登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath G9000-X-G系列多级安全互联交换平台 用户FAQ(E6702)-5W103

手册下载

H3C SecPath G9000-X-G系列多级安全互联交换平台 用户FAQ(E6702)-5W103-整本手册.pdf  (777.86 KB)

  • 发布时间:2026/3/10 19:53:52
  • 浏览量:
  • 下载量:

 

H3C SecPath G9000-X-G系列多级安全互联交换平台

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 

1.               硬件类FAQ.. 1

1.1.           平台重启后系统没有起来?... 1

1.2.           平台扩充插卡是否支持热插拔?... 1

2.               业务功能类FAQ.. 1

2.1.           多级安全互联交换平台调试及使用过程中如何确认设备通还是不通?... 1

2.2.           应用不通如何排查问题?... 1

2.3.           如果通道可以正常停启用,应用还是不通,如何排错?... 1

2.4.           FTP应用,平台通道可以停启用,两边连通性也没问题,但是应用不通怎么办?... 2

2.5.           oracle应用,通道可以停启用,两边连通性也没问题,但是应用不通怎么办?... 2

2.6.           基于域名的WEB应用访问怎么配置?... 2

2.7.           启状态连接检测导致一段时间后业务访问不了处理方法... 3

2.8.           Mysql数据库同步表关联提示报错怎么办?... 3

2.9.           前后置&管理中心时间不同步时,日志或者数据上报不了怎么办?... 3

2.10.        登录帐号和密码忘了怎么办?... 3

2.11.        SIP_UDP通道直接停用通道后变更通道方向,注册会无法成功。... 4

2.12.        SIP通道配置后,信令中的码流接受地址未替换成平台自身IP,怎么办?... 4

2.13.        如何跟踪WEB应用访问中的会话?... 4

2.14.        平台运行一段时间后业务不通,重启通道恢复,多次出现类似情况怎么办?... 5

2.15.        配置TCP通道访问HTTP应用时,WEB页面无法完全打开如何排错?... 5

2.16.        前后置设备内存使用率较高,影响正常业务访问怎么办?... 8

2.17.        配置管理客户端MAC地址白名单不生效怎么办?... 8

2.18.        SIP通道配置后,访问视频卡顿或不通,怎么办?... 8

2.19.        网卡绑定为主备模式,对端设备配置为三层接口聚合模式,业务不通怎么办?... 8

2.20.        通道启用/停用失败怎么办?... 8

2.21.        过平台访问服务器web界面异常,测试使用httptcp类型通道都无法访问,跨过平台使用正常怎么办?    9

2.22.        数据库数据同步至目的端后出现部分数据有乱码怎么办?... 9

2.23.        数据库同步配置后,数据库数据无法同步怎么办?... 9

2.24.        平台对接的交换机产生大量日志信息怎么办?... 9

2.25.        平台管理地址无法访问怎么办?... 10

2.26.        平台管理页面在防火墙上映射非443的端口无法访问,怎么办?... 10

2.27.        前后置修改/删除绑定网卡时提示“绑定网卡正在被使用”,无法操作怎么办?... 10

2.28.        业务不过平台正常,过平台访问不了或者访问不全怎么办... 11

2.29.        走端口类型通道访问应用设备延迟较大或者访问一段时间后会自动断开,怎么办... 11

2.30.        使用ACL路由模式访问业务,业务不通,怎么办... 11

2.31.        使用ACL路由模式访问业务,ACL策略已删除,但业务访问正常是什么原因... 12

2.32.        前置机异常宕机或者重启,HA切换1min+,后置机异常宕机或者重启切换时间较短是什么原因... 12

2.33.        HA环境下开启自动同步功能,备机设备异常... 12

2.34.        HA环境下,主机前置机HA接线拔掉,HA状态不更新为什么?... 12

 

H3C SecPath G9000-X-G系列多级安全互联交换平台用户FAQ

本文档介绍H3C SecPath G9000-X-G系列多级安全互联交换平台产品的用户常见问题及解答。

1.     硬件类FAQ

1.1.     平台重启后系统没有起来?

平台关闭电源后,不要马上打开电源开关,请等待30秒以上再开启电源,如果间隔过短,易造成系统启动异常。

1.2.     平台扩充插卡是否支持热插拔?

