

 

253156 KB total (77596 KB free)

2.2.2  诊断信息

执行display diagnostic-information命令后,请输入“Y”,以选择将诊断保存到Flash中(选择display会出现信息搜集不全)。

<H3C> display diagnostic-information

Save or display diagnostic information (Y=save, N=display)? [Y/N]:y

Please input the file name(*.gz)[flash:/diag.gz]:flash:/diag.gz

Diagnostic information is outputting to flash:/diag.gz.

Save successfully.

<H3C> dir flash:/

Directory of flash:

……

   6 -rw-      898180 Jun 26 2013 09:23:51   diag.gz

 

1021808 KB total (259072 KB free)

也可以将诊断信息直接显示出来(不建议这样搜集),搜集前请先执行screen-length disable,避免屏幕输出被打断,如下:

<H3C> screen-length disable

% Screen-length configuration is disabled for current user.

<H3C> display diagnostic-information

Save or display diagnostic information (Y=save, N=display)? [Y/N]:N

==================================================================

  ===============display cpu===============

Slot 1 CPU 0 CPU usage:

       6% in last 5 seconds

       6% in last 1 minute

       6% in last 5 minutes

 

===========================================================

=================================================================

  ===============display cpu-usage history slot 1 ===============

100%|

 95%|

 90%|

 85%|

 80%|

 75%|

 70%|

 65%|

 60%|

 55%|

 50%|

 45%|

 40%|

 35%|

 30%|

 25%|

 20%|

 15%|

 10%|

  5%|############################################################

     ------------------------------------------------------------

              10        20        30        40        50        60  (minutes)

                   cpu-usage (Slot 1 CPU 0) last 60 minutes (SYSTEM)

……………………………………

2.3  故障定位和处理

设备出现故障时,请先搜集设备运行的相关信息,判断大致的故障类型,然后参照对应类型的故障处理流程进行确认。

如遇到故障无法确认,请将故障描述连同搜集的信息发送给公司技术支持人员分析。

2.3.1  故障处理流程图

1为故障处理的一般流程,可以大致判断出故障的类型。

图1     故障处理流程图

 

2.3.2  故障原因分类

1. 主机故障

如主机出现异常重启、状态异常、无法启动、反复重启,请参照3.1  主机故障

2. 温度告警

如设备打印温度告警,请参照3.3  温度告警

3. 链路端口故障

4. 如端口出现无法UP、频繁UP/DOWN、端口错包,请参照3 硬件类故障处理

如出现pingtracert丢包或不通、二层丢包或不通、三层丢包或不通、业务异常等,请参照5 报文转发故障处理

5. IRF故障

如设备无法形成IRFIRF分裂等,请参照6 IRF类故障处理

6. 双机热备故障

如果出现主备切换异常、冗余口转发异常、冗余口切换异常,请参照7 双机热备故障处理

7. 负载均衡故障处理

主要是4层负载均衡的故障处理、7层负载均衡的故障处理。请参照10 负载均衡故障处理

8. CPU占用率高

如主控设备或引擎的CPU占用率很高,请参照11.1  CPU占用率高

9. 内存占用率高

如设备单板内存占用率很高,请参照11.2  内存占用率高

2.3.3  常见的故障恢复措施

表2     常见的故障恢复措施

故障原因

业务恢复动作

故障排除动作

硬件

隔离故障单板

调整业务流向来隔离故障设备(如可以调整路由的优先级,避免流量经过故障设备,实现流量切换)

更换备件(备件上线应用前应进行必要的测试)

软件

重启故障设备的协议

调整业务流向来隔离故障设备

升级版本(含补丁版本)

调整组网或配置,消除引发故障因素

链路

调整业务流向来隔离故障线路

检修线路

其他

修改错误配置

正确连接设备端口

调整业务流向来隔离故障线路

修改错误配置

正确连接设备端口

检修机房的电源、空调等支撑系统

 


 

3 硬件类故障处理

3.1  主机故障

3.1.1  故障描述

主机重启

3.1.2  故障处理步骤

当主机出现重启,请查看重启原因,如果是软件异常导致设备重启请搜集主机的诊断信息,并发给研发处理。

 

<H3C>display version

H3C Comware Software, Version 7.1.064, Ess 8601P08                             

Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.    

H3C SecPath F1090 uptime is 0 weeks, 0 days, 0 hours, 5 minutes                 

Last reboot reason: User reboot                                                

                                                                               

Boot image: flash:/F1090FW-CMW710-BOOT-E8601P08.bin                            

Boot image version: 7.1.064, Ess 8601P08                                       

  Compiled Sep 10 2019 15:00:00                                                

System image: flash:/F1090FW-CMW710-SYSTEM-E8601P08.bin                        

System image version: 7.1.064, Ess 8601P08                                     

  Compiled Sep 10 2019 15:00:00                                                

                                                                                

SLOT 1                                                                         

CPU type:           Multi-core CPU                                             

DDR4 SDRAM Memory:   8192M bytes                                                

FLASH:              7296M bytes                                                

CPLD_A           Version:  1.0                                                 

CPLD_B           Version:  1.0                                                 

Release          Version:SecPath F1090-8601P08                                  

Basic  BootWare  Version:0.30                                                  

Extend BootWare  Version:1.01                                                  

BuckleBoard Version:Ver.A                                                      

BackBoard1 Version:Ver.A                                                       

BackBoard2 Version:Ver.A                                                       

HD_BackBoard Version:Ver.D                                                     

Pcb Version:Ver.A                                                              

[SUBCARD 0] NSQ1F1MSPUOTXA(Hardware)Ver.A, (Driver)1.0, (Cpld)1.0              

Boot Type: Warm

[H3C]isplay  system internal  version                                           

H3C SecPath F1090 V800R006B01D645SP08                                           

Comware V700R001B64D045SP08

 

3.2  风扇故障

3.2.1  故障描述

风扇框指示灯异常,设备打印风扇异常信息,如:

%May 06 10:12:24:805 2017 H3C DEV/3/FAN_ABSENT: -MDC=1; Slot 2 Fan 2 is absent.

%May 06 10:12:32:805 2017 H3C DEVD/2/DRV_DEV_FAN_CHANGE: -MDC=1;  Slot 2: Fan communication state changed: Fan 1 changed to fault.

%May 06 10:12:42:405 2017 H3C DEV/2/FAN_FAILED: -MDC=1; Slot 2 Fan 1 failed.

3.2.2  故障处理步骤

(1)     风扇框在位时,用手放在设备出风口,判断是否有出风,如果出风口无风,则风扇异常。

(2)     检查风扇的入风口、出风口是否被挡住或积累太多灰尘。

(3)     通过display fan命令检查风扇框是否正常在位,各个风扇的状态是否正常、转速和正常转速相差达到50%以上。如存在异常,建议通过风扇框拔插、更换交叉进一步确认。

<H3C> display  fan

SLOT 1 Fan 0      Status: Normal  Speed:9500

SLOT 1 Fan 1      Status: Normal  Speed:9500

SLOT 1 Fan 2      Status: Normal  Speed:9500

(4)     如果故障不能恢复,需要更换该风扇框,但当前没有风扇框,请关闭设备以免发生温度高导致单板烧坏;如果有降温措施保证系统工作在50度以下,可以暂时继续使用设备。

3.3  温度告警

3.3.1  故障描述

设备打印温度过低、过高等告警信息,如:

%Mar 18 04:22:05:893 2017 H3C DEV/4/TEMPERATURE_WARNING: -Context=1; Temperature is greater than the high-temperature warning threshold on slot 2 sensor inflow 1. Current temperature is 43 degrees centigrade.

3.3.2  故障处理步骤

(1)     检查环境温度是否正常。如果环境温度较高,请确认原因,比如机房通风不畅、空调制冷故障等。

(2)     检查设备当前的temperature温度是否超出上下的WarningAlarm门限。也可以用手触摸单板,确认单板是不是很烫,如单板温度很高,请立即检查原因。持续处于较高的温度下,可能会导致单板损坏。

·     如果温度值为error或出现明显不合实际的值,可能是通过I2C总线访问单板温度传感器异常。设备光模块信息访问也是通过I2C总线,请继续检查单板读取光模块信息是否正常。如光模块访问正常,请使用temperature-limit命令重新设置单板的温度告警门限值,并通过display environment查看是否设置成功。

[H3C] temperature-limit slot 1 inflow 1 -5 43 51

[H3C] display environment

System Temperature information (degree centigrade):

--------------------------------------------------------------------------------

---------

 Slot     Sensor   Temperature LowerLimit Warning-UpperLimit  Alarm-UpperLimit S

hutdown-UpperLimit

1      inflow  1      29          -5             43                51

     NA

2      inflow  1      28          -5             48                56

     NA

如果仍然无法确认故障原因,搜集温度告警日志、display environment、环境实际温度等信息并发送给技术支持人员协助分析。

3.4  故障诊断命令

命令

说明

display device

显示设备信息,检查各单板的状态是否正常

display environment

显示设备的温度信息,检查环境温度是否正常(是否超出温度告警阈值)

display power

显示交换机上的电源系统信息。详细信息包括下列信息:

·     电源管理使能状态

·     电源类型、额定输入电压和额定输出功率

·     冗余电源模块数,各模块可用的、冗余的、已用的、剩余的功率

·     在位电源模块的状态

·     接口板的供电状态

display version

显示系统版本信息、单板的运行时间以及最后一次重启的原因

save

将当前配置保存到指定文件

temperature-limit

设置设备的温度告警门限

 

4 端口故障处理

4.1  端口错包

4.1.1  故障描述

使用display interface命令查询端口的入、出方向流量统计信息发现错包统计计数不为0

<H3C>dis int GigabitEthernet 1/0/2

GigabitEthernet1/0/2

Current state: DOWN

Line protocol state: DOWN

Description: GigabitEthernet1/0/2 Interface

Maximum transmission unit: 1500

Internet address: 192.168.2.1/24 (primary)

IP packet frame type: Ethernet II, hardware address: 50da-00dd-1327

IPv6 packet frame type: Ethernet II, hardware address: 50da-00dd-1327

Media type is twisted pair, loopback not set, promiscuous mode not set

Speed Negotiation, Duplex Negotiation, link type is autonegotiation

Output flow-control is disabled, input flow-control is disabled

Last link flapping: Never

Last clearing of counters: Never

 Peak input rate: 0 bytes/sec, at 00-00-00 00:00:00

 Peak output rate: 0 bytes/sec, at 00-00-00 00:00:00

 Last 300 second input: 0 packets/sec 0 bytes/sec -%

 Last 300 second output: 0 packets/sec 0 bytes/sec -%

 Input (total):  0 packets, 0 bytes

          0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses

 Input (normal):  0 packets, 0 bytes

          0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses

 Input:  0 input errors, 0 runts, 0 giants, - throttles

          0 CRC, 0 frame, 0 overruns, 0 aborts

          0 ignored, - parity errors

 Output (total): 0 packets, 0 bytes

          0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses

 Output (normal): 0 packets, 0 bytes

          0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses

 Output: 0 output errors, 0 underruns, - buffer failures

          0 aborts, 0 deferred, 0 collisions, 0 late collisions

          0 lost carrier, 0 no carrier

 

1. 端口入方向报文计数错误字段解释

·     input errors端口接收的错误报文的统计值

·     runts接收到的超小帧的数量超小帧是指长度小于64字节、格式正确且包含有效的CRC字段的帧

·     giants接收到的超大帧的数量。超大帧是指有效长度大于端口允许通过最大报文长度的帧,对于禁止长帧通过的以太网端口,超大帧是指有效长度大于1518字节(不带VLAN Tag)或大于1522字节(带VLAN Tag报文)的帧;对于允许长帧通过的以太网端口,超大帧是指有效长度大于指定最大长帧长度的帧。

·     throttles接收到的长度为非整数字节的帧的个数。

·     CRC:接收到的CRC校验错误、长度正常的帧的数量。

·     frame接收到的CRC校验错误、且长度不是整字节数的帧的数量

·     overruns当端口的接收速率超过接收队列的处理能力时,导致报文被丢弃。

·     aborts接收到的非法报文总数,非法报文包括:报文碎片、jabber帧、符号错误帧、操作码未知帧、长度错误帧。

·     ignored由于端口接收缓冲区不足等原因而丢弃的报文数量。

·     parity errors接收到的奇偶校验错误的帧的数量

2. 端口出方向报文计数错误字段解释

·     output errors各种发送错误的报文总数

·     underruns当端口的发送速率超过了发送队列的处理能力,导致报文被丢弃,是一种非常少见的硬件异常。

·     buffer failures由于端口发送缓冲区不足而丢弃的报文数量

·     aborts:发送失败的报文总数,即报文已经开始发送,但由于各种原因(如冲突)而导致发送失败

·     deferred延迟报文的数量,延迟报文是指发送前检测到冲突而被延迟发送的报文

·     collisions冲突帧的数量,冲突帧是指在发送过程中检测到冲突的而停止发送的报文

·     late collisions延迟冲突帧的数量,延迟冲突帧是指帧的前512 bits已经被发送,由于检测到冲突,该帧被延迟发送

·     lost carrier载波丢失,一般适用于串行WAN接口,发送过程中,每丢失一个载波,此计数器加一

·     no carrier无载波,一般适用于串行WAN接口,当试图发送帧时,如果没有载波出现,此计数器加一。

4.1.2  故障处理步骤

1. 端口入方向出现CRCframethrottles错包且计数持续增加

(1)     使用仪器测试链路,链路质量差或者线路光信号衰减过大会导致报文在传输过程中出错。如链路故障请更换网线或光纤。

(2)     如端口使用光模块,参照4.4  光模块故障认是否光模块故障导致。

(3)     与别的正常的端口更换网线或光纤光模块,如端口更换后错包消失,端口更换回来错包又再次出现端口相关,应为单板端口故障,请更换端口并将故障信息发送技术支持人员分析;如更换到其他正常端口仍会出现错包,则对端设备、中间传输链路故障的可能性较大,请排查。

