- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath GAP2000系列安全隔离与信息交换系统
用户FAQ
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
1.3 设备配置不上IP地址,显示添加IP失败。查看端口状态,端口不亮,怎么办?
2.5 FTP应用,网闸通道可以停启用,两边连通性也没问题,但是应用不通怎么办?
2.6 oracle应用,网闸通道可以停启用,两边连通性也没问题,但是应用不通怎么办?
2.14 SIP通道配置后,信令中的码流接受地址未替换成网闸自身IP,怎么办?
2.15 网闸运行一段时间后业务不通,重启通道恢复,多次出现类似情况怎么办?
2.16 配置TCP通道访问HTTP应用时,两边能够建立TCP会话,但是应用层数据无法交换,业务访问无法实现(页面显示不全或下载内容不完整)如何判断问题?
2.21 网卡绑定为主备模式,对端设备配置为三层接口聚合模式,业务不通怎么办?
2.23 过网闸访问服务器web界面异常,测试使用http和tcp类型通道都无法访问,跨过网闸使用正常怎么办?
2.24 数据库数据同步至目的端后出现部分数据有乱码怎么办?
2.26 设备web访问不通或者升级版本、配置通道均有报错怎么办?
2.27 升级至E6006P03及其以上版本后,与网闸对接的交换机产生大量日志信息怎么办?
2.28 升级至E6006P05及其之后版本,文件同步/同步任务管理中任务页面为空怎么办?
2.30 数据库同步应用运行一段时间后对数据库侧进行扩容操作(如表空间),扩容后数据库数据无法同步怎么办?
2.31 E6006P05/E6006P06/E6006P07升级版本时,使用文件拖拽方式升级提示操作失败怎么办?
2.32 网闸双机环境下配置大量IP地址后,配置HA时异常怎么办?
2.33 网闸修改/删除绑定网卡时提示“绑定网卡正在被使用”,无法操作怎么办?
2.35 原有的一个数据库不用了需要使用新的数据库,在删除旧的数据表时提示删除失败,等了很久也还无法删除成功,怎么办
2.37 使用客户端winscp和flashFXP工具均无法正常上传文件怎么办?
2.38 配置导入备机(优先级低)设备后,主机业务短暂中断怎么办?
2.40 限制了总连接数的服务端,一段时间后无法正常访问,怎么办?
H3C SecPath GAP2000系列用户FAQ
本文档介绍H3C SecPath GAP2000系列产品的用户常见问题及解答。
不支持。
拔掉电源后数秒,等充分放电后再重新接上电源线,尝试开机。
现场设备为新上架的设备,建议现场断电,充分放电后再次上电。
区别于常用路由交换设备。由于网闸属隔离设备,目前不存在也不应该存在网络底层测试工具,能直接确认整体连通性。目前唯一能证明网闸联通性的方法,只有应用测试才可确认。
登录进网闸停用再启用通道,如果通道启用过程中存在错误,请联系售后部门。如果能够正常停用再启用通道,则说明网闸内部通讯没有问题,通常问题都出在两端网络或网闸配置上。
可能中间隔离硬件或系统软件出现故障,需要报修。
需要分两段检查网闸两边网络问题,从客户端到网闸之间排查网络问题,以及从网闸到服务端之间排查网络问题。
(1) 客户端到网闸之间的网络连通性,可用从客户端telnet网闸通道端口来测试。如果telnet能通就没问题,如果telnet不到就说明网络有异常。需要找客户来进一步查明原因。检查链路上是否有其它安全产品拦截了,或者路由是否可达。
(2) 网闸到服务端之间的网络连通性,测试起来可能比较麻烦。由于网闸不带telnet客户端功能,所以只能让笔记本模拟成网闸IP,接到网络里telnet一下服务器。判断依据同上。
如果两边telnet都通的,那可能就是应用协议或配置上问题了。需要抓包具体分析了。
