- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath ACG1000系列应用控制网关
故障处理手册
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
路由模式设备部署在网络边界处,内网流量无法访问外网或无法使用某些服务等。
(1) 查看客户端IP等信息。保证用户IP地址正确。
(2) 检查接口地址是否正确,无法访问外网时内网间流量是否可以正常通信。
(3) 查看配置路由是否无误,网关地址、路由条目是否配置正确(首先保证客户端IP能够访问ACG网关,其次保证ACG设备访问外网默认路由可达)。
(4) 查看安全策略是否存在、匹配路由正确,默认策略是否放行。(排查是否因控制策略或者认证策略影响,可以临时将测试IP加入全局白名单,即设备对加入全局白名单用户报文不匹配任何策略)。
(5) 查看NAT配置,保证NAT映射正确。(注意:目的NAT 中目的地址禁止匹配any,如配置为any会造成网络中ARP冲突)。
表1-1 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看当前接口IP信息及接口状态 |
|
display ip route |
查看路由表中路由条目及下一跳接口地址 |
|
display running-config policy |
查看设备安全策略是否匹配及策略行为(permit/deny) |
|
display ip nat source rule |
查看设备NAT映射 |
使用透明模式设备时,内网用户无法访问外部网络。
(1) 查看客户端IP等信息,测试内网连通性。
(2) 查看设备接口状态是否开启。
(3) 检测桥接口配置信息,确认要通信的网段都划入了桥接口下。
(4) 排查是否因控制策略或者认证策略影响,可以临时开启透明转发模式进行排查。(通过命令bridge fdb-learning disable)相当于报文不匹配任何处理模块。
表1-2 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看当前接口IP信息及接口状态 |
|
display running-config interface |
查看当前所有接口下的动作 |
|
display running-config policy |
查看设备安全策略是否匹配及策略行为是否为放行(permit) |
查看设备监控日志无相应日志显示。
(1) 查看用户IP地址信息,无错误配置。
(2) 检查旁路模式接口启用情况。
(3) 查看用户地址对象匹配的网段是否正确。
(4) 检查安全策略是否被匹配。
表1-3 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看当前接口IP信息及接口状态 |
|
display running-config interface |
查看当前接口是否设置为旁路模式(deploy-mode listen enable) |
|
display running-config policy |
查看设备安全策略是否匹配及策略行为(permit/deny) |
|
display address |
查看地址对象网段是否正确匹配 |
版本升级包括软件和特征库文件升级,升级的方式存在多种,在不同场景的实际应用中,可能会存在多种多样的问题,下面详细介绍一下系统升级管理员实际操作中的故障定位思路和方法。
进行主程序升级,常见问题包括:
· Web界面下无法正常升级
· 命令行界面下无法正常升级
· Menuboot下无法正常升级
下面将详细介绍各种常见问题的定位方法。
(1) 首先检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 确保上传升级文件过程中网络正常,设备端需要提示上传成功。
(4) 升级文件上传成功后需要进行设备配置保存操作。
(1) 首先检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏, 连接设备端口正确。
(2) 检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 确定TFTP和FTP服务器正常,文件服务器路径设置正确。文件服务器登录名,密码与命令设置相同。
(4) 检查命令是否输入正确。
(5) 确保升级完成后 设备重启,用display version命令检查版本信息:
(1) 首先检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏, 连接设备端口正确。
(2) 检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 若设备无CF卡或CF卡中menuboot程序损坏,则需要在其它设备导入menuboot文件,例如,可以在连接设备的管理员PC上安装3Cdemon文件服务器,在menuboot中通过setenv serverip,setenv ipaddr,setenv loadfile menuboot.bin三个命令,分别设置文件服务器的IP地址,设备IP地址,与加载menuboot文件。
(4) 检查menuboot中各参数是否设置正确。
其它问题如网线等物理层问题导致升级失败的请注意检查,如有其它问题请联系设备售后人员或咨询售后服务电话。
设备系统在线运行时需要周期性的更新特征库,才能更好进行应用识别控制和流量控制。在设备无法正常与互联网进行通信的情况下,可通过WEB页面进行特征库手动升级。若设备可正常与互联网进行通信,则可通过设置定期自动从服务器更新最新的特征库。
(1) 首先检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 检查升级文件是否正确,版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 确定在上传进度条完成后,WEB界面提示上传成功,然后进行的下一步操作。
(1) 自动升级需要设备接入互联网,检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)。
(2) 检查升级文件是否正确,版本文件是从官网或者正规渠道获得的正确的升级文件。
(3) 检查外网线路网络质量是否正常,检查设备DNS 是否正确配置,若无配置,请将主备正确设置。
(4) 检查系统升级服务器,设定周期是否设置正常。
特征库升级的前提是已经购买并导入授权升级许可,如未购买则无法进行升级,购买授权许可证可以联系厂商相关销售人员。
如有其它问题请联系咨询售后人员。
不同场景的实际应用中,可能会存在多种多样的问题,下面详细介绍一下系统升级管理员实际操作中的故障定位思路和方法。
无法登录设备的Web管理页面。
(1) 管理员IP与设备IP需要在同一网段下或者路由可达。
(2) 需要检查确认设备内网访问接口的访问权限,访问权限参考如下:
¡ HTTPS:允许HTTPS访问管理;
¡ HTTP:允许HTTP访问管理;
¡ Ping:允许ping此接口地址,如不勾选情况下,路由可达ping不通。
(3) 检查网络连通性,确认网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通(接口开启ping模式下)。
(4) 确认设备是否使用HTTPS和HTTP的443和80标准端口。可通过命令https port default或http port default 恢复HTTP或HTTP的默认端口,或者通过命令display running-config查看相关配置。
(1) 检查浏览器是否正常,清理浏览器缓存,使用不同浏览器(IE11.0、Google Chrome、Firefox)进行访问。
(2) 检查在线管理员是否已满,可通过who 命令进行查看,可通过命令clear user NAME address X.X.X.X time DATE TIME 删除已登录的账户。
(3) 检查管理员IP是否在所登录账户的允许IP范围里。如果不在登录账户允许的IP范围内,登录时会报非法IP,通过命令display running-config可查看相关配置。