(4)     排查对端设备或者中间的传输设备。

(5)     如故障无法确认,请将故障信息发送技术支持人员分析。

2. 端口入方向出现giants错包且计数持续增加

(1)     检查两端的jumbo配置是否一致,如jumbo是否使能,端口默认的最大报文长度是否一致,允许最大报文长度是否一致。

(2)     如果仍然无法确认,请将故障信息发送技术支持人员分析。

3. 端口出方向出现错包且计数持续增加

(1)     检查端口是否配置为半双工模式,如为半双工,请更改为全双工模式。

(2)     如果仍然无法确认,请将故障信息发送技术支持人员分析。

4.2  端口无法UP

4.2.1  故障描述

端口无法正常UP

4.2.2  故障处理步骤

1. 端口无法UP

(1)     测试端口之间网线、光纤链路是否正常,光纤两端的发送/接收端是否错连;更换端口之间的网线、光纤或将网线、光纤放到别的正常端口,以确认是否中间传输链路故障

(2)     检查本端、对端端口配置是否正确,如端口是否shutdown,速率、双工、协商模式、MDI是否正确。

表3     双工支持情况:

Speed

Duplex

10G

1000M

100M

10M

Full

Not supported

Supported

Supported

Supported

Half

Not supported

Not supported

Supported

Supported

 

(3)     如端口使用光模块,请检查两端光模块类型是否一致,如速率、波长、单模多模状态等;与正常的光模块交叉更换,并参照4.4  光模块故障排除是否为光模块故障导致。

<H3C>dis transceiver interface GigabitEthernet 1/0/17

GigabitEthernet1/0/17 transceiver information:

  Transceiver Type              : 1000_BASE_SX_SFP

  Connector Type                : LC

  Wavelength(nm)                : 850

  Transfer Distance(m)          : 550(OM2),270(OM1)

  Digital Diagnostic Monitoring : YES

  Vendor Name                   : JDSU

<H3C>

如果确认光模块有问题,需要更换光模块。

4.2.3  故障处理步骤

(1)     查看本设备及对端设备日志,确认有无端口shutdown操作。

(2)     查看两端端口状态,确认是否为协议异常或在线诊断模块检测到异常将端口shutdown。当设备在线诊断模块检测到端口故障时,将端口shutdown隔离,以便流量切换到备份链路。请将故障信息发送技术支持人员分析。

<H3C> display interface GigabitEthernet 1/0/2

GigabitEthernet1/0/2

Current state: DOWN

Line protocol state: DOWN

Description: GigabitEthernet1/4/0/1 Interface

Bandwidth: 1000000kbps

Maximum Transmit Unit: 1500

Internet protocol processing: disabled

IP Packet Frame Type:PKTFMT_ETHNT_2, Hardware Address: 8042-0004-5601

IPv6 Packet Frame Type:PKTFMT_ETHNT_2, Hardware Address: 8042-0004-5601

Media type is not sure,Port hardware type is No connector

Last clearing of counters: 16:45:01 Wed 12/11/2013

Peak value of input: 0 bytes/sec, at 2013-12-11 16:45:03

Peak value of output: 0 bytes/sec, at 2013-12-11 16:45:03

Last 300 second input:  0 packets/sec 0 bytes/sec

Last 300 second output:  0 packets/sec 0 bytes/sec

(3)     参照4.2  端口无法,排查两端端口配置,网线、光模块、光纤等链路是否正常。

(4)     如仍无法确认,请搜集本端、对端设备信息,并将信息发送技术支持人员分析。

4.3  端口频繁UP/Down

4.3.1  故障描述

端口频繁UP/Down

4.3.2  故障处理步骤

(1)     对于光口,请参照4.4  光模块故障确认光模块是否异常。

(2)     对于电口,一般在自协商情况下容易出现协商不稳定,这种情况请尝试设置强制速率双工。

(3)     如仍无法确认,请将故障信息发送技术支持人员分析。

4.4  光模块故障

4.4.1  故障描述

安装光模块的接口不能正常UP,出现告警信息。

4.4.2  故障处理步骤

(1)     检查是否万兆光口插入了千兆光模块,该使用方式不支持,请对应接口类型选择光模块。

(2)     检查光模块Alarm告警信息。告警信息中如果存在接收有问题那一般是对端端口、光纤或中转传输设备导致;如果是发送有问题或者电流、电压异常那就需要排查本端端口。

<H3C> display transceiver alarm interface Ten-GigabitEthernet 1/0/25

Ten-GigabitEthernet1/0/25 transceiver current alarm information:

  RX signal loss

表4     光模块告警信息说明

字段

描述

SFP/SFP+

RX loss of signal

接收信号丢失

RX power high

接收光功率高告警

RX power low

接收光功率低告警

TX fault

发送错误

TX bias high

偏置电流高告警

TX bias low

偏置电流低告警

TX power high

发送光功率高告警

TX power low

发送光功率低告警

Temp high

温度高告警

Temp low

温度低告警

Voltage high

电压高告警

Voltage low

电压低告警

Transceiver info I/O error

模块信息读写错误

Transceiver info checksum error

模块信息校验和错误

Transceiver type and port configuration mismatch

模块类型和端口配置不匹配

Transceiver type not supported by port hardware

端口不支持该模块类型

XFP

RX loss of signal

接收信号丢失

RX not ready

接收状态未就绪

RX CDR loss of lock

RX CDR时钟失锁

RX power high

接收光功率高告警

RX power low

接收光功率低告警

TX not ready

发送状态未就绪

TX fault

发送错误

TX CDR loss of lock

TX CDR时钟失锁

TX bias high

偏置电流高告警

TX bias low

偏置电流低告警

TX power high

发送光功率高告警

TX power low

发送光功率低告警

Module not ready

模块状态未就绪

APD supply fault

APDAvalanche Photo Diode,雪崩光电二极管)错误

TEC fault

TECThermoelectric Cooler,热电冷却器)错误

Wavelength unlocked

光信号波长失锁

Temp high

温度高告警

Temp low

温度低告警

Voltage high

电压高告警

Voltage low

电压低告警

Transceiver info I/O error

模块信息读写错误

Transceiver info checksum error

模块信息校验错误

Transceiver type and port configuration mismatch

模块类型和端口配置不匹配

Transceiver type not supported by port hardware

端口不支持该模块类型

 

(3)     对怀疑故障的光模块进行交叉验证,如更换端口、与正常的光模块互换,确认是光模块本身故障还是相邻设备或中间链路故障。

(4)     如果确认是光模块本身故障,请通过display transceiver diagnosis命令收集光模块当前的数字诊断信息(非H3C定制光模块可能无法查询到数字诊断信息),并发送给技术支持人员分析。

<H3C>display transceiver diagnosis interface GigabitEthernet 1/0/17

GigabitEthernet1/0/17 transceiver diagnostic information:

  Current diagnostic parameters:

    Temp.(°C) Voltage(V)  Bias(mA)  RX power(dBm)  TX power(dBm)

    54         3.35        5.39      -5.91          -5.29

  Alarm thresholds:

          Temp.(°C) Voltage(V)  Bias(mA)  RX power(dBm)  TX power(dBm)

    High  73         3.80        11.00     0.00           0.00

    Low   -3         2.81        1.00      -16.99         -12.52

<H3C>

(5)     建议使用H3C定制光模块。可以使用display transceiver manuinfo interface命令来查看光模块制造厂家信息。

<H3C>display  transceiver manuinfo interface

GigabitEthernet1/0/16 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet1/0/17 transceiver manufacture information:

The transceiver does not support this function.

GigabitEthernet1/0/18 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet1/0/19 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet1/0/20 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet1/0/21 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet1/0/22 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet1/0/23 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/16 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/17 transceiver manufacture information:

The transceiver does not support this function.

GigabitEthernet2/0/18 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/19 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/20 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/21 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/22 transceiver manufacture information:

The transceiver is absent.

GigabitEthernet2/0/23 transceiver manufacture information:

The transceiver is absent.

4.5  故障诊断命令

命令

说明

display current-configuration

显示设备当前生效的配置,指定interface可以显示指定接口当前生效的配置

display interface

查询端口的入、出方向流量统计信息、端口状态。可查看是否存在错包及错包统计信息。

display transceiver alarm

显示可插拔接口模块的当前故障告警信息

display transceiver diagnosis

显示可插拔光模块的数字诊断参数的当前测量值,包括温度、电压、偏置电流、接收光功率、发送光功率

display transceiver interface

显示指定接口可插拔接口模块的主要特征参数。检查两端光模块类型是否一致,如速率、波长、单模多模状态等

display transceiver manuinfo

显示可插拔接口模块的电子标签信息。可用来查询光模块的定制厂商。

 

5 报文转发故障处理

5.1  ping不通或丢包

5.1.1  故障描述

报文转发丢包,ping不通或ping丢包,tracert异常。

<H3C> ping 10.0.0.5

PING 10.0.0.5 (10.0.0.5): 56 data bytes, press CTRL_C to break

Request time out

Request time out

Request time out

Request time out

Request time out

 

--- 10.0.0.5 ping statistics ---

5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

5.1.2  故障处理步骤

1. 确认参与转发的出入端口是否加入到安全域和设置了安全策略

对于有M-GigabitEthernet接口的设备,M-GigabitEthernet接口默认加入到Management域,没有M-GigabitEthernet接口的设备,GigabitEthernet 1/0/0默认加入到Management域,其它端口默认没有加入到任何安全域,要确认端口是否加入到安全域。

如果端口加入到安全域中,要确认是否配置了安全策略。

缺省情况下,创建安全域后,设备上各接口的报文转发遵循以下规则:

·     一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。

·     属于同一个安全域的各接口之间的报文缺省会被丢弃。

·     安全域之间的报文由安全策略进行安全检查,并根据检查结果放行或丢弃。若安全策略不存在或不生效,则报文会被丢弃。

·     非安全域的接口之间的报文被丢弃。

·     目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。

2. 设备入出报文统计

报文转发异常通常会涉及多台设备,需要逐一排查。为方便排查,排查前建议先明确报文的转发走向,如经过哪些中间设备,在设备的哪些接口进入设备,又会从哪些接口出去。检查出入接口的报文统计。确认统计是否正确。

检查入方向报文统计计数,可以通过reset counter interface命令清除计数

3. 报文计数分析

如果设备未收到ping报文,请排查上游的相邻设备;如果设备发送的ping报文计数正确,建议排查下游的相邻设备;如果ping报文入出计数不正确,分下面几种情况进行分析:

·     有入报文统计,没有出报文统计,进行如下排查

(1)     如果链路层处理没有丢包,执行display ip statistics命令,查看IP层丢包原因

<H3C> display ip statistics

  Input:   sum            263207520        local             1772

           bad protocol   0                bad format        0

           bad checksum   0                bad options       0

  Output:  forwarding     24511617         local             476

           dropped        21949            no route          156

           compress fails 0

  Fragment:input          0                output            0

           dropped        0

           fragmented     0                couldn't fragment 0

  Reassembling:sum        0                timeouts          0

(2)     打开 debugging aspf packet acldebugging aspf event来确定aspf是否有丢包

·     无出、入报文统计

需要查看上游相邻设备出接口报文统计,分析是否上游没有把报文发送过来。

5.2  NAT转换情况下,ping丢包或不通

5.2.1  故障描述

处于不同网段的两台PCPC1PC2PC1的地址为10.1.1.1PC2的地址为220.1.1.2

中间穿越FW设备互相ping包,FW设备对PC1的地址静态NAT转换为220.1.1.1发现PC1 ping PC2 不通,查看PC2可以收到PC1ping报文,但是PC1 收不到PC2的回应报文。

5.2.2  故障处理步骤

1. 配置检查

确保PC1PC2接入的端口加入了安全域,并且配置了安全策略。可以通过命令来查看是否配置了相关的安全策略:

<H3C> display security-policy ip

Security-policy ip

 

 rule 0 name tom-tom1

  action pass

  counting enable

  source-zone tom

  destination-zone tom1

 

2. 路由表检查

FW上检查是否有到PC1的路由表项,如路由不存在,请检查路由协议配置、状态是否正确。

<H3C> display ip routing-table 10.1.1.0

3. FIB表检查

PW上检查是否有到PC1FIB表项,如路由存在、FIB表项异常,请将故障信息发送技术支持人员分析。

<H3C> display fib 10.1.1.0

4. arp表项检查

FW上查看10.1.1.1ARP表项是否存在

<H3C> display arp 10.1.1.1

5. 会话表项检查

FW上通过display session命令确认会话是否正常建立。

6. ASPF检查

安全策略默认ASPF对所有的报文进行检测。但如果在安全策略中配置了aspf apply policy命令,那么只对策略中配置的detect协议进行ASPF检测,其他协议不进行检测。如果不配置detect icmp,那么如果没有配置反向安全策路,报文就被deny了。可以在FW上使用下面命令打开debug

<H3C> debugging security-policy packet ip acl ?

  INTEGER<2000-2999>  Specify a basic ACL

  INTEGER<3000-3999>  Specify an advanced ACL

来看是否有deny信息,如果有类似下面信息:

*Jul 21 11:00:00:838 2017 F1090-IRF FILTER/7/PACKET: -Context=1; The packe

t is deny. Src-Zone=tom1, Dst-Zone=tom;If-In=, If-Out=Reth11(134); Packet Info:Src-IP=220.1.1.2, Dst-IP=10.1.1.1, VPN-Instance=,Src-Port=1024, Dst-Port=1025, Protocol= UDP(17),  ACL=none, Rule-ID=0.