检查通道是否选用了FTP端口类型通道,不建议使用端口段类型通道。
检查FTP服务器是否支持被动访问模式。由于FTP应用协议会动态协商数据端口,重新建立连接,网闸出于安全考虑是禁止外部服务器随意进行连接的,所以数据端口只能由网闸去连服务端,这就要求FTP服务器必须支持被动访问模式。
同理,客户端的数据端口也只能由网闸来连客户端,因此客户端防火墙必须为此做相应调整。
FTP应用只需要配置一个客户端到服务端方向的FTP通道,放开控制端口21即可。
如果oracle服务器是Windows平台的,并且使用默认的专用访问模式,则网闸的通道类型要配置成为oracle类型,通常访问oracle10g版本。
如果oracle服务器是Linux或UNIX等平台,或者使用的是共享访问模式,则网闸的通道类型就要配置成为TCP类型,通常访问oracle11g及以上版本。
如果数据库侧部署为负载均衡模式,需要将服务器的虚地址和实地址都配置到网闸上,配置模式为TCP通道,透明映射方式配置(监听地址与目的地址一致),客户端需要配置到网闸监听地址的路由。
当内部用户需要通过网闸访问外部WEB应用服务。如果服务中带有百度地图应用,那么客户端就需要到Internet上找百度的服务器。
(目的IP无法配置域名的版本)解决办法分2步:
(1) 解决DNS解析问题。配一条端口为53的UDP通道,目标IP为外网设置的DNS地址。随后将客户端DNS改成网闸内端的这个IP。
(2) 通过抓包比对过网闸和不过网闸时客户端访问了哪些80端口的地址。百度地图的服务就在这些80端口的连接中。统计不过网闸时多出的这些80端口连接。映射相同IP(内网别忘了加路由)。一个一个IP做尝试,直到网页上能打开百度地图。如果用户能提供百度地图的服务器域名和IP就更好了。
(目的IP可配置域名的版本)解决办法:
直接将域名填入目的地址,同时注意需要在网闸的一端机上配置DNS服务器地址(目的域名在哪侧DNS地址就配置在哪侧),重复上述解决办法的第二步。
设备管理,重启web服务。
尝试没有外键表的优先添加。
表的同步方向和触发器类型要相同。
尝试先手动选择目录。
联系公司专人负责远程支持解决。
当内部用户需要通过域名来访问外部应用时(无论是用浏览器的Web应用还是某些程序内置应用)解决办法:
1)内部用户修改本机的hosts文件,将域名映射成网闸内端机IP地址。或用户内部具有DNS解析服务器,将域名解析成网闸内端机IP地址。
2)(目的IP无法配置域名的版本)
自行在外网进行解析,将解析后的地址直接配置在目的IP中。
注:若域名解析出来的实际地址会发生变动,可能会发生应用无法访问的现象。
更改电脑分辨率
按照国标GB/T28181和DB33的标准。网闸在处理SIP信令时,需要将点播或录像的码流返回IP替换成网闸自身地址。保证码流返回时,流媒体服务器发到网闸上,并通过动态转发规则,将码流返回给客户端。而不是从流媒体服务器直接发往客户端IP。
登录网闸安全管理员界面,在系统日志审计/系统连接数界面中查看通道连接数,检查是否存在连接数非常大且不减少的通道,若存在,检查此通道业务是否存在客户端不释放连接的情况。网闸默认不主动释放连接,若为客户端某些情况下存在不释放连接的问题,需给通道配置空闲超时时间,在连接无数据传输时,网闸主动释放连接。
目前主要有两种情况:
1)半连接情况。两边会话建立起来后,其中一边提前发送了FIN包关闭连接,但另一边还没发送完数据,要等数据全部发送完之后才发送反向FIN包(在没有隔离网闸时,TCP允许的)。然而,网闸两边只要其中一侧关闭连接,另一边也会立刻关闭。所以会导致后续数据无法通过网闸。该问题,最好应用程序改会话控制,保证数据都发送完毕后,再互相发送FIN包关闭连接。
2)HTTP请求被重定向或拦截。这种情况抓包后和第一种情况很类似,都是可以先看到一个FIN包,后面跟了很多重传报文
