H3C SecPath Web应用防火墙故障处理手册(E6702)-5W101

手册下载

H3C SecPath Web应用防火墙

故障处理手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2017 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf


 

1 故障诊断方法·· 1

1.1 故障诊断方法·· 1

1.2 收集诊断信息·· 5

1.3 查看设备状态·· 6

1.4 查看系统与告警事件·· 9

2 系统维护·· 13

2.1 系统维护·· 13

2.2 系统升级·· 15

2.3 补丁升级·· 16

2.4 规则库升级·· 16

3 应急维护·· 19

3.1 切换Bypass状态·· 19

3.2 网络完全回退·· 20

4 登录与密码故障·· 21

4.1 无法登陆到设备Web界面·· 21

4.2 无法登录到Console界面·· 21

4.3 管理IP丢失与恢复·· 21

4.4 密码丢失与恢复·· 25

5 License故障·· 28

5.1 无法激活License· 28

6 硬件故障·· 29

6.1 指示灯说明·· 29

6.2 电源故障·· 29

6.3 开机异常·· 30

7 网络连通性故障·· 31

7.1 电口物理状态down· 31

7.2 光口物理状态down· 32

8 防护站点应用故障·· 34

8.1 被保护站点访问异常·· 34

8.2 访问保护站点被拦截·· 34

8.3 WAF无告警日志·· 35

9 WAF管理平台故障·· 36

9.1 报表无法导出·· 36

9.2 Syslog日志输出乱码·· 36

9.3 告警日志出现HTTP请求错误·· 36

9.4 告警日志中客户端IP为同一IP· 36

10 常见问题处理·· 38

10.1 告警日志中无法看到攻击的报文·· 38

10.2 如何对应用层的IP进行控制·· 38

10.3 WAF恢复初厂配置后,管理口IP地址未恢复为192.168.1.100· 38

10.4 WAF支持Bypass吗?·· 38

10.5 WAFCPU、平均负载、内存、磁盘使用率在多少范围内是正常的·· 39

10.6 WAF统计的Web流量和网络流量不一致?·· 39

10.7 SSL环境下部署WAF需要注意的事项·· 39

10.8 WAF管理平台无法正常登陆·· 39

 


1 故障诊断方法

1.1  故障诊断方法

在目前网络状况越来越复杂的情况下,只通过表面的故障现象,进行定位和恢复是非常困难的。掌握系统的故障处理理论,可以科学的将复杂的故障问题分解为多个模块,缩小故障范围。

1.1.1  故障处理流程

故障的处理难以根据现象直接推导出故障原因,不同原因可能会导致相同的故障现象。本节提供的故障处理流程主要用于指导用户科学地处理故障,有效地将故障范围缩小。从而达到提高故障处理效率,减少处理时间的目的。

在目前网络应用越来越多的情况下,网络组成也越来越复杂。这种情况导致一旦设备出现故障,进行定位和处理也更加困难。系统化的故障处理,有利于将大型、综合、复杂的现象分隔缩小范围,从而达到对故障现象的准确定位,如1-1所示。

图1-1 故障处理流程图

 

(1)     信息收集:发生故障后应该第一时间收集故障的相关信息,而不是盲目的进行故障恢复。     

(2)     故障定位:根据收集的故障信息,进行故障的初步定位,从而有效的缩小故障的范围。

(3)     列举可能原因:根据定位后的结果,列出所有的可能原因。

(4)     制定方案:以故障原因的可能性大小,辅助参考是否容易实施,制定故障排查的顺序,同时每种原因也要制订故障排查方案。

(5)     故障排查:按照方案依次进行故障的排查,根据排查结果决定是否继续排查下一个原因。

(6)     恢复初始状态:在排除特定故障后,如果没有解决问题,需要恢复为故障的初始状 态,避免引入其他故障。

(7)     故障记录:完成故障处理后,需要将故障排查过程进行文档化记录,以便故障排查 经验的记录和传递。

1.1.2  收集信息

收集信息是进行故障定位的基础,信息收集得越完整越及时,就越有利于准确快速的定 位。

1. 故障现象描述

通常故障现象是由最终用户发现异常,设备管理员在收到报告后应第一时间完成确认。通过与上报故障的最终用户沟通,可以收集到较多有效故障描述信息。通常由用户直接报告的故障现象描述并不完整,需要引导用户提供更详细准确的信息。通常比较有效的提问包含:

·     是某个业务故障还是所有业务故障?

·     什么时候出的故障,之前工作是正常的吗?