说明没有正确配置aspf策略,导致被反向安全策略deny了。

5.3  设备在转发过程中,有丢包现象

5.3.1  故障描述

设备在转发报文过程中,发现存在丢包现象。

5.3.2  故障处理步骤

(1)     执行debugging security-policy packet,确认是否存在丢包

<H3C>*Jan 13 16:06:32:298 2020 8350-2 FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=Untrust, Dst-Zone=Trust;If-In=GigabitEthernet1/0/14(17), If-Out=GigabitEthernet1/0/10(13); Packet Info:Src-IP=10.1.1.3, Dst-IP=100.1.1.3, VPN-Instance=, Src-MacAddr=3897-d6a9-1e58,Src-Port=1024, Dst-Port=1024, Protocol=TCP(6), Application=general_tcp(2086),Terminal=invalid(0), SecurityPolicy=r0, Rule-ID=0.

如果存在The packet is denied字段,说明存在由于安全策略导致的丢包。

(2)     打开debugging ip packet调试命令,确认是否有丢包

该命令用来打开ip报文转发调试开关。该报文的调试信息各字段解释如下

字段

描述

Sending

发送报文的操作

Receiving

接收报文的操作

Delivering

IP层将报文送到上层

interface

接收/发送报文的接口

version

IP协议版本号

headlen

报文首部长度

tos

服务类型

pktlen

报文总长度

pktid

标识

offset

片偏移

ttl

生存时间

protocol

协议域

checksum

首部校验和

s

报文源地址

d

报文目的地址

Sending the packet from local at interface-type interface-number

从本地接口发送报文

Receiving IP packet from interface-type interface-number

从接口接收到报文

IP packet is delivering up!

将接收的报文送到上层处理

 

可以通过该信息来分析报文是否丢弃。

(3)     打开调试命令debugging ip errordebug ip info acl查看丢包的原因。

该命令用来打开IP转发错误调试信息开关。调试信息字段描述如下:

字段

描述

The number of queues of reassemble is MAX!

重组队列数目超过了总的重组队列数目

The queue of reassemble is full!

重组队列中分片数目超过了最大值

Reassemble Failed!

重组失败

Get Interface CB failed!

从接口管理获取转发控制块失败

Release MBUF! Phase Num is num, Service ID is id, Bitmap is %#lx!

业务释放报文,业务阶段、顺序号、以及当前业务掩码位

Broadcast NOT allowed to be forwarded!

不允许出接口子网广播报文转发

Error interface is assigned!

上层指定了错误的发送接口

 

通过debugging信息来判断丢包的原因。

5.4  故障诊断命令

命令

说明

display arp

显示ARP表项。检查设备ARP学习的接口是否正确

display current-configuration | include lsr-id

显示当前的MPLS LSR ID

display fib

显示FIB信息。检查设备到某一目的IP网段的FIB表项是否存在

display interface

显示指定接口的相关信息

display ip interface brief

显示三层接口的IP基本配置信息

display ip routing-table

显示路由表中当前激活路由的摘要信息。检查设备到某一目的IP网段的路由是否存在

display session

显示会话信息

display this

显示当前视图下生效的配置

interface

进入接口视图

dis nat outbound

查看nat outbound配置信息

6 IRF类故障处理

6.1  IRF无法形成

6.1.1  故障描述

IRF无法正常建立。

6.1.2  故障处理步骤

1. 确认设备型号是否一致,两台设备的型号应一致。

通过display version查看设备型号是否一致。

<H3C>display version

H3C Comware Software, Version 7.1.064, Ess 8601P08                             

Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.    

H3C SecPath F1090 uptime is 0 weeks, 0 days, 0 hours, 5 minutes                 

Last reboot reason: User reboot                                                

                                                                               

Boot image: flash:/F1090FW-CMW710-BOOT-E8601P08.bin                            

Boot image version: 7.1.064, Ess 8601P08                                       

  Compiled Sep 10 2019 15:00:00                                                

System image: flash:/F1090FW-CMW710-SYSTEM-E8601P08.bin                        

System image version: 7.1.064, Ess 8601P08                                     

  Compiled Sep 10 2019 15:00:00                                                

                                                                               

SLOT 1                                                                          

CPU type:           Multi-core CPU                                             

DDR4 SDRAM Memory:   8192M bytes                                               

FLASH:              7296M bytes                                                

CPLD_A           Version:  1.0                                                 

CPLD_B           Version:  1.0                                                 

Release          Version:SecPath F1090-8601P08                                  

Basic  BootWare  Version:0.30                                                  

Extend BootWare  Version:1.01                                                  

BuckleBoard Version:Ver.A                                                       

BackBoard1 Version:Ver.A                                                       

BackBoard2 Version:Ver.A                                                       

HD_BackBoard Version:Ver.D                                                      

Pcb Version:Ver.A                                                              

[SUBCARD 0] NSQ1F1MSPUOTXA(Hardware)Ver.A, (Driver)1.0, (Cpld)1.0              

Boot Type: Warm

[H3C]isplay  system internal  version                                          

H3C SecPath F1090 V800R006B01D645SP08                                          

Comware V700R001B64D045SP08

2. 确认成员设备数目超过IRF支持的最大成员设备数目

目前防火墙设备IRF最多支持两台设备。

3. 确认成员设备的成员编号是否不唯一。

通过display irf命查看设备成员编号MemberID,两台设备的成员编号应不同,否则通过irf member命令修改成员编号。

<H3C>display  irf                                                        

MemberID    Role    Priority  CPU-Mac         Description               

 *+1        Master  1         00ff-fbec-b003  ---                        

--------------------------------------------------                       

 * indicates the device is the master.                                   

 + indicates the device through which the user logs in.                 

                                                                         

 The bridge MAC of the IRF is: 00ff-fbec-b001                            

 Auto upgrade                : yes                                      

 Mac persistent              : 6 min                                     

Domain ID                   : 0

4. 确认是否选用了不能作为IRF物理端口的端口作为IRF物理端口。

通过查看产品规格限制,确认选用的IRF物理端口是否支持作为IRF物理端口。

5. 确认成员设备的软件版本是否一致,两台设备应使用相同的软件版本。

<H3C>display version

H3C Comware Software, Version 7.1.064, Ess 8601P08                             

Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.    

H3C SecPath F1090 uptime is 0 weeks, 0 days, 0 hours, 5 minutes                 

Last reboot reason: User reboot                                                

                                                                                

Boot image: flash:/F1090FW-CMW710-BOOT-E8601P08.bin                            

Boot image version: 7.1.064, Ess 8601P08                                       

  Compiled Sep 10 2019 15:00:00                                                 

System image: flash:/F1090FW-CMW710-SYSTEM-E8601P08.bin                        

System image version: 7.1.064, Ess 8601P08                                     

  Compiled Sep 10 2019 15:00:00                                                

                                                                               

SLOT 1                                                                         

CPU type:           Multi-core CPU                                             

DDR4 SDRAM Memory:   8192M bytes                                               

FLASH:              7296M bytes                                                

CPLD_A           Version:  1.0                                                 

CPLD_B           Version:  1.0                                                 

Release          Version:SecPath F1090-8601P08                                  

Basic  BootWare  Version:0.30                                                   

Extend BootWare  Version:1.01                                                  

BuckleBoard Version:Ver.A                                                      

BackBoard1 Version:Ver.A                                                        

BackBoard2 Version:Ver.A                                                       

HD_BackBoard Version:Ver.D                                                     

Pcb Version:Ver.A                                                               

[SUBCARD 0] NSQ1F1MSPUOTXA(Hardware)Ver.A, (Driver)1.0, (Cpld)1.0              

Boot Type: Warm

[H3C]isplay  system internal  version                                           

H3C SecPath F1090 V800R006B01D645SP08                                           

Comware V700R001B64D045SP08

6. 确认IRF物理端口是否UP

通过display interface查询IRF物理端口状态是否UP,若端口为DOWN,应先检查端口不UP的原因,请参照4.2  端口无法UP

<H3C> display interface GigabitEthernet 1/0/10

GigabitEthernet1/0/10

Current state: UP

Line protocol state: UP

Description: GigabitEthernet1/0/10 Interface

Bandwidth: 1000000kbps

Maximum Transmit Unit: 1500

Internet protocol processing: disabled

IP Packet Frame Type:PKTFMT_ETHNT_2, Hardware Address: 8042-0000-560a

IPv6 Packet Frame Type:PKTFMT_ETHNT_2, Hardware Address: 8042-0000-560a

Media type is twisted pair

Port hardware type is 1000_BASE_T

Last clearing of counters: Never

Peak value of input: 0 bytes/sec, at 2013-12-13 15:15:02

Peak value of output: 0 bytes/sec, at 2013-12-13 15:15:02

Last 300 seconds input:  0 packets/sec 0 bytes/sec

Last 300 seconds output:  0 packets/sec 0 bytes/sec

7. 确认IRF端口连接是否异常,一台设备的IRF-Port1口只能与另一台设备的IRF-Port2口连接。

<H3C> display irf configuration

6.2  IRF出现分裂

6.2.1  故障描述

IRF运行过程中出现分裂。

6.2.2  故障处理步骤

(1)     IRF分裂时会打印IRF端口down,可以确定IRF分裂的时间。

%Jun 26 10:13:46:233 2013 H3C STM/2/STM_LINK_STATUS_TIMEOUT: IRF port 1 is down because heartbeat timed out.

%Jun 26 10:13:46:436 2013 H3C STM/3/STM_LINK_STATUS_DOWN: -MDC=1; IRF port 2 is down.

(2)     检查各个IRF物理端口的状态是否正常。若端口状态不正常,请按照3 硬件类故障处理

(3)     确认故障原因。

<H3C> display interface GigabitEthernet1/0/10

GigabitEthernet1/0/10 current state: UP

Line protocol current state: UP

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0000-e80d-c000

Description: GigabitEthernet2/6/0/1 Interface

Loopback is not set

Media type is optical fiber, Port hardware type is 1000_BASE_SX_SFP

……

(4)     如果设备存在接口板,通过设备运行时间或日志检查IRF中各个成员设备及IRF物理端口所在的接口板在IRF分裂时是否重启过,确认是否为电源故障导致。

(5)     如故障确认,可以通过如更换光模块、更换IRF-Port端口的方式使设备重新形成IRF

(6)     如故障无法确认,请搜集各个成员设备的信息,并将信息发送给H3C技术支持人员协助分析。

6.3  故障诊断命令

表5     故障诊断命令

命令

说明

display device

显示设备信息用于检查各成员设备的软件版本、主控板类型是否一致

display interface

显示指定接口的相关信息用于检查IRF物理端口状态是否UP

display irf configuration

显示所有成员设备的IRF配置信息用于检查IRF端口连接是否异常,一台设备的IRF-Port1口只能与另一台设备的IRF-Port2口连接

display version

显示系统版本信息、单板的运行时间通过设备运行时间确认IRF中各个成员设备是否重启过,主控板及IRF端口所在接口板是否发生重启

 

7 双机热备故障处理

7.1  没有加入冗余组的冗余口直连无法ping

7.1.1  故障描述

未加入冗余组的冗余口具有单独的冗余功能。冗余组只在接口UP/DOWN事件到来时进行激活切换。所有业务逻辑均基于冗余口实现,成员口只负责发送和接收报文。

问题集中在报文收发环节,存在冗余口直连无法ping通的情况。

7.1.2  故障处理步骤

1. 首先判断冗余口是否有报文收发,如果有,问题可能存在转发环节,请按如下操作定位:

(1)     打开debugging ethernet packet查看冗余口是否有报文上收与发送的调试信息对冗余口1,采用如下命令:

debugging ethernet packet interface Reth 1

(2)     打开arp error debug命令查看是否存在错误信息采用如下debug命令:

debugging arp error

如果有错误信息,说明ARP学习异常。

(3)     打开 ip error 查看是否有错误信息采用如下debug命令:

debugging ip error

如果有错误信息,根据此信息来确定丢包的原因。

(4)     查看 display ethernert statistics 查看是否有错误计数随报文收发增长命令如下:

[H3C] display ethernet statistics slot 1

ETH receive packet statistics:

    Totalnum        : 1000888        ETHIINum     : 1000888

    SNAPNum         : 0              RAWNum       : 0

    LLCNum          : 0              UnknownNum   : 0

    ForwardNum      : 884856         ARP          : 0

    MPLS            : 0              ISIS         : 0

    ISIS2           : 0              IP           : 0

    IPV6            : 0

ETH receive error statistics:

    NullPoint       : 0              ErrIfindex   : 3

    ErrIfcb         : 0              IfShut       : 5

    ErrAnalyse      : 0              ErrSrcMAC    : 0

    ErrHdrLen       : 0

 

ETH send packet statistics:

    L3OutNum        : 325126         VLANOutNum   : 0

    FastOutNum      : 92115615       L2OutNum     : 0

ETH send error statistics:

    MbufRelayNum    : 0              NullMbuf     : 0

    ErrAdjFwd       : 0              ErrPrepend   : 0

    ErrHdrLen       : 0              ErrPad       : 0

    ErrQosTrs       : 0              ErrVLANTrs   : 0

    ErrEncap        : 287            ErrTagVLAN   : 0

IfShut          : 0              IfErr        : 0

通过display ethernet statistics slot 2,来查看成员设备的信息。

2. 如果冗余口没有报文信息,如下进行如下信息的确认

(1)     需要确认是否建立了冗余表项。查看命令如下:

<H3C>display reth interface Reth 1

Reth1 :

  Redundancy group  : fqs

  Member           Physical status         Forwarding status   Presence status

  GE1/1/1.500      UP                      Active              Normal

  GE2/0/1.500      UP                      Inactive            Normal

要分析Physical status状态,如果都为down,说明系统异常。分析Forwarding status状态,如果都为Inactive状态,说明成员口异常。

(2)     如果表项存在且成员状态正常,即部分报文能够上收,查看表项是否有错误。

可以通过shutdown冗余口,尝试刷新表项,看表项是否能够重新建立。如果冗余口的成员口为子接口,还需要查看表项是否带tag

(3)     如果冗余口、ARP表项正常,需要确认驱动有没有上发报文,可查看物理接口计数,看报文是否已经上收。

3. 如果上述手段均无法定位,请联系H3C技术支持人员进行分析。

报文的收发一般都是双向的过程,A-B两端报文需要互通,可以先确定是报文丢在哪一环,再针对某一环节进行定位。如A-B两端,可先ping A->B查看是否能ping通,再ping B->A查看是否能ping通。若两端都能通,则证明报文收发没问题。 某一端不能通, B->A为例,先看B是否将报文发出,定位方式按照以上步骤来,再看A是否上收,定位方式也是如此。

8 NAT类故障处理

8.1  动态NAT转换故障(以动态nat outbound为例)

8.1.1  故障描述

NAT不能正常转换或者NAT转换的报文不能正常转发。

8.1.2  故障处理步骤

1. 首先确认nat outbound的配置是否正确

[H3C] display nat outbound

NAT outbound information:

There are 1 NAT outbound rules.