不支持。

2.     业务功能类FAQ

2.1.     多级安全互联交换平台调试及使用过程中如何确认设备通还是不通?

登录admin账号选择网络检测工具>网络诊断>内部通讯链路查询,点击查询按钮进行设备内部通讯状态的查询。

2.2.     应用不通如何排查问题?

(1)     登录部件网闸admin账户,查看网卡状态信息,排查前置机到部件网闸内端、后置机到部件网闸外端之间网络连通性(可通过网络检测工具>网络诊断>内部通讯链路查询)

(2)     若网卡状态信息和内部通讯链路均正常,查看相应的应用通道是否开启

(3)     停用再启用通道,如果通道启用过程中存在错误,请联系技术人员。如果能够正常停用再启用通道,则说明平台内部通讯没有问题,通常问题都出在两端网络或平台配置上。

2.3.      如果通道可以正常停启用,应用还是不通,如何排错?

需要分两段检查平台两边网络问题,从客户端到前置之间排查网络问题,以及从后置到服务端之间排查网络问题。

客户端到前置之间的网络连通性:

(1)     网络检测工具—网卡状态监控,查看配置中网卡状态信息

(2)     客户端telnet平台应用通道的监听地址和端口

(3)     检查客户端到前置之间是否有其它安全产品拦截了,或者路由是否可达。

后置到服务端之间的网络连通性:

(4)     网络检测工具—网卡状态监控,查看配置中网卡状态信息

(5)     后置telnet应用服务器地址和端口

(6)     检查应用服务器端口是否开放,和平台通道目的端口是否一致

(7)     检查后置到应用服务器之间是否有其它安全产品拦截了,或者路由是否可达。

2.4.      FTP应用,平台通道可以停启用,两边连通性也没问题,但是应用不通怎么办?

检查通道是否选用了FTP类型。(主动、被动模式都支持)

检查FTP通道的监听、连接地址,是否与其他应用混用,FTP通道需动态开放端口,与其他应用混用IP时可能会出现端口冲突。

当源端仅支持FTP主动模式传输数据,而目标侧服务器仅支持被动模式,可能会导致ftp数据连接无法建立。解决办法:源端和目标端的数据连接方式需要改成一致。(常见于源端为Windows系统,服务端为Linux系统的场景)

2.5.      oracle应用,通道可以停启用,两边连通性也没问题,但是应用不通怎么办?

如果oracle服务器使用默认的专用访问模式(常见于windows系统),则平台的通道类型要配置成为oracle类型。

如果oracle服务器使用的是共享访问模式(常见于LinuxUNIX系统),则平台的通道类型就要配置成为ORACLE_SHARED类型。

如果oracle服务器配置了RAC集群,则平台的通道类型就要配置成为ORACLE_RAC类型。

2.6.     基于域名的WEB应用访问怎么配置?

当内部用户需要通过平台访问外部WEB应用服务。

(1)     修改源端系统的hosts值,将域名和平台内网侧前置机IP关联上。

(2)     平台外网侧后置机要配置有效的网关和DNS

(3)     创建HTTP类型通道,监听IPhosts关联的地址,目的地址填写域名。

(4)     源端访问时,直接输入域名。

2.7.     开启状态连接检测导致一段时间后业务访问不了处理方法

开启状态检测后,平台检测连通性时会发起会话访问目标端,检测频率可能会被其他安全设备当作攻击误拦,可以在连接通道侧关闭状态检测或修改通道为端口段模式。

48dc121d09339672ea8a3a8347a1c38

2.8.     Mysql数据库同步表关联提示报错怎么办?

尝试没有外键表的优先添加。

表的同步方向和触发器类型尽量相同。

检查两边表是否都有主键。

检查两边表的结构是否完全一致。

检查非空字段是否设有默认值。

2.9.     前后置&管理中心时间不同步时,日志或者数据上报不了怎么办?

登录设备admin账户,在时间同步设置,配置时间同步服务器地址。

2.10.     登录帐号和密码忘了怎么办?