但是会有区别,如果页面是被重定向的,那HTTP反馈的信息不会是200 OK,而是302 FOUND。其次FIN包发送后,服务器的正常反馈信息才会发送到网闸,如下图:
3)能够收到不同HTTP服务版本的响应。通常重定向的服务版本和正确的HTTP服务器版本不一样,如下。
图1 重定向服务版本
图2 正确服务器版本
如果发现相同的目标IP、端口,能够收到2个不同HTTP服务版本的响应,那基本就能认定,发往服务器的包被重定向了。
解决办法:
链路上查找,有没有上网行为管理和准入认证功能的安全产品。比如第二代防火墙、准入系统、上网行为管理设备、安全网关等。让这些安全设备开放白名单,放行所有网闸出去的包。
1、secrecy用户登录,查看系统日志审计->系统连接数中各个通道的连接数是否存在比较高且一直不下降的情况。
针对UDP类型的通道:需要将端口类型更改为端口段类型。配置要求是监听端口与目的端口相同,需要注意修改其它设备的网络配置。
针对TCP类型的通道:连接数与业务相关,需要跟踪分析业务实现逻辑,如果对应的通道业务存在不主动释放连接问题,需要确认业务长连接时长,根据业务实际情况在网闸通道上配置空闲超时时间。
2、内存为4g/2g,CF卡4g的老硬件设备,设备资源小,长时间运行会导致内存资源占用率高。
l 重启设备释放内存资源。
l 系统日志审计中应用日志等级建议选择关闭或者选择记录被禁止的连接减轻设备压力。
l 端口挂载策略也比较消耗资源,不是特别必要建议取消挂载策略。
l 对于资源较小设备,建议在业务量小或者无业务情况下,定时重启设备。
MAC地址不支持跨三层,配置的管理MAC白名单需要与网闸管理地址在同一网段。
端口段模式下客户端地址策略与端口模式下实现机制不一致,若端口模式下配置客户端地址策略业务不通或者不稳定,建议修改为端口模式。
视频业务访问涉及与视频平台对接问题,抓包发现码流乱序,码流乱序属于正常情况,因为网络中任何节点采用负载均衡都会产生乱序,但是国标是允许乱序的,需要接收端在应用层重组。只是这种乱序处理,会产生视频延迟,所以目前大部分视频厂商都不处理乱序,直接当作丢包处理。我们网闸内部隔离硬件也采用了负载均衡摆渡模式,所以码流数据在通过网闸后是会产生乱序。若码流乱序导致视频卡顿花屏等,请联系公司专人负责远程支持解决。
对接的视频厂商不同,网闸配置也会有所变动,若访问不通,请联系公司专人负责远程支持解决。
网卡绑定为主备模式时,同时只有一个端口生效,其它端口处于备状态,当主端口断开时备端口生效;如果对端设备配置成聚合模式会导致业务不通,建议将对端接口删除聚合模式并将接口加入同一个vlan即可。
通道启停提示操作失败或未停止成功,admin账号登录,在设备管理-系统设置-服务管理中重启数据摆渡服务,等待30s左右,重新启用通道。
停用通道,编辑通道-点击保存后再启用通道。
若重启摆渡服务后仍提示操作失败,请联系公司专人负责远程支持解决。
确认服务器部署模式,若服务器部署集群模式或者负载均衡模式,需要将虚地址和实地址均配置在网闸上,且用透明映射方式,即监听地址与目的地址配置一致,客户端需要配置到网闸监听地址的路由。
数据库同步数据存在乱码是数据库本身的字符编码设置问题,请修改数据库的字符编码为utf8。
数据库大小写敏感可以手动设置,我们网闸数据库同步时创建的sym表为小写,但是考虑到oracle之类的数据库,后台代码sql表名存的都是大写;创建的sym表下发到数据库中是小写,实际查找表的时候是根据后台sql表名(大写)来查找的,因此数据库大小写敏感会存在隐患:1、数据库同步配置状态页面无法显示;2、更改同步表配置,删除同步表时会无法删除。
请检查数据库配置是否为大小写不敏感,若不是,请修改数据库配置保证大小写不敏感。
1、 若是新设备,先拔掉电源,等充分放电后再重新接上电源线,重启设备后尝试配置。