无法通过Console口登录设备的命令行。
(1) 检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏, 检查Console线两端连接设备端口正确(建议使用标准有线Console线,部分蓝牙Console针对部分特殊硬件设备容易出现乱码)。
(2) 检查管理员PC的COM端口是否正常。
(3) 检查超级终端配置正确,检查配置协议正确为“serial”,检查波特率配置正确为9600,Flow control均不勾选。
(4) 连接建立后按回车打印显示信息。
(5) 断电重启仍然无任何打印显示信息,需联系售后工程师解决。
无法通过Telnet,或者SSH方式的登录设备的命令行。
(1) 管理员IP与设备IP需要在同一网段下或者路由可达。
(2) 使用Telnet或者SSH登录时需检查登录的内网接口是否允许Telnet或者SSH服务。
¡ ssh:允许使用SSH方式管理。
¡ telnet:允许使用Telnet设备管理地址访问管理。
(3) 确认设备是否使用Telnet和SSH的23和22默认端口。通过命令display running-config可以查看相关配置,通过命令telnet port default或ssh port default 可以恢复Telnet和SSH的默认端口。
(4) 检查在线登录用户是否已满,可通过who 命令进行查看,通过命令clear user NAME address X.X.X.X time DATE TIME可以删除已登录的账户。
(5) 检查管理员IP是否在所登录账户的允许IP范围里,通过命令display running-config可查看相关配置。
如有其它问题请联系设备售后人员或咨询售后服务电话。
表3-1 常用调试命令
|
命令 |
使用说明 |
|
enable |
进入特权模式 |
|
configure terminal |
进入全局配置模式 |
|
display running-config |
查看所有配置(空格键翻页) |
|
save config |
保存当前配置 |
|
erase startup-config |
恢复出厂配置,需重启设备才能生效 |
|
reboot |
重启系统,重启前会提示是否保存当前配置 |
|
display version |
查看版本信息、系统运行时间、设备序列号/型号、功能授权状态等信息 |
|
display date |
查看系统当前时间(local time) |
|
display interface |
查看接口相关信息,包括IP地址、链路状态、MAC地址和工作模式 |
|
display cpu usage |
查看设备cpu使用率(当前值、1分钟/5分钟/15分钟平均值 |
|
display memory |
查看设备内存使用率(控制面、数据面) |
· 4核及以下设备转发会使用0核,其它设备0核仅用来管理。
· 到本地的报文都是0核处理。
· 当0核参与转发时,优先使用0核,这样就会看到0核cpu比较高。
设备在使用时出现卡顿情况,无法操作或者操作等待时间较长,平均CPU利用率未达到极限。
通过命令display cpu usage 查看CPU利用情况,发现CPU0的利用率达到近100%,其它CPU核利用率不高。
(1) 通过命令display statistics device-traffic seconds 查看设备转发流量是否达到推荐带宽瓶颈。
(2) 通过命令display ip connection statistics dest-ip any,查看到本地的报文是否过多,排在前面的目的IP,有没有是设备接口IP(可尝试将会话多的目的IP加入黑名单,排查是否因攻击引起)。
(3) host(config)# local unlistened drop enable,配置非监听端口丢包,将非监听端口的报文丢掉,不让cpu进行处理。关闭外网口不必要的管理方式,如非特殊需要,外网口只允许ping操作。
(4) 检查是否开启认证策略,如果开启认证策略,关闭HTTPS弹Portal,或关闭认证策略查看CPU是否有降低(通过命令user-policy https-portal disable 可关闭认证策略)。
(5) 如未解决,收集设备信息、配置文件、perf top信息,联系售后工程师处理。
设备带有硬盘,进入“数据中心>日志中心”,查看不到相关的审计日志,控制日志。
(1) 查看审计策略是否存在,注意用户any,源IP,目的IP等五元组信息匹配。
(2) 查看控制策略应用过滤,URL过滤是否配置了记录日志。
(3) 查看“系统管理>日志设定>日志过滤”是否配置了记录日志本地。
(4) 查看审计日志的地址对象是否在识别范围内,进入“用户管理>认证管理>高级选项”页面,查看识别范围配置。
(5) 开启非经功能后,匿名用户不做审计,需关闭非经或者开启匿名审计(通过命令anony_user log enable 开启匿名审计)。
(6) 检查流量情况,进入“数据中心>数据分析>会话监控”页面查看审计流量是否为全连接(半连接无法审计),路径不一致或者异常半连接会话会导致无法产生审计日志。
(7) 查看数据库是否异常,通过重置数据库,重启设备排除(通过命令recover database 重置后并重启)。此操作会导致历史日志数据丢失,配置和授权不受影响。
(8) 执行上述步骤后依然无法产生审计或者控制日志,可尝试连接Console,设备进行断电重启,进入menuboot,进行硬盘格式化。
(9) 如未解决,收集设备版本信息、配置文件、一键信息收集,联系售后工程师处理。
|
命 令 |
说明 |
|
debug database |
debug 数据库运行情况,输出数据库调试信息 |
|
debug audit |
该命令输出审计调试信息 |
可能是该接口没有开启对应的管理方式,此时必须通过串口连接设备,在命令行开启接口对应的管理方式,才能通过该接口正常访问设备。操作过程如下:
(1) 将串口线插入设备的console口,连接至PC并在PC端开启终端。
(2) 按键盘上的“Enter”键后,输入用户名和密码进入命令行配置界面。
(3) 进入接口视图,执行allow access命令设置接口的管理方式:ping、https。
如果是网桥模式,流量带vlan标签,可能是设备上没有配置子接口,需要配置子接口终结vlan。
如果忘记了设备管理接口的IP地址,可以使用串口工具登录设备的命令行操作界面,执行display interface 命令,查看接口的信息。
管理员首次登录时,系统会提示修改密码。如需要再次修改密码,则需要选择“系统管理
> 管理员 > 管理员”进入管理员配置页面,单击对应的管理员操作中的
按钮,在弹出框中输入旧密码和新密码,即可完成密码的修改。修改密码后需要使用新的密码重新登录。
用户忘记管理员密码导致设备无法进行登录管理。
(1) 重启设备,按ctrl+C进入menuboot
(2) 进入menuboot按选项4,即可重置管理员密码,默认为admin。显示“Reset admin password success”表示成功。
(3) 选择0重启设备
(4) 重新使用admin登录即可。
在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。
IE浏览器因对证书安全检验级别较高,公司私有证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备。
推荐使用火狐、谷歌浏览器(74.0以上版本)进行Web管理操作。
查看应用识别或应用统计集,查看不到正确的应用
(1) 执行display app-ident mode查看是否模式为关闭
(2) 如果性能条件允许修改识别模式为smart
访问网站,在web页面查看网站审计日志,未能查询到对应日志。
(1) 页面是否带有content-type,类型是否为text/html。
(2) HTTP返回码是否为200。
(3) 网页标题长度仅记录为128字符范围内(约为40-60个汉字)。
(4) URL长度是否小于512。
配置应用审计策略,在web页面查看应用审计日志,未能查询到日志。