Interface: Route-Aggregation12

  ACL: ---          Address group: 257    Port-preserved: N

  NO-PAT: N         Reversible: N

2. 打开debugging nat packet,确认debugging信息是否正确,应有类似如下debugging信息:

*May 13 09:58:48:083 2017 H3C NAT/7/COMMON: -slot =1;

 PACKET: (Route-Aggregation12-in) Protocol: TCP

         4.4.4.6:   21 -        4.4.5.11:11000(VPN:    0) ------>

            4.4.4.6:   21 -     192.168.1.2:13249(VPN:   0)

注: 可以看到正向的流量做了NAT转换

3. 通过display session table ipv4 verbose命令,确认会话信息是否正确。

<H3C> display session table ipv4 verbose

Initiator:

  Source      IP/port: 192.168.1.2/13790

  Destination IP/port: 4.4.4.6/21

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 4.4.4.6/21

  Destination IP/port: 4.4.4.27/1060

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: FTP

Start time: 2013-12-15 10:49:00  TTL: 3592s

Interface(in) : Route-Aggregation11

Interface(out): Route-Aggregation12

Zone(in) : Trust

Zone(out): menglei

Initiator->Responder:            3 packets        128 bytes

Responder->Initiator:            2 packets        130 bytes

4. 如果上述定位手段均不能作出结论,请联系相关技术支持人员协助分析

8.2  设备作为出口网关设备,NAT业务不通,但是接口地址可以ping

8.2.1  故障描述

FW作为出口网关设备,内网部分用户无法上网,外网用户无法访问内网服务器,但是从外网ping出接口的地址可以ping通。

8.2.2  故障处理步骤

(1)     确定NAT地址组是否和接口地址是同一个网段:

如果NAT地址组的地址和配置NAT的接口地址不在同一网段,NAT地址池的地址无法响应。如果不在同一网段,要确保对端设置了NAT地址组的路由。

(2)     如果地址组中的地址或NAT Server地址和接口在同一网段,确认地址组中的地址或者NAT Server地址是否发送了免费arp,可以通过直连对端设备进行确认。还需要确认对端学习到的arpmac地址的正确性:

设备上线时,对端设备需要更新ARP。当两端不是直连,对端设备不能感知到链路Down过,所以不能删除相关ARP表项。当设备上线后,本端接口会发送接口地址的免费ARP,对端设备收到该免费ARP后可以正常更新该ARP表项;但可能存在地址池中的地址ARP没有刷新。

(3)     在防火墙上debug或者抓包分析,是否ping报文只有发出去的而没有回来的,存在转发异常的情况。

(4)     在对端设备上持续地ping NAT地址或者NAT Server的地址,打开arpdebug开关,确认是否没有收到arp请求报文。

(5)     如果无法确认定位,请联系技术支持人员进行分析。

8.3  故障诊断命令

命令

说明

display nat outbound

显示nat outbound设置信息

display nat server

显示nat server设置信息及状态

display session

显示会话信息

save

将当前配置保存到指定文件

 

9 IPsec/IKE类故障处理

9.1  IPsec SA可以成功建立,但是IPsec保护的流量不通

9.1.1  故障描述

 

(1)     组网需求:

FW-1FW-2 两台防火墙设备之间建立IPsec隧道,对PC1PC2之间访问的流量进行IPsec保护。

(2)     配置描述:

FW-1上,IKElocal-address为:81.2.0.1 remote-address为:14.5.1.1

安全ACL规则为:

rule 0 permit ip source 81.2.0.0 0.0.0.255 destination 82.2.0.0 0.0.0.255

FW-2上,IKElocal-address为:14.5.1.1 remote-address为:81.2.0.1

安全ACL规则为:

rule 0 permit ip source 82.2.0.0 0.0.0.255 destination 81.2.0.0 0.0.0.255

(3)     故障描述:IKE SAIPsec SA都可以建立,但是PC1 PC 2互相ping,均不能ping通。

9.1.2  故障处理步骤

(1)     首先查看保护的ACL是否有匹配次数统计来检查ACL是否匹配,和用户要保护的流量是否一致。

(2)     如果保护的ACL有匹配次数,且ACL和用户要保护的流量一致,再检查FW上的安全策略,确认安全策略是否允许IPsec封装后的ESPAH报文通过。

(3)     如果上述都没有发现问题,可以使用命令reset ipsec sareset ike sa清除IPsec SAIKE SA;重新建立SA,看是否正常。如果无法解决问题,请联系技术支持人员。

9.2  故障诊断命令

命令

说明

display ike sa

显示IKE SA的信息

display ipsec sa

显示IPsec SA的信息

reset  ike sa

清除IKE SA

reset  ipsec sa

清除IPsec SA

save

将当前配置保存到指定文件

 

10 负载均衡故障处理

10.1  CPU/内存较高时对负载均衡的影响

10.1.1  故障描述

CPU高,内存高,负载均衡功能影响:虚服务有丢包、NQA探测失败或者震荡、新请求失败、并发性能无法提升。

10.1.2  故障处理步骤

(1)     查看实服务的状态,CPU高可能导致NQA探测失败或者震荡,此时虚服务器会有丢包。

(2)     内存高会导致并发上不去,新请求会失败。

10.2  故障诊断命令

命令

说明

display virtual-server statistics

显示虚服务的统计信息

display real-server statistics

显示实服务器的统计信息

debugging lb all

开启LB的所有调试信息

debugging lb error

开启LB的错误调试信息

debugging lb event

开启LB的事件调试信息

debugging lb fsm

开启LB的状态机调试信息

debugging lb packet

开启LB的报文调试信息

 

10.3  负载分担不均匀时如何排查优化

10.3.1  故障描述

发现负载均衡分担不均匀时,如何排查并进行优化。

10.3.2  故障处理步骤

(1)     可以查看各个实服务器的统计信息是否均匀。如果想让各个服务器均匀的分担一般用轮转的调度算法,将客户端请求均匀分担到多个实服务器。

(2)     LB插卡是多核CPU系统,每个核单独按照自己的表项进行轮转,所以全局来看,有可能出现每个实服务分到的连接数不均衡的问题。请考虑修改调度算法为最小连接或者随机等观察一下。

(3)     源地址HASH算法流量不均匀,请确认源地址个数是否足够。

(4)     通过配置负载均衡策略,进行更精细的分类,将请求进行分类送给哪些服务器,尽量满足用户实际需求:对于特殊业务,服务器的状态,需要依据实际环境进行调整。

10.4  故障诊断命令

配置

命令

显示实服务器的统计信息

display real-server statistics [ name real-server-name ]

显示虚服务器的统计信息

display virtual-server statistics [ name virtual-server-name ]

清除实服务器的统计信息

reset real-server statistics [ real-server-name ]

清除虚服务器的统计信息

reset virtual-server statistics [ virtual-server-name ]

 

11 系统管理维护类故障处理

11.1  CPU占用

11.1.1  故障描述

设备CPU占用率持续在60%以上,下发命令时设备反应很慢。

<H3C> display cpu-usage

Slot 1 CPU 0 CPU usage:

      13% in last 5 seconds

      13% in last 1 minute

      13% in last 5 minutes

通过display cpu-usage history可以查看单板最近60分钟的CPU占用情况。

<H3C> display cpu-usage history

100%|

 95%|

 90%|

 85%|

 80%|

 75%|

 70%|

 65%|

 60%|

 55%|

 50%|

 45%|

 40%|

 35%|

 30%|

 25%|

 20%|

 15%|

 10%|

  5%|    #

     ------------------------------------------------------------

              10        20        30        40        50        60  (minutes)

                   cpu-usage (CPU 0) last 60 minutes (SYSTEM)

11.1.2  故障处理步骤

CPU占用率高的原因通常有:

·     路由震荡

·     配置过多的路由策略

·     报文攻击

·     链路环路

·     报文没有走快转

·     接口没有加入安全域或者没有安全策略,大量报文在设备上丢弃

·     打开了Debugging调试开关

·     对象策略/ACL未开加速

·     对象组地址中存在排除地址或者非连续掩码

·     静态Nat444端口块资源不足

·     大量广播/组播报文上送

·     突发流量导致CPU

1. 路由策略排查

通过display route-policy命令可以查看设备配置的路由策略请检查配置的路由策略是否过多导致CPU处理的负担增加。

<H3C> display route-policy

Route-policy: policy1

  permit : 1

          if-match cost 10

          continue: next node 11

          apply comm-list a delete

2. 链路环路排查

链路成环时,网络震荡,大量的协议报文上送CPU处理也可能导致CPU占用率升高。存在环路时流量成环,可能会出现广播,设备很多端口的流量会变得很大,端口使用率达到90%以上:

<H3C> display interface GigabitEthernet1/0/2

GigabitEthernet1/0/2 current state: UP

Line protocol current state: UP

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0000-e80d-c000

Description: GigabitEthernet2/6/0/1 Interface

Loopback is not set

Media type is optical fiber, Port hardware type is 1000_BASE_SX_SFP

1000Mbps-speed mode, full-duplex mode

……

Last clearing of counters: Never

 Peak value of input: 123241940 bytes/sec, at 2013-06-27 14:33:15

 Peak value of output: 80 bytes/sec, at 2013-06-27 14:13:00

 Last 300 second input:  26560 packets/sec 123241940 bytes/sec 99%

 Last 300 second output:  0 packets/sec 80 bytes/sec 0%

……

如链路出现环路:

·     排查链路连接、端口配置是否正确

·     设备对接的交换机是否使能STP协议,配置是否正确

·     设备路由是否设置正确,是否存在路由环路。

3. 报文是否走快转排查

可以通过display ip fast-forwarding cache命令来确定报文是否走快转,如果cache表项中不存在该报文相关的表项,说明报文没有走快转。

<H3C> display ip fast-forwarding cache

Total number of fast-forwarding entries: 78

SIP             SPort DIP             DPort Pro Input_If    Output_If   Flg

40.1.20.2       65535 30.1.2.2        1024  6   Reth4       Reth3       1

192.168.96.40   53342 192.168.205.33  23    6   GE1/0/0     N/A         1

30.1.2.2        1024  40.1.20.2       65535 6   Reth3       Reth4       1

192.168.205.33  23    192.168.96.52   60824 6   InLoop0     GE1/0/0     1

120.0.0.1       1701  120.0.0.2       1701  17  InLoop0     GE1/0/2.120 1

40.1.20.2       65529 30.1.2.2        1024  6   Reth4       Reth3       1

130.2.1.115     1701  130.2.1.1       1701  17  Reth4       N/A         1

30.1.2.2        1024  40.1.20.2       65533 6   Reth3       Reth4       1

40.1.20.2       65526 30.1.2.2        1024  6   Reth4       Reth3       1

50.1.1.2        1024  60.1.1.2        1024  6   Reth1       Tun1        1

192.168.205.33  37932 192.168.100.53  0     1   InLoop0     GE1/0/0     1

30.1.2.2        1024  40.1.20.2       65529 6   Reth3       Reth4       1

30.1.2.2        1024  40.1.20.2       65527 6   Reth3       Reth4       1

60.1.1.2        1024  50.1.1.2        1024  6   Tun1        Reth1       1

40.1.20.2       65532 30.1.2.2        1024  6   Reth4       Reth3       1

可以根据某一个地址进行确认以该地址为源或目的IP报文是否走快转,命令如下:

<H3C> display ip fast-forwarding cache 12.1.1.1

Total number of fast-forwarding entries: 2

SIP             SPort DIP             DPort Pro Input_If    Output_If   Flg

12.1.1.2        49216 12.1.1.1        3784  17  InLoop0     N/A         1

12.1.1.1        3784  12.1.1.2        49216 17  RAGG5.3101  InLoop0     1

如果仍然无法排除故障,请将display cpu-usage命令显示信息及搜集的其他信息反馈给技术支持人员分析。

4. 对象策略/ACL未开加速

#

object-policy ip EXTERNAL-Local

 rule 0 pass vrf external_vpn

rule 1 pass vrf 7tgaklptgb9o19babgnm3kbst8

accelerate

#

如果对象策略或者ACL中存在50条以上的rule规则,但是未开启加速,会导致设备CPU高的现象,可以用命令display object-policy accelerate summary ip display acl accelerate summary 查看当前哪些对象策略和ACL已开启加速。