2、 设备存在异常掉电或者强制重启的情况,可能导致文件系统、数据库文件或者数据库表损坏,请联系专人负责远程支持解决。
3、 设备长时间运行且设备资源持续较高情况下,可能导致文件系统、数据库文件或者数据库表损坏,请联系专人负责远程支持解决。
4、 设备升级提示内存较高,请重启设备释放内存资源再进行升级操作。
网闸E6006P03及其以上版本,部分通道新增状态连接检测功能,通道状态每1min轮询一次所有通道,由于网闸检测完状态后会关闭了连接,但服务器返回正常的交互信息导致交换机上会有报错日志,建议修改为端口段模式,端口段模式下不会检测状态,但没有应用日志记录。
SSH应用举例:
交换机记录:
%Dec 14 11:23:50:722 2020 HCI-SW SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.200.110 failed to log in because of version mismatch.
%Dec 14 11:22:55:172 2020 HCI-SW SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.200.114 failed to log in because of version mismatch.
网闸在E6006P05之前版本上文件同步任务名称配置为空,升级后文件同步/同步任务管理中任务页面为空:
升级前:升级至E6006P03版本后,在同步任务管理中,添加同步任务名称后再升级至E6006P05版本;
升级后:文件同步/同步任务管理中任务页面为空,请联系公司专人负责远程支持解决。
1、 请确认网闸是否配置管理地址白名单,若确认配置请使用白名单客户端进行访问,若无法确认请联系专人负责远程支持确认。
2、 未配置管理地址白名单,管理端无法访问请确认管理口所接网线是否松动或者接触不良,若多次更换网线仍无法访问请确认网闸管理口对端设备网口是否异常,若无异常请联系专人负责远程支持解决。
3、 网闸长时间运行管理地址无法访问可能是由于长时间运行导致内存资源占用率高影响web界面访问,建议重启一下设备看是否恢复。
4、 若以上三种情况均不涉及请联系公司专人负责远程支持解决。
数据库同步一旦配置好后不能对数据库侧进行同步表字段、表名、表结构、表空间等变更。
变更后数据无法同步解决方法:
1、admin用户登录,使用配置导出功能单独导出网闸数据库同步配置;
2、强制删除网闸上数据库同步配置;
3、两端的数据库侧删除所有sym开头的表(网闸数据库同步时会自动创建sym开头的表);
4、admin用户登录,使用配置导入功能重新导入数据库同步配置。
上述操作执行后若数据库同步仍然异常请联系专人负责远程支持解决。
升级版本时使用选择文件方式上传升级包,然后升级版本。
升级版本时使用选择文件方式上传升级包仍升级失败,admin登录设备,设备管理-系统设置-服务管理中重启web服务,然后重新使用选择文件上传方式升级版本。
上述操作执行后仍升级失败请联系专人负责远程支持解决。
网闸双机环境下不支持配置大量IP地址,删除内外端配置的IP地址降低地址个数,保证内外端机IP数量总和不超过100个(E6006P07之前版本)。
网闸双机环境下不支持配置大量IP地址,删除内外端配置的IP地址降低地址个数,保证内外端机IP数量总和不超过2000个(E6006P07及之后版本)。
网闸网卡绑定之后,如果需要对绑定网卡进行修改,绑定的网卡不能在使用中,请检查绑定网卡是否配置ip地址,是否配置路由,是否配置通道以及是否被HA监控网卡勾选,请先删除这些配置后再对绑定网卡进行修改/删除操作。
1、 确认数据库同步两端的库名、表名、字段名、表结构等都需要相同,不支持异构数据库同步之间的数据进行同步。
