本文档中的信息可能变动,恕不另行通知。
目录
路由模式设备部署在网络边界处,内网流量无法访问外网或无法使用某些服务等。
(1)查看客户端IP等信息。保证用户IP地址正确。
(2)检查接口地址是否正确,无法访问外网时内网间流量是否可以正常通信。
(3)查看配置路由是否无误,网关地址、路由条目是否配置正确。
(4)查看安全策略是否存在、匹配路由正确,默认策略是否放行。
(5)查看NAT配置,保证NAT映射正确。
表1-1故障诊断命令
命令
说明
displayinterface
查看当前接口IP信息及接口状态
displayiproute
查看路由表中路由条目及下一跳接口地址
displayrunning-configpolicy
查看设备安全策略是否匹配及策略行为(permit/deny)
displayipnatsourcerule
查看设备NAT映射
使用透明模式设备时,内网用户无法访问外部网络。
(1)查看客户端IP等信息,测试内网连通性。
(2)查看设备接口状态是否开启。
(3)检测桥接口配置信息,确认要通信的网段都划入了桥接口下。
(4)查看安全策略是否匹配(默认拒绝所有)。
表1-2故障诊断命令
displayrunning-configinterface
查看当前所有接口下的动作
查看设备安全策略是否匹配及策略行为是否为放行(permit)
查看设备监控日志无相应日志显示。
(1)查看用户IP地址信息,无错误配置。
(2)检查旁路模式接口启用情况。
(3)查看用户地址对象匹配的网段是否正确。
(4)检查安全策略是否被匹配。
表1-3故障诊断命令
查看当前接口是否设置为旁路模式(deploy-modelistenenable)
displayaddress
查看地址对象网段是否正确匹配
版本升级包括软件和特征库文件升级,升级的方式存在多种,在不同场景的实际应用中,可能会存在多种多样的问题,下面详细介绍一下系统升级管理员实际操作中的故障定位思路和方法。
进行主程序升级,常见问题包括:
·Web界面下无法正常升级
·命令行界面下无法正常升级
·Menuboot下无法正常升级
下面将详细介绍各种常见问题的定位方法。
(1)首先检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2)检查升级文件是否正确,版本文件必须以.bin为后缀名。版本文件是从官网或者正规渠道获得的正确的升级文件。
(3)确保上传升级文件过程中网络正常,设备端需要提示上传成功。
(4)升级文件上传成功后需要进行设备配置保存操作。
(1)首先检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏,连接设备端口正确。
(4)检查命令是否输入正确。
(5)确保升级完成后设备重启,用displayversion命令检查版本信息:
(3)若设备无CF卡或CF卡中menuboot程序损坏,则需要在其它设备导入menuboot文件,例如,可以在连接设备的管理员PC上安装3Cdemon文件服务器,在menuboot中通过setenvserverip,setenvipaddr,setenvloadfilemenuboot.bin三个命令,分别设置文件服务器的IP地址,设备IP地址,与加载menuboot文件。
(4)检查menuboot中各参数是否设置正确。
设备系统在线运行时需要周期性的更新特征库,才能更好进行应用识别控制和流量控制。在设备无法正常与互联网进行通信的情况下,可通过WEB页面进行特征库手动升级。若设备可正常与互联网进行通信,则可通过设置定期自动从服务器更新最新的特征库。
(2)检查升级文件是否正确,版本文件是从官网或者正规渠道获得的正确的升级文件。
(3)确定在上传进度条完成后,WEB界面提示上传成功,然后进行的下一步操作。
(1)自动升级需要设备接入互联网,检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)。
(3)检查外网线路网络质量是否正常,检查设备DNS是否正确配置,若无配置,请将主备正确设置。
(4)检查系统升级服务器,设定周期是否设置正常。
如有其它问题请联系咨询售后人员。
不同场景的实际应用中,可能会存在多种多样的问题,下面详细介绍一下系统升级管理员实际操作中的故障定位思路和方法。
(1)检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。(接口开启ping模式下)
(2)管理员IP与设备IP需要在同一网段下。
(3)需要按照管理员需求,需改接口的访问权限,访问权限参考如下:
·ssh:允许使用SSH方式管理
·telnet:允许使用Telnet设备管理地址访问管理
·ping:允许Ping此接口地址,如果不勾选,路由可达情况下Ping不通
