- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath ACG1000系列应用控制网关
故障处理手册
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
路由模式设备部署在网络边界处,内网流量无法访问外网或无法使用某些服务等。
(1) 查看客户端IP等信息。保证用户IP地址正确。
(2) 检查接口地址是否正确,无法访问外网时内网间流量是否可以正常通信。
(3) 查看配置路由是否无误,网关地址、路由条目是否配置正确。
(4) 查看安全策略是否存在、匹配路由正确,默认策略是否放行。
(5) 查看NAT配置,保证NAT映射正确。
表1-1 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看当前接口IP信息及接口状态 |
|
display ip route |
查看路由表中路由条目及下一跳接口地址 |
|
display running-config policy |
查看设备安全策略是否匹配及策略行为(permit/deny) |
|
display ip nat source rule |
查看设备NAT映射 |
使用透明模式设备时,内网用户无法访问外部网络。
(1) 查看客户端IP等信息,测试内网连通性。
(2) 查看设备接口状态是否开启。
(3) 检测桥接口配置信息,确认要通信的网段都划入了桥接口下。
(4) 查看安全策略是否匹配(默认拒绝所有)。
表1-2 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看当前接口IP信息及接口状态 |
|
display running-config interface |
查看当前所有接口下的动作 |
|
display running-config policy |
查看设备安全策略是否匹配及策略行为是否为放行(permit) |
查看设备监控日志无相应日志显示。
(1) 查看用户IP地址信息,无错误配置。
(2) 检查旁路模式接口启用情况。
(3) 查看用户地址对象匹配的网段是否正确。
(4) 检查安全策略是否被匹配。
表1-3 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看当前接口IP信息及接口状态 |
|
display running-config interface |
查看当前接口是否设置为旁路模式(deploy-mode listen enable) |
|
display running-config policy |
查看设备安全策略是否匹配及策略行为(permit/deny) |
|
display address |
查看地址对象网段是否正确匹配 |
版本升级包括软件和特征库文件升级,升级的方式存在多种,在不同场景的实际应用中,可能会存在多种多样的问题,下面详细介绍一下系统升级管理员实际操作中的故障定位思路和方法。
进行主程序升级,常见问题包括:
· Web界面下无法正常升级
· 命令行界面下无法正常升级
· Menuboot下无法正常升级
下面将详细介绍各种常见问题的定位方法。
(1) 首先检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 确保上传升级文件过程中网络正常,设备端需要提示上传成功。
(4) 升级文件上传成功后需要进行设备配置保存操作。
(1) 首先检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏, 连接设备端口正确。
(2) 检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 确定TFTP和FTP服务器正常,文件服务器路径设置正确。文件服务器登录名,密码与命令设置相同。
(4) 检查命令是否输入正确。
(5) 确保升级完成后 设备重启,用display version命令检查版本信息:
(1) 首先检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏, 连接设备端口正确。
(2) 检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 若设备无CF卡或CF卡中menuboot程序损坏,则需要在其它设备导入menuboot文件,例如,可以在连接设备的管理员PC上安装3Cdemon文件服务器,在menuboot中通过setenv serverip,setenv ipaddr,setenv loadfile menuboot.bin三个命令,分别设置文件服务器的IP地址,设备IP地址,与加载menuboot文件。
(4) 检查menuboot中各参数是否设置正确。
其它问题如网线等物理层问题导致升级失败的请注意检查,如有其它问题请联系设备售后人员或咨询售后服务电话。
设备系统在线运行时需要周期性的更新特征库,才能更好进行应用识别控制和流量控制。在设备无法正常与互联网进行通信的情况下,可通过WEB页面进行特征库手动升级。若设备可正常与互联网进行通信,则可通过设置定期自动从服务器更新最新的特征库。
(1) 首先检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 检查升级文件是否正确,版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 确定在上传进度条完成后,WEB界面提示上传成功,然后进行的下一步操作。
(1) 自动升级需要设备接入互联网,检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)。
(2) 检查升级文件是否正确,版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 检查外网线路网络质量是否正常,检查设备DNS 是否正确配置,若无配置,请将主备正确设置。
(4) 检查系统升级服务器,设定周期是否设置正常。
特征库升级的前提是已经购买并导入授权升级许可,如未购买则无法进行升级,购买授权许可证可以联系厂商相关销售人员。
如有其它问题请联系咨询售后人员。
不同场景的实际应用中,可能会存在多种多样的问题,下面详细介绍一下系统升级管理员实际操作中的故障定位思路和方法。