2、 确认数据库侧是否误删了SYM开头的表,若确认误删可以通过重启数据库同步服务,重新建立SYM相关表解决。
3、 若两侧的数据库为MySQL5.7之前的版本,请检查数据库内索引参数配置,检查配置命令:show variables like 'innodb_large_prefix',若参数的值为OFF,请修改配置参数的值为ON;
1)原有的数据库是否网络可达;
2)原有数据库及数据库表是否还存在,是否发生过变动;
3)是否有相同的数据库、数据库表的同步配置被重复创建。
以上情况都会导致原有数据库同步配置无法删除的情况。
解决方法是:“同步数据库配置”模块,使用数据库同步的强制删除功能。
l 由于异常断电导致data表的data_id不在扫描区间,需要数据库工程师协助恢复。
以内到外同步为例:
1、 检查内端sym_data的最小业务表数据data_id值是多少(业务表数据id);
2、 检查内端sym_data_gap的start_id值是多少;
3、 对比第一第二步的id值,data_id是否大于或等于start_id;
4、 如果data_id 小于start_id,则手动进行修改操作,update sym_data_gap set start_id = 当前业务表数据最小id,end_id = (当前业务表数据最小id+50000000-1),create_time=NOW() where start_id = 当前值;
l 使用filezilla工具或者windows自带的ftp工具。
l 不支持MLST扩展指令,现在FTP支持的指令如下:
AUTH、ABOR、ACCT、ALLO、APPE、CDUP、CLNT、CWD、DELE、EPSV、EPRT、HELP、LIST、MODE、MKD、XMKD、NLST、NOOP、OPTS、PASS、PASV、PORT、PWD、QUIT、REIN、REST、RETR、RMD、RNFR、RNTO、SITE、SMNT、STAT、STOR、STOU、STRU、SYST、TYPE、USER、FEAT、MDTM、MLSD、XPWD、XCUP、XRMD、SIZE。
l 建议先配置备机设备,将备机配置导入主机(优先级高),此时业务正常切换至备机,业务中断时间不超过6s;E6006P06及其之前版本,配置导入备机设备(优先级低)会导致主机业务中断,中断时间与网关设备刷新MAC表的时间有关;
l 升级至E6006P07及其之后版本,配置导入备机设备(优先级低)不会导致主机业务中断。
1、 提示操作失败,请确认是否使用拖拽的方式上传版本升级包,请用选择文件的方式上传升级包。
2、 提示操作失败,请在首页>网卡状态页面,查看外端机是否有网卡状态展示,若没有请联系专人负责远程支持解决。(现场需要准备键盘和显示器)
3、 提示内存不足升级失败,请在首页>系统信息页面等待内端机内存下降至50%以下,再导入升级包进行版本升级操作。
4、 提示升级失败,请确认系统时间是否为当前时间,若非当前时间请修改系统时间为当前时间后再导入升级包进行版本升级操作。
E6006P03及之后的版本,新增了通道状态展示,网闸作为客户端会主动向服务端发起主动探测,用来获取网闸通道状态。此时当服务端配置了总连接数限制,并且网闸配置有到该服务端的大量通道时,很容易就会使得连接数超限,从而使得后续连接无法正常建立,正常业务受到影响。
具体探测机制如下:
对于在网闸上配置的通道,将按照通道ID大小依次进行检测,完成一轮检测后等待一分钟进行下一轮检测
解决方案一:
服务端根据配置的通道数量,按照时间段设置连接数(例如:每分钟连接数)这样既可以保障正常业务的访问,又能有效防止DDOS攻击。
解决方案二:
由于端口段类型通道不会向服务端发起主动探测,因此可以再网闸上配置到服务端的端口段类型通道,但此时不建议挂载策略集,因为会大量消耗CPU资源。
支持
售前咨询
售后咨询
人工在线咨询