(1) 执行display running policy命令,检查应用审计策略是否正确。
(2) 执行display log config命令,查看应用审计日志是否记录。
(3) 执行debug app audit detail 和 debug application identify两个调试命令后,执行display log debug+具体应用名称,如display log debug QQ,查看应用审计与识别的细节信息,判断是否识别与审计成功。
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况。
(5) 执行display ip connection protocol protocol-name ip source source-addr dest dest-addr,查看特定IP地址的会话的会话的AppName字段来确认是否为误识别。
在本地可以查看到应用审计日志,配置日志服务器后,在syslog服务器端未能收到日志。
(1) 执行display log config命令,查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确。
(2) Syslog服务器是否启动,端口是否与设备配置一致。
(3) 执行display ip route 命令,查看路由是否正确,ping服务器地址是否能ping通。
表6-1 故障诊断命令
|
命令 |
说明 |
|
display running policy |
显示应用审计策略 |
|
display log config |
显示日志配置情况 |
|
debug app audit detail |
应用审计细节信息 |
|
debug application identify |
应用识别细节信息 |
|
display log debug app-name |
查看特定应用的debug信息 |
|
display ip connection protocol protocol-name ip source source-addr dest dest-addr |
查看过滤特定地址的会话 |
|
display ip route |
查看路由信息 |
设备配置控制策略,配置要求放通某一应用,比如:钉钉以及相关应用,其他全部拒绝。实际上控制策略未生效,或未达到效果,即部分钉钉应用无法打开,也有出现部分非钉钉相关应用正常访问的情况。
(1) 查看控制策略用户any,源IP,目的IP等条件信息是否匹配。
(2) 检查该IP是否在全局白名单中。
(3) 检查该IP是否超出策略中调用的生效时间范围。
(4) 检查用户地址对象是否在识别范围内,进入“用户管理>认证管理>高级选项”页面,查看识别范围的配置。
(5) 控制策略的匹配条件中应用是否选择any (通常做应用过滤或者白名单,匹配条件需选择any,具体应用阻断还是放通,在应用过滤进行配置)。
应用过滤里除放通钉钉应用,还需放通:安全套接层协议(SSL),域名解析协议(DNS),传输层协议(TLS),多播名称解析(mDNS),STUN协议,NETBIOS会话服务,NETBIOS名称服务,NETBIOS数据报服务,阿里云,阿里云基础数据,钉邮,阿里旺旺远程,阿里通行证,Teambition以上应用(因为钉钉中关联或内嵌很多其他应用,特征库里一个应用无法完全定义),放通上述应用时并记录日志。
(6) 应用过滤最后一条过滤规则,需配置为拒绝所有,并记录日志。
(7) 当出现极少部分非钉钉相关应用出现正常访问时,为正常现象,因其报文匹配了被放通的相关协议,此时,可以结合单独通过自定义URL或者直接阻断IP的方式拒绝极少被放通的应用流量。
表7-1 故障诊断命令
|
命令 |
说明 |
|
display running-config policy |
显示控制策略的相关配置 |
|
debug policy |
该命令输出控制策略调试信息 |
配置了QoS带宽限制后发现远未达到所限带宽,流量就已不再增长,或者客户端IP某段时间速率超过每IP限速值,且波动较大。
(1) 查看流量策略是否存在,注意用户any,源IP,目的IP等条件信息是否匹配。
(2) 检查该IP是否在QoS排查策略或者全局白名单中。
(3) 检查该IP是否超过限速策略中调用的时间范围。
(4) 检查接口宽带与运营商提供实际带宽是否一致,如:运营商提供20M,QoS宽带配置30M,此时带宽已被运营商所提供宽带瓶颈所限制。
(5) 检查设备是否有多个公网出口,而该IP只在某一个上下行物理接口上做了限制。
(6) 执行display run qos-profile 查看是否有该IP 队列,正常情况下上下行都有1个队列。(或者display qos-profile statistics/display qos-profile,查看数据包在该QoS的队列情况)。
(7) 开启每IP或每用户限速,测速波动大,测速达不到限速,可通过命令qos perip cache-mode enable开启QoS缓存,观察此现象是否得到改善。
(8) 针对某网段限速,测速结果与实际不符时,可通过命令qos keep-order enable开启QoS保序功能。
(9) 如未解决,请收集设备版本信息、配置文件、一键信息收集,联系售后工程师处理。
报文未受QoS限制。
(1) 检查是否是本地报文。
(2) 检测报文是否为非IPv4/IPv6报文。
(3) 桥二层报文仅受物理接口的QoS限制,不受桥的QoS限制。
表8-1 故障诊断命令
|
命令 |
说明 |
|
clear qos-profile statistics |
在定位前先删除已存在的数据包统计 |
|
display run qos-profile |
显示qos的相关配置 |
|
display qos-profile |
显示qos接口下的详细包数量 |
|
debug qos config |
debug qos 相关配置 |
|
debug qos match |
查看流量匹配qos队列 |
|
debug qos drop |
所丢弃数据包由哪个qos队列丢弃 |
设备开启SSL解密,终端解密失败。
(1) 查看解密策略是否存在,注意用户any,源IP,目的IP等五元组信息匹配。
(2) 查看需要解密域名是否在解密策略的解密对象里(默认预定分类中仅包含主流域名,大部分互联网域名不包括,需要自定义)。
(3) 查看确认解密终端的DNS报文过设备,需终端DNS报文过设备,可通过tracert或者与现场维护人员确认。
(4) 查看确认设备是否配置DNS,进入“网络配置>基础网络>DNS服务>DNS服务器”页面配置,需配置终端访问外网接入运营商的DNS或者114.114.114.114。
(5) 查看确认设备是否能够访问外网,检查NAT及默认路由等,需保证设备自身能够访问外网或者解密对象的域名。
(6) 查看终端PC是否安装导入证书,Windows系统执行win+r 运行certmgr.msc 查看Windows本地证书情况,同时需证书安装在受信任的根证书颁布机构。
(7) 如未解决,请收集设备版本信息、配置文件、一键信息收集,联系售后工程师处理。
表9-1 故障诊断命令
|
命 令 |
说明 |
|
display sslproxy dns status |
查看解密对象域名对应进入解密流程的对应IP |
|
debug sslproxy decrypt |
该命令输出解密加密调试信息 |
|
debug sslproxy dns |
该命令输出解密域名dns报文调试信息 |
|
debug sslproxy forward |
该命令输出解密中数据报文转发调试信息 |
跨三层场景,用户绑定MAC未生效。
(1)查看是否开启SNMP同步(跨三层场景需开启SNMP同步功能)。
(2)确认SNMP已同步到用户对应真实MAC。
(3)确认SNMP同步的MAC与用户绑定的MAC一致。
(4)确认SNMP同步MAC地址配置为直连三层交换机的业务MAC(交换机物理口MAC可能与业务MAC不一致,可抓包确认)。
在设备上配置了认证策略,某终端访问网站时不弹认证页面。
(1) 查看认证策略中用户any,源接口,源IP,目的接口,目的IP等匹配条件是否正确匹配。