(1) 检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 管理员IP与设备IP需要在同一网段下。
(3) 需要按照管理员需求,需改接口的访问权限,访问权限参考如下:
· https:允许HTTPS访问管理
· http:允许HTTP访问管理
· ssh:允许使用SSH方式管理
· telnet:允许使用Telnet设备管理地址访问管理
· ping:允许Ping此接口地址,如果不勾选,路由可达情况下Ping不通
(4) 检查浏览器是否正常。
(1) 检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏, 检查Console线两端连接设备端口正确。
(2) 检查管理员PC的COM端口是否正常。
(3) 检查超级终端配置正确,检查配置协议正确为“serial”,检查波特率配置正确为9600。
(4) 连接建立后按回车打印显示信息。
如有其它问题请联系设备售后人员或咨询售后服务电话。
表3-1 常用调试命令
|
命令 |
使用说明 |
|
enable |
进入特权模式 |
|
configure terminal |
进入全局配置模式 |
|
display running-config |
查看所有配置(空格键翻页) |
|
save config |
保存当前配置 |
|
erase startup-config |
恢复出厂配置,需重启设备才能生效 |
|
reboot |
重启系统,重启前会提示是否保存当前配置 |
|
display version |
查看版本信息、系统运行时间、设备序列号/型号、功能授权状态等信息 |
|
display date |
查看系统当前时间(local time) |
|
display interface |
查看接口相关信息,包括IP地址、链路状态、MAC地址和工作模式 |
|
display cpu usage |
查看设备cpu使用率(当前值、1分钟/5分钟/15分钟平均值 |
|
display memory |
查看设备内存使用率(控制面、数据面) |
· 4核及以下设备转发会使用0核,其它设备0核仅用来管理。
· 到本地的报文都是0核处理。
· 当0核参与转发时,优先使用0核,这样就会看到0核cpu比较高。
设备在使用时出现卡顿情况,无法操作或者操作等待时间较长,平均CPU利用率未达到极限。
通过命令display cpu usage 查看CPU利用情况,发现CPU0的利用率达到近100%,其它CPU核利用率不高。
(1) 通过命令display ip connection statistics dest-ip any,查看到本地的报文是否过多,排在前面的目的IP,有没有是设备接口IP。
(2) host(config)# local unlistened drop enable,配置非监听端口丢包,将非监听端口的报文丢掉,不让cpu进行处理。关闭外网口不必要的管理方式,如非特殊需要,外网口只允许ping操作。
(3) 如未解决,收集设备信息、配置文件、perf top信息,联系售后工程师处理。
带有硬盘的产品在设备首页看不到硬盘的使用率,没有审计日志页面。
(1) 通过recover database重置数据库,重启设备,看是否恢复正常
(2) 如第(1)步无法恢复,则收集设备启动时串口输出的信息,联系售后工程师处理。
查看应用识别或应用统计集,查看不到正确的应用
(1) 执行display app-ident mode查看是否模式为关闭
(2) 如果性能条件允许修改识别模式为smart
访问网站,在web页面查看网站审计日志,未能查询到对应日志。
(1) 页面是否带有content-type,类型是否为text/html。
(2) HTTP返回码是否为200。
(3) 网页标题长度仅记录为128字符范围内(约为40-60个汉字)。
(4) URL长度是否小于512。
配置应用审计策略,在web页面查看应用审计日志,未能查询到日志。
(1) 执行display running policy命令,检查应用审计策略是否正确。
(2) 执行display log config命令,查看应用审计日志是否记录。
(3) 执行debug app audit detail 和 debug application identify两个调试命令后,执行display log debug+具体应用名称,如display log debug QQ,查看应用审计与识别的细节信息,判断是否识别与审计成功。
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况。
(5) 执行display ip connection protocol protocol-name ip source source-addr dest dest-addr,查看特定IP地址的会话的会话的AppName字段来确认是否为误识别。
在本地可以查看到应用审计日志,配置日志服务器后,在syslog服务器端未能收到日志。
(1) 执行display log config命令,查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确。
(2) Syslog服务器是否启动,端口是否与设备配置一致。
(3) 执行display ip route 命令,查看路由是否正确,ping服务器地址是否能ping通。
表5-1 故障诊断命令
|
命令 |
说明 |
|
display running policy |
显示应用审计策略 |
|
display log config |
显示日志配置情况 |
|
debug app audit detail |
应用审计细节信息 |
|
debug application identify |
应用识别细节信息 |
|
display log debug app-name |
查看特定应用的debug信息 |
|
display ip connection protocol protocol-name ip source source-addr dest dest-addr |
查看过滤特定地址的会话 |
|
display ip route |
查看路由信息 |
配置了IPQoS带宽限制后发现远未达到所限带宽,流量就已不再增长。