(4)检查浏览器是否正常。
(1)检查线路连通性,确定线路按照拓扑相连。确定Console线路无损坏,检查Console线两端连接设备端口正确。
(2)检查管理员PC的COM端口是否正常。
(3)检查超级终端配置正确,检查配置协议正确为“serial”,检查波特率配置正确为9600。
(4)连接建立后按回车打印显示信息。
表3-1常用调试命令
使用说明
enable
进入特权模式
configureterminal
进入全局配置模式
displayrunning-config
查看所有配置(空格键翻页)
saveconfig
保存当前配置
erasestartup-config
恢复出厂配置,需重启设备才能生效
reboot
重启系统,重启前会提示是否保存当前配置
displayversion
displaydate
displaycpuusage
查看设备cpu使用率(当前值、1分钟/5分钟/15分钟平均值
displaymemory
查看设备内存使用率(控制面、数据面)
·4核及以下设备转发会使用0核,其它设备0核仅用来管理。
·到本地的报文都是0核处理。
·当0核参与转发时,优先使用0核,这样就会看到0核cpu比较高。
通过命令displaycpuusage查看CPU利用情况,发现CPU0的利用率达到近100%,其它CPU核利用率不高。
(1)通过命令displayipconnectionstatisticsdest-ipany,查看到本地的报文是否过多,排在前面的目的IP,有没有是设备接口IP。
(2)host(config)#localunlisteneddropenable,配置非监听端口丢包,将非监听端口的报文丢掉,不让cpu进行处理。关闭外网口不必要的管理方式,如非特殊需要,外网口只允许ping操作。
(3)如未解决,收集设备信息、配置文件、perftop信息,联系售后工程师处理。
带有硬盘的产品在设备首页看不到硬盘的使用率,没有审计日志页面。
(1)通过recoverdatabase重置数据库,重启设备,看是否恢复正常
(2)如第(1)步无法恢复,则收集设备启动时串口输出的信息,联系售后工程师处理。
查看应用识别或应用统计集,查看不到正确的应用
(1)执行displayapp-identmode查看是否模式为关闭
(2)如果性能条件允许修改识别模式为smart
访问网站,在web页面查看网站审计日志,未能查询到对应日志。
(1)页面是否带有content-type,类型是否为text/html。
(2)HTTP返回码是否为200。
(3)网页标题长度仅记录为128字符范围内(约为40-60个汉字)。
(4)URL长度是否小于512。
配置应用审计策略,在web页面查看应用审计日志,未能查询到日志。
(1)执行displayrunningpolicy命令,检查应用审计策略是否正确。
(2)执行displaylogconfig命令,查看应用审计日志是否记录。
(4)通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况。
(5)执行displayipconnectionprotocolprotocol-nameipsourcesource-addrdestdest-addr,查看特定IP地址的会话的会话的AppName字段来确认是否为误识别。
在本地可以查看到应用审计日志,配置日志服务器后,在syslog服务器端未能收到日志。
(1)执行displaylogconfig命令,查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确。
(2)Syslog服务器是否启动,端口是否与设备配置一致。
(3)执行displayiproute命令,查看路由是否正确,ping服务器地址是否能ping通。
表5-1故障诊断命令
displayrunningpolicy
显示应用审计策略
displaylogconfig
显示日志配置情况
debugappauditdetail
应用审计细节信息
debugapplicationidentify
应用识别细节信息
displaylogdebugapp-name
查看特定应用的debug信息
displayipconnectionprotocolprotocol-nameipsourcesource-addrdestdest-addr
查看过滤特定地址的会话
查看路由信息
配置了IPQoS带宽限制后发现远未达到所限带宽,流量就已不再增长。
检查接口配置的接口带宽与运营商提供的实际带宽是否一致,如:运营商提供20M带宽,但QoS的带宽显示为50M,此时带宽已被运营商所提供带宽瓶颈所限制。
配置了IPQoS最大带宽限制后发现未达到最大限速,或者超过了所配置限速值。