·     故障现象是持续发生,还是间断性的发生?

·     是否可以重现?重现步骤是什么样的?

·     故障发生后,您又做了哪些故障恢复操作,结果如何?之前是否发现过类似故障,如何解决的?

2. 了解故障相关的其他信息

从受故障影响的用户收到报告,并收集到一些故障现象后。还需要从其他相关用户那里继续收集有用的信息,以辅助进行定位判断。通常需要确认:

·     其他人是否出现相同或类似故障?

·     发生故障时是否修改了配置?正常情况下是什么样的?

·     发生故障前,用户可能做了哪些操作,操作的顺序是什么样的?

3. 了解网络基线信息

·     网络拓扑结构。

·     从设备的历史记录中获取大量重要信息,如各个链路的流量图、设备的CPU状态、告警日志等信息。

1.1.3  故障定位

故障定位的目的是找出故障的原因,是故障处理中的核心工作。是否可以准确定位依赖于前面收集到的故障信息,信息收集的越完整越准确就越可以准确快速的定位。

网络出现故障的原因较多。通常在刚完成配置情况下出现网络故障的原因为:

·     配置错误或者不完整。

·     配置的策略过于严格。

·     设备/协议兼容性问题。

对于实际运行网络中出现的故障,通常是因为:

·     设备变更,如配置修改、版本升级等。

·     网络中链路故障。

·     周边设备配置改动。

·     流量异常,如突发超高流量。

·     硬件故障。

说明

在处理故障时可以将WAF设置为Bypass状态来初步判断是否是WAF出现故障。

 

1.1.4  故障处理

故障处理的目的是消除故障现象,恢复网络正常运转,同时不会引起其他故障。

1. 列举可能的原因

通过收集的故障现象列举可能的原因。该步骤通常需要故障人员具有较高的技术水平和经验。根据用户的技术水平不同,可以列举出的可能原因的数量是不一样的。WAF故障处理流程如1-2所示。

图1-2 WAF故障处理流程

2015-03-31_111440.png

 

2. 定制方案

制定故障排查方案时需要考虑如下多种情况,用户需要根据自己的网络状况、故障严重程度进行调整。

·     确定可能原因排查的顺序

·     制定故障排查方案,需要确定各故障原因的排查顺序。以故障原因的可能性大小为主,并参考排查的成本、排查的便利性进行排序。

·     确定各原因故障排查定位的方法和工具

·     设备提供了多种故障诊断的方法和工具,这些工具和方法适用的情况各不相同。需要在制定方案时就确定,用哪种工具可以唯一的确定或排查是否该原因导致。

·     确定各故障排查的时间

·     这些故障排查方法需要尽量安排在流量较小的时间,比如需要对运营商的网络作设备的替换,因为受影响用户比较多,一般会选择凌晨23点进行排查。当然,如果用户对可能造成的网络故障不太敏感,则不需要考虑排查时间的问题。

·     确定故障原因后的处理方式

·     在确定故障原因后,需要明确故障恢复的步骤,避免再次造成网络故障。

3. 故障排查

在完成方案制定后,按照方案依次进行故障排查。在进行排查之前,需要将网络恢复到实施上一个循环前的状态。如果保留上一方案对网络的改动,可能会对故障跟因的定位产生干扰并且可能导致新的故障。

1.2  收集诊断信息

收集的诊断信息主要包括、当前配置、接口信息、故障时间、系统版本、告警日志等大量有用信息。在设备发生故障后,请将收集的诊断信息发送给技术支持,会有助于尽快完成故障的定位和解决。

1.2.1  数据包抓取

可以通过WAF上的抓包工具进行抓包,然后对数据包进行分析,如1-3所示。

图1-3 WAF抓包工具

 

1.2.2  导系统诊断日志

通过将系统诊断日志导出,能够更好的分析WAFCPU、内存、硬盘等系统日志信息以便于更好的进行故障排查。

1. 操作步骤

(1)     选择[事件/系统事件] ,单击[导出数据文件]按钮,如1-4所示。

图1-4 系统事件

 

(2)     保存系统事件

1.3  查看设备状态

通过查看设备的接口系统状态、硬件信息、软件版本、资源使用率等信息能够有助于加快故障的排除。

1.3.1  查看系统版本

故障设备使用的系统软件的版本是进行定位的重要信息。

1. 操作步骤

选择[监控/系统负载/系统状态],如1-5所示。

图1-5 系统版本

 