检查接口配置的接口带宽与运营商提供的实际带宽是否一致,如:运营商提供20M带宽,但QoS的带宽显示为50M,此时带宽已被运营商所提供带宽瓶颈所限制。
配置了IPQoS最大带宽限制后发现未达到最大限速,或者超过了所配置限速值。
(1) 检查该IP是否超过限速的时间,如果只是一个瞬间的超速是正常的。
(2) 检查该IP是否在QoS白名单中。
(3) 执行display run qos-profile 查看是否有该IP 队列,正常情况下上下行都有1个队列。(或者display qos-profile statistics/display qos-profile,查看数据包在该QoS的队列情况)。
(4) 检查设备是否有多个公网出口,而该IP只在某一个接口上做了限制。
(5) 若策略中限制的地址为any,请改为具体IP地址。
(6) 每个策略中的地址薄条目数不超过8个。
配置了应用QoS最大带宽限制后发现未达到最大限速,或者超过了所配置限速值。
(1) 检查是否开启了应用识别。
(2) 检查是否升级为最新应用特征库。
(3) 在统计集中查看该应用识别成何种应用,然后将该应用加入限制。
(4) 对于FTP等需要做ALG的环境,检查该应用的ALG是否做成功。
报文未受QoS限制。
(1) 检查是否是本地报文。
(2) 检测报文是否为非IPv4/IPv6报文。
(3) 桥二层报文仅受物理接口的QoS限制,不受桥的QoS限制。
流量未匹配所配置QoS。
QoS策略中当有多个对象限制时如:“Address”、“Service”、“APP”等时,为匹配所有对象时才可命中该QoS策略。
表6-1 故障诊断命令
|
命令 |
说明 |
|
clear qos-profile statistics |
在定位前先删除已存在的数据包统计 |
|
display run qos-profile |
显示qos的相关配置 |
|
display qos-profile |
显示qos接口下的详细包数量 |
|
debug qos config |
debug qos 相关配置 |
|
debug qos match |
查看流量匹配qos队列 |
|
debug qos drop |
所丢弃数据包由哪个qos队列丢弃 |
· 原因可能是地址对象配置错误和下一跳配置错误。
· 解决方法:分清入口和报文源地址对象,并配置正确下一跳地址。
· 原因可能是错误配置了源接口、源地址、目的地址为any的策略路由导致。因为策略路由是优于所有其它路由的(包括直连路由),错误的配置了这条策略路由后,会改变本地始发的数据包的出接口。
· 解决方法:分清入口和报文源地址对象,精确匹配策略路由引用的地址对象,尽量不要使用any。
当使用双ISP路由接入时,一段链路down掉,流量无法通过另一条链路访问外网。
(1) 查看ISP路由配置,保证ISP双运营商路由配置正确。
(2) 检查缺省路由配置,保证在路由表中拥有双ISP的缺省路由。
(3) 查看源NAT另一侧ISP路由出口填写正确。
表7-1 故障诊断命令
|
命 令 |
说明 |
|
display ip route |
查看当前设备路由表 |
|
display ip nat source rule |
查看当前设备NAT配置信息 |
配置ISP路由后用户可以在内网互访,不能访问互联网。
(1) 检测地址对象所选网段是否配置正确。
(2) 查看路由表中是否存在双ISP的缺省路由。
(3) 查看源NAT地址对象是否配置正确。
(4) 查看安全策略是否放行匹配流量。
表7-2 故障诊断命令
|
命 令 |
说明 |
|
display address |
查看地址对象所匹配的网段 |
|
display ip nat source rule |
查看当前设备NAT配置信息 |
|
display ip route |
查看当前设备路由表 |
|
display running-config policy |
查看策略配置是否正确引入“地址对象” |
IPsec VPN的主要问题定位手段是查看IPsec的配置、第一阶段SA的协商状态、第二阶段SA的协商状态、IPsec协商的调试命令、检查路由、查看策略是否引用IPsec、感兴趣流是否一致等等。下面详细介绍一下IPsec VPN在典型应用场景中的故障定位思路和方法。
IPsec VPN在基于策略的使用时,常见问题包括:
· 第一阶段协商不成功;
· 第二阶段协商不成功;
· 保护子网不能通信;
· IPsec协商起100条隧道,还有一部分没协商成功;
· 某些移动终端接入VPN不成功;
· NAT环境下IPsec协商不成功;
· IPsec建起连接后,一端断开后,IPsec无法协商;
· 本端SA状态显示连接,流量无法转发;
· 当设备存在多出口时,其它参数正确,IPsec协商失败;
· IPsec使用国密证书协商不成功;
· 发起方保护子网范围比响应方子网范围大,二阶段无法协商成功;
下面将详细介绍各种常见问题的定位方法。
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。其次检查路由,查看对端是否可达。如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
调试命令:debug ipsec-VPN debug。
第二阶段协商不成功,首先可以检查IPsec的配置,查看两端的配置是否一致。检测感兴趣流,查看两端的感兴趣流是否一致。检测路由,查看对端是否可达。若是基于tunnel口,查看是否配置tunnel口的路由。
调试命令:debug ipsec-VPN debug。
查看感兴趣流的方向性配置是否正确。隧道模式,查看是否配置策略。
若是感兴趣流的问题,可以通过以下命令查看:
· display ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条,超过的不能协商成功。
有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。同时手机发起的加密算法也各有不同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,以及对端发来的加密算法是否与设置中的一致。
搭建IPsec的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPsec可以协商成功。
