- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath GAP2000-CN[E][AK82X0]系列安全隔离与信息交换系统
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
1.1. SecPath GAP2000插卡是否支持热插拔?
2.4. FTP应用,网闸通道可以停启用,两边连通性也没问题,但是应用不通怎么办?
2.5. oracle应用,网闸通道可以停启用,两边连通性也没问题,但是应用不通怎么办?
2.9. SIP_UDP通道直接停用通道后变更通道方向,注册会无法成功。
2.10. SIP通道配置后,信令中的码流接受地址未替换成网闸自身IP,怎么办?
2.11. 网闸运行一段时间后业务不通,重启通道恢复,多次出现类似情况怎么办?
2.12. 配置TCP通道访问HTTP应用时,两边能够建立TCP会话,但是应用层数据无法交换,业务访问无法实现(页面显示不全或下载内容不完整)如何判断问题?
2.13. 网闸设备内存使用率较高,影响正常业务访问怎么办?
2.16. 网卡绑定为主备模式,对端设备配置为三层接口聚合模式,业务不通怎么办?
2.18. 过网闸访问服务器web界面异常,测试使用http和tcp类型通道都无法访问,跨过网闸使用正常怎么办?
2.19. 数据库数据同步至目的端后出现部分数据有乱码怎么办?
2.21. 设备web访问不通或者升级版本、配置通道均有报错怎么办?
2.24. 数据库同步应用运行一段时间后对数据库侧进行扩容操作(如表空间),扩容后数据库数据无法同步怎么办?
2.25. 网闸修改/删除绑定网卡时提示“绑定网卡正在被使用”,无法操作怎么办?
2.27. 原有的一个数据库不用了需要使用新的数据库,在删除旧的数据表时提示删除失败,等了很久也还无法删除成功,怎么办
H3C SecPath GAP2000-CN[E][AK82X0]系列安全隔离与信息交换系统 用户FAQ
本文档介绍H3C SecPath GAP2000-CN[E][AK82X0]系列安全隔离与信息交换系统的用户常见问题及解答。
不支持。
拔掉电源后数秒,等充分放电后再重新接上电源线,尝试开机。
登录admin账号选择网络检测工具>网络诊断>内部通讯链路查询,点击查询按钮进行设备内部通讯状态的查询。
登录进网闸停用再启用通道,如果通道启用过程中存在错误,请联系售后部门。如果能够正常停用再启用通道,则说明网闸内部通讯没有问题,通常问题都出在两端网络或网闸配置上。
需要分两段检查网闸两边网络问题,从客户端到网闸之间排查网络问题,以及从网闸到服务端之间排查网络问题。
(1) 客户端到网闸之间的网络连通性,可用从客户端telnet网闸通道端口来测试。如果telnet能通就没问题,如果telnet不到就说明网络有异常。需要找客户来进一步查明原因。检查链路上是否有其它安全产品拦截了,或者路由是否可达。
(2) 网闸到服务端之间的网络连通性,测试起来可能比较麻烦。由于网闸不带telnet客户端功能,所以只能让笔记本模拟成网闸IP,接到网络里telnet一下服务器。判断依据同上。
如果两边telnet都通的,那可能就是应用协议或配置上问题了。需要抓包具体分析了。
检查通道是否选用了FTP类型,TCP通道无法支持FTP应用。(主动、被动模式都支持)
检查FTP通道的监听、连接地址,是否与其他应用混用,FTP通道需动态开放端口,与其他应用混用IP时可能会出现端口冲突。
当源端仅支持FTP主动模式传输数据,而目标侧服务器仅支持被动模式,可能会导致ftp数据连接无法建立。解决办法:源端和目标端的数据连接方式需要改成一致。(常见于源端为Windows系统,服务端为Linux系统的场景)
如果oracle服务器使用默认的专用访问模式(常见于windows系统),则网闸的通道类型要配置成为oracle类型。
如果oracle服务器使用的是共享访问模式(常见于Linux和UNIX系统),则网闸的通道类型就要配置成为ORACLE_SHARED类型。
如果oracle服务器配置了RAC集群,则网闸的通道类型就要配置成为ORACLE_RAC类型。
当内部用户需要通过网闸访问外部WEB应用服务。
(1) 修改源端系统的hosts值,将域名和网闸内网侧内端机IP关联上。
(3) 创建HTTP类型通道,监听IP为hosts关联的地址,目的地址填写域名。
表的同步方向和触发器类型尽量相同。
检查两边表是否都有主键。
检查两边表的结构是否完全一致。
检查非空字段是否设有默认值。
联系公司专人负责远程支持解决。
SIP_UDP通道在添加了码流代理的情况下,直接停用后变更通道方向立即启用,后台规则无法完全删除。可以停用通道三到五分钟,使后台规则完全清理后重新启用通道,重新进行注册。
按照国标GB/T28181和DB33的标准。网闸在处理SIP信令时,需要将点播或录像的码流返回IP替换成网闸自身地址。保证码流返回时,流媒体服务器发到网闸上,并通过动态转发规则,将码流返回给客户端。而不是从流媒体服务器直接发往客户端IP。