联系公司专人负责远程支持解决。

 

2.11.     SIP_UDP通道直接停用通道后变更通道方向,注册会无法成功。

SIP_UDP通道在添加了码流代理的情况下,直接停用后变更通道方向立即启用,后台规则无法完全删除。可以停用通道三到五分钟,使后台规则完全清理后重新启用通道,重新进行注册。

2.12.     SIP通道配置后,信令中的码流接受地址未替换成平台自身IP,怎么办?

按照国标GB/T28181DB33的标准。平台在处理SIP信令时,需要将点播或录像的码流返回IP替换成平台自身地址。保证码流返回时,流媒体服务器发到平台上,并通过动态转发规则,将码流返回给客户端。而不是从流媒体服务器直接发往客户端IP

2.13.     如何跟踪WEB应用访问中的会话?

平台两侧TCP连接正常;源端抓包未发现TCP握手失败的连接;抓包follow内外应用层信息,两边内容一致,但是过平台打不开页面,如何解决?

某些WEB应用访问不是单一会话构成的。可能在访问时会同时建立多个http会话。比如一些认证服务器。某些网站在登录帐号时,会寻求其它认证服务器的验证,因此会额外建立新的会话。由于这些IP和端口可能和原有应用不同,混在众多会话中难以查找和验证。如何跟踪一次WEB应用访问,调查页面卡在哪个url成了关键

操作方法:使用google chrome浏览器。按F12进入开发模式。然后打开要访问的页面

 

右边列表可以轻松看到打开的每个URL。如果有资源连接不上,会显示红色。我们只要查这些红色的url是不是连接了新的域名或IP即可。很有可能服务器重定向到一个新的域名,导致内网无法直接做DNS解析,从而不再发送新的连接,最终导致抓包无法发现问题。

查找302重定向的包,比较容易看到此类现象。比抓包分析要方便。

2.14.     平台运行一段时间后业务不通,重启通道恢复,多次出现类似情况怎么办?

登录前后置安全管理员界面,在系统日志审计>系统连接数界面中查看通道连接数,检查是否存在连接数非常大且不减少的通道,若存在,检查此通道业务是否存在客户端不释放连接的情况。平台默认不主动释放连接,若为客户端某些情况下存在不释放连接的问题,需给通道配置空闲超时时间,在连接无数据传输时,平台主动释放连接。

2.15.     配置TCP通道访问HTTP应用时,WEB页面无法完全打开如何排错?

目前主要有两种情况:

1)半连接情况。两边会话建立起来后,其中一边提前发送了FIN包关闭连接,但另一边还没发送完数据,要等数据全部发送完之后才发送反向FIN包(在没有隔离平台时,TCP允许的)。然而,平台两边只要其中一侧关闭连接,另一边也会立刻关闭。所以会导致后续数据无法通过平台。该问题,最好应用程序改会话控制,保证数据都发送完毕后,再互相发送FIN包关闭连接。

2HTTP请求被重定向或拦截。这种情况抓包后和第一种情况很类似,都是可以先看到一个FIN包,后面跟了很多重传报文

但是会有区别,如果页面是被重定向的,那HTTP反馈的信息不会是200  OK,而是302 FOUND。其次FIN包发送后,服务器的正常反馈信息才会发送到平台,如下图:

3)能够收到不同HTTP服务版本的响应。通常重定向的服务版本和正确的HTTP服务器版本不一样,如下面2图:

图2 重定向服务版本

 

图3 正确服务器版本

如果发现相同的目标IP、端口,能够收到2个不同HTTP服务版本的响应,那基本就能认定,发往服务器的包被重定向了。

解决办法:

链路上查找,有没有上网行为管理和准入认证功能的安全产品。比如第二代防火墙、准入系统、上网行为管理设备、安全网关等。让这些安全设备开放白名单,放行所有平台出去的包。

2.16.     前后置设备内存使用率较高,影响正常业务访问怎么办?

secrecy用户登录,查看系统日志审计>系统连接数中各个通道的连接数是否存在比较高且一直不下降的情况。

针对TCP类型的通道:连接数与业务相关,需要跟踪分析业务实现逻辑,如果对应的通道业务存在不主动释放连接问题,需要确认业务长连接时长,根据业务实际情况在平台通道上配置空闲超时时间。

2.17.     配置管理客户端MAC地址白名单不生效怎么办?