IPsec断开后对端设备并没有吧原先建立好的SA清除,就不再接受再次发起的协商请求,导致无法建立连接。解决方案:
(1) 在对端设备手动删除SA。
(2) 双方启用DPD检测。
建议使用方案2。
问题原因:
· 对端手动清除了SA;
· 对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接。
排错:
· 双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
· 一阶段启用DPD检测。
当有多出口时,需要指定用于建立IPsec的本端IP地址。如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
IPsec认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。协商不成功需要检查本端证书与对端证书是否导入正确。
当IPsec发起方保护子网范围比响应方子网范围大,二阶段无法协商成功。此时需要修改IPsec保护子网范围一致。
IPsec快速配置的主要问题定位手段是查看IPsec的配置、第一阶段SA的协商状态、第二阶段SA的协商状态、IPsec协商的调试命令、检查路由等,由于IPsec配置被大大简化,一二阶段的配置均是自动生成,默认参数一致,且不支持修改。所以出现协商不起来的问题主要从配置检查和网络连通性方面着手。下面详细介绍一下IPsec VPN在典型应用场景中的故障定位思路和方法。
IPsec快速配置在使用中,常见问题包括:
· 第一阶段协商不成功
· 保护子网不能通信
· IPsec建起连接后,一端断开后,IPsec无法协商
· 网段映射不生效
· 监控页面隧道名称为空
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。其次检查路由,查看对端是否可达。
调试命令:debug ipsec-VPN debug
1、保护子网之间不能通信,查看下两端是否配置了保护接口或保护子网,并查看下是否生成了保护子网的路由。2、检查两分支是否存在保护子网冲突,导致后接入的分支在中心端的路由覆盖了先接入的分支端设备的路由,解决分支网段冲突建议更改分支保护子网或者使用网段映射功能。
调试命令:display ip route
IPsec断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。解决方案:1、在对端设备手动删除SA 2、双方启用DPD检测。建议使用方案2。
调试命令:debug ipsec-VPN debug
分支端有选路策略,需要配置线路名称和对应的IP,该线路名称会同步给中心端设备,显示为监控页面中的隧道名称,默认情况下不配置选路策略,就会出现隧道名称为空的情况,不影响功能,如果要显示名称,则在选路策略中定义线路即可。
调试命令:debug ipsec-VPN debug
无法Ping通对端的IPv6地址。
(1) 在enable模式下,用display ipv6 interface命令检查接口配置的IPv6地址是否正确,接口状态是否为up。
(2) 使用debug ipv6 packet命令打开IPv6报文调试开关,根据调试信息进行判断。display log debug查看具体信息。
发送前缀路由,对端PC无法接收到。
(1) 首先查看本地网卡是否已经接收到另一个前缀地址,并排查本地网络中是否有发送多个前缀的设备。
(2) 将网卡禁用再启用,再次获取查看。
手动隧道配置后,无法正常通信。
(1) 手动隧道的源地址和目的地址都需要手动配置。
(2) 查看安全策略配置是否正确。
(3) 查看IPv6和IPv4路由是否正确。
6to4自动隧道配置后,无法正常通信。
(1) 首先分析设置的6to4隧道采用的地址是否正确,因为这个地址是一个特殊的地址,需要将IPv4公网通信接口的IPv4地址转化为16进制的IPv6,o为2002:A.B.C.D::/64+EUI-64格式,其中2002表示固定的IPv6地址前缀,A.B.C.D::/64表示该6to4隧道对应的32位全球唯一的IPv4 源地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:A.B.C.D::/64之后的部分唯一标识了一个主机在6to4网络内的位置。要算换一下此IP是否正确。
(2) 查看安全策略配置是否正确。
(3) 查看IPv6和IPv4路由是否正确。
IPv6 ISATAP自动隧道配置后,无法正常通信。
(1) 首先要检查ISATAP隧道地址是否添写正确,这里的ISATAP隧道地址是经过换算得来的,使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP 地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:ip-address。其中,64位的Prefix为任何合法的IPv6单播地址前缀,ip-address为32位IPv4源地址,换算成16进制后添在IPv6的后32位中。
(2) 路由前缀是否通信成功,在本地网卡上查看,可在PC端使用wireshak抓包。
(3) 查看安全策略配置是否正确。
(4) 查看IPv6和IPv4路由是否正确。
VRF配置后无法通信。
按照标准配置手册文档多次检查配置是否正确,例如排查路由、安全策略是否正确。若配置没有问题,错误依然存在,将配置导出并发给技术支援处理。
OSPF邻居关系无法正常建立。
如果物理连接和下层协议正常,则检查接口上配置的OSPF参数,必须保证与相邻路由器的参数一致,区域号相同,网段与掩码也必须一致(点到点与虚连接的网段与掩码可以不同)。
(1) 使用display ip ospf neighbor命令查看OSPF邻居状态。
(2) 使用display ip ospf interface命令查看OSPF接口的信息。
(3) 检查物理连接及下层协议是否正常运行,可通过ping命令测试。若从本地设备Ping对端设备不通,则表明物理连接和下层协议有问题。
(4) 检查OSPF定时器,在同一接口上邻居失效时间应至少为Hello报文发送时间间隔的4倍。
(5) 如果是NBMA网络,则应该使用peer ip-address命令手工指定邻居。
(6) 如果网络类型为广播网或NBMA,则至少有一个接口的路由器优先级大于零。