登录网闸安全管理员界面,在系统日志审计>系统连接数界面中查看通道连接数,检查是否存在连接数非常大且不减少的通道,若存在,检查此通道业务是否存在客户端不释放连接的情况。网闸默认不主动释放连接,若为客户端某些情况下存在不释放连接的问题,需给通道配置空闲超时时间,在连接无数据传输时,网闸主动释放连接。
目前主要有两种情况:
1)半连接情况。两边会话建立起来后,其中一边提前发送了FIN包关闭连接,但另一边还没发送完数据,要等数据全部发送完之后才发送反向FIN包(在没有隔离网闸时,TCP允许的)。然而,网闸两边只要其中一侧关闭连接,另一边也会立刻关闭。所以会导致后续数据无法通过网闸。该问题,最好应用程序改会话控制,保证数据都发送完毕后,再互相发送FIN包关闭连接。
2)HTTP请求被重定向或拦截。这种情况抓包后和第一种情况很类似,都是可以先看到一个FIN包,后面跟了很多重传报文
但是会有区别,如果页面是被重定向的,那HTTP反馈的信息不会是200 OK,而是302 FOUND。其次FIN包发送后,服务器的正常反馈信息才会发送到网闸,如下图:
3)能够收到不同HTTP服务版本的响应。通常重定向的服务版本和正确的HTTP服务器版本不一样,如下。
图1 重定向服务版本
图2 正确服务器版本
如果发现相同的目标IP、端口,能够收到2个不同HTTP服务版本的响应,那基本就能认定,发往服务器的包被重定向了。
解决办法:
链路上查找,有没有上网行为管理和准入认证功能的安全产品。比如第二代防火墙、准入系统、上网行为管理设备、安全网关等。让这些安全设备开放白名单,放行所有网闸出去的包。
1、secrecy用户登录,查看系统日志审计->系统连接数中各个通道的连接数是否存在比较高且一直不下降的情况。
针对TCP类型的通道:连接数与业务相关,需要跟踪分析业务实现逻辑,如果对应的通道业务存在不主动释放连接问题,需要确认业务长连接时长,根据业务实际情况在网闸通道上配置空闲超时时间。
MAC地址不支持跨三层,配置的管理MAC白名单需要与网闸管理地址在同一网段。
视频业务访问涉及与视频网闸对接问题,抓包发现码流乱序,码流乱序属于正常情况,因为网络中任何节点采用负载均衡都会产生乱序,但是国标是允许乱序的,需要接收端在应用层重组。只是这种乱序处理,会产生视频延迟,所以目前大部分视频厂商都不处理乱序,直接当作丢包处理。若码流乱序导致视频卡顿花屏等,请联系公司专人负责远程支持解决。
对接的视频厂商不同,网闸配置也会有所变动,若访问不通,请联系公司专人负责远程支持解决。
网卡绑定为主备模式时,同时只有一个端口生效,其它端口处于备状态,当主端口断开时备端口生效;如果对端设备配置成聚合模式会导致业务不通,建议将对端接口删除聚合模式并将接口加入同一个vlan即可。
通道启停提示操作失败或未停止成功,admin账号登录,在设备管理-系统设置-服务管理中重启数据摆渡服务,等待30s左右,重新启用通道。
停用通道,编辑通道-点击保存后再启用通道。
若重启摆渡服务后仍提示操作失败,请联系公司专人负责远程支持解决。
确认服务器部署模式,若服务器部署集群模式或者负载均衡模式,需要将虚地址和实地址均配置在网闸上,且用透明映射方式,即监听地址与目的地址配置一致,客户端需要配置到网闸监听地址的路由。
数据库同步数据存在乱码是数据库本身的字符编码设置问题,请修改数据库的字符编码为utf8。
数据库大小写敏感可以手动设置,我们网闸数据库同步时创建的sym表为小写,但是考虑到oracle之类的数据库,后台代码sql表名存的都是大写;创建的sym表下发到数据库中是小写,实际查找表的时候是根据后台sql表名(大写)来查找的,因此数据库大小写敏感会存在隐患:1、数据库同步配置状态页面无法显示;2、更改同步表配置,删除同步表时会无法删除。
请检查数据库配置是否为大小写不敏感,若不是,请修改数据库配置保证大小写不敏感。
1、 若是新设备,先拔掉电源,等充分放电后再重新接上电源线,重启设备后尝试配置。
2、 设备存在异常掉电或者强制重启的情况,可能导致文件系统、数据库文件或者数据库表损坏,请联系专人负责远程支持解决。
3、 设备长时间运行且设备资源持续较高情况下,可能导致文件系统、数据库文件或者数据库表损坏,请联系专人负责远程支持解决。
4、 设备升级提示内存较高,请重启设备释放内存资源再进行升级操作。
通道启用检查连接状态功能,通道状态每1min轮询一次所有通道,由于网闸检测完状态后会关闭了连接,但服务器返回正常的交互信息导致交换机上会有报错日志,建议关闭连接状态检测。
SSH应用举例:
交换机记录:
%Dec 14 11:23:50:722 2020 HCI-SW SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.200.110 failed to log in because of version mismatch.