1.3.2  查看接口状态

查看接口的状态信息常用于定位设备接口对接故障、查看报文丢包统计。

1. 操作步骤

选择[监控/接口状态],如1-6所示。

图1-6 接口状态

 

网络接口说明表如1-1所示。

表1-1 网络接口说明表

参数名称

说明

指派

接口所属网桥或HA口、管理口。

接口

接口的名称。

状态

接口是否运行,其中网络设备的状态为绿色表示该网络接口已连接到网络,并且工作正常,灰色表示网卡未接网线。

注:设备切换到物理直通时,网卡状态也会显示为灰色。

TX

发送流量。

RX

接收流量。

packets

接口处理的数据包的数目。

bytes

接口处理的字节数。

errors

错误的数据包个数。

overruns

超出的数据包个数。

dropped

丢弃的数据包个数。

 

1.3.3  查看资源利用率

系统资源包含CPU、内存、硬盘。在用户上网速度变慢的情况下,可以查看设备的CPU和内存使用率,确认是否资源不足。在需要系统版本更新前,请查看硬盘是否有足够空间。

1. 操作步骤

选择[监控/系统负载/硬件使用],如1-7所示。

图1-7 资源使用率

 

1.3.4  查看流量状态

查看流经设备的实时流量大小及流量历史记录。

1. 操作步骤

选择[监控/ 接口流量/选择相应的网络设备(接口)]1-8所示。

图1-8 接口流量状态

 

1.4  查看系统与告警事件

系统事件和告警事件是发生故障后重要的参考信息,发生故障时产生的告警和日志可以帮助维护人员尽快完成定位。

1.4.1  系统事件分析

系统日志记录的是WAF系统事件的名称和发生时间。系统事件主要包括CPU使用率、磁盘使用率、内存使用率等信息。

1. 系统事件查询

选择[事件/系统事件],如1-9所示。

图1-9 查看系统事件

 

2. 系统事件参数说明

系统事件主要对系统事件发生的时间、等级进行记录,如1-2所示。

表1-2 系统事件参数说明

参数

参数说明

发生时间

指系统日志产生的时间。

等级

指系统日志的风险等级,风险等级分为告警和严重。

事件

指产生系统日志的事件。

 

1.4.2  告警事件分析

告警日志是对攻击事件的记录审计,常见的攻击行为有SQL注入、XSSCSRF等攻击行为都可以通过告警日志进行记录。告警日志记录的内容主要有攻击者IP地址、攻击特征、攻击时间、URL地址等内容,通过告警日志能够更好的协助管理员及时的了解攻击行为和攻击来源。

1. 告警事件查询

选择[事件/应用防护],如1-10所示。

图1-10 告警事件信息

 

2. 告警事件参数说明

告警日志详细信息如1-11所示。

图1-11 告警事件详细信息

 

告警事件详细信息参数说明如1-3所示。

表1-3 告警事件详细信息说明表

序号

参数说明

主机名

指请求头的host字段,一般指域名。

事件

指什么攻击事件,示例中指SQL注入攻击。

发生时间

指攻击事件发生的时间。

攻击特征串

指攻击事件的特征串。

威胁

指攻击事件的危害等级。

发规则

指本次攻击事件触发的规则。

动作

指当用户访问符合某条规则时,WAF采取的保护措施。

标签

指攻击事件的规则集,如SQL注入。

HTTP/S响应码

指攻击事件发生后,WAF或服务器的响应码,如200403WAF开启防护后该字段为WAF的响应码,一般为403

客户端

指攻击者的IP地址。

服务器

指攻击者攻击对象(服务器)的IP地址。

URL地址

指攻击者访问的URL地址。

客户端环境

指攻击者所使用的浏览器类型,示例中为IE8.0

客户端地域

指攻击者所在的地理匹配,示例中为局域网。

唯一编码

指应用防护日志的唯一哈希值,用于日志统计。

 


 

2 系统维护

2.1  系统维护

对设备配置信息定期的进行备份,以便于出现故障后可以尽快回复。将设备恢复出厂配置以便进行重新配置。

2.1.1  备份与恢复配置

配置信息是设备的重要数据。在设备正常运行后,建议定期将配置文件进行备份,以便于出现故障后可以尽快恢复。

1. 操作步骤

(1)     选择[配置/配置管理],如2-1所示。

图2-1 配置管理

 

(2)     选择需要导出的配置,单击<导出>按钮,如2-2所示。

图2-2 导出配置文件

 

(3)     单击<浏览>按钮选择相应的配置文件,恢复配置,如2-3所示

图2-3 恢复配置

 