OSPF不能发现其它区域的路由。
应保证骨干区域与所有的区域相连接。若一台设备配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的设备不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有设备都应将此区域配置成Stub区域。
(1) 使用display ip ospf neighbor命令查看OSPF邻居状态。
(2) 使用display ip ospf interface命令查看OSPF接口的信息。
(3) 使用display ip ospf database查看数据库的信息是否完整。
(4) 使用display running-config ospf命令查看区域是否配置正确。若配置了两个以上的区域,则至少有一个区域与骨干区域相连。
(5) 如果某区域是Stub区域,则该区域中的所有设备都要配置stub命令;如果某区域是NSSA区域,则该区域中的所有设备都要配置nssa命令。
(6) 如果配置了虚连接,使用display ospf vlink命令查看OSPF虚连接是否正常。
查看OSPFv2邻居关系显示邻居关系已经full状态。但无法学习由OSPF邻居传递的路由。
(1) 查看OSPF接口网络类型,保证建立邻居的接口在相同的网络类型内。
(2) 查看OSPF进程是否配置了distribute路由过滤。
(3) 查看OSPF进程是否设置了域间路由汇总not-advertise不通过路由。
(4) 查看OSPF进程是否设置了重分布路由不通告。
查看OSPFv3邻居关系时无任何显示,无法与相邻设备建立OSPFv3邻居关系。
(1) 查看双方直连接口IPV6地址,确定直连IPV6地址在相同网段内。
(2) 查看OSPFv3接口,保证建邻接口在相同area内。
(3) 检查建邻设备router-id是否冲突。
(4) 查看建邻接口OSPF hello time和dead time相同。
(5) 查看建邻接口MTU是否一致,MTU一致后邻居关系才可到达full状态。
OSPFv3邻居关系正常达到full状态,但是无法从OSPFv3邻居学习其它路由条目。
(1) 查看OSPFv3口网络类型,保证建立邻居的接口在相同的网络类型内。
(2) 查看OSPFv3进程是否设置了域间路由汇总not-advertise不通过路由。
(3) 查看OSPFv3进程是否设置了重分布路由不通告。
HA在主备场景下使用时,常见问题包括:
· HA无法协商
· HA主备无法切换
· HA无法同步
下面将详细介绍各种常见问题的定位方法。
要求作为HA的两台设备为同一个硬件型号、同一软件版本,选择同样的接口作为HA接口配置了抢占模式必须在主设备和备设备上分别配置,一台设备配置为抢占主,一台配置为抢占备。否则HA无法协商
· 备设备有接口处于down状态。
· 配置了抢占模式的HA设备无法手动切换HA状态。
· 两台设备型号或版本不同,不同型号的设备接口数目可能不一样,这样配置永远不相同。
· 某个需要License的模块主设备有而备份设备没有License或已过期,这可能导致配置不同。
· 未开启自动同步功能,导致主备配置不同。
· 在HA主设备上重启对端的备设备。HA备设备可能出现配置和主设备冲突,无法同步的情况。这时可以重启备设备,使备设备抛弃错误配置,使用同步过去的最新配置。
表10-1 HA常用调试命令
|
命令 |
说明 |
|
debug ha error |
查看HA错误信息 |
|
debug ha event |
查看HA事件信息 |
|
debug ha filesync |
查看HA队列信息 |
|
debug ha recv |
查看HA发包信息 |
|
debug ha send |
查看HA收包信息 |
|
debug ha session |
查看HA会话信息 |
|
debug ha sync |
查看HA同步状态信息 |
|
debug ha recv |
查看HA发包信息 |
设备配置HA并且关联track,主备频繁切换。
(1) 设备上查看track状态主要看超时时间和间隔设备
(2) 设备上HA是否配置了自动抢占
(3) Track超时时间建议配置默认值10*4
(4) 关闭HA抢占
设备配置HA并且在主备墙都关联track,导致主备无法切换。
(1) 设备备墙上查看HA配置
(2) 设备备墙上查看HA所关联track状态是否为Failed
(3) 设备备墙查看引用的track对象的探测目标是从哪个接口出去的
(4) 设备备墙在探测目标的接口下配置管理ip地址
表10-2 故障诊断命令
|
命 令 |
说明 |
|
display running-config ha |
查看HA配置 |
|
display track name |
查看track详细信息 |
系统异常时、掉电时接口没有切换到Bypass状态。
正常情况下Bypass模块的触发机制分为硬件触发与软件触发,例如当设备没有通电的情况下,Bypass功能会调整为开启,如果设备一旦通电后,系统启动成功时,Bypass立即调整为关闭状态。当系统启动成功后,由于系统故障异常会导致重启时,Bypass功能会调整为开启状态。当系统运行正常,突发掉电情况下,Bypass软件会调整为开启状态。
(1) 当发现Bypass异常,首先需要判断接口是否属于同一Bypass接口。
(2) 当判断网线插口属于正确的Bypass接口对时,查看当前配置是否为桥模式,因为Bypass仅对二层转发生效,不对三层模式生效。
(3) 由于Bypass属于芯片集成功能,由于硬件芯片所属环境如潮湿,干燥,静电也会导致芯片异常功能失效。
出口设备使用带宽比的链路负载均衡不生效。
(1) 查看负载均衡是否开启
(2) 检查属于负载均衡组下的接口状态是否UP
(3) 检查负载均衡组下路由状态是否生效
(4) 检查路由的多下一跳出口是否分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡
带宽比的负载方式,负载不准确。
表10-3 故障诊断命令
|
命 令 |
说明 |
|
display mllb-group NAME |
|
|
display running-config mllb-group |
查看负载均衡组配置 |
|
display interface |