MAC地址不支持跨三层,配置的管理MAC白名单需要与平台管理地址在同一网段。

2.18.     SIP通道配置后,访问视频卡顿或不通,怎么办?

视频业务访问涉及与视频平台对接问题,抓包发现码流乱序,码流乱序属于正常情况,因为网络中任何节点采用负载均衡都会产生乱序,但是国标是允许乱序的,需要接收端在应用层重组。只是这种乱序处理,会产生视频延迟,所以目前大部分视频厂商都不处理乱序,直接当作丢包处理。若码流乱序导致视频卡顿花屏等,请联系公司专人负责远程支持解决。

对接的视频厂商不同,平台配置也会有所变动,若访问不通,请联系公司专人负责远程支持解决。

2.19.     网卡绑定为主备模式,对端设备配置为三层接口聚合模式,业务不通怎么办?

网卡绑定为主备模式时,同时只有一个端口生效,其它端口处于备状态,当主端口断开时备端口生效;如果对端设备配置成聚合模式会导致业务不通,建议将对端接口删除聚合模式并将接口加入同一个vlan即可。

2.20.     通道启用/停用失败怎么办?

通道启停提示操作失败或未停止成功,admin账号登录,在设备管理-系统设置-服务管理中重启数据摆渡服务,等待30s左右,重新启用通道。

停用通道,编辑通道-点击保存后再启用通道。

若重启摆渡服务后仍提示操作失败,请联系公司专人负责远程支持解决。

2.21.     过平台访问服务器web界面异常,测试使用httptcp类型通道都无法访问,跨过平台使用正常怎么办?

确认服务器部署模式,若服务器部署集群模式或者负载均衡模式,需要将虚地址和实地址均配置在平台上,且用透明映射方式,即监听地址与目的地址配置一致,客户端需要配置到平台监听地址的路由。

2.22.     数据库数据同步至目的端后出现部分数据有乱码怎么办?

数据库同步数据存在乱码是数据库本身的字符编码设置问题,请修改数据库的字符编码为utf8

2.23.     数据库同步配置后,数据库数据无法同步怎么办?

数据库大小写敏感可以手动设置,我们平台数据库同步时创建的sym表为小写,但是考虑到oracle之类的数据库,后台代码sql表名存的都是大写;创建的sym表下发到数据库中是小写,实际查找表的时候是根据后台sql表名(大写)来查找的,因此数据库大小写敏感会存在隐患:1、数据库同步配置状态页面无法显示;2、更改同步表配置,删除同步表时会无法删除。

请检查数据库配置是否为大小写不敏感,若不是,请修改数据库配置保证大小写不敏感。

2.24.     平台对接的交换机产生大量日志信息怎么办?

通道启用检查连接状态功能,通道状态每1min轮询一次所有通道,由于平台检测完状态后会关闭了连接,但服务器返回正常的交互信息导致交换机上会有报错日志,建议关闭连接状态检测或修改通道为端口段模式。

SSH应用举例:

交换机记录:

%Dec 14 11:23:50:722 2020 HCI-SW SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.200.110 failed to log in because of version mismatch.

%Dec 14 11:22:55:172 2020 HCI-SW SSHS/6/SSHS_VERSION_MISMATCH: SSH client 192.168.200.114 failed to log in because of version mismatch.

 

2.25.     平台管理地址无法访问怎么办?

1、 请确认平台是否配置管理地址白名单,若确认配置请使用白名单客户端进行访问,若无法确认请联系专人负责远程支持确认。

2、 未配置管理地址白名单,管理端无法访问请确认管理口所接网线是否松动或者接触不良,若多次更换网线仍无法访问请确认平台管理口对端设备网口是否异常,若无异常请联系专人负责远程支持解决。

3、 若以上三种情况均不涉及请联系公司专人负责远程支持解决。

2.26.     平台管理页面在防火墙上映射非443的端口无法访问,怎么办?

比如,防火墙NAT将平台的管理端口192.168.0.1:443映射成172.16.10.1:64431,浏览器输入https://172.168.10.1:64431后,会跳转至https://172.168.10.1:443,访问存在重定向。

解决方法:

1、在防火墙上直接映射443端口。

2、如果443端口已被占用,只能用其他端口映射。源端访问时,在登录IP:端口后添加完整路径(例:https://172.16.10.1:64431/index.jsp

2.27.     前后置修改/删除绑定网卡时提示“绑定网卡正在被使用”,无法操作怎么办?