5. 对象组地址中存在排除地址或者非连续掩码

如果对象组地址中配置了exclude、或者不连续掩码wildcard,会存在加速失败导致设备CPU高的现象,需要删除相关的配置。

6. 静态Nat444端口块资源不足

如果客户网络中配置了静态Nat444,当网络中存在突发流量(报文源端口大量跳变,源目的IP和目的端口号均不变)时会导致Nat444端口资源耗尽。

probe视图查看 display system internal nat statistics chassis X slot X cpu 1 | in failed ,看是否有类似 NAT444 failed to translate port 计数的大量增长

如果存在上述错误计数大量增长的话,用命令 display nat port-block static c 1 s X c 1 查看是哪个地址映射占用了大量端口资源,检查该地址所在的NAT地址组配置,看当前占用的端口资源是否达到了端口资源的上限。

如果确认是端口资源达到上限的话,需要整改现场配置扩大端口块资源。

7. 大量广播/组播报文上送

检查设备物理口是否有大量广播/组播报文进入设备。相关命令如下:

display counters rate inbound interface

在上述命令回显中查看是否有 broadcasts multicasts报文计数的大量增长。

如果确认有大量广播/组播报文进入防火墙设备,需要对该报文进行qos限速,并排查该广播/组播报文的来源。

8. 突发流量导致CPU

如果上送的报文在安全策略中未放通,也会造成设备CPU高的现象。查看设备的aspf packet-drop丢包统计,看是否有大量丢包记录。相关命令如下:

[H3C-probe]display system internal aspf statistics zone-pair ipv4 chassis X slot X cpu 1

[H3C-probe]display system internal ip packet-drop statistics chassis X slot X cpu 1

此时可以通过下面的命令确定报文特征:

debug ip packet

debug ip info

debug aspf packet

确认报文特征后,根据需要对报文进行安全策略放行、配置攻击防范策略、QOS限速等处理。

11.2  内存占用率

11.2.1  故障描述

多次查看单板内存占用率,发现内存占用率持续偏高,始终处于70%以上(FreeRatio低于30%)。Total表示总的内存,Used表示当前使用的内存,FreeRatio表示未使用的内存占用率。

查看内存命令如下:

<H3C> display memory slot 2

The statistics about memory is measured in KB:

Slot 2:

             Total      Used      Free    Shared   Buffers    Cached   FreeRatio

Mem:      16375408   2514664  13860744         0      1396    177968       84.6%

-/+ Buffers/Cache:   2335300  14040108

Swap:           0         0         0

11.2.2  故障处理步骤

这类问题通常为软件问题引起,如内存泄露,也可能是由于会话数目、路由数目过多导致。请按照下面步骤进一步搜集信息发送给技术支持人员分析。

1. 查询单板各进程的内存使用信息

通过display process memory命令多次查询单板各进程的内存使用信息。Dynamic类型的内存为设备动态申请的,在内存出现泄露时会持续增加,通过前后比较观察可以确认哪个进程的内存占用持续增加。如果持续增加,说明该进程可能发生了泄露,请记录下进程的JID。下面以查询JID18919diagd进程为例说明。

<H3C> display process memory slot 2

   JID       Text      Data      Stack    Dynamic    Name

     1        132       700         32        156    scmd

     2          0         0          0          0    [kthreadd]

     3          0         0          0          0    [migration/0]

     4          0         0          0          0    [ksoftirqd/0]

     5          0         0          0          0    [watchdog/0]

     6          0         0          0          0    [migration/1]

     7          0         0          0          0    [ksoftirqd/1]

     8          0         0          0          0    [watchdog/1]

     9          0         0          0          0    [migration/2]

    10          0         0          0          0    [ksoftirqd/2]

    11          0         0          0          0    [watchdog/2]

    12          0         0          0          0    [migration/3]

    13          0         0          0          0    [ksoftirqd/3]

    14          0         0          0          0    [watchdog/3]

    15          0         0          0          0    [migration/4]

    16          0         0          0          0    [ksoftirqd/4]

    17          0         0          0          0    [watchdog/4]

……

    18919        128     76416         64       2240    diagd

……

2. 确认哪种字节大小的内存块发生泄露

再进一步确认JID18919diagd进程的哪种字节大小的内存块发生泄露。如下命令所示,Size表示内存块的字节大小,Total表示总的申请个数,Used表示使用数目,Free表示未使用的数目,Free Ratio表示未使用的内存块百分比。通过多次查询并比较查询值可以看出哪个Size的内存块Used个数持续增加。查询完毕后,请将搜集到的信息发送给技术支持人员分析。

Heap usage:

Size      Free      Used      Total      Free Ratio    

32        541       39        580        93.3%

48        6         43        49         12.2%

64        534       32499     33033      1.6%

80        538       47        585        92.0%

112       0         534       534        0.0%

128       0         4         4          0.0%

160       0         4         4          0.0%

176       0         4         4          0.0%

256       0         2         2          0.0%

288       0         1         1          0.0%

304       0         1         1          0.0%

336       0         1         1          0.0%

688       0         4         4          0.0%

1184      0         2         2          0.0%

1456      0         2         2          0.0%

1984      0         1         1          0.0%

2032      0         2         2          0.0%

4144      0         1         1          0.0%

13792     1         0         1          100.0%

Large Memory Usage:

Used Blocks          :  0

Used Memory(in bytes):  0

Free Blocks          :  3

Free Memory(in bytes):  211200

Summary:

Total virtual memory heap space(in bytes)  :  2490368

Total physical memory heap space(in bytes) :  2293760

Total allocated memory(in bytes)           :  2170560

11.3  故障诊断命令

命令

说明

display cpu-usage

显示CPU利用率的统计信息。用于查询CPU占用率高的任务

display cpu-usage history

以图形方式显示CPU利用率统计历史信息

display interface

显示指定接口的信息。检查接口的流量是否正常

display memory

显示单板内存占用率

display process memory

显示单板各进程的内存使用信息。通过多次查询,发现可能存在内存泄露的进程

display process memory heap

显示Dynamic类型内存的详细信息,确认哪种字节大小的内存块发生了泄露

display system internal kernel memory pool

查看内核内存分配情况

 

12 SSL VPN 类故障处理

12.1  SSL VPN登录,无法打开SSL VPN页面

12.1.1  故障描述

客户端可以pingSSL VPN网关,但是无法打开SSL VPN页面。

12.1.2  故障处理步骤

(1)     首先查看SSL服务器端策略视图下是否未引用PKI域,通过以下命令查看,SSL服务器端策略下需要引用PKI域。

[H3C] ssl server-policy XXX

[H3C-ssl-server-policy-XXX] display this

#

ssl server-policy XXX

 pki-domain XXX

#

return

如果pki-domain 命令不存在,需要添加。

(2)     查看是否在SSL服务器策略引用的PKI域下导入了CA证书,LOCAL证书。并且保证LOCAL证书是CA服务器颁发给服务器的证书,而不是客户端证书,通过以下命令查看。

display pki certificate domain XXXX  ca

display pki certificate domain XXXX  local

(3)     如果上述都没有发现问题,可能是在SSL VPN gateway service enable之后,再进行了导入证书的操作,只要导入了证书或者SSL 策略进行了配置变化,就必须在SSL VPN gateway XXX里面进行undo service enable,然后再service enable一下便可,证书和配置才能生效。如果无法解决问题,请联系技术支持人员。

12.1.3  故障诊断命令

表12-1 故障诊断命令

命令

说明

ssl server-policy policy-name

创建SSL服务器端策略,并进入SSL服务器端策略视图

pki-domain domain-name

配置SSL服务器端策略所使用的PKI

display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }

显示证书内容

sslvpn gateway gateway-name

创建SSL VPN网关,并进入SSL VPN网关视图

service enable

开启当前的SSL VPN网关

 

12.2  TCP客户端控件无法安装

12.2.1  故障描述

SSL VPN的客户端PC上,无法成功安装TCP客户端控件。

12.2.2  故障处理步骤

(1)     确认PC客户端JAVA是否版本过低,首先在cmd下输入java –version,查看java版本,版本要高于1.6.0.30,如果版本低于1.6.0.30,请升级java版本。

(2)     确认SSL VPN Context下是否配置TCP资源,策略组中是否引用TCP资源 首先通过命令sslvpn context XXX进入SSL VPN Context视图,查看是否配置策略组,然后查看策略组下是否引用TCP资源

(3)     确认用户是否授权SSL VPN策略组:通过display sslvpn session user XXX查看该登录用户是否有授权的策略组,如果没有,需要用户授权SSL VPN策略组。如果无法解决问题,请联系技术支持人员。

12.2.3  故障诊断命令

表12-2 故障诊断命令

命令

说明

java –version

在个人计算机上面cmd命令行下执行

sslvpn context context-name

创建SSL VPN访问实例,并进入SSL VPN访问实例视图

policy-group group-name

创建策略组,并进入SSL VPN策略组视图

display sslvpn session [ context context-name ] [ user user-name ]

显示SSL VPN会话信息

 

13 DPI故障处理

13.1  正常业务流量被IPS误报攻击拦截

13.1.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启IPS业务。保护内外网用户免遭受攻击。

配置描述

安全策略中开启IPS检测。

 

#

app-profile 0_IPv4

 ips apply policy default mode protect

#

  security-policy ip

 rule 0 name ips

  action pass

  profile 0_IPv4

#

 

故障描述

内网用户发起的正常业务流量访问不成功,设备上报IPS攻击日志。

13.1.2  故障处理步骤

(1)     首先观察设备上报的IPS攻击日志,源目的IP端口是否为客户端、服务器的IP端口,如果是则记录IPS日志中对应的AttackID

(2)     创建IPS策略,将报攻击的IPS特征关闭或者将动作设置为permitlog,并在安全策略中引用。

(3)     抓取客户端访问业务的报文并反馈给研发进行分析,确认是否为误报,如果为误报则修改对应特征,如果非误报则对用户进行解释并在配置中对该条特征进行放行。

13.1.3  故障诊断命令

命令

说明

ips policy policy-name

缺省情况下,存在一个缺省IPS策略,名称为default,且不能被修改和删除

signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }

缺省情况下,预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。

缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改

 

13.2  攻击流量不能被阻断,设备不报攻击日志

13.2.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启IPS业务。保护内外网用户免遭受攻击。

配置描述

安全策略中开启IPS检测。

 

#

app-profile 0_IPv4

 ips apply policy default mode protect

#

  security-policy ip

 rule 0 name ips

  action pass

  profile 0_IPv4

#

 

故障描述

攻击者从Internet向局域网发起典型攻击,如跨站脚本攻击,暴力破解攻击等,攻击报文成功通过IPS设备到达靶机服务器,成功破解靶机服务器密码,IPS设备上无日志输出。

13.2.2  故障处理步骤

(1)     检查设备是否安装了License

(2)     查看设备当前的DPI状态,设备运行状态为normal

[H3C]display inspect status

Chassis 0 Slot 1:

Running status: normal

(3)     查看特征库版本是否为发布的最新版本,如果版本较老,请进行特征库升级。

<H3C>display  ips signature  library

IPS signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.81             Thu Oct 31 08:35:05 2019  4639264

Last      1.0.80             Sat Oct 12 07:58:23 2019  4565664

Factory   1.0.0              Fri Dec 28 06:27:33 2018  76496

(4)     查看IPS规则是否下发引擎,如果没有下发IPS规则,需要在系统视图下执行inspect active或通过Web激活引擎,重新下发规则。

[H3C-probe]display  system  internal  inspect  dim-rule

Slot 1:

MdcID       MoudleName  Total MD5 rules

0           Anti-Virus  0

 

MdcID       RuleID      ModuleName          L4ProName           uiAppIdL5

 

0           1                            IPS                 TCP              HTTP

 

0           2147483649       FFILTER                         TCP

 

0           2                             IPS                TCP               HTTP

 

0           2147483650       FFILTER                         TCP

 

0           2147483651        FFILTER                        TCP

 

0           4                              IPS               TCP              HTTP

 

0           2147483652        FFILTER             TCP

 

0           5                              IPS                 TCP            HTTP

 

(5)     查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用IPS策略。

[H3C]display session table ipv4 source-ip 1.1.1.101 verbose

Slot 1:

Initiator:

  Source      IP/port: 1.1.1.101/34679

  Destination IP/port: 2.2.2.12/5190

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Trust

Responder:

  Source      IP/port: 2.2.2.12/5190

  Destination IP/port: 1.1.1.101/34679

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/11

  Source security zone: Untrust

State: TCP_ESTABLISHED

Application: AOL

Start time: 2016-01-21 16:13:16  TTL: 1194s

Initiator->Responder:            3 packets        930 bytes

Responder->Initiator:            1 packets         92 bytes

 

Total sessions found: 1

查看rule hit情况。

[H3C-probe]display  system  internal inspect  hit-statistics

Slot 1:

Rule ID     Module      Rule hits  AC hits    PCRE try   PCRE hits

5041        APR         0          3          0          0

5126        APR         0          9          0          0

5127        APR         0          9          0          0

8584        IPS         1          2          0          0

9410        APR         0          1          0          0

21768       IPS         0          2          0          0

21852       IPS         1          2          0          0

22114       IPS         0          2          0          0

22406       IPS         1          1          0          0

23089       IPS         2          2          4          2

23213       IPS         0          4          2          2

23271       IPS         0          2          1          0

23341       IPS         1          2          1          1

23722       IPS         2          8          2          2

23804       IPS         0          1          0          0

如果有rule hits统计,查看该规则是状态是否使能,如果未使能,手工将该条规则使能并设置动作(只有自定义的IPS策略能修改规则状态)。

[H3C]display  ips signature pre-defined 8

 Type        : Pre-defined

 Signature ID: 8

 Status      : Disable

 Action      : Permit & Logging

 Name        : (MS11-015)DVR-MS_Vulnerability

 Protocol    : TCP

 Severity    : Critical

 Fidelity    : Medium

 Direction   : To-client

 Category    : Vulnerability

 Reference   : CVE-2011-0042;MS11-015;

 Description : A remote code execution vulnerability exists in the way that Wind

ows Media Player and Windows Media Center handle .dvr-ms files. This vulnerabili

ty could allow an attacker to execute arbitrary code if the attacker convinces a

 user to open a specially crafted .dvr-ms file.