(2) 检查此终端IP是否加入全局白名单(全局白名单IP报文不匹配任何策略)。
(3) 检查测试时是否超出认证策略中调用的时间范围。
(4) 检查该终端IP对象是否在识别范围内,进入“用户管理>认证管理>高级选项”页面,查看识别范围的配置。
(5) 检查在设备上是否能ping通终端IP,认证Portal需要终端与设备通信,需保证路由可达(设备如果是三层部署,需配置回程路由至核心交换机,设备如果是二层部署,需保证网桥接口地址与终端能够通信,同时保证路径一致)。
(6) 开启访问HTTPS网站弹Portal,通过命令user-policy https-portal enable 开启(开启前可以访问网站进行测试)。
(7) 检查触发弹Portal的网站是否可访问,可通过先禁用认证策略,然后访问该网站。若不正常,请检查终端获取DNS是否正确,NAT和默认路由是否正确(目前设备支持80,443,8080端口的网页访问进行触发)。
(8) 检查设备弹认证页地址与终端IP通信时,是否存在二次过设备,需在认证策略源IP和目的IP 将弹Portal页面地址排除。
(9) 针对部分安卓手机能够弹Portal页面,IOS终端无法自动弹Portal页面情况,可通过命令cna enable 观察是否得到改善,同时使用不同IOS版本的手机对比测试。
(10) 如未解决,请收集设备版本信息、配置文件、一键信息收集,联系售后工程师处理。
设备配置了认证策略,终端上线后未进行认证仍然可以上网。
(1) 查看认证策略中用户any,源接口,源IP,目的接口,目的IP等匹配条件是否正确匹配。
(2) 检查此终端IP是否加入全局白名单。(全局白名单IP报文不匹配任何策略)
(3) 检查测试时是否超出认证策略中调用的时间范围。
(4) 检查该终端IP对象是否在识别范围内,进入“用户管理>认证管理>高级选项”页面,查看识别范围的配置。
(5) 查看设备在线用户列表里,此终端IP是否为匿名用户。
(6) 检查终端用户与设备之间是否存在跨三层场景,在未配置SNMP同步情况下,未认证用户以核心交换机MAC无感知上线
(7) 检查此终端IP是否匹配了静态绑定用户或用户组。
(8) 如未解决,请收集设备版本信息、配置文件、一键信息收集,联系售后工程师处理。
设备上配置了短信认证,短信认证时弹出短信认证页面,用户输入手机号点击“发送”后,提示“未知异常”等,无法获取验证码。
(1) 检查短信网关参数是否正确(参数均为短信商提供)。
(2) 检查设备与短信网关是否可达(可使用设备“系统诊断工具”探测短信网关)。
(3) 设备是否配置DNS,部分短信厂商网关为域名地址,设备需要解析对应域名。
(4) 认证策略中源目地址需排除设备带外管理地址,避免流量二次过设备导致认证失败。
在设备上配置了微信认证,终端用户进行微信认证时,通过公众号输入关键字或点击自定义菜单,无法完成认证。
(1) 检查微信认证参数是否与公众号平台参数一致。
(2) 检查设备与公众号平台是否网络可达。
(3) 查看设备是否配置DNS及域名管理(认证URL为域名时,需配置域名管理,IP配置为设备接口地址)。
(4) 检查公众号关键词参数,格式为<a href="http://x.x.x.x:port/">点我上网</a>。
(5) 如URL端口为80或 非标端口,需要与设备HTTP端口保持一致,并开启接口HTTP服务(推荐使用8008端口,使用该端口无需开启设备HTTP)。
· 原因可能是地址对象配置错误和下一跳配置错误。
· 解决方法:分清入口和报文源地址对象,并配置正确下一跳地址。
· 原因可能是错误配置了源接口、源地址、目的地址为any的策略路由导致。因为策略路由是优于所有其它路由的(包括直连路由),错误的配置了这条策略路由后,会改变本地始发的数据包的出接口。
· 解决方法:分清入口和报文源地址对象,精确匹配策略路由引用的地址对象,尽量不要使用any。
当使用双ISP路由接入时,一段链路down掉,流量无法通过另一条链路访问外网。
(1) 查看ISP路由配置,保证ISP双运营商路由配置正确。
(2) 检查缺省路由配置,保证在路由表中拥有双ISP的缺省路由。
(3) 查看源NAT另一侧ISP路由出口填写正确。
表12-1 故障诊断命令
|
命 令 |
说明 |
|
display ip route |
查看当前设备路由表 |
|
display ip nat source rule |
查看当前设备NAT配置信息 |
配置ISP路由后用户可以在内网互访,不能访问互联网。
(1) 检测地址对象所选网段是否配置正确。
(2) 查看路由表中是否存在双ISP的缺省路由。
(3) 查看源NAT地址对象是否配置正确。
(4) 查看安全策略是否放行匹配流量。
表12-2 故障诊断命令
|
命 令 |
说明 |
|
display address |
查看地址对象所匹配的网段 |
|
display ip nat source rule |
查看当前设备NAT配置信息 |
|
display ip route |
查看当前设备路由表 |
|
display running-config policy |
查看策略配置是否正确引入“地址对象” |
IPsec VPN的主要问题定位手段是查看IPsec的配置、第一阶段SA的协商状态、第二阶段SA的协商状态、IPsec协商的调试命令、检查路由、查看策略是否引用IPsec、感兴趣流是否一致等等。下面详细介绍一下IPsec VPN在典型应用场景中的故障定位思路和方法。
IPsec VPN在基于策略的使用时,常见问题包括:
· 第一阶段协商不成功;
· 第二阶段协商不成功;
· 保护子网不能通信;
· IPsec协商起100条隧道,还有一部分没协商成功;
· 某些移动终端接入VPN不成功;
· NAT环境下IPsec协商不成功;
· IPsec建起连接后,一端断开后,IPsec无法协商;
· 本端SA状态显示连接,流量无法转发;
· 当设备存在多出口时,其它参数正确,IPsec协商失败;
· IPsec使用国密证书协商不成功;
· 发起方保护子网范围比响应方子网范围大,二阶段无法协商成功;
下面将详细介绍各种常见问题的定位方法。
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。其次检查路由,查看对端是否可达。如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
调试命令:debug ipsec-VPN debug。
第二阶段协商不成功,首先可以检查IPsec的配置,查看两端的配置是否一致。检测感兴趣流,查看两端的感兴趣流是否一致。检测路由,查看对端是否可达。若是基于tunnel口,查看是否配置tunnel口的路由。
调试命令:debug ipsec-vpn debug。
查看感兴趣流的方向性配置是否正确。隧道模式,查看是否配置策略。
若是感兴趣流的问题,可以通过以下命令查看:
· display ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条,超过的不能协商成功。
有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。同时手机发起的加密算法也各有不同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,以及对端发来的加密算法是否与设置中的一致。
搭建IPsec的环境中间有过NAT并且配置了AH认证导致IPsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPsec可以协商成功。
IPsec断开后对端设备并没有吧原先建立好的SA清除,就不再接受再次发起的协商请求,导致无法建立连接。解决方案:
(1) 在对端设备手动删除SA。
(2) 双方启用DPD检测。
建议使用方案2。
问题原因:
· 对端手动清除了SA;
· 对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接。
排错:
· 双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
· 一阶段启用DPD检测。