(2)检查该IP是否在QoS白名单中。
(3)执行displayrunqos-profile查看是否有该IP队列,正常情况下上下行都有1个队列。(或者displayqos-profilestatistics/displayqos-profile,查看数据包在该QoS的队列情况)。
(4)检查设备是否有多个公网出口,而该IP只在某一个接口上做了限制。
(5)若策略中限制的地址为any,请改为具体IP地址。
(6)每个策略中的地址薄条目数不超过8个。
配置了应用QoS最大带宽限制后发现未达到最大限速,或者超过了所配置限速值。
(1)检查是否开启了应用识别。
(2)检查是否升级为最新应用特征库。
(3)在统计集中查看该应用识别成何种应用,然后将该应用加入限制。
(4)对于FTP等需要做ALG的环境,检查该应用的ALG是否做成功。
报文未受QoS限制。
(1)检查是否是本地报文。
(2)检测报文是否为非IPv4/IPv6报文。
(3)桥二层报文仅受物理接口的QoS限制,不受桥的QoS限制。
流量未匹配所配置QoS。
QoS策略中当有多个对象限制时如:“Address”、“Service”、“APP”等时,为匹配所有对象时才可命中该QoS策略。
表6-1故障诊断命令
clearqos-profilestatistics
在定位前先删除已存在的数据包统计
displayrunqos-profile
displayqos-profile
显示qos接口下的详细包数量
debugqosconfig
debugqosmatch
查看流量匹配qos队列
debugqosdrop
所丢弃数据包由哪个qos队列丢弃
·原因可能是地址对象配置错误和下一跳配置错误。
·解决方法:分清入口和报文源地址对象,并配置正确下一跳地址。
·原因可能是错误配置了源接口、源地址、目的地址为any的策略路由导致。因为策略路由是优于所有其它路由的(包括直连路由),错误的配置了这条策略路由后,会改变本地始发的数据包的出接口。
·解决方法:分清入口和报文源地址对象,精确匹配策略路由引用的地址对象,尽量不要使用any。
当使用双ISP路由接入时,一段链路down掉,流量无法通过另一条链路访问外网。
(1)查看ISP路由配置,保证ISP双运营商路由配置正确。
(2)检查缺省路由配置,保证在路由表中拥有双ISP的缺省路由。
(3)查看源NAT另一侧ISP路由出口填写正确。
表7-1故障诊断命令
查看当前设备路由表
查看当前设备NAT配置信息
配置ISP路由后用户可以在内网互访,不能访问互联网。
(1)检测地址对象所选网段是否配置正确。
(2)查看路由表中是否存在双ISP的缺省路由。
(3)查看源NAT地址对象是否配置正确。
(4)查看安全策略是否放行匹配流量。
表7-2故障诊断命令
查看地址对象所匹配的网段
查看策略配置是否正确引入“地址对象”
IPsecVPN的主要问题定位手段是查看IPsec的配置、第一阶段SA的协商状态、第二阶段SA的协商状态、IPsec协商的调试命令、检查路由、查看策略是否引用IPsec、感兴趣流是否一致等等。下面详细介绍一下IPsecVPN在典型应用场景中的故障定位思路和方法。
IPsecVPN在基于策略的使用时,常见问题包括:
·第一阶段协商不成功;
·第二阶段协商不成功;
·保护子网不能通信;
·IPsec协商起100条隧道,还有一部分没协商成功;
·某些移动终端接入VPN不成功;
·NAT环境下IPsec协商不成功;
·IPsec建起连接后,一端断开后,IPsec无法协商;
·本端SA状态显示连接,流量无法转发;
·当设备存在多出口时,其它参数正确,IPsec协商失败;
·IPsec使用国密证书协商不成功;
·发起方保护子网范围比响应方子网范围大,二阶段无法协商成功;
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。其次检查路由,查看对端是否可达。如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKESA的协商。
调试命令:debugipsec-VPNdebug。
第二阶段协商不成功,首先可以检查IPsec的配置,查看两端的配置是否一致。检测感兴趣流,查看两端的感兴趣流是否一致。检测路由,查看对端是否可达。若是基于tunnel口,查看是否配置tunnel口的路由。
查看感兴趣流的方向性配置是否正确。隧道模式,查看是否配置策略。
若是感兴趣流的问题,可以通过以下命令查看:
·displayikedump-tunn,查看基于tunnel的IPSecVPN的sp状态是否建立成功。
一条IPsecVPN隧道,配置多个网段的感兴趣流,最多支持100条,超过的不能协商成功。