创建自定义IPS策略并在安全策略引用,在自定义IPS策略中手工将该条规则使能。

[H3C-ips-policy-ips]signature override pre-defined 8 enable reset logging

(6)     前面都检查没有问题后设备还是不能识别,有可能构造的攻击不对或特征库不支持该攻击,此时需要协助抓取对应的攻击交互报文反馈报文给研发进行分析。

13.2.3  故障诊断命令

命令

说明

ips policy policy-name

缺省情况下,存在一个缺省IPS策略,名称为default,且不能被修改和删除

signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }

缺省情况下,预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。

缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改

inspect activate

缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效

display system internal inspect hit-statistics [ module-id ] [ rule-id ] [ slot slot-number [ cpu cpu-number ] ]

显示应用层检测规则命中的统计信息

display inspect status

显示应用层检测引擎的运行状态

 

13.3  特定应用限速不生效

13.3.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,设备开启AVC功能,限制迅雷下载速度。

配置描述

创建AVC策略,对迅雷下载进行限速。

traffic-policy

 rule 1 name Thunder

  action qos profile Thunder_20M

  source-zone Trust

  destination-zone Untrust

  application app-group 1

 profile name thunder_20m

  bandwidth downstream maximum 20000

  bandwidth upstream maximum

 

故障描述

迅雷下载速度不受带宽管理限制。

13.3.2  故障处理步骤

(1)     查看APR版本信息,是否为最新版本,如果版本较老,请从官网上获取最新版本进行升级。

(2)     查看设备引擎状态,是否bypass,如果进行了手工bypasscpumemory自动bypass,可以通过undo inspect bypss命令重新激活引擎

(3)     查看规则状态是否为使能状态,对应流量是否优先走了其他规则。

[H3C]display traffic-policy statistics bandwidth total per-rule

Slot 1 :

Codes: PP(Passed Packets), PB(Passed Bytes), DP(Dropped Packets), DB(Dropped Byt

es), PR(Passed Rate:kbps), DR(Dropped Rate:kbps), FPP(Final Passed Packets), FPB

(Final Passed Bytes),FPR(Final Passed Rate:kbps)

--------------------------------------------------------------------------------

-------------------------------------------------

 Rule name  State    Profile name PP         PB         DP         DB         PR

         DR         FPP        FPB        FPR

--------------------------------------------------------------------------------

-------------------------------------------------

 Thunder    Enabled  Thunder_20M  0          0          0          0          0.

0        0.0        0          0          0.0

--------------------------------------------------------------------------------

-------------------------------------------------

--------------------------------------------------------------------------------

------------------------------------------

如果流量优先走了其他规则,可以移动迅雷限速规则,将迅雷优先级提前。

[H3C-traffic-policy]rule move Thunder before b

(4)     查看会话信息中的Application信息,将对应的Application加入到自定义应用组中,并配置对应的应用组限速

(5)     如果会话的Application大多数为GENERAL_TCPGENERAL_UDP,有可能是迅雷出现了新的特征,这个时候需要一线协助帮忙转包反馈给研发进行分析

<H3C>display session table ipv4 verbose

Slot 1:

Initiator:

  Source      IP/port: 1.1.1.195/51353

  Destination IP/port: 2.2.2.51/59287

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Trust

Responder:

  Source      IP/port: 2.2.2.51/59287

  Destination IP/port: 1.1.1.195/51353

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/11

  Source security zone: Untrust

State: TCP_SYN_RECV

Application: GENERAL_TCP

Start time: 2016-01-21 17:51:44  TTL: 951s

Initiator->Responder:            1 packets         56 bytes

Responder->Initiator:            1 packets         56 bytes

13.3.3  故障诊断命令

命令

说明

traffic-policy

进入带宽策略视图

rule move rule-name1 { after | before } rule-name2

移动带宽策略规则的排列顺序

display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name }

显示带宽策略规则下流量速率的统计信息(分布式设备-独立运行模式/集中式IRF设备)

 

13.4  正常业务流量被AV误报攻击拦截

13.4.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启AV业务。保护内外网用户免遭受攻击。

配置描述

安全策略中开启AV检测。

 

#

app-profile 0_IPv4

anti-virus  apply policy default mode protect

#

  security-policy ip

 rule 0 name ips

  action pass

  profile 0_IPv4

#

 

故障描述

内网用户发起的正常业务流量访问不成功,设备上报AV攻击日志。

13.4.2  故障处理步骤

(1)     首先观察设备上报的AV攻击日志,源目的IP端口是否为客户端、服务器的IP端口,如果是则记录AV日志中对应的AttackID

(2)     创建AV策略,将报攻击的AV特征设置为例外或者将动作设置为permitlog,并在安全策略中引用。

(3)     抓取客户端访问业务的报文并反馈给研发进行分析,确认是否为误报,如果为误报则修改对应特征,如果非误报则对用户进行解释并在配置中对该条特征进行放行。

13.4.3  故障诊断命令

命令

说明

anti-virus policy policy-name

缺省情况下,存在一个缺省IPS策略,名称为default,且不能被修改和删除

exception signature signature-id

命令用来配置病毒例外

 

13.5  符合文件过滤的文件类型没有丢弃,且没有产生日志

13.5.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启文件过滤业务。保护内外网用户文件传输信息安全。

配置描述

安全策略中开启文件过滤检测。

 #

file-filter policy ffilter

 rule ffilter

  filetype-group ffilter

  application all

  direction both

  action drop logging

#

file-filter filetype-group ffilter

 pattern 0 text pe

 pattern 1 text elf

 pattern 10 text vsdx

 pattern 11 text msg

 pattern 12 text pub

 pattern 13 text zip

 pattern 14 text rar

 pattern 15 text tar.gz

 pattern 16 text tgz

 pattern 2 text doc

 pattern 3 text pdf

 pattern 4 text xls

 pattern 5 text ppt

 pattern 6 text docx

 pattern 7 text xlsx

 pattern 8 text pptx

 pattern 9 text vsd

#

app-profile 0_IPv4

 file-filter apply policy ffilter

#

security-policy ip

 rule 0 name ffilter

  action pass

  profile 0_IPv4

#

故障描述

使用者从局域网向Internet上传机密文件,例如.docx文件和.xls文件等,文件成功上传,且设备无日志。

13.5.2  故障处理步骤

(1)     查看设备当前的DPI状态,设备运行状态为normal

[H3C]display inspect status

Chassis 0 Slot 1:

Running status: normal

(2)     查看传输的文件类型是否被引用的文件类型组所包含。

(3)     通过抓包查看传输的协议是否为支持的协议类型,目前,文件过滤功能支持对基于HTTPFTPSMTPIMAPNFSPOP3RTMPSMB协议传输的文件进行检测和过滤。

(4)     查看文件过滤规则是否下发引擎,如果没有下发文件过滤规则,ruleid10位数的为预定义文件过滤规则,需要在系统视图下执行inspect active或通过Web激活引擎,重新下发规则。

[H3C-probe]display  system  internal  inspect dim-rule | include FFILTER

 

 23          FFILTER             TCP                 HTTP

 

0           2147483671  FFILTER             TCP

 

1           24          FFILTER             TCP                 FTP

 

0           2147483672  FFILTER             TCP

 

1           25          FFILTER             TCP                 SMTP

 

0           2147483673  FFILTER             TCP

 

1           26          FFILTER             TCP                 IMAP

 

0           2147483674  FFILTER             TCP

 

1           27          FFILTER             TCP                 POP3

 

0           2147483675  FFILTER             TCP

 

1           28          FFILTER             TCP                 NFS

 

0           2147483676  FFILTER             TCP

 

1           29          FFILTER             TCP                 MICROSOFT-DS

 

1           30          FFILTER             TCP                 RTMP

(5)     查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用文件过滤策略。

[H3C-probe]display  session table ipv4 source-ip 7.0.1.2 verbose

Slot 2:

Initiator:

  Source      IP/port: 7.0.1.2/50779

  Destination IP/port: 7.0.0.2/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 7.0.0.2/80

  Destination IP/port: 7.0.1.2/50779

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/3

  Source security zone: Untrust

State: TCP_ESTABLISHED

Application: HTTP

Rule ID: 0

Rule name: ips

Start time: 2019-11-15 11:31:01  TTL: 1197s

Initiator->Responder:            7 packets       1073 bytes

Responder->Initiator:            7 packets       2413 bytes

 

Total sessions found: 1

(6)     查看rule hit情况

[H3C-probe]display system  internal  inspect hit-statistics

Slot 2:

Rule ID     Module      Rule hits  AC hits    PCRE try   PCRE hits

2147483650  FFILTER     2          2          0          0

2147483657  FFILTER     1          1          0          0

2147483669  FFILTER     2          2          0          0

2147483670  FFILTER     0          2          0          0

23          FFILTER     2          4          4          2

2147483671  FFILTER     0          2          0          0

24          FFILTER     0          4          0          0

2147483672  FFILTER     2          2          0          0

25          FFILTER     0          4          0          0

26          FFILTER     0          4          0          0

27          FFILTER     0          4          0          0

27          APR         0          8          0          0

28          FFILTER     0          4          0          0

29          FFILTER     0          4          0          0

30          FFILTER     0          4          0          0

2147483679  FFILTER     1          1          0          0

2147483683  FFILTER     0          2          0          0

1861        APR         0          2          0          0

1869        APR         0          20         0          0

2666        APR         0          2          0          0

2668        APR         0          4          8          4

2676        APR         0          4          0          0

3432        APR         2          2          0          0

如果只有预定义FFILTER rule hits统计,则需要检查传输的文件的真实文件类型与扩展名是否一致,可以通过如下配置后,观察是否可以拦截,和产生日志。

[H3C]file-filter false-extension action drop

(7)     前面都检查没有问题后设备还是不能识别,有可能此时传输的文件编码方式设备暂不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。

13.5.3  故障诊断命令

命令

说明

file-filter policy policy-name

缺省情况下,存在一个缺省文件过滤策略,名称为default,且不能被修改和删除

filetype-group group-name

文件过滤规则中引用缺省文件类型组。名称为default,且不能被修改和删除

inspect activate

缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效

display system internal inspect hit-statistics [ module-id ] [ rule-id ] [ slot slot-number [ cpu cpu-number ] ]

显示应用层检测规则命中的统计信息

display inspect status

显示应用层检测引擎的运行状态

file-filter false-extension action { drop | permit }

配置文件的真实类型与扩展名不一致时执行的动作

 

13.6  符合数据过滤的报文没有丢弃,且没有产生日志

13.6.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启数据过滤业务。保护内外网用户数据传输信息安全。

配置描述

安全策略中开启数据过滤检测。

#

data-filter keyword-group dfilter

 pre-defined-pattern name bank-card-number

 pre-defined-pattern name credit-card-number

 pre-defined-pattern name id-card-number

 pre-defined-pattern name phone-number

#

data-filter policy dfilter

 rule dfilter

  keyword-group dfilter

  application all

  direction both

  action drop logging

#

app-profile 0_IPv4

 data-filter apply policy dfilter

#

security-policy ip

 rule 0 name dfilter

  action pass

  profile 0_IPv4

#

故障描述

使用者从局域网向Internet上传含有敏感信息的数据, 例如含有银行卡号和身份证号等数据,数据成功上传,且设备无日志。

13.6.2  故障处理步骤

(1)     查看设备当前的DPI状态,设备运行状态为normal

[H3C]display inspect status

Chassis 0 Slot 1:

Running status: normal

(2)     通过抓包查看传输的协议是否为支持的协议类型,目前,数据过滤功能支持对基于HTTPFTPSMTPIMAPNFSPOP3RTMPSMB协议传输的数据进行检测和过滤。

(3)     查看数据过滤规则是否下发引擎,如果没有下发数据过滤规则,需要在系统视图下执行inspect active或通过Web激活引擎,重新下发规则。

[H3C-probe]display  system  internal  inspect  dim-rule | include DFILTER

1           24          DFILTER             TCP                 HTTP

 

1           25          DFILTER             TCP                 FTP-DATA

 

1           26          DFILTER             TCP                 SMTP

 

1           27          DFILTER             TCP                 IMAP

 

1           28          DFILTER             TCP                 POP3

 

1           29          DFILTER             TCP                 NFS

 

1           30          DFILTER             TCP                 MICROSOFT-DS

 

1           31          DFILTER             TCP                 RTMP

 

1           24          DFILTER             TCP                 HTTP

 

1           25          DFILTER             TCP                 FTP-DATA

 

1           26          DFILTER             TCP                 SMTP

 

1           27          DFILTER             TCP                 IMAP

 

1           28          DFILTER             TCP                 POP3

 

1           29          DFILTER             TCP                 NFS

 

1           30          DFILTER             TCP                 MICROSOFT-DS

 

1           31          DFILTER             TCP                 RTMP

(4)     查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用数据过滤策略。

[H3C-probe]display  session table ipv4 source-ip 7.0.1.2 verbose

Slot 2:

Initiator:

  Source      IP/port: 7.0.1.2/50779

  Destination IP/port: 7.0.0.2/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 7.0.0.2/80

  Destination IP/port: 7.0.1.2/50779

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/3

  Source security zone: Untrust

State: TCP_ESTABLISHED

Application: HTTP

Rule ID: 0

Rule name: ips

Start time: 2019-11-15 11:31:01  TTL: 1197s

Initiator->Responder:            7 packets       1073 bytes

Responder->Initiator:            7 packets       2413 bytes

 