当有多出口时,需要指定用于建立IPsec的本端IP地址。如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
IPsec认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。协商不成功需要检查本端证书与对端证书是否导入正确。
当IPsec发起方保护子网范围比响应方子网范围大,二阶段无法协商成功。此时需要修改IPsec保护子网范围一致。
IPsec快速配置的主要问题定位手段是查看IPsec的配置、第一阶段SA的协商状态、第二阶段SA的协商状态、IPsec协商的调试命令、检查路由等,由于IPsec配置被大大简化,一二阶段的配置均是自动生成,默认参数一致,且不支持修改。所以出现协商不起来的问题主要从配置检查和网络连通性方面着手。下面详细介绍一下IPsec VPN在典型应用场景中的故障定位思路和方法。
IPsec快速配置在使用中,常见问题包括:
· 第一阶段协商不成功
· 保护子网不能通信
· IPsec建起连接后,一端断开后,IPsec无法协商
· 网段映射不生效
· 监控页面隧道名称为空
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。其次检查路由,查看对端是否可达。
调试命令:debug ipsec-VPN debug
1、保护子网之间不能通信,查看下两端是否配置了保护接口或保护子网,并查看下是否生成了保护子网的路由。2、检查两分支是否存在保护子网冲突,导致后接入的分支在中心端的路由覆盖了先接入的分支端设备的路由,解决分支网段冲突建议更改分支保护子网或者使用网段映射功能。
调试命令:display ip route
IPsec断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。解决方案:1、在对端设备手动删除SA 2、双方启用DPD检测。建议使用方案2。
调试命令:debug ipsec-vpn debug
分支端有选路策略,需要配置线路名称和对应的IP,该线路名称会同步给中心端设备,显示为监控页面中的隧道名称,默认情况下不配置选路策略,就会出现隧道名称为空的情况,不影响功能,如果要显示名称,则在选路策略中定义线路即可。
调试命令:debug ipsec-vpn debug
无法Ping通对端的IPv6地址。
(1) 在enable模式下,用display ipv6 interface命令检查接口配置的IPv6地址是否正确,接口状态是否为up。
(2) 使用debug ipv6 packet命令打开IPv6报文调试开关,根据调试信息进行判断。display log debug查看具体信息。
发送前缀路由,对端PC无法接收到。
(1) 首先查看本地网卡是否已经接收到另一个前缀地址,并排查本地网络中是否有发送多个前缀的设备。
(2) 将网卡禁用再启用,再次获取查看。
手动隧道配置后,无法正常通信。
(1) 手动隧道的源地址和目的地址都需要手动配置。
(2) 查看安全策略配置是否正确。
(3) 查看IPv6和IPv4路由是否正确。
6to4自动隧道配置后,无法正常通信。
(1) 首先分析设置的6to4隧道采用的地址是否正确,因为这个地址是一个特殊的地址,需要将IPv4公网通信接口的IPv4地址转化为16进制的IPv6,o为2002:A.B.C.D::/64+EUI-64格式,其中2002表示固定的IPv6地址前缀,A.B.C.D::/64表示该6to4隧道对应的32位全球唯一的IPv4 源地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:A.B.C.D::/64之后的部分唯一标识了一个主机在6to4网络内的位置。要算换一下此IP是否正确。
(2) 查看安全策略配置是否正确。
(3) 查看IPv6和IPv4路由是否正确。
IPv6 ISATAP自动隧道配置后,无法正常通信。
(1) 首先要检查ISATAP隧道地址是否添写正确,这里的ISATAP隧道地址是经过换算得来的,使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP 地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:IP-address。其中,64位的Prefix为任何合法的IPv6单播地址前缀,IP-address为32位IPv4源地址,换算成16进制后添在IPv6的后32位中。
(2) 路由前缀是否通信成功,在本地网卡上查看,可在PC端使用wireshak抓包。
(3) 查看安全策略配置是否正确。
(4) 查看IPv6和IPv4路由是否正确。
VRF配置后无法通信。
按照标准配置手册文档多次检查配置是否正确,例如排查路由、安全策略是否正确。若配置没有问题,错误依然存在,将配置导出并发给技术支援处理。
OSPF邻居关系无法正常建立。
如果物理连接和下层协议正常,则检查接口上配置的OSPF参数,必须保证与相邻路由器的参数一致,区域号相同,网段与掩码也必须一致(点到点与虚连接的网段与掩码可以不同)。
(1) 使用display ip ospf neighbor命令查看OSPF邻居状态。
(2) 使用display ip ospf interface命令查看OSPF接口的信息。
(3) 检查物理连接及下层协议是否正常运行,可通过ping命令测试。若从本地设备Ping对端设备不通,则表明物理连接和下层协议有问题。
(4) 检查OSPF定时器,在同一接口上邻居失效时间应至少为Hello报文发送时间间隔的4倍。
(5) 如果是NBMA网络,则应该使用peer ip-address命令手工指定邻居。
(6) 如果网络类型为广播网或NBMA,则至少有一个接口的路由器优先级大于零。
OSPF不能发现其它区域的路由。
应保证骨干区域与所有的区域相连接。若一台设备配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的设备不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有设备都应将此区域配置成Stub区域。
(1) 使用display ip ospf neighbor命令查看OSPF邻居状态。
(2) 使用display ip ospf interface命令查看OSPF接口的信息。
(3) 使用display ip ospf database查看数据库的信息是否完整。
(4) 使用display running-config ospf命令查看区域是否配置正确。若配置了两个以上的区域,则至少有一个区域与骨干区域相连。
(5) 如果某区域是Stub区域,则该区域中的所有设备都要配置stub命令;如果某区域是NSSA区域,则该区域中的所有设备都要配置nssa命令。
(6) 如果配置了虚连接,使用display ospf vlink命令查看OSPF虚连接是否正常。
查看OSPFv2邻居关系显示邻居关系已经full状态。但无法学习由OSPF邻居传递的路由。
(1) 查看OSPF接口网络类型,保证建立邻居的接口在相同的网络类型内。
(2) 查看OSPF进程是否配置了distribute路由过滤。
(3) 查看OSPF进程是否设置了域间路由汇总not-advertise不通过路由。
(4) 查看OSPF进程是否设置了重分布路由不通告。
查看OSPFv3邻居关系时无任何显示,无法与相邻设备建立OSPFv3邻居关系。
(1) 查看双方直连接口IPV6地址,确定直连IPV6地址在相同网段内。
(2) 查看OSPFv3接口,保证建邻接口在相同area内。
(3) 检查建邻设备router-id是否冲突。
(4) 查看建邻接口OSPF hello time和dead time相同。
(5) 查看建邻接口MTU是否一致,MTU一致后邻居关系才可到达full状态。
OSPFv3邻居关系正常达到full状态,但是无法从OSPFv3邻居学习其它路由条目。
(1) 查看OSPFv3口网络类型,保证建立邻居的接口在相同的网络类型内。
(2) 查看OSPFv3进程是否设置了域间路由汇总not-advertise不通过路由。
(3) 查看OSPFv3进程是否设置了重分布路由不通告。
HA在主备场景下使用时,常见问题包括:
· HA无法协商
· HA主备无法切换
· HA无法同步
下面将详细介绍各种常见问题的定位方法。
要求作为HA的两台设备为同一个硬件型号、同一软件版本,选择同样的接口作为HA接口配置了抢占模式必须在主设备和备设备上分别配置,一台设备配置为抢占主,一台配置为抢占备。否则HA无法协商
· 备设备有接口处于down状态。
· 配置了抢占模式的HA设备无法手动切换HA状态。
· 两台设备型号或版本不同,不同型号的设备接口数目可能不一样,这样配置永远不相同。
· 某个需要License的模块主设备有而备份设备没有License或已过期,这可能导致配置不同。
· 未开启自动同步功能,导致主备配置不同。
· 在HA主设备上重启对端的备设备。HA备设备可能出现配置和主设备冲突,无法同步的情况。这时可以重启备设备,使备设备抛弃错误配置,使用同步过去的最新配置。
表15-1 HA常用调试命令
|
命令 |
说明 |
|
debug ha error |
查看HA错误信息 |
|
debug ha event |
查看HA事件信息 |
|
debug ha filesync |
查看HA队列信息 |
|
debug ha recv |
查看HA发包信息 |
|
debug ha send |
查看HA收包信息 |
|
debug ha session |
查看HA会话信息 |
|
debug ha sync |
查看HA同步状态信息 |
|
debug ha recv |
查看HA发包信息 |
设备配置HA并且关联track,主备频繁切换。
(1) 设备上查看track状态主要看超时时间和间隔设备
(2) 设备上HA是否配置了自动抢占
(3) Track超时时间建议配置默认值10*4
(4) 关闭HA抢占
设备配置HA并且在主备墙都关联track,导致主备无法切换。
(1) 设备备墙上查看HA配置
(2) 设备备墙上查看HA所关联track状态是否为Failed
(3) 设备备墙查看引用的track对象的探测目标是从哪个接口出去的
(4) 设备备墙在探测目标的接口下配置管理IP地址
表15-2 故障诊断命令
|
命 令 |
说明 |
|
display running-config ha |
查看HA配置 |
|
display track name |
查看track详细信息 |
系统异常时、掉电时接口没有切换到Bypass状态。
正常情况下Bypass模块的触发机制分为硬件触发与软件触发,例如当设备没有通电的情况下,Bypass功能会调整为开启,如果设备一旦通电后,系统启动成功时,Bypass立即调整为关闭状态。当系统启动成功后,由于系统故障异常会导致重启时,Bypass功能会调整为开启状态。当系统运行正常,突发掉电情况下,Bypass软件会调整为开启状态。
(1) 当发现Bypass异常,首先需要判断接口是否属于同一Bypass接口。
(2) 当判断网线插口属于正确的Bypass接口对时,查看当前配置是否为桥模式,因为Bypass仅对二层转发生效,不对三层模式生效。
(3) 由于Bypass属于芯片集成功能,由于硬件芯片所属环境如潮湿,干燥,静电也会导致芯片异常功能失效。
出口设备使用带宽比的链路负载均衡不生效。
(1) 查看负载均衡是否开启
(2) 检查属于负载均衡组下的接口状态是否UP
(3) 检查负载均衡组下路由状态是否生效
(4) 检查路由的多下一跳出口是否分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡
带宽比的负载方式,负载不准确。
表15-3 故障诊断命令
|
命 令 |
说明 |
|
display mllb-group NAME |
|
|
display running-config mllb-group |
查看负载均衡组配置 |
|
display interface |
查看设备安全策略是否匹配及策略行为是否为放行(permit) |
|
display ip route |
查看路由状态 |
配置了会话限制,但是并没有对配置的地址对象下的会话进行限制。
由于配置的地址对象的对应的会话已经建立的数量大于配置的限制的会话数,导致并不能看到会话限制的效果。
比如配置会话限制数为30,每秒新建限制为10。
图16-1 会话限制配置
查看限制阻断,没有记录(此时60.1.1.2地址对象所对应的流量保持的会话数为50)。
图16-2 会话限制阻断
查看当前会话统计,60.1.1.2会话数大于30。
图16-3 会话统计
如果该地址对象的会话一直有流量的话,会话不会老化,可以在命令下清除当前的会话,即可进行正常的会话限制。如果该地址对象的会话没有流量,可以等候会话老化,之后便能看到会话限制的效果。
host# clear ip connection all
再查看阻断记录,能够正常阻断。
图16-4 清除会话后的阻断记录
表16-1 故障诊断命令
|
命令 |
说明 |
|
clear ip connection all |
清除当前已经建立起来的会话 |
· 设备开启了DNS代理功能,并且配置了DNS服务器。
· 客户端配置设备为DNS服务器,但是在发出DNS请求后收不到响应。
查看CPU是否过高,DNS代理的过程通过CPU0来处理,CPU0用作CP,当CPU0偏高时,会产生丢包,执行display cpu usage命令查看CPU占用情况。
查看是否是内存不足导致丢包,设备分配了一定的内存来作为DNS请求和转发的缓冲,大小约为400K,客户端产生大量DNS请求时,将导致用于缓冲的内存部分用尽,产生丢包;命令为debug dp drop,display log debug。
图16-5 查看是否是内存不足导致丢包
查看是否是FPA泄露,FPA主要负责分配收发报文过程中的packet work entry以及packet 的data buffer,设备的上的FPA存在于FPA0-FPA3上,数值会有上下浮动但不会持续下降,当FPA泄露完之后导致设备不会转发报文,命令display statistics fpa。
表16-2 故障诊断命令
|
命令 |
说明 |
|
debug dp drop |
查看转发过程中的丢包情况 |
|
display cpu usage |
查看CPU 使用情况 |
|
display log debug |
查看debug产生的日志 |
|
display statistics fpa |
查看fpa状态 |
配置了入侵防御后发现无法拦截IPS攻击流量。
(1) 查看事件集是否被策略引用并开启规则。
(2) 查看事件集是否勾选正确。
(3) 查看流量匹配策略是否为配置策略。
表16-3 故障诊断命令
|
命令 |
说明 |
|
debug dp basic |
查看流量命中策略 |
|
display running-config ips |
查看ips配置信息 |
|
debug ips detect /event |
Debug ips攻击情况/debug ips 攻击事件 |
|
debug ip packet receive |
debug收到的数据包 |
|
debug ip packet send |
debug转发的数据包 |
|
debug dp filter |
设置debug过滤器 |
配置了AV防护后发现无法拦截AV病毒。
(1) 是否升级最新病毒库。
(2) 病毒类型是否为zip压缩文件。
(3) 是否被策略引用并命中策略。
表16-4 故障诊断命令
|
命令 |
说明 |
|
debug dp basic |
查看流量命中策略 |
|
display run av |
查看av配置信息 |
|
debug av event |
Debug av 事件记录 |
|
debug av file |
Debug av 文件 |
|
Debug av scan |
Debug av 扫描过程 |
配置了DoS攻击防护后发现无法拦截DoS攻击流量。
(1) 执行display running-config defend检查设置的DoS攻击防护是目的IP防御还是接口防御,其中目的IP防御是全局生效的,而接口防御仅对被设置的接口生效。
(2) 如果设置的是目的IP防御,检查该IP是否在设置的保护主机范围内。
(3) 如果设置的是接口防御,该接口是否是DoS攻击的入接口。