有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。同时手机发起的加密算法也各有不同,可以通过debugipsec-vpndebug命令,查看协商不成功的原因,以及对端发来的加密算法是否与设置中的一致。
搭建IPsec的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPsec可以协商成功。
IPsec断开后对端设备并没有吧原先建立好的SA清除,就不再接受再次发起的协商请求,导致无法建立连接。解决方案:
(1)在对端设备手动删除SA。
(2)双方启用DPD检测。
建议使用方案2。
问题原因:
·对端手动清除了SA;
·对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接。
排错:
·双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
·一阶段启用DPD检测。
当有多出口时,需要指定用于建立IPsec的本端IP地址。如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
IPsec认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。协商不成功需要检查本端证书与对端证书是否导入正确。
当IPsec发起方保护子网范围比响应方子网范围大,二阶段无法协商成功。此时需要修改IPsec保护子网范围一致。
IPsec快速配置的主要问题定位手段是查看IPsec的配置、第一阶段SA的协商状态、第二阶段SA的协商状态、IPsec协商的调试命令、检查路由等,由于IPsec配置被大大简化,一二阶段的配置均是自动生成,默认参数一致,且不支持修改。所以出现协商不起来的问题主要从配置检查和网络连通性方面着手。下面详细介绍一下IPsecVPN在典型应用场景中的故障定位思路和方法。
IPsec快速配置在使用中,常见问题包括:
·第一阶段协商不成功
·保护子网不能通信
·IPsec建起连接后,一端断开后,IPsec无法协商
·网段映射不生效
·监控页面隧道名称为空
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。其次检查路由,查看对端是否可达。
调试命令:debugipsec-VPNdebug
1、保护子网之间不能通信,查看下两端是否配置了保护接口或保护子网,并查看下是否生成了保护子网的路由。2、检查两分支是否存在保护子网冲突,导致后接入的分支在中心端的路由覆盖了先接入的分支端设备的路由,解决分支网段冲突建议更改分支保护子网或者使用网段映射功能。
调试命令:displayiproute
IPsec断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。解决方案:1、在对端设备手动删除SA2、双方启用DPD检测。建议使用方案2。
分支端有选路策略,需要配置线路名称和对应的IP,该线路名称会同步给中心端设备,显示为监控页面中的隧道名称,默认情况下不配置选路策略,就会出现隧道名称为空的情况,不影响功能,如果要显示名称,则在选路策略中定义线路即可。
无法Ping通对端的IPv6地址。
(1)在enable模式下,用displayipv6interface命令检查接口配置的IPv6地址是否正确,接口状态是否为up。
(2)使用debugipv6packet命令打开IPv6报文调试开关,根据调试信息进行判断。displaylogdebug查看具体信息。
发送前缀路由,对端PC无法接收到。
(1)首先查看本地网卡是否已经接收到另一个前缀地址,并排查本地网络中是否有发送多个前缀的设备。
(2)将网卡禁用再启用,再次获取查看。
手动隧道配置后,无法正常通信。
(1)手动隧道的源地址和目的地址都需要手动配置。
(2)查看安全策略配置是否正确。
(3)查看IPv6和IPv4路由是否正确。
6to4自动隧道配置后,无法正常通信。
(1)首先分析设置的6to4隧道采用的地址是否正确,因为这个地址是一个特殊的地址,需要将IPv4公网通信接口的IPv4地址转化为16进制的IPv6,o为2002:A.B.C.D::/64+EUI-64格式,其中2002表示固定的IPv6地址前缀,A.B.C.D::/64表示该6to4隧道对应的32位全球唯一的IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:A.B.C.D::/64之后的部分唯一标识了一个主机在6to4网络内的位置。要算换一下此IP是否正确。
IPv6ISATAP自动隧道配置后,无法正常通信。