2.1.2  恢复出厂配置

恢复出厂配置可将配置信息恢复至出厂时的缺省配置。恢复出厂配置将导致当前配置丢失,操作前请确认是否需要备份配置。

1. 操作步骤

(1)     选择[系统/系统维护],单击<恢复出厂设置>按钮,如2-4所示。

图2-4 恢复出厂配置

 

(2)     恢复出厂设置后系统会提示重启,重启后将清空设备的配置。

2.2  系统升级

WAF提供前台导入系统升级包的方式对系统进行升级。

1. 操作步骤

(1)     升级前备份配置,版本升级后会清空设备配置。点[/配置管理],在升级前导出配置(如保护站点、规则、HA等配置,可选择全选导出所有配置项)。

(2)     升级前备份日志,版本升级后会清空设备日志。点击[系统/数据管理/创建新备份],将日志备份后下载。

(3)     为避免升级失败,升级前建议备份管理口IP信息、设备许可等信息。

(4)     开始升级:点击[系统/系统升级],将升级包上传后进行更新。升级成功后将设备重启。重启完成后,点击右下角的关于产品,查看版本号是否为升级后的版本。

(5)     升级后导入之前备份的配置,并验证网站访问和防护是否正常。

(6)     升级完成。

2.3  补丁升级

WAF提供前台导入补丁包的方式对系统进行补丁升级。

1. 操作步骤

(1)     选择[系统/系统升级],选择补丁包进行上传,如2-5所示。

图2-5 补丁包升级

 

(2)     点击<开始升级>按钮进行补丁升级,如2-6所示。

图2-6 补丁升级

 

2.4  规则库升级

WAF可定期对黑名单特征库进行升级,目前支持离线升级包方式进行升级。

1. 操作步骤

(1)     选择[配置/配置管理],将保护站点及规则中的规则组和自定义规则配置导出。

(2)     选择[规则/规则升级],将规则升级包上传,如2-7所示。

图2-7 上传规则包

 

(3)     上传成功后选择[操作 / 开始升级],确认升级后系统会自动应用更改将本次规则升级进行生效,如2-8所示。

图2-8 规则升级包开始升级

 

(4)     选择[规则/规则升级]查看升级内容,如2-9所示。

图2-9 查看规则升级内容

 


 

3 应急维护

3.1  切换Bypass状态

当出现网络故障时可以将WAF切换为bypass状态,可以初步判断是否是WAF出现故障。当WAF切换到物理直通状态后设备保护组两个网络接口呈短路状态,WAF不再处理过往的流量。

1. 手工切换Bypass操作步骤

(1)     选择[系统/系统维护/运行切换模式],如3-1所示。

图3-1 切换运行模式

 

(2)     将“正常模式”改为“物理直通”,如3-2所示。

图3-2 物理直通模式

 

3.2  网络完全回退

WAF设备上架之后,如果出现网络故障或网站无法访问的情况,可以将WAF设备下架,将网络恢复到原来的拓扑,再观察网络是否恢复正常。


 

4 登录与密码故障

4.1  无法登陆到设备Web界面

介绍无法登录设备的Web配置界面的故障处理过程。

1. 现象描述

无法登录设备的Web配置界面或者页面出错。

2. 网络层诊断

首先使用Ping检测WAF管理口IP是否存活,如果WAF管理口IP无法Ping通则需要查看一下网络连通性是否正常及排查线路是否正常。

3. 应用层诊断

首先使用Ping检测WAF管理口IP是否存活,如果WAF管理口IP无法Ping通则需要查看一下网络连通性是否正常及排查线路是否正常。

4.2  无法登录到Console界面

介绍无法登录设备的Console口的故障处理过程。

1. 现象描述

启动后配置终端无显示信息或者输出无法阅读的乱码。

2. 可能的原因

·     核对串口参数,确认是否配置正确。

·     查看设备面板指示灯,确认是否电源故障。

·     重新插拔线缆或更换线缆,确认是否线缆故障。

3. 处理步骤

(1)     首先查看类型是否为正确的COM口,并且参数如下:

·     波特率:115200

·     数据位:8

·     停止位:1

·     奇偶位:无

·     流控:无

(2)     查看设备面板指示灯,如果PowerHDD灯是亮的,则排除电源故障。否则可确定为整机不上电。

(3)     查看设备面板指示灯,如果PowerHDD灯是亮的,则排除电源故障。否则可确定为整机不上电。

4.3  管理IP丢失与恢复

介绍管IP丢失后如何恢复的故障处理过程。

1. 现象描述

WAF管理IP无法Ping且无法通过管理IP进行Web管理。

2. 操作步骤

(1)     打开超级终端,如4-1所示。

图4-1 打开超级终端

 