Total sessions found: 1

(5)     前面都检查没有问题后设备还是不能拦截,有可能此时传输的编码方式设备暂不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。

13.6.3  故障诊断命令

命令

说明

data-filter apply policy policy-name

缺省情况下,存在一个缺省数据过滤策略,名称为default,且不能被修改和删除

data-filter keyword-group keywordgroup-name

数据过滤规则中引用缺省关键字组。名称为default,且不能被修改和删除

inspect activate

缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效

display inspect status

显示应用层检测引擎的运行状态

 

13.7  开启SSL卸载,Web页面没有成功卸载

13.7.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启SSL过滤业务和IPS业务。保护内外网用户HTTPS传输安全。

配置描述

安全策略中开启SSL卸载。

#

app-proxy-policy

   rule 1 name ssl-proxy

  action ssl-decrypt

  #

app-profile 0_IPv4

 ips apply policy default mode protect

#

security-policy ip

 rule 0 name ips

  action pass

  profile 0_IPv4

#

故障描述

攻击者从Internet向局域网发起HTTPS加密流量攻击,如跨站脚本攻击,暴力破解攻击等,攻击报文成功通过IPS设备到达靶机服务器,成功破解靶机服务器密码,IPS设备上无日志输出。SSL卸载失效。

13.7.2  故障处理步骤

(1)     使用HTTP非加密流量,查看设备是否拦截,如果依然不能拦截,请参考8.2,排查IPS问题原因。如果能拦截,则依照下面的方法排除原因。

(2)     使用如下命令,查看设备是否成功代理。

[H3C]display  app-proxy server-certificate

Slot 1:

    Total server certificates: 1

    Certificate info: BreakingPoint_serverA_2048.server.int

         Proxy count: 6996

         Most recent proxy time: 2019/11/18 10:23:48

         First proxy at: 2019/11/15 17:21:12

(3)     检查设备组网是否为三层组网。目前SSL卸载不支持二层组网,如果是二层组网,请修改组网。

(4)     查看设备当前的DPI状态,设备运行状态为normal

[H3C]display inspect status

Chassis 0 Slot 1:

Running status: normal

(5)     使用如下命令,查看HTTPSServer是否被加进白名单

[H3C]display  app-proxy ssl whitelist hostname predefined

Chrome HSTS-defined hostnames:

  status      Hostname

  enabled     2mdn.net

  enabled     accounts.firefox.com

  enabled     aclu.org

  enabled     activiti.alfresco.com

  enabled     adamkostecki.de

  enabled     addvocate.com

  enabled     adsfund.org

  enabled     aie.de

……

<H3C>display  app-proxy ssl whitelist ip all

Slot 1:

    IP address            Port

    --------------------------

    9.9.9.5               443

    9.9.9.6               443

    9.9.9.7               443

    9.9.9.8               443

    9.9.9.9               443

    9.9.9.10              443

    9.9.9.11              443

9.9.9.12              443

如果被添加进白名单,可以使用如下命令清除白名单。

[H3C]undo app-proxy ssl whitelis user-defined-hostname

[H3C]app-proxy ssl whitelist activate

<H3C>reset app-proxy ssl whitelist ip

(6)     查看流量是否跨板 ,目前SSL卸载不支持跨板流量。

<H3C>display  session table ipv4 source-ip 7.0.1.2 verbose

Slot 1:

Initiator:

  Source      IP/port: 7.0.1.2/55933

  Destination IP/port: 8.8.8.2/443

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 8.8.8.2/443

  Destination IP/port: 7.0.1.2/55933

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Reth1

  Source security zone: Trust

State: INACTIVE

Application: HTTPS

Rule ID: 0

Rule name: ips

Start time: 2019-11-18 10:59:43  TTL: 299s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

Initiator:

  Source      IP/port: 7.0.1.2/55852

  Destination IP/port: 8.8.8.2/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 8.8.8.2/80

  Destination IP/port: 7.0.1.2/55852

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Reth1

  Source security zone: Trust

State: INACTIVE

Application: HTTP

Rule ID: 0

Rule name: ips

Start time: 2019-11-18 10:59:02  TTL: 257s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

Initiator:

  Source      IP/port: 7.0.1.2/55932

  Destination IP/port: 8.8.8.2/443

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 8.8.8.2/443

  Destination IP/port: 7.0.1.2/55932

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Reth1

  Source security zone: Trust

State: INACTIVE

Application: HTTPS

Rule ID: 0

Rule name: ips

Start time: 2019-11-18 10:59:43  TTL: 299s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

Total sessions found: 3

 

Slot 2:

Initiator:

  Source      IP/port: 7.0.1.2/55933

  Destination IP/port: 8.8.8.2/443

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 8.8.8.2/443

  Destination IP/port: 7.0.1.2/55933

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Reth1

  Source security zone: Trust

State: TCP_TIME_WAIT

Application: HTTPS

Rule ID: 0

Rule name: ips

Start time: 2019-11-18 10:59:43  TTL: 0s

Initiator->Responder:            6 packets        776 bytes

Responder->Initiator:            7 packets        899 bytes

 

Initiator:

  Source      IP/port: 7.0.1.2/55852

  Destination IP/port: 8.8.8.2/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 8.8.8.2/80

  Destination IP/port: 7.0.1.2/55852

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Reth1

  Source security zone: Trust

State: TCP_ESTABLISHED

Application: HTTP

Rule ID: 0

Rule name: ips

Start time: 2019-11-18 10:59:02  TTL: 1157s

Initiator->Responder:            8 packets       1256 bytes

Responder->Initiator:            9 packets       3456 bytes

 

Initiator:

  Source      IP/port: 7.0.1.2/55932

  Destination IP/port: 8.8.8.2/443

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 8.8.8.2/443

  Destination IP/port: 7.0.1.2/55932

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Reth1

  Source security zone: Trust

State: TCP_TIME_WAIT

Application: HTTPS

Rule ID: 0

Rule name: ips

Start time: 2019-11-18 10:59:43  TTL: 1s

Initiator->Responder:            7 packets        816 bytes

Responder->Initiator:            7 packets        899 bytes

Total sessions found: 3

(7)     前面都检查没有问题后设备还是不能拦截,有可能此时加密攻击设备暂不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。

13.7.3  故障诊断命令

命令

说明

app-proxy-policy

进入代理策略视图

app-proxy ssl whitelist user-defined-hostname host-name

使用host-nameSSL请求报文中携带的服务器证书的“DNS Name”或“Common Name”字段进行匹配,只要含有host-name的域名均会匹配成功。若匹配成功,则透传该SSL连接

display app-proxy ssl whitelist ip { all | ip-address }

显示SSL代理IP地址白名单

display inspect status

显示应用层检测引擎的运行状态

 

13.8  符合应用审计没有生效,且没有产生日志

13.8.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启应用审计业务。保护内外网用户数据传输信息安全。

配置描述

安全策略中开启应用审计检测。

#

uapp-control

 policy name default audit

  rule 1 app-category IM behavior FileTransfer bhcontent any keyword include any

 action deny audit-logging

#

故障描述

使用者从局域网向Internet执行敏感动作, 例如传文件和登录等操作时,动作执行成功,且设备无日志。

13.8.2  故障处理步骤

(1)     查看APR版本信息,是否为最新版本,如果版本较老,请从官网上获取最新版本进行升级。

(2)     查看设备引擎状态,是否bypass,如果进行了手工bypasscpumemory自动bypass,可以通过undo inspect bypss命令重新激活引擎

(3)     查看数据过滤规则是否下发引擎,如果没有下发数据过滤规则,需要在系统视图下执行inspect active或通过Web激活引擎,重新下发规则。

[H3C-probe]display  system  internal  inspect  dim-rule

Slot 1:

MdcID       MoudleName  Total MD5 rules

0           Anti-Virus  0

 

MdcID       RuleID      ModuleName          L4ProName           uiAppIdL5

 

1           1           AUDIT               TCP                 WECHAT_LOGIN_IOS

_TCP_M

0           1           IPS                 TCP                 HTTP

 

0           2147483649  FFILTER             TCP

 

1           2           AUDIT               TCP                 WECHAT_LOGIN_AND

ROID_TCP_M

0           2           IPS                 TCP                 HTTP

 

0           2147483650  FFILTER             TCP

 

1           3           AUDIT               TCP                 WECHAT_SENDTEXT_

WINDOWS_TCP_M

0           2147483651  FFILTER             TCP

 

1           4           AUDIT               TCP                 WECHAT_SENDTEXT_

IOS_TCP_M

0           4           IPS                 TCP                 HTTP

(4)     查看规则状态是否为使能状态,对应流量是否优先走了其他规则。

(5)     查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用数据过滤策略。

[H3C-probe]display  session table ipv4 source-ip 7.0.1.2 verbose

Slot 2:

Initiator:

  Source      IP/port: 7.0.1.2/50779

  Destination IP/port: 7.0.0.2/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 7.0.0.2/80

  Destination IP/port: 7.0.1.2/50779

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/3

  Source security zone: Untrust

State: TCP_ESTABLISHED

Application: HTTP

Rule ID: 0

Rule name: ips

Start time: 2019-11-15 11:31:01  TTL: 1197s

Initiator->Responder:            7 packets       1073 bytes

Responder->Initiator:            7 packets       2413 bytes

 

Total sessions found: 1

(6)     前面都检查没有问题后设备还是不能拦截,有可能此时应用的应用审计设备暂不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。

13.8.3  故障诊断命令

命令

说明

inspect activate

缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效

display inspect status

显示应用层检测引擎的运行状态

 

13.9  指定的网页设备没有阻断,且没有产生日志

13.9.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启URL过滤业务。保护用户访问网页安全。

配置描述

安全策略中开启URL过滤检测。

#

url-filter policy url

 default-action permit logging

 category Pre-Botnet action reset logging

 category Pre-ChildAbuse action reset logging

 category Pre-CriminalActivity action reset logging

 category Pre-Discrimination action reset logging

 category Pre-Divining action reset logging

 category Pre-Drugs action reset logging

 category Pre-Gamble action reset logging

 category Pre-Hacking action reset logging

 category Pre-IllegalSoftware action reset logging

 category Pre-Lottery action reset logging

 category Pre-MaliciousURL action reset logging

 category Pre-Phishing action reset logging

 category Pre-Pornography action reset logging

 category Pre-Religion action reset logging

 category Pre-SchoolCheating action reset logging

 category Pre-Spam action reset logging

 category Pre-Suicide action reset logging

 category Pre-Violence action reset logging

#

app-profile 0_IPv4

 url-filter apply policy url

#

security-policy ip

 rule 0 name url

  action pass

  counting enable

  profile 0_IPv4

#

故障描述

使用者从局域网向Internet访问有害网页, 例如色情网站等,用户成功访问,且设备无日志。

13.9.2  故障处理步骤

(1)     查看URL特征库版本信息,是否为最新版本,如果版本较老,请从官网上获取最新版本进行升级。

(2)     查看设备引擎状态,是否bypass,如果进行了手工bypasscpumemory自动bypass,可以通过undo inspect bypss命令重新激活引擎

(3)     查看访问页面是否为HTTPS加密网页,如果是加密网页可以开启SSL卸载功能

(4)     查看URL过滤规则是否下发引擎,如果没有下发URL过滤规则,需要在系统视图下执行inspect active或通过Web激活引擎,重新下发规则。

[H3C-probe]display  system  internal  inspect  dim-rule

Slot 1:

MdcID       MoudleName  Total MD5 rules

0           Anti-Virus  0

 

MdcID       RuleID      ModuleName          L4ProName           uiAppIdL5

 

0           356581376   UFLT                TCP                 HTTP

 

0           268435456   UFLT                TCP                 HTTP

 

0           356646912   UFLT                TCP                 HTTP

 

0           268435457   UFLT                TCP                 HTTP

 

0           431030273   UFLT                TCP                 HTTP

 

0           384958465   UFLT                TCP                 HTTP

 

0           2147483649  FFILTER             TCP

 

0           447873026   UFLT                TCP                 HTTP

 

0           268435458   UFLT                TCP                 HTTP

(5)     查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用URL过滤策略。

[H3C-probe]display  session table ipv4 source-ip 7.0.1.2 verbose

Slot 2:

Initiator:

  Source      IP/port: 7.0.1.2/50779

  Destination IP/port: 7.0.0.2/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 7.0.0.2/80

  Destination IP/port: 7.0.1.2/50779

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet2/0/3

  Source security zone: Untrust

State: TCP_ESTABLISHED

Application: HTTP

Rule ID: 0

Rule name: ips

Start time: 2019-11-15 11:31:01  TTL: 1197s

Initiator->Responder:            7 packets       1073 bytes

Responder->Initiator:            7 packets       2413 bytes

 

Total sessions found: 1

(6)     如果是自定义URL分类,检查用户使用的URL是否与分类的URL完全匹配。

(7)     前面都检查没有问题后设备还是不能拦截,有可能此时网页URL特征库不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。

13.9.3  故障诊断命令

命令

说明

url-filter apply policy policy-name

缺省情况下,存在一个缺省URL过滤策略,名称为default,且不能被修改和删除

inspect activate

缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效

display inspect status

显示应用层检测引擎的运行状态

 

13.10  开启WAF攻击流量不能被阻断,设备不报攻击日志

13.10.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启WAF业务。保护内外网用户免遭受攻击。

配置描述

安全策略中开启RAT检测。

 

#

app-profile 0_IPv4

 waf apply policy default mode protect

#

  security-policy ip

 rule 0 name waf

  action pass

  profile 0_IPv4

#

 