(1)首先要检查ISATAP隧道地址是否添写正确,这里的ISATAP隧道地址是经过换算得来的,使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:ip-address。其中,64位的Prefix为任何合法的IPv6单播地址前缀,ip-address为32位IPv4源地址,换算成16进制后添在IPv6的后32位中。
(2)路由前缀是否通信成功,在本地网卡上查看,可在PC端使用wireshak抓包。
(3)查看安全策略配置是否正确。
(4)查看IPv6和IPv4路由是否正确。
VRF配置后无法通信。
按照标准配置手册文档多次检查配置是否正确,例如排查路由、安全策略是否正确。若配置没有问题,错误依然存在,将配置导出并发给技术支援处理。
OSPF邻居关系无法正常建立。
如果物理连接和下层协议正常,则检查接口上配置的OSPF参数,必须保证与相邻路由器的参数一致,区域号相同,网段与掩码也必须一致(点到点与虚连接的网段与掩码可以不同)。
(1)使用displayipospfneighbor命令查看OSPF邻居状态。
(2)使用displayipospfinterface命令查看OSPF接口的信息。
(3)检查物理连接及下层协议是否正常运行,可通过ping命令测试。若从本地设备Ping对端设备不通,则表明物理连接和下层协议有问题。
(5)如果是NBMA网络,则应该使用peerip-address命令手工指定邻居。
(6)如果网络类型为广播网或NBMA,则至少有一个接口的路由器优先级大于零。
OSPF不能发现其它区域的路由。
应保证骨干区域与所有的区域相连接。若一台设备配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的设备不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有设备都应将此区域配置成Stub区域。
(3)使用displayipospfdatabase查看数据库的信息是否完整。
(4)使用displayrunning-configospf命令查看区域是否配置正确。若配置了两个以上的区域,则至少有一个区域与骨干区域相连。
(5)如果某区域是Stub区域,则该区域中的所有设备都要配置stub命令;如果某区域是NSSA区域,则该区域中的所有设备都要配置nssa命令。
(6)如果配置了虚连接,使用displayospfvlink命令查看OSPF虚连接是否正常。
查看OSPFv2邻居关系显示邻居关系已经full状态。但无法学习由OSPF邻居传递的路由。
(1)查看OSPF接口网络类型,保证建立邻居的接口在相同的网络类型内。
(2)查看OSPF进程是否配置了distribute路由过滤。
(3)查看OSPF进程是否设置了域间路由汇总not-advertise不通过路由。
(4)查看OSPF进程是否设置了重分布路由不通告。
查看OSPFv3邻居关系时无任何显示,无法与相邻设备建立OSPFv3邻居关系。
(1)查看双方直连接口IPV6地址,确定直连IPV6地址在相同网段内。
(2)查看OSPFv3接口,保证建邻接口在相同area内。
(3)检查建邻设备router-id是否冲突。
(4)查看建邻接口OSPFhellotime和deadtime相同。
(5)查看建邻接口MTU是否一致,MTU一致后邻居关系才可到达full状态。
OSPFv3邻居关系正常达到full状态,但是无法从OSPFv3邻居学习其它路由条目。
(1)查看OSPFv3口网络类型,保证建立邻居的接口在相同的网络类型内。
(2)查看OSPFv3进程是否设置了域间路由汇总not-advertise不通过路由。
(3)查看OSPFv3进程是否设置了重分布路由不通告。
HA在主备场景下使用时,常见问题包括:
·HA无法协商
·HA主备无法切换
·HA无法同步
要求作为HA的两台设备为同一个硬件型号、同一软件版本,选择同样的接口作为HA接口配置了抢占模式必须在主设备和备设备上分别配置,一台设备配置为抢占主,一台配置为抢占备。否则HA无法协商
·备设备有接口处于down状态。
·配置了抢占模式的HA设备无法手动切换HA状态。
·两台设备型号或版本不同,不同型号的设备接口数目可能不一样,这样配置永远不相同。
·某个需要License的模块主设备有而备份设备没有License或已过期,这可能导致配置不同。
·未开启自动同步功能,导致主备配置不同。
·在HA主设备上重启对端的备设备。HA备设备可能出现配置和主设备冲突,无法同步的情况。这时可以重启备设备,使备设备抛弃错误配置,使用同步过去的最新配置。
表10-1HA常用调试命令
debughaerror
查看HA错误信息
debughaevent
查看HA事件信息
debughafilesync
查看HA队列信息
debugharecv
查看HA发包信息
debughasend
查看HA收包信息
debughasession