(2)     新建连接,如4-2所示。

图4-2 新建连接

 

(3)     确定连接COM口,如4-3所示。

图4-3 连接COM

 

(4)     设置COM口的属性,还原为默认值,再修改每秒位数为115200,如4-4所示。

图4-4 设置COM

 

(5)     显示登录对话框,如4-5所示。

图4-5 显示对话框

 

(6)     使用系统用户admin登录管理WAF设备。用户名为admin,密码为admin,主菜单界面如4-6所示。

图4-6 主菜单界面

 

在主菜单界面输入数字2,回车,如4-7所示。

图4-7 系统配置图

 

(7)     在主菜单界面中输入数字1,回车,如4-8所示。

图4-8 设置IP地址

 

(8)     在菜单输入需要修改的IP地址、掩码、网关地址、DNS地址即可。

4.4  密码丢失与恢复

介绍管理员密码丢失后如何恢复的故障处理过程。

4.4.1  Web密码丢失与恢复

Web密码丢失后请通过Console口登录设备的命令行来恢复。

1. 操作步骤

(1)     使用账号admin、密码admin登录Console,如4-9所示。

图4-9 主菜单页面

 

(2)     输入数字2,回车,如4-10所示。

图4-10 系统配置图

 

(3)     输入数字4,回车,如4-11所示。

图4-11 密码修改

 

(4)     输入数字2,并输入前台默认密码admin,按Y确认重置密码,如4-12所示。

图4-12 修改Web密码

 

4.4.2  Console口密码丢失与恢复

介绍Console口(用户名:admin)的密码丢失后如何恢复的处理过程。

1. 背景信息

如果Console口密码丢失,只能联系厂商技术支持进行恢复。


 

5 License故障

5.1  无法激活License

激活License失败时通常会有提示信息,请根据提示信息处理。

1. 现象描述

激活License文件时提示出错,激活失败。

2. 可能原因

·     License文件与设备序列号和硬件不匹配。

·     License文件错误。

·     License已过期。

3. 处理步骤

(1)     检查确认License文件是否匹配设备产品信息,如设备序列号及设备硬件信息,如果有问题请重新申请License文件。

(2)     检查确认License文件是否与系统软件版本不匹配,请尝试升级软件版本后再激活License

(3)     检查确认License是否过期,如果过期请续购License


 

6 硬件故障

6.1  指示灯说明

指示灯的亮、灭、闪烁为用户提供了大量可用信息,是进行硬件故障定位的重要手段。

6.1.1  前面板指示灯

WAF前面板指示灯说明,前面板指示灯说明如6-1所示。

表6-1 前面板指示灯说明

前面板指示灯

颜色

含义

PWR

绿色

常亮:电源输出正常。

不亮:电源未上电或电源输出故障。

LOG

绿色

闪烁:说明设备正常;

不亮:设备未上电或没有读取硬盘数据。

 

6.1.2  电口指示灯

电口指示灯说明如6-2所示。

表6-2 电口指示灯说明

电口指示灯

颜色

含义

LINK

绿色

常亮:表示链路已经连通。

熄灭:表示链路没有连通或链路处于bypass状态。

ACT

黄色

闪烁:表示有数据收发。

熄灭:表示没有数据收发或链路处于bypass状态。

 

6.2  电源故障

介绍电源发生故障时的处理过程。

1. 现象描述

整机没有上电,指示灯全部不亮,风扇不转。

2. 可能原因

·     未打开电源开关。

·     设备的输入电源有故障。

·     设备本身的电源模块有故障。

3. 定位思路

(1)     确认是否未打开设备电源或供电电源的开关。

(2)     确认是否外部输入电源是否有故障。通过使用其他可正常供电的电源输入,替换出现故障的线路。如果可以正常供电,可以确认是设备的输入电源有故障。

(3)     如果使用其他可以正常供电的电源输入,设备仍然不能正常上电。可以确认是设备本身电源模块有故障,请与技术支持联系。

6.3  开机异常

介绍WAF发生开机异常时的处理过程。

1. 现象描述

WAF开启之后,其管理地址无法Ping通、Web页面无法登陆。通过Console登陆之后没有显示任何信息或者出现乱码。

2. 可能原因

·     硬件原因:磁盘损坏,设备无法加载硬盘信息。

·     操作系统损坏:因操作系统损坏导致设备无法正常加载系统。

·     WAF固件原因。

3. 处理步骤

(1)     WAF设备启动时要检查开机电源指示灯(PWR)是否正常以及硬盘指示灯(LOG)是否闪烁,如果硬盘指示灯没有任何的闪烁则表示设备没有正常加载硬盘信息;如果正常再通过Console口检查是否有异常信息,如果没有任何提示信息可以判断为硬件故障。