表16-5 故障诊断命令
|
命令 |
说明 |
|
display statistics interface |
查看所有端口的统计信息 |
|
display running-config defend |
查看安全防护配置信息 |
|
debug ip defend attack |
debug安全防护丢包信息 |
|
debug ip packet receive |
debug收到的数据包 |
|
debug ip packet send |
debug转发的数据包 |
|
debug dp filter |
设置debug过滤器 |
安全策略开启URL过滤后,某些网站无法访问,查看恶意URL日志,发现网页被阻断。配置了恶意URL白名单后重新访问网站还是不能访问。
(1) 查看访问的网站URL是否填写正确。
(2) 查看恶意URL日志,访问的网站是否有记录。
(3) 查看配置的恶意URL白名单是否正确,恶意URL白名单为精确匹配
(4) 修改恶意URL白名单后,重新访问网站
|
命 令 |
说明 |
|
display malware_whitelist |
查看恶意URL白名单配置 |
|
malware-url url |
添加恶意URL白名单 |
无法使用新建的管理员账户登录设备。
(1) 查看新建管理员用户名、密码配置(可以使用默认的admin账户登录)。
(2) 查看新建管理员是否配置管理IP地址。
(3) RADIUS、LDAP服务器是否正常。
表16-6 故障诊断命令
|
命 令 |
说明 |
|
display amdin-user(管理员名称) |
查看设备中该管理员是否存在及用户类型、用户状态、管理地址、管理员权限 |
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)
· 使用FTP方式下载版本文件,版本下载失败
· 使用HTTP方式下载版本文件,版本下载失败
(1) FTP服务器是否开启,PC端需要关闭防火墙。
(2) 查看版本文件是否放在FTP服务器正确的目录下。
(3) 查看FTP服务器是否设置了登录口令。
(4) 设备端下载版本文件名是否正确。
(5) 下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
(6) HTTP服务器是否开启,PC端需要关闭防火墙。
(7) 查看版本文件是否放在了HTTP服务端的目录下。
(8) 设备端下载版本文件名是否正确。
(9) 下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载, 需要重头开始下载)。
设备配置RADIUS/LDAP第三方认证后访问外网无法重定向到认证页面。
(1) 设备上控制控制策略是否将流量拒绝。
(2) 查看设备上的用户策略是否正确。
(3) 查看设备上的路由配置是否正确。
表16-7 故障诊断命令
|
命 令 |
说明 |
|
display running-config policy |
查看设备中控制控制策略 |
|
display user-policy |
查看设备中用户策略 |
|
display ip route |
查看设备中路由配置相关信息 |
设备配置RADIUS/LDAP第三方认证后,在重定向页面内输入正确的用户名、密码,点击登录,页面提示“用户名或密码错误”。
(1) 在命令行debug aaa events,根据相应的debug信息查看认证失败的原因,包括服务器没有回应、服务器密码错误、用户名或密码错误。根据这些相应的原因查看是否拓扑或路由错误导致服务器没有回应;RADIUS服务器密码是否错误;输入的用户名及密码是否正确,此用户在RADIUS/LDAP服务器上是否存在。
(2) 查看相应的系统日志,查找故障原因。
表16-8 故障诊断命令
|
命 令 |
说明 |
|
debug aaa events display log debug |
查看认证失败的相应debug信息 |
|
display log event all |
查看设备关于认证失败的日志信息 |
(1) 检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2) 管理员IP与设备IP需要在同一网段下。
(3) 需要按照管理员需求,需改接口的访问权限,访问权限参考如下:
· https:允许HTTPS访问管理。
· http:允许HTTP访问管理。
· ssh:允许使用SSH方式管理。
· telnet:允许使用Telnet设备管理地址访问管理。
· ping:允许Ping此接口地址,如果不勾选,路由可达情况下Ping不通。
(4) 检查浏览器是否正常。
在Web登录系统管理员账号后,看不到任何模块。
(1) 登录权限管理员账号,查看是否给该系统管理员分配相应模块的权限。
(2) 如果权限管理员只给该系统管理员分配了CLI权限,那么登录系统管理员账号也不会显示该模块。
(3) 如果权限管理员只给该系统管理员分配了应用审计日志、网站访问日志模块,当设备没有硬盘时,那么登录系统管理员账号也不会显示该模块。
网络连通的情况下,服务质量条目探测结果一直为0。
(1) 查看接口物理线路是否ok
(2) 是否有去往探测目标的路由
(3) 如果服务质量管理探测的对象为域名,是否在设备上配置了DNS。当探测内网DNS服务器时,需要将设备DNS服务器指向内网DNS服务器;探测外网的知名DNS时,首先确定设备是否配置了DNS服务器。
表16-9 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看设备接口状态 |
|
display ip route |
查看是否有去往目标的路由 |
|
display running-config dns |
查看是否配置DNS功能 |
后台执行display flow-account statistics可以查看到后台信息具体内容。
表17-1 故障诊断命令举例
|
命令 |
说明 |
|
display flow-account statistics |
查看应用/用户流量统计具体信息内容 |
|
WorkState: enabled |
当前功能开启 |
|
AccountPeriod: 1(centi-seconds) |
统计周期为百万分之一秒 |
|
UserLost: 0 |
用户(IP或实名认证用户)没有统计出来的数据会显示在此行 |
|
UserTopOut: 0 |
用户没有进入TOP的数据报文计数 |
|
UserTopOldIn: 250 |
用户首次进入TopN统计的报文数量(N为不同硬件规格规定的上限) |
|
UserTopNewIn: 198 |
后进入TopN的用户统计的报文数量(将首次进入ToP的数据顶出) |
|
UserOverflow: 0 |
应用/用户流量统计保存的二维表(用户的应用)用户维度统计溢出计数,另一个是二维表应用维度统计溢出计数 |
|
AppLost: 0 |
用户应用没有统计出来的数据会显示在此行 |
|
AppTopOut: 0 |
应用没有进入TOP的数据报文计数 |
|
AppTopOldIn: 322 |
应用首次进入TOP时的报文计数 |
|
AppTopNewIn: 126 |
后进入TOPN的应用统计报文数量(将首次进入ToP的数据顶出) |
|
AppOverflow: 0 |
应用/用户流量统计保存的二维表(应用的用户)应用维度统计溢出计数 |
|
MemLack: 0 |
内存分配失败的报文计数 |
设备配置接口联动,track目标为下一跳地址,在该接口关联track对象,track失败后,接口无法up。
(1) 设备上查看接口状是否为TD(track-down)。
(2) 如果不是TD的话查看接口物理线路是否ok。
(3) 如果是TD的话查看track对象的下一跳是否为直连接口。
(4) 确定track对象下一跳是直连接口后,在接口下删除track。
表18-1 故障诊断命令
|
命 令 |
说明 |
|
display interface |
查看设备接口状态 |
|
display running-config interface |
查看接口下关联的track |
|