查看HA会话信息
debughasync
查看HA同步状态信息
设备配置HA并且关联track,主备频繁切换。
(2)设备上HA是否配置了自动抢占
(4)关闭HA抢占
设备配置HA并且在主备墙都关联track,导致主备无法切换。
(1)设备备墙上查看HA配置
(2)设备备墙上查看HA所关联track状态是否为Failed
(3)设备备墙查看引用的track对象的探测目标是从哪个接口出去的
(4)设备备墙在探测目标的接口下配置管理ip地址
表10-2故障诊断命令
displayrunning-configha
查看HA配置
displaytrackname
查看track详细信息
系统异常时、掉电时接口没有切换到Bypass状态。
正常情况下Bypass模块的触发机制分为硬件触发与软件触发,例如当设备没有通电的情况下,Bypass功能会调整为开启,如果设备一旦通电后,系统启动成功时,Bypass立即调整为关闭状态。当系统启动成功后,由于系统故障异常会导致重启时,Bypass功能会调整为开启状态。当系统运行正常,突发掉电情况下,Bypass软件会调整为开启状态。
(1)当发现Bypass异常,首先需要判断接口是否属于同一Bypass接口。
(2)当判断网线插口属于正确的Bypass接口对时,查看当前配置是否为桥模式,因为Bypass仅对二层转发生效,不对三层模式生效。
(3)由于Bypass属于芯片集成功能,由于硬件芯片所属环境如潮湿,干燥,静电也会导致芯片异常功能失效。
出口设备使用带宽比的链路负载均衡不生效。
(1)查看负载均衡是否开启
(2)检查属于负载均衡组下的接口状态是否UP
(3)检查负载均衡组下路由状态是否生效
(4)检查路由的多下一跳出口是否分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡
带宽比的负载方式,负载不准确。
表10-3故障诊断命令
displaymllb-groupNAME
查看负载均衡组配置
displayrunning-configmllb-group
查看路由状态
配置了会话限制,但是并没有对配置的地址对象下的会话进行限制。
由于配置的地址对象的对应的会话已经建立的数量大于配置的限制的会话数,导致并不能看到会话限制的效果。
比如配置会话限制数为30,每秒新建限制为10。
图11-1会话限制配置
查看限制阻断,没有记录(此时60.1.1.2地址对象所对应的流量保持的会话数为50)。
图11-2会话限制阻断
查看当前会话统计,60.1.1.2会话数大于30。
图11-3会话统计
如果该地址对象的会话一直有流量的话,会话不会老化,可以在命令下清除当前的会话,即可进行正常的会话限制。如果该地址对象的会话没有流量,可以等候会话老化,之后便能看到会话限制的效果。
host#clearipconnectionall
再查看阻断记录,能够正常阻断。
图11-4清除会话后的阻断记录
表11-1故障诊断命令
clearipconnectionall
清除当前已经建立起来的会话
·设备开启了DNS代理功能,并且配置了DNS服务器。
·客户端配置设备为DNS服务器,但是在发出DNS请求后收不到响应。
查看CPU是否过高,DNS代理的过程通过CPU0来处理,CPU0用作CP,当CPU0偏高时,会产生丢包,执行displaycpuusage命令查看CPU占用情况。
查看是否是内存不足导致丢包,设备分配了一定的内存来作为DNS请求和转发的缓冲,大小约为400K,客户端产生大量DNS请求时,将导致用于缓冲的内存部分用尽,产生丢包;命令为debugdpdrop,displaylogdebug。
图11-5查看是否是内存不足导致丢包
查看是否是FPA泄露,FPA主要负责分配收发报文过程中的packetworkentry以及packet的databuffer,设备的上的FPA存在于FPA0-FPA3上,数值会有上下浮动但不会持续下降,当FPA泄露完之后导致设备不会转发报文,命令displaystatisticsfpa。
表11-2故障诊断命令
debugdpdrop
查看转发过程中的丢包情况
查看CPU使用情况
displaylogdebug
查看debug产生的日志
displaystatisticsfpa
查看fpa状态
配置了入侵防御后发现无法拦截IPS攻击流量。
(1)查看事件集是否被策略引用并开启规则。
(2)查看事件集是否勾选正确。
(3)查看流量匹配策略是否为配置策略。
表11-3故障诊断命令
debugdpbasic
查看流量命中策略
displayrunning-configips
查看ips配置信息
debugipsdetect/event
Debugips攻击情况/debugips攻击事件
debugippacketreceive
debug收到的数据包