查看设备安全策略是否匹配及策略行为是否为放行(permit) |
|
display ip route |
查看路由状态 |
配置了会话限制,但是并没有对配置的地址对象下的会话进行限制。
由于配置的地址对象的对应的会话已经建立的数量大于配置的限制的会话数,导致并不能看到会话限制的效果。
比如配置会话限制数为30,每秒新建限制为10。
图11-1 会话限制配置
查看限制阻断,没有记录(此时60.1.1.2地址对象所对应的流量保持的会话数为50)。
图11-2 会话限制阻断
查看当前会话统计,60.1.1.2会话数大于30。
图11-3 会话统计
如果该地址对象的会话一直有流量的话,会话不会老化,可以在命令下清除当前的会话,即可进行正常的会话限制。如果该地址对象的会话没有流量,可以等候会话老化,之后便能看到会话限制的效果。
host# clear ip connection all
再查看阻断记录,能够正常阻断。
图11-4 清除会话后的阻断记录
表11-1 故障诊断命令
|
命令 |
说明 |
|
clear ip connection all |
清除当前已经建立起来的会话 |
· 设备开启了DNS代理功能,并且配置了DNS服务器。
· 客户端配置设备为DNS服务器,但是在发出DNS请求后收不到响应。
查看CPU是否过高,DNS代理的过程通过CPU0来处理,CPU0用作CP,当CPU0偏高时,会产生丢包,执行display cpu usage命令查看CPU占用情况。
查看是否是内存不足导致丢包,设备分配了一定的内存来作为DNS请求和转发的缓冲,大小约为400K,客户端产生大量DNS请求时,将导致用于缓冲的内存部分用尽,产生丢包;命令为debug dp drop,display log debug。
图11-5 查看是否是内存不足导致丢包
查看是否是FPA泄露,FPA主要负责分配收发报文过程中的packet work entry以及packet 的data buffer,设备的上的FPA存在于FPA0-FPA3上,数值会有上下浮动但不会持续下降,当FPA泄露完之后导致设备不会转发报文,命令display statistics fpa。
表11-2 故障诊断命令
|
命令 |
说明 |
|
debug dp drop |
查看转发过程中的丢包情况 |
|
display cpu usage |
查看CPU 使用情况 |
|
display log debug |
查看debug产生的日志 |
|
display statistics fpa |
查看fpa状态 |
配置了入侵防御后发现无法拦截IPS攻击流量。
(1) 查看事件集是否被策略引用并开启规则。
(2) 查看事件集是否勾选正确。
(3) 查看流量匹配策略是否为配置策略。
表11-3 故障诊断命令
|
命令 |
说明 |
|
debug dp basic |
查看流量命中策略 |
|
display running-config ips |
查看ips配置信息 |
|
debug ips detect /event |
Debug ips攻击情况/debug ips 攻击事件 |
|
debug ip packet receive |
debug收到的数据包 |
|
debug ip packet send |
debug转发的数据包 |
|
debug dp filter |
设置debug过滤器 |
配置了AV防护后发现无法拦截AV病毒。
(1) 是否升级最新病毒库。
(2) 病毒类型是否为zip压缩文件。
(3) 是否被策略引用并命中策略。
表11-4 故障诊断命令
|
命令 |
说明 |
|
debug dp basic |
查看流量命中策略 |
|
display run av |
查看av配置信息 |
|
debug av event |
Debug av 事件记录 |
|
debug av file |
Debug av 文件 |
|
Debug av scan |
Debug av 扫描过程 |
配置了DoS攻击防护后发现无法拦截DoS攻击流量。
(1) 执行display running-config defend检查设置的DoS攻击防护是目的IP防御还是接口防御,其中目的IP防御是全局生效的,而接口防御仅对被设置的接口生效。
(2) 如果设置的是目的IP防御,检查该IP是否在设置的保护主机范围内。
(3) 如果设置的是接口防御,该接口是否是DoS攻击的入接口。
表11-5 故障诊断命令
|
命令 |
说明 |
|
display statistics interface |
查看所有端口的统计信息 |
|
display running-config defend |
查看安全防护配置信息 |
|
debug ip defend attack |
debug安全防护丢包信息 |
|
debug ip packet receive |
debug收到的数据包 |
|
debug ip packet send |
debug转发的数据包 |
|
debug dp filter |
设置debug过滤器 |
安全策略开启URL过滤后,某些网站无法访问,查看恶意URL日志,发现网页被阻断。配置了恶意URL白名单后重新访问网站还是不能访问。
(1) 查看访问的网站URL是否填写正确。
(2) 查看恶意URL日志,访问的网站是否有记录。
(3) 查看配置的恶意URL白名单是否正确,恶意URL白名单为精确匹配
(4) 修改恶意URL白名单后,重新访问网站
|
命 令 |
说明 |
|
display malware_whitelist |
查看恶意URL白名单配置 |
|
malware-url url |
添加恶意URL白名单 |
无法使用新建的管理员账户登录设备。
(1) 查看新建管理员用户名、密码配置(可以使用默认的admin账户登录)。
(2) 查看新建管理员是否配置管理IP地址。
(3) RADIUS、LDAP服务器是否正常。
表11-6 故障诊断命令
|
命 令 |
说明 |
|
display amdin-user(管理员名称) |
查看设备中该管理员是否存在及用户类型、用户状态、管理地址、管理员权限 |
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)
· 使用FTP方式下载版本文件,版本下载失败
· 使用HTTP方式下载版本文件,版本下载失败
(1) FTP服务器是否开启,PC端需要关闭防火墙。