(2)     如果在WAF设备启动的过程中通过Console界面发现有异常信息的输出,可以判断为操作系统损坏或WAF固件原因。


 

7 网络连通性故障

7.1  电口物理状态down

介绍电口物理状态为down时的故障处理流程。

1. 现象描述

WAF接入到网络中时,WAF接口指示灯不亮。

2. 可能原因

·     设备部署在透明代理模式下开启了端口检测功能,网桥内任意一个接口down,在指定的时间内如果该接口没有起来,则设备会切换为物理直通模式

·     WAF所连接交换机接口被禁用。

·     两端设备的底层芯片实现的自协商协议不一致。

·     两端接口配置的速率或协商模式不同。

·     网线存在问题。

·     接口卡存在问题。

3. 处理步骤

(1)     WAF部署为透明代理模式并且开启了端口检测功能,只要改网桥内一个端口变为down,超过指定的时间后,网桥内的两一个接口也会变为down,且部署模式变为“物理直通模式”。

选择“配置>网桥配置”,查看设备是否在网桥内开启了端口检测功能。

·     已启用网桥内端口检测功能

如果已启用端口检测功能,那么关闭此功能

·     未启用网桥内端口检测功能

请继续执行以下步骤。

(2)     WAF所连接的交换机端口被禁用。

如果交换机端口显示为“Administratively Down”,则需要手工开启交换机端口。如果交换机端口显示为“UP”,请继续执行以下步骤。

(3)     两端设备的底层芯片实现的自动协商协议不一致。

如果WAF与交换机相连的接口的模式和速率都是自协商,请在WAF和交换机上配置相同的速率和双工模式。例如配置速率为1000M,协商模式为全双工。

(4)     两端接口配置的速率或协商模式不同。

若两端接口下配置了速率和协商模式,检查两端接口配置的速率和协商模式是否相同,若速率和协商模式不同,请修改为相同。

(5)     网线存在问题。

请更换网线。

(6)     接口卡、接口故障。

·     更换本端设备的接口

更换接口时尽量更换到同类型的其他接口卡的接口,确认故障是否解决。如果故障在其他接口卡不存在,请联系华三技术支持工程师维修存在问题的接口卡。

·     更换交换机的接口

更换端口时尽量更换到同类型的其他板卡的接口,确认故障是否解决,如果故障仍然存在,请联系技术支持工程师维修存在问题的接口卡。

7.2  光口物理状态down

介绍光口物理状态为down时的故障处理流程。

1. 现象描述

WAF用光口接入到网络中时,WAF接口指示灯不亮。

2. 可能原因

·     设备部署在透明代理模式下开启了端口检测功能,网桥内任意一个接口down,在指定的时间内如果该接口没有起来,则设备会切换为物理直通模式

·     WAF所连接交换机接口被禁用。

·     光模块或光纤不匹配。

·     光模块或光纤异常。

·     接口卡、接口故障。

3. 处理步骤

(1)     WAF部署为透明代理模式并且开启了端口检测功能,只要改网桥内一个端口变为down,超过指定的时间后,网桥内的两一个接口也会变为down,且部署模式变为物理直通模式

选择“配置>网桥配置”,查看设备是否在网桥内开启了端口检测功能。

·     已启用网桥内端口检测功能

如果已启用端口检测功能,那么关闭此功能

·     未启用网桥内端口检测功能

请继续执行以下步骤。

(2)     WAF所连接的交换机端口被禁用。

如果交换机端口显示为“Administratively Down”,则需要手工开启交换机端口。如果交换机端口显示为“UP”,请继续执行以下步骤。

(3)     光模块或光纤不匹配。

·     检查收发光纤是否连接正确,若收发光纤插反了,请重新连接。请注意插紧光纤,以免接触不好。

·     检查该接口是否支持所用模块类型。华三WAF的光接口需要配置SFP光模块或SFP电模块。

·     检查接口两端光模块是否匹配,华三出厂只配多模模块,例如单模模块