前后置网卡绑定之后,如果需要对绑定网卡进行修改,绑定的网卡不能在使用中,

请检查绑定网卡:

是否配置ip地址,

是否配置路由,

是否配置通道,

是否配置IDS/IPS,且勾选此绑定网卡,

是否配置ACL,且规则引用此绑定网卡,

是否配置VLAN网卡,

是否配置文件同步,

是否配置数据库同步,

是否勾选HA监控网卡,

请先删除这些配置后再对绑定网卡进行修改/删除操作。

2.28.     业务不过平台正常,过平台访问不了或者访问不全怎么办

1、 业务侧检查MTU是否超过平台默认MTU1500),若超过,请业务侧进行修改

2、 抓包分析报文中是否存在大包(大于1500)且不允许分片的情况,如果存在请业务侧修改大包允许分片

3、 E6702P01及以上版本支持修改网卡MTU,根据业务实际情况修改平台中前置、后置业务网卡和内部通讯网卡,隔离部件(光闸或者网闸)网卡MTU配置;若报文超大需要业务侧支持报文分片

2.29.     走端口类型通道访问应用设备延迟较大或者访问一段时间后会自动断开,怎么办

抓包分析业务是否存在半连接问题:半连接是应用方首次连接成功,数据传输完成后,连接只关闭一半,下次再有数据传输的需求时,不进行完整的三次握手。

平台的端口模式需要两端先建立连接,再进行数据交互,故不支持半连接应用走端口模式,若遇到这种场景可以将通道端口模式修改为端口段模式,或者使用端口模式下和应用方沟通,设置一个超时时间,超时后将连接关闭。

2.30.     使用ACL路由模式访问业务,业务不通,怎么办

1、 参考典配文档检查是否配置tun口路由,客户端和服务端路由配置是否正确,ACL策略是否配置允许或者全局允许

2、 检查通道配置是否有acl相关的配置,特别是透明映射的配置会和ACL产生冲突,建议与通道地址段分开

3、 检查业务口上是否有ACL业务的目的地址、客户端地址等配置,若存在请删除,否则会影响业务转发

2.31.     使用ACL路由模式访问业务,ACL策略已删除,但业务访问正常是什么原因

检查ACL全局配置是否开启全局允许

ACL策略优先级大于ACL全局配置,业务访问先检查是否匹配ACL策略,若无则会走全局配置策略,若全局允许,即使没有五元组策略,业务匹配全局策略仍会被放通。

2.32.     前置机异常宕机或者重启,HA切换1min+,后置机异常宕机或者重启切换时间较短是什么原因

HA检测是在后置机,当前置机系统正常的时候,只要服务正常,down接口这种操作,后置设备可以很快的获取到故障信息触发HA切换;但是前置机异常宕机或重启情况下,后置机HA检测服务探测不到前置机的信息就只能等待超时,等待超时时间一过还没有接收到信息就判断前置机故障,才会触发HA切换,故切换时间较长

2.33.     HA环境下开启自动同步功能,备机设备异常

1、 开启自动同步配置功能,备机被同步后会自动重启服务,接口up-down是正常现象

2、 若备机出现异常可以在主机上重新同步一次或重启备机web服务或者重启备机系统

3、 若上述仍不能恢复请联系公司专人负责远程支持解决

2.34.     HA环境下,主机前置机HA接线拔掉,HA状态不更新为什么?

双管理设备HA的设计如下:

1、 前置机的HA口接线的作用是进行前置机系统的配置同步

2、 后置机的HA口接线的作用是进行后置机系统的配置同步和HA协商

3、 前后置机HA状态根据【设备管理-HA设置-HA监控网卡】中勾选的网卡状态来决定

在双管理环境中,HA状态更新仅与前后置勾选的监控网卡有关;由于仅后置机系统有HA协商程序,故HA主备状态仅和后置机HA口协商有关,与前置机HA口是否接线,接线是否正常无关。

新华三官网
联系我们