debugippacketsend
debug转发的数据包
debugdpfilter
设置debug过滤器
配置了AV防护后发现无法拦截AV病毒。
(1)是否升级最新病毒库。
(2)病毒类型是否为zip压缩文件。
(3)是否被策略引用并命中策略。
表11-4故障诊断命令
displayrunav
查看av配置信息
debugavevent
Debugav事件记录
debugavfile
Debugav文件
Debugavscan
Debugav扫描过程
配置了DoS攻击防护后发现无法拦截DoS攻击流量。
(1)执行displayrunning-configdefend检查设置的DoS攻击防护是目的IP防御还是接口防御,其中目的IP防御是全局生效的,而接口防御仅对被设置的接口生效。
(2)如果设置的是目的IP防御,检查该IP是否在设置的保护主机范围内。
(3)如果设置的是接口防御,该接口是否是DoS攻击的入接口。
表11-5故障诊断命令
displaystatisticsinterface
查看所有端口的统计信息
displayrunning-configdefend
查看安全防护配置信息
debugipdefendattack
debug安全防护丢包信息
安全策略开启URL过滤后,某些网站无法访问,查看恶意URL日志,发现网页被阻断。配置了恶意URL白名单后重新访问网站还是不能访问。
(1)查看访问的网站URL是否填写正确。
(2)查看恶意URL日志,访问的网站是否有记录。
(3)查看配置的恶意URL白名单是否正确,恶意URL白名单为精确匹配
(4)修改恶意URL白名单后,重新访问网站
displaymalware_whitelist
查看恶意URL白名单配置
malware-urlurl
添加恶意URL白名单
(2)查看新建管理员是否配置管理IP地址。
(3)RADIUS、LDAP服务器是否正常。
表11-6故障诊断命令
displayamdin-user(管理员名称)
查看设备中该管理员是否存在及用户类型、用户状态、管理地址、管理员权限
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)
·使用FTP方式下载版本文件,版本下载失败
·使用HTTP方式下载版本文件,版本下载失败
(1)FTP服务器是否开启,PC端需要关闭防火墙。
(2)查看版本文件是否放在FTP服务器正确的目录下。
(4)设备端下载版本文件名是否正确。
(5)下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
(6)HTTP服务器是否开启,PC端需要关闭防火墙。
(7)查看版本文件是否放在了HTTP服务端的目录下。
(8)设备端下载版本文件名是否正确。。
(9)下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
设备配置RADIUS/LDAP第三方认证后访问外网无法重定向到认证页面。
(1)设备上控制控制策略是否将流量拒绝。
(2)查看设备上的用户策略是否正确。
(3)查看设备上的路由配置是否正确。
表11-7故障诊断命令
查看设备中控制控制策略
displayuser-policy
查看设备中用户策略
(1)在命令行debugaaaevents,根据相应的debug信息查看认证失败的原因,包括服务器没有回应、服务器密码错误、用户名或密码错误。根据这些相应的原因查看是否拓扑或路由错误导致服务器没有回应;RADIUS服务器密码是否错误;输入的用户名及密码是否正确,此用户在RADIUS/LDAP服务器上是否存在。
(2)查看相应的系统日志,查找故障原因。
表11-8故障诊断命令
debugaaaevents
查看认证失败的相应debug信息
displaylogeventall
查看设备关于认证失败的日志信息
·ssh:允许使用SSH方式管理。
·telnet:允许使用Telnet设备管理地址访问管理。
·ping:允许Ping此接口地址,如果不勾选,路由可达情况下Ping不通。
网络连通的情况下,服务质量条目探测结果一直为0。
(1)查看接口物理线路是否ok
(2)是否有去往探测目标的路由
(3)如果服务质量管理探测的对象为域名,是否在设备上配置了DNS。当探测内网DNS服务器时,需要将设备DNS服务器指向内网DNS服务器;探测外网的知名DNS时,首先确定设备是否配置了DNS服务器。
表11-9故障诊断命令
查看设备接口状态
查看是否有去往目标的路由
displayrunning-configdns
查看是否配置DNS功能
后台执行displayflow-accountstatistics可以查看到后台信息具体内容。
表12-1故障诊断命令举例
displayflow-accountstatistics