display track name |
查看track详细信息 |
|
display running-config ha |
查看HA配置 |
设备配置策略后无法访问外网。
(1) 是否有去往外网的默认路由。
(2) 是否配置了源NAT。
(3) 设备上控制策略是否将流量拒绝。
表19-1 故障诊断命令
|
命 令 |
说明 |
|
display running-config policy |
查看设备中控制策略 |
|
display address |
查看设备中地址对象 |
|
debug policy |
查看设备中策略匹配信息 |
|
debug app audit detail |
查看设备中具体应用规则和URL规则匹配信息 |
设备配置Portal认证后访问外网无法重定向IMC Portal认证页面。
(1) 设备上控制策略是否将流量拒绝。
(2) 查看地址对象是否配置正确。
(3) 用户策略中目的地址是否排除了IMC服务器地址、认证方式是否正确。
(4) 设备中Portal Server页面的认证URL填写是否正确。
表20-1 故障诊断命令
|
命 令 |
说明 |
|
display running-config policy |
查看设备中控制策略 |
|
display address |
查看设备中地址对象 |
|
display user-policy |
查看设备中用户策略 |
|
display running-config user-portal-server |
查看设备中Portal Server配置信息 |
· 设备配置Portal认证后,在重定向页面内输入正确的用户名、密码、服务类型,点击上线,页面报错“设备拒绝请求”。
· 设备配置Portal认证后,在重定向页面内输入正确的用户名、密码、服务类型,点击上线,页面报错“向设备发送请求超时”。
(1) 查看Portal Server配置是否调用了正确的RADIUS服务器。
(2) 查看RADIUS服务器中服务器地址、服务器密码、端口是否配置正确。
表20-2 故障诊断命令
|
命 令 |
说明 |
|
display running-config user-portal-server |
查看设备中Portal Server配置信息 |
|
display radius-server |
查看设备中RADIUS服务器配置信息 |
设备接入成功后,特定的用户未在用户中心显示。
(1) 检查当前用户中心的用户是否超过规格限制。
(2) 若用户数达到规格,可以通过清除用户的内存缓存,使其识别新的用户。
(3) 若用户未达到规格,用户很多时,需要等几分钟再查看,因为用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。
表21-1 故障诊断命令
|
命 令 |
说明 |
|
display capacity |
查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制 |
|
clear ucc user |
清除用户的内存缓存,使其识别新的用户,此时用户中心的页面显示的用户数会比规格数多 |
用户登录QQ,账号可以记录到时间轴上,当该qq掉线,重新登录时,该行为不能被记录到时间轴上。
特定的时间间隔达到时,相同的应用才能再次被记录到时间轴上。
· 即时通讯类:时间间隔为1天,也就是1天内时间轴上只会记录不同即时通讯应用。
· 搜索类:时间间隔为2分钟
· 社区类:时间间隔为1分钟
· 邮件类:时间间隔为1分钟
· 视频类:时间间隔为30分钟
· 文件传输类:时间间隔为150秒
· 电子商务类:时间间隔为150秒
流量劫持的主要问题定位手段是查看流量劫持的配置以及debug调试命令。下面详细介绍一下流量劫持在典型应用场景中的故障定位思路和方法。
流量劫持在使用中,常见问题包括:
· 有时候不弹广告页面
· 广告页面弹速度较慢
· 访问网页被重置
· 同一个页面弹出多个广告图片
不弹广告页面包括以下几种情况:
(1) 如果访问的是https网页,则不支持弹广告页面。
(2) 一个网页多次跳转后广告页面无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入。
其它情况不弹广告页面通过调试命令debug http hijack查看http请求是否匹配到流量劫持。
调试命令:debug http hijack
流量劫持广告弹出与网速带宽、广告过滤软件等都有关,网速慢的情况下图片加载就慢。
调试命令:debug http hijack
个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱)这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置,目前没有好的处理办法。建议,在域名白名单排除掉该网站
调试命令:debug http hijack
一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个,目前暂无法处理,建议:此类网站加入域名白名单排除掉该网站。
调试命令:debug http hijack
一些应用出现问题或者设备出现意外重启等问题,都会被日志记录下来(保证设备有硬盘或者充当硬盘的外置U盘),那么在排查问题的时候,日志收集是很重要的。
(1) 在web界面收集。
(2) 收集系统版本信息——web和命令行。
尽量使用命令行收集,使信息更清晰:display version。
(3) 使用Debug打印基本信息用来分析。
根据想抓取的应用或者服务进行debug调试信息(请参照debug手册进行);通过display log debug来收集信息。
(4) 从Web界面收集一些日志信息,尽量找到离事件发生最近的日志来分析,选中可以复制到Word文档中,提供给后端人员进行分析。
表23-1 常用命令
|
命 令 |
说明 |
|
debug dp basic |
查看数据的基本处理转发流程 |
|
display log debug |
查看日志信息 |
设备使用无线非经功能,无非经日志产生。
(1) 检查设备是否带有硬盘,无硬盘设备不支持无线非经功能。
(2) 查看审计策略,注意用户any,源IP,目的IP等五元组信息匹配。
(3) 查看审计日志的地址对象是否在识别范围内(进入“用户管理>认证管理>高级选项”页面,查看识别范围的配置)。
(4) 查看“系统管理>日志设定>日志过滤”页面是否配置了记录日志本地。
(5) 开启非经功能后,匿名用户默认不做审计,经过上述排查后需确保设备有审计日志(若无审计日志,不会产生非经日志)。
(6) 配置相关认证策略,查看“数据中心>日志中心>终端日志>用户上下线认证”,确认存在用户上下线日志,若无用户上下线日志,不会产生非经日志的用户上下线日志。
(7) 检查是否配置场所,AP配置和上报周期以及是否产生应用关系对照表(可以重新提交厂商生成关系对照表)。
(8) 检查对接文档版本,此版本参数不可任意填写,需与实际对接规范文档版本一致(比如任子行对接版本1.0.1或1.0.1_QY等)。
(9) 检查非经日志是否开启组过滤功能,wxfj-pass-switch disable 命令默认是关闭状态,当开启用户组过滤功能后,需要配置相应的用户组,只有已配置的用户组才会产生非经审计日志并上报给对接平台。
(10) 如果非经日志数据中某用户AP MAC信息与实际不符时,非经场所配置中添加AP时需明确AP地址范围。(通过命令ap ipmac enable开启AP地址范围匹配,如果AP绑定范围不配置,默认any,则所有用户AP MAC信息会使用第一个AP上的AP MAC信息,如果地址范围是精确,则会匹配关联到对应AP上)。
(11) 如未解决,请收集设备版本信息、配置文件、一键信息收集,联系售后工程师处理。
表1-1故障诊断命令
|
命 令 |
说明 |
|
display wxfj-log-cnt |
显示无线非经日志相关统计计数 |
|
display wireless-count |
显示无线非经日志上报文件统计 |
|
debug fj base |
诊断非经基础信息 |
|
debug fj file |
诊断非经上传相关文件日志 |
支持