%Dec 14 11:22:55:172 2020 HCI-SW SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.200.114 failed to log in because of version mismatch.
1、 请确认网闸是否配置管理地址白名单,若确认配置请使用白名单客户端进行访问,若无法确认请联系专人负责远程支持确认。
2、 未配置管理地址白名单,管理端无法访问请确认管理口所接网线是否松动或者接触不良,若多次更换网线仍无法访问请确认网闸管理口对端设备网口是否异常,若无异常请联系专人负责远程支持解决。
3、 若以上三种情况均不涉及请联系公司专人负责远程支持解决。
数据库同步一旦配置好后不能对数据库侧进行同步表字段、表名、表结构、表空间等变更。
变更后数据无法同步解决方法:
1、admin用户登录,使用配置导出功能单独导出网闸数据库同步配置;
2、强制删除网闸上数据库同步配置;
3、两端的数据库侧删除所有sym开头的表(网闸数据库同步时会自动创建sym开头的表);
4、admin用户登录,使用配置导入功能重新导入数据库同步配置。
上述操作执行后若数据库同步仍然异常请联系专人负责远程支持解决。
网闸网卡绑定之后,如果需要对绑定网卡进行修改,绑定的网卡不能在使用中,
请检查绑定网卡:
是否配置ip地址,
是否配置路由,
是否配置通道,
是否配置IDS/IPS,且勾选此绑定网卡,
是否配置ACL,且规则引用此绑定网卡,
是否配置VLAN网卡,
是否配置文件同步,
是否配置数据库同步,
是否勾选HA监控网卡,
请先删除这些配置后再对绑定网卡进行修改/删除操作。
1、 确认数据库同步两端的库名、表名、字段名、表结构等都需要相同,不支持异构数据库同步之间的数据进行同步。
2、 确认数据库侧是否误删了SYM开头的表,若确认误删可以通过重启数据库同步服务,重新建立SYM相关表解决。
3、 若两侧的数据库为MySQL5.7之前的版本,请检查数据库内索引参数配置,检查配置命令:show variables like 'innodb_large_prefix',若参数的值为OFF,请修改配置参数的值为ON;
1)原有的数据库是否网络可达;
2)原有数据库及数据库表是否还存在,是否发生过变动;
3)是否有相同的数据库、数据库表的同步配置被重复创建。
以上情况都会导致原有数据库同步配置无法删除的情况。
解决方法是:“同步数据库配置”模块,使用数据库同步的强制删除功能。
1、 提示操作失败,请在首页>网卡状态页面,查看内外端机是否有网卡状态展示,若没有请联系专人负责远程支持解决。(现场需要准备键盘和显示器)
2、 提示内存不足升级失败,请在首页>系统信息页面等待内存下降至50%以下,再导入升级包进行版本升级操作。
3、 提示升级失败,请确认系统时间是否为当前时间,若非当前时间请修改系统时间为当前时间后再导入升级包进行版本升级操作。
比如,防火墙NAT将网闸的管理端口192.168.0.1:443映射成172.16.10.1:64431,浏览器输入https://172.168.10.1:64431后,会跳转至https://172.168.10.1:443,访问存在重定向。
解决方法:
1、在防火墙上直接映射443端口。
2、如果443端口已被占用,只能用其他端口映射。源端访问时,在登录IP:端口后添加完整路径(例:https://172.16.10.1:64431/index.jsp)
答:开启状态检测后,网闸检测连通性时会发起会话访问目标端,检测频率可能会被其他安全设备当作攻击误拦,可以在连接通道侧关闭状态检测或修改通道为端口段模式。
支持