查看应用/用户流量统计具体信息内容
WorkState:enabled
当前功能开启
AccountPeriod:1(centi-seconds)
统计周期为百万分之一秒
UserLost:0
用户(IP或实名认证用户)没有统计出来的数据会显示在此行
UserTopOut:0
用户没有进入TOP的数据报文计数
UserTopOldIn:250
用户首次进入TopN统计的报文数量(N为不同硬件规格规定的上限)
UserTopNewIn:198
后进入TopN的用户统计的报文数量(将首次进入ToP的数据顶出)
UserOverflow:0
应用/用户流量统计保存的二维表(用户的应用)用户维度统计溢出计数,另一个是二维表应用维度统计溢出计数
AppLost:0
用户应用没有统计出来的数据会显示在此行
AppTopOut:0
应用没有进入TOP的数据报文计数
AppTopOldIn:322
应用首次进入TOP时的报文计数
AppTopNewIn:126
后进入TOPN的应用统计报文数量(将首次进入ToP的数据顶出)
AppOverflow:0
应用/用户流量统计保存的二维表(应用的用户)应用维度统计溢出计数
MemLack:0
内存分配失败的报文计数
设备配置接口联动,track目标为下一跳地址,在该接口关联track对象,track失败后,接口无法up。
(1)设备上查看接口状是否为TD(track-down)。
(2)如果不是TD的话查看接口物理线路是否ok。
(3)如果是TD的话查看track对象的下一跳是否为直连接口。
(4)确定track对象下一跳是直连接口后,在接口下删除track。
表13-1故障诊断命令
查看接口下关联的track
设备配置策略后无法访问外网。
(1)是否有去往外网的默认路由。
(2)是否配置了源NAT。
(3)设备上控制策略是否将流量拒绝。
表14-1故障诊断命令
查看设备中控制策略
查看设备中地址对象
debugpolicy
查看设备中策略匹配信息
查看设备中具体应用规则和URL规则匹配信息
设备配置Portal认证后访问外网无法重定向IMCPortal认证页面。
(1)设备上控制策略是否将流量拒绝。
(2)查看地址对象是否配置正确。
(3)用户策略中目的地址是否排除了IMC服务器地址、认证方式是否正确。
(4)设备中PortalServer页面的认证URL填写是否正确。
表15-1故障诊断命令
displayrunning-configuser-portal-server
查看设备中PortalServer配置信息
·设备配置Portal认证后,在重定向页面内输入正确的用户名、密码、服务类型,点击上线,页面报错“设备拒绝请求”。
·设备配置Portal认证后,在重定向页面内输入正确的用户名、密码、服务类型,点击上线,页面报错“向设备发送请求超时”。
(1)查看PortalServer配置是否调用了正确的RADIUS服务器。
(2)查看RADIUS服务器中服务器地址、服务器密码、端口是否配置正确。
表15-2故障诊断命令
displayradius-server
查看设备中RADIUS服务器配置信息
设备接入成功后,特定的用户未在用户中心显示。
(1)检查当前用户中心的用户是否超过规格限制。
(2)若用户数达到规格,可以通过清除用户的内存缓存,使其识别新的用户。
表16-1故障诊断命令
displaycapacity
查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制
clearuccuser
清除用户的内存缓存,使其识别新的用户,此时用户中心的页面显示的用户数会比规格数多
(1)重启设备,按ctrl+c进入menuboot
(2)进入menuboot按选项4,即可重置管理员密码,默认为admin。显示“Resetadminpasswordsuccess”表示成功。
(3)选择0重启设备
流量劫持的主要问题定位手段是查看流量劫持的配置以及debug调试命令。下面详细介绍一下流量劫持在典型应用场景中的故障定位思路和方法。
流量劫持在使用中,常见问题包括:
·访问网页被重置
一些应用出现问题或者设备出现意外重启等问题,都会被日志记录下来(保证设备有硬盘或者充当硬盘的外置U盘),那么在排查问题的时候,日志收集是很重要的。
(1)在web界面收集。
(2)收集系统版本信息——web和命令行。
尽量使用命令行收集,使信息更清晰:displayversion。
(3)使用Debug打印基本信息用来分析。
根据想抓取的应用或者服务进行debug调试信息(请参照debug手册进行);通过displaylogdebug来收集信息。
(4)从web界面收集一些日志信息,尽量找到离事件发生最近的日志来分析,选中可以复制到Word文档中,提供给后端人员进行分析。