(2) 查看版本文件是否放在FTP服务器正确的目录下。
(3) 查看FTP服务器是否设置了登录口令。
(4) 设备端下载版本文件名是否正确。
(5) 下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
(6) HTTP服务器是否开启,PC端需要关闭防火墙。
(7) 查看版本文件是否放在了HTTP服务端的目录下。
(8) 设备端下载版本文件名是否正确。。
(9) 下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载, 需要重头开始下载)。
设备配置RADIUS/LDAP第三方认证后访问外网无法重定向到认证页面。
(1) 设备上控制控制策略是否将流量拒绝。
(2) 查看设备上的用户策略是否正确。
(3) 查看设备上的路由配置是否正确。
表11-7 故障诊断命令
|
命 令 |
说明 |
|
display running-config policy |
查看设备中控制控制策略 |
|
display user-policy |
查看设备中用户策略 |
|
display ip route |
查看设备中路由配置相关信息 |
设备配置RADIUS/LDAP第三方认证后,在重定向页面内输入正确的用户名、密码,点击登录,页面提示“用户名或密码错误”。
(1) 在命令行debug aaa events,根据相应的debug信息查看认证失败的原因,包括服务器没有回应、服务器密码错误、用户名或密码错误。根据这些相应的原因查看是否拓扑或路由错误导致服务器没有回应;RADIUS服务器密码是否错误;输入的用户名及密码是否正确,此用户在RADIUS/LDAP服务器上是否存在。
(2) 查看相应的系统日志,查找故障原因。
表11-8 故障诊断命令
|
命 令 |
说明 |
|
debug aaa events display log debug |
查看认证失败的相应debug信息 |
|
display log event all |
查看设备关于认证失败的日志信息 |
(1) 检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 管理员IP与设备IP需要在同一网段下。
(3) 需要按照管理员需求,需改接口的访问权限,访问权限参考如下:
· https:允许HTTPS访问管理。
· http:允许HTTP访问管理。
· ssh:允许使用SSH方式管理。
· telnet:允许使用Telnet设备管理地址访问管理。
· ping:允许Ping此接口地址,如果不勾选,路由可达情况下Ping不通。
(4) 检查浏览器是否正常。
在Web登录系统管理员账号后,看不到任何模块。
(1) 登录权限管理员账号,查看是否给该系统管理员分配相应模块的权限。
(2) 如果权限管理员只给该系统管理员分配了CLI权限,那么登录系统管理员账号也不会显示该模块。
(3) 如果权限管理员只给该系统管理员分配了应用审计日志、网站访问日志模块,当设备没有硬盘时,那么登录系统管理员账号也不会显示该模块。
网络连通的情况下,服务质量条目探测结果一直为0。
(1) 查看接口物理线路是否ok
(2) 是否有去往探测目标的路由
(3) 如果服务质量管理探测的对象为域名,是否在设备上配置了DNS。当探测内网DNS服务器时,需要将设备DNS服务器指向内网DNS服务器;探测外网的知名DNS时,首先确定设备是否配置了DNS服务器。
表11-9 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看设备接口状态 |
|
display ip route |
查看是否有去往目标的路由 |
|
display running-config dns |
查看是否配置DNS功能 |
后台执行display flow-account statistics可以查看到后台信息具体内容。
表12-1 故障诊断命令举例
|
命令 |
说明 |
|
display flow-account statistics |
查看应用/用户流量统计具体信息内容 |
|
WorkState: enabled |
当前功能开启 |
|
AccountPeriod: 1(centi-seconds) |
统计周期为百万分之一秒 |
|
UserLost: 0 |
用户(IP或实名认证用户)没有统计出来的数据会显示在此行 |
|
UserTopOut: 0 |
用户没有进入TOP的数据报文计数 |
|
UserTopOldIn: 250 |
用户首次进入TopN统计的报文数量(N为不同硬件规格规定的上限) |
|
UserTopNewIn: 198 |
后进入TopN的用户统计的报文数量(将首次进入ToP的数据顶出) |
|
UserOverflow: 0 |
应用/用户流量统计保存的二维表(用户的应用)用户维度统计溢出计数,另一个是二维表应用维度统计溢出计数 |
|
AppLost: 0 |
用户应用没有统计出来的数据会显示在此行 |
|
AppTopOut: 0 |
应用没有进入TOP的数据报文计数 |
|
AppTopOldIn: 322 |
应用首次进入TOP时的报文计数 |
|
AppTopNewIn: 126 |
后进入TOPN的应用统计报文数量(将首次进入ToP的数据顶出) |
|
AppOverflow: 0 |
应用/用户流量统计保存的二维表(应用的用户)应用维度统计溢出计数 |
|
MemLack: 0 |
内存分配失败的报文计数 |
设备配置接口联动,track目标为下一跳地址,在该接口关联track对象,track失败后,接口无法up。
(1) 设备上查看接口状是否为TD(track-down)。
(2) 如果不是TD的话查看接口物理线路是否ok。
(3) 如果是TD的话查看track对象的下一跳是否为直连接口。
(4) 确定track对象下一跳是直连接口后,在接口下删除track。
表13-1 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看设备接口状态 |
|
display running-config interface |
查看接口下关联的track |
|
display track name |
查看track详细信息 |
|
display running-config ha |