故障描述

攻击者从Internet向局域网发起典型攻击,如跨站脚本攻击,暴力破解攻击等,攻击报文成功通过IPS设备到达靶机服务器,成功破解靶机服务器密码,设备上无日志输出。

13.10.2  故障处理步骤

(1)     检查设备是否安装了License

(2)     查看设备当前的DPI状态,设备运行状态为normal

[H3C]display inspect status

Chassis 0 Slot 1:

Running status: normal

(3)     查看特征库版本是否为发布的最新版本,如果版本较老,请进行特征库升级。

<H3C>display  waf signature library

WAF signature library information:

Type      SigVersion         ReleaseTime               Size(bytes)

Current   1.0.2              Thu Oct 31 03:22:10 2019  1018752

Last      1.0.0              Fri Dec 28 08:53:30 2018  19824

Factory   1.0.0              Fri Dec 28 08:53:30 2018  19824

(4)     查看WAF规则是否下发引擎,如果没有下发WAF规则,需要在系统视图下执行inspect active或通过Web激活引擎,重新下发规则。

[H3C-probe]display  system  internal  inspect  dim-rule | include WAF

0           1           WAF                 TCP                 HTTP

 

0           16          WAF                 TCP                 HTTP

 

0           37          WAF                 TCP                 HTTP

 

0           38          WAF                 TCP                 HTTP

 

0           43          WAF                 TCP                 HTTP

 

0           51          WAF                 TCP                 HTTP

 

0           53          WAF                 TCP                 HTTP

 

0           54          WAF                 TCP                 HTTP

 

0           59          WAF                 TCP                 HTTP

 

0           60          WAF                 TCP                 HTTP

 

0           66          WAF                 TCP                 HTTP

 

0           75          WAF                 TCP                 HTTP

 

0           81          WAF                 TCP                 HTTP

 

0           87          WAF                 TCP                 HTTP

 

0           92          WAF                 TCP                 HTTP

 

0           94          WAF                 TCP                 HTTP

 

0           98          WAF                 TCP                 HTTP

 

0           102         WAF                 TCP                 HTTP

 

0           104         WAF                 TCP                 HTTP

(5)     查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用IPS策略。

[H3C]display session table ipv4 source-ip 1.1.1.101 verbose

Slot 1:

Initiator:

  Source      IP/port: 1.1.1.101/34679

  Destination IP/port: 2.2.2.12/5190

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Trust

Responder:

  Source      IP/port: 2.2.2.12/5190

  Destination IP/port: 1.1.1.101/34679

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/11

  Source security zone: Untrust

State: TCP_ESTABLISHED

Application: AOL

Start time: 2016-01-21 16:13:16  TTL: 1194s

Initiator->Responder:            3 packets        930 bytes

Responder->Initiator:            1 packets         92 bytes

 

Total sessions found: 1

(6)     查看rule hit情况

[H3C-probe]display  system  internal  inspect  hit-statistics

Slot 1:

Rule ID     Module      Rule hits  AC hits    PCRE try   PCRE hits

2147483654  FFILTER     1          1          0          0

2668        APR         0          1          1          0

2669        APR         0          1          1          0

2676        APR         0          1          0          0

4817        APR         0          1          1          0

 

Slot 2:

Rule ID     Module      Rule hits  AC hits    PCRE try   PCRE hits

31          APR         1          1          0          0

2666        APR         0          1          0          0

2668        APR         0          1          2          1

2669        APR         0          1          1          0

2676        APR         0          1          0          0

2968        APR         0          1          0          0

2969        APR         0          1          0          0

4817        APR         0          1          1          0

18096       WAF         0          4          2          0

23311       WAF         1          14         1          1

23791       WAF         0          2          1          0

23915       WAF         0          8          4          0

如果有rule hits统计,查看该规则是状态是否使能,如果未使能,手工将该条规则使能并设置动作(只有自定义的WAF策略能修改规则状态)。

[H3C]display  waf  signature  pre-defined 56

 Type        : Pre-defined

 Signature ID: 56

 Status      : Disable

 Action      : Permit & Logging

 Name        : CVE-2012-3351_LongTail_JW_Player_XSS_Vulnerability

 Protocol    : TCP

 Severity    : Medium

 Fidelity    : Medium

 Direction   : To-server

 Category    : Vulnerability

 Reference   : CVE-2012-3351;

 Description : JW Player is prone to a cross-site scripting vulnerability becaus

e it fails to sanitize user-supplied input.An attacker may leverage this issue t

o execute arbitrary script code in the browser of an unsuspecting user in the co

ntext of the affected site. This may allow the attacker to steal cookie-based au

thentication credentials and launch other attacks. JW Player versions 5.9.2145 a

nd prior are vulnerable.

创建自定义WAF策略并在安全策略引用,在自定义WAF策略中手工将该条规则使能。

[H3C-waf-policy-waf]signature override pre-defined 56 enable  reset logging

(7)     前面都检查没有问题后设备还是不能识别,有可能构造的攻击不对或特征库不支持该攻击,此时需要协助抓取对应的攻击交互报文反馈报文给研发进行分析。

13.10.3  故障诊断命令

命令

说明

waf policy policy-name

缺省情况下,存在一个缺省WAF策略,名称为default,且不能被修改和删除

signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }

缺省情况下,预定义WAF特征使用系统预定义的状态和动作,自定义WAF特征的动作和状态在管理员导入的特征库文件中定义。

缺省WAF策略中的WAF特征的动作属性和生效状态属性不能被修改

inspect activate

缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效

 

13.11  服务器发出异常外联行为,设备没有输出告警日志

13.11.1  故障描述

 

组网需求:

服务器通过防火墙主动连接客户端,防火墙上开启服务器外联防护业务。保护内外网用户免遭受攻击。

配置描述

安全策略中开启服务器外联防护检测。

#

scd policy name default-7.0.0.2

 protected-server 7.0.0.2

 logging enable

 policy enable

 rule 1

  permit-dest-ip 7.0.0.255

  protocol udp port 137 to 138

#

故障描述

开启服务器外联业务,服务器通过设备的异常外联行为, 设备没有日志告警。

13.11.2  故障处理步骤

(1)     检查设备是否开启服务器外联的快速日志。快速日志与系统日志不能同时生成,如果需要系统日志,请关闭服务器外联防护的快速日志。

(2)     查看设备防护策略和日志是否启用protected-serverpermit-dest-ip与服务器异常外联行为的源目IP一致。

<H3C>display scd  policy

Id     Name            Protected server       Rules        Logging     Policy status

1      12                     1.2.2.3           1          Enabled        Enabled

2      default-7.0.0.2        7.0.0.2           1          Enabled        Enabled

(3)     排查设备对应流量是否优先走了其他规则。

(4)     前面都检查没有问题后设备还是不能识别,有可能产生的流量设备暂不支持,此时需要协助抓取对应的攻击交互报文反馈报文给研发进行分析。

13.11.3  故障诊断命令

命令

说明

scd policy name policy-name

创建服务器外联防护策略

display scd policy [ name policy-name ]

显示服务器外联防护策略的配置信息

 

13.12  具有风险的IP与本地用户连接成功,无告警日志

13.12.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启威胁情报业务。保护内外网用户免遭受攻击。

配置描述

安全策略中开启威胁情报检测。

#

ip-reputation

 global enable

 top-hit-statistics enable

 attack-category 1 action deny logging enable

 attack-category 2 action deny logging disable

 attack-category 3 action deny logging enable

 attack-category 4 action deny logging enable

 attack-category 5 action deny logging enable

 attack-category 6 action deny logging enable

 attack-category 7 action deny logging enable

 attack-category 8 action deny logging enable

 attack-category 9 action deny logging enable

 attack-category 10 action deny logging enable

 attack-category 11 action deny logging enable

 attack-category 12 action deny logging enable

 attack-category 13 action deny logging enable

 attack-category 14 action deny logging enable

 attack-category 15 action deny logging enable

 attack-category 16 action deny logging enable

 attack-category 17 action deny logging enable

 attack-category 18 action deny logging enable

 attack-category 19 action deny logging enable

 attack-category 20 action deny logging enable

 attack-category 21 action deny logging enable

 attack-category 22 action deny logging enable

#

 

故障描述

开启威胁情报业务,具有风险的IP与本地用户连接成功,无告警日志。

13.12.2  故障处理步骤

(1)     检查设备是否安装了License

(2)     检查ip地址是否被设置成IP信誉例外地址。

<H3C>display  ip-reputation exception

  IP address

  2.2.2.2

(3)     检查配置动作是否为丢弃告警。

[H3C-ip-reputation]display  ip-reputation attack-category

  Attack id    Attack name          Action    Logging

  ---------------------------------------------------

  1            C&C                  deny      enable

  2            Network_Worm         deny      disable

  3            Risk_Software        deny      enable

  4            Malware              deny      enable

  5            Trojan               deny      enable

  6            Infectious_Virus     deny      enable

(4)     前面都检查没有问题后设备还是不能识别,有可能ip信誉库中还不含有该ip,此时需要协助抓取对应的攻击交互报文反馈报文给研发进行分析。

13.12.3  故障诊断命令

命令

说明

display ip-reputation attack-category

仅在IP信誉功能处于开启状态时,才能查看到IP信誉库中的攻击分类信息。

如果未配置对指定攻击分类执行的动作,则显示特征库中的缺省配置。

display ip-reputation exception

仅在IP信誉功能处于开启状态时,才能查看到IP信誉例外IP地址。

 

13.13  数据中心无日志输出

13.13.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启DPI业务。保护内外网用户信息安全。

配置描述

安全策略中开启DPI检测。

#

app-profile 0_IPv4

 ips apply policy default mode protect

 data-filter apply policy default

 url-filter apply policy default

 file-filter apply policy default

 anti-virus apply policy default mode protect

#

security-policy ip

 rule 0 name 1

  action pass

  profile 0_IPv4

  source-zone Trust

  source-zone Untrust

  destination-zone Trust

  destination-zone Untrust

#

 

故障描述

开启DPI业务,数据中心无日志输出。

13.13.2  故障处理步骤

(1)     查看rule hit情况:

[H3C-probe]display  system  internal  inspect  hit-statistics

Slot 1:

Rule ID     Module      Rule hits  AC hits    PCRE try   PCRE hits

0           FFILTER     0          78225      0          0

0           DFILTER     0          545415     0          0

1           FFILTER     0          78225      0          0

1           DFILTER     0          545415     0          0

2           FFILTER     52341      78225      52341      52341

2           DFILTER     0          545415     0          0

3           FFILTER     0          78225      0          0

3           DFILTER     0          545415     0          0

4           FFILTER     25884      78225      25884      25884

4           DFILTER     0          545415     0          0

2147483652  FFILTER     359139     359139     0          0

5           FFILTER     0          78225      0          0

5           DFILTER     0          545415     0          0

2147483653  FFILTER     9          9          0          0

6           FFILTER     0          78225      0          0

6           DFILTER     0          545415     0          0

2147483654  FFILTER     207554     207554     0          0

7           FFILTER     0          78225      0          0

7           DFILTER     0          545415     0          0

2147483656  FFILTER     159715     159715     0          0

2147483657  FFILTER     985048     985048     0          0

(2)     等待一段时间,查看数据中心是否有日志输出,数据中心日志不能实时更新,需要等待一段时间。

(3)     查看设备时间和日期与本地PC是否一致。

<H3C>display  clock

18:37:21 UTC Tue 11/26/2019

可以使用命令行或者在Web上进行设备时间和日期的修改。

<H3C>clock  datetime 19:52:33 2019/11/26

(4)     流量日志等日志输出需要开启会话统计。

[H3C]session statistics enable

(5)     URL过滤为减少日志输出,将cssgificojpgjspngswfxml默认不输出数据中心日志。使用下面命令可以使之输出。

undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }

(6)     前面都检查没有问题后数据中心还是不能输出日志,有可能ntopd有异常,此时需要协助抓取对应的交互报文反馈报文和设备诊断信息给研发进行分析。

13.13.3  故障诊断命令

命令

说明

url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }

配置URL过滤对预定义类型网页资源的访问不进行日志记录

session statistics enable

开启软件快速转发的会话统计功能

 

13.14  数据中心日志长时间不更新

13.14.1  故障描述

 

组网需求:

局域网内PC通过防火墙访问Internet,防火墙上开启DPI业务。保护内外网用户信息安全。

配置描述

安全策略中开启DPI检测。

#

app-profile 0_IPv4

 ips apply policy default mode protect

 data-filter apply policy default

 url-filter apply policy default

 file-filter apply policy default

 anti-virus apply policy default mode protect

#

security-policy ip

 rule 0 name 1

  action pass

  profile 0_IPv4

  source-zone Trust

  source-zone Untrust

  destination-zone Trust

  destination-zone Untrust

#

故障描述

开启DPI业务,数据中心日志长时间不更新

13.14.2  故障处理步骤

(1)     查看设备当前的DPI状态,设备运行状态为normal

[H3C]display inspect status

Chassis 0 Slot 1:

Running status: normal

(2)     设备日志存储空间达到上限,并且对上限的处理动作为提示。

配置数据分析中心存储空间的命令行为:

dac storage service service-type service-namelimit { hold-time time-value | usage usage-value |action { delete | log-only } }

缺省情况下,数据分析中心各业务存储空间上限为20%、存储空间时间上限为365天、处理动作为删除。

可以对日志存储空间设置恢复为缺省情况。

(3)     前面都检查没有问题后数据中心还是不能输出日志,有可能ntopd有异常,此时需要协助抓取对应的交互报文反馈报文和设备诊断信息给研发进行分析。

13.14.3  故障诊断命令

命令

说明

display inspect status

显示应用层检测引擎的工作状态。

dac storage service service-type service-name limit { hold-time time-value | usage usage-value | action { delete | log-only } }

配置数据分析中心存储空间