查看HA配置 |
设备配置策略后无法访问外网。
(1) 是否有去往外网的默认路由。
(2) 是否配置了源NAT。
(3) 设备上控制策略是否将流量拒绝。
表14-1 故障诊断命令
|
命 令 |
说明 |
|
display running-config policy |
查看设备中控制策略 |
|
display address |
查看设备中地址对象 |
|
debug policy |
查看设备中策略匹配信息 |
|
debug app audit detail |
查看设备中具体应用规则和URL规则匹配信息 |
设备配置Portal认证后访问外网无法重定向IMC Portal认证页面。
(1) 设备上控制策略是否将流量拒绝。
(2) 查看地址对象是否配置正确。
(3) 用户策略中目的地址是否排除了IMC服务器地址、认证方式是否正确。
(4) 设备中Portal Server页面的认证URL填写是否正确。
表15-1 故障诊断命令
|
命 令 |
说明 |
|
display running-config policy |
查看设备中控制策略 |
|
display address |
查看设备中地址对象 |
|
display user-policy |
查看设备中用户策略 |
|
display running-config user-portal-server |
查看设备中Portal Server配置信息 |
· 设备配置Portal认证后,在重定向页面内输入正确的用户名、密码、服务类型,点击上线,页面报错“设备拒绝请求”。
· 设备配置Portal认证后,在重定向页面内输入正确的用户名、密码、服务类型,点击上线,页面报错“向设备发送请求超时”。
(1) 查看Portal Server配置是否调用了正确的RADIUS服务器。
(2) 查看RADIUS服务器中服务器地址、服务器密码、端口是否配置正确。
表15-2 故障诊断命令
|
命 令 |
说明 |
|
display running-config user-portal-server |
查看设备中Portal Server配置信息 |
|
display radius-server |
查看设备中RADIUS服务器配置信息 |
设备接入成功后,特定的用户未在用户中心显示。
(1) 检查当前用户中心的用户是否超过规格限制。
(2) 若用户数达到规格,可以通过清除用户的内存缓存,使其识别新的用户。
(3) 若用户未达到规格,用户很多时,需要等几分钟再查看,因为用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。
表16-1 故障诊断命令
|
命 令 |
说明 |
|
display capacity |
查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制 |
|
clear ucc user |
清除用户的内存缓存,使其识别新的用户,此时用户中心的页面显示的用户数会比规格数多 |
用户忘记管理员密码导致设备无法进行登录管理。
(1) 重启设备,按ctrl+c进入menuboot
(2) 进入menuboot按选项4,即可重置管理员密码,默认为admin。显示“Reset admin password success”表示成功。
(3) 选择0重启设备
(4) 重新使用admin登录即可。
用户登录QQ,账号可以记录到时间轴上,当该qq掉线,重新登录时,该行为不能被记录到时间轴上。
特定的时间间隔达到时,相同的应用才能再次被记录到时间轴上。
· 即时通讯类:时间间隔为1天,也就是1天内时间轴上只会记录不同即时通讯应用。
· 搜索类:时间间隔为2分钟
· 社区类:时间间隔为1分钟
· 邮件类:时间间隔为1分钟
· 视频类:时间间隔为30分钟
· 文件传输类:时间间隔为150秒
· 电子商务类:时间间隔为150秒
流量劫持的主要问题定位手段是查看流量劫持的配置以及debug调试命令。下面详细介绍一下流量劫持在典型应用场景中的故障定位思路和方法。
流量劫持在使用中,常见问题包括:
· 有时候不弹广告页面
· 广告页面弹速度较慢
· 访问网页被重置
· 同一个页面弹出多个广告图片
不弹广告页面包括以下几种情况:
(1) 如果访问的是https网页,则不支持弹广告页面。
(2) 一个网页多次跳转后广告页面无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入。
其它情况不弹广告页面通过调试命令debug http hijack查看http请求是否匹配到流量劫持。
调试命令:debug http hijack
流量劫持广告弹出与网速带宽、广告过滤软件等都有关,网速慢的情况下图片加载就慢。
调试命令:debug http hijack
个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱)这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置,目前没有好的处理办法。建议,在域名白名单排除掉该网站
调试命令:debug http hijack
一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个,目前暂无法处理,建议:此类网站加入域名白名单排除掉该网站。
调试命令:debug http hijack
一些应用出现问题或者设备出现意外重启等问题,都会被日志记录下来(保证设备有硬盘或者充当硬盘的外置U盘),那么在排查问题的时候,日志收集是很重要的。
(1) 在web界面收集。
(2) 收集系统版本信息——web和命令行。
尽量使用命令行收集,使信息更清晰:display version。
(3) 使用Debug打印基本信息用来分析。
根据想抓取的应用或者服务进行debug调试信息(请参照debug手册进行);通过display log debug来收集信息。
(4) 从web界面收集一些日志信息,尽量找到离事件发生最近的日志来分析,选中可以复制到Word文档中,提供给后端人员进行分析。
表18-1 常用命令
|
命 令 |
说明 |
|
debug dp basic |
查看数据的基本处理转发流程 |
|
display log debug |
查看日志信息 |
支持
售前咨询
售后咨询
人工在线咨询
