代理場(chǎng)景化實(shí)施方案-a06-交付sg運(yùn)維手冊(cè)

1■ 第1章前 第2章運(yùn)維工具列 第3章設(shè)備日常例行檢 日常注意事 第4章設(shè)備配置和恢 交叉線恢復(fù) 第5章輔助工具使 第6章常見(jiàn)問(wèn)題排 通過(guò)SG上網(wǎng)不了網(wǎng) 第7章突發(fā)事件應(yīng)急處 內(nèi)網(wǎng)斷 第8章技術(shù)支 12維工具列1W/download/product/tools/SA34/download/TeamViewer_Setu3備日常例行檢日常注意事2、用戶并不具備標(biāo)準(zhǔn)機(jī)柜情況下，可將設(shè)備安裝在干凈的工作臺(tái)上。保證安裝工作臺(tái)足夠牢固，足以承擔(dān)設(shè)備及電纜的10cm4、在機(jī)器上架安裝過(guò)程中，注意同一機(jī)柜中其它設(shè)備，避免在1、布放走道線纜時(shí)，必須綁扎。綁扎后的線纜應(yīng)互相緊密靠攏，外觀平直整齊，線扣間距均勻，松緊適度。布放槽道線纜2、信號(hào)電纜、尾纖、電源線的布放盡量避開(kāi)，不要靠得太近，更不能綁扎在一起。線纜在機(jī)柜中捆扎后，應(yīng)平直、捆扎整齊，3、尾纖綁扎前檢查光纖走線區(qū)域附近是否有毛刺、銳邊或銳角物體等，如果發(fā)現(xiàn)應(yīng)盡量規(guī)避。在機(jī)柜外布放時(shí)，建議安裝光纖1、電源線：內(nèi)容為電纜對(duì)端位置信息，填寫(xiě)所在電纜2、信號(hào)線：兩面內(nèi)容分別標(biāo)識(shí)電纜兩端所連端口的位3、粘貼之前先在整版紙上填寫(xiě)或打印好內(nèi)容，SANGFORSGPOWERALARM大概分鐘半小時(shí)后將設(shè)備重啟，若重啟設(shè)備后ALARM燈仍一直長(zhǎng)亮不能熄滅，請(qǐng)速與深信服技術(shù)支link（百兆鏈路，如果是千兆鏈路，該燈會(huì)成橙色）且長(zhǎng)亮，網(wǎng)口ACT燈在有數(shù)據(jù)通過(guò)的時(shí)候會(huì)呈橙色且會(huì)不停閃爍，如果link或者act設(shè)備cpu檢cpuCPU查看【系統(tǒng)管理】-【實(shí)時(shí)狀態(tài)】-【流量狀態(tài)】-【用戶流量】，檢查是否有突發(fā)流量開(kāi)啟設(shè)備防DOS模塊（【安全防護(hù)】-【防DOS】），檢查設(shè)備是否到了 如果設(shè)備有異常聲響，可能是硬盤(pán)或風(fēng)扇的異常工作導(dǎo)致，請(qǐng)立即斷開(kāi)電源停止設(shè)備工作，備用機(jī)，請(qǐng)立即將系統(tǒng)切換到備用機(jī)；并及時(shí)聯(lián)系深信服技術(shù)支持工程師以確認(rèn)故障并SG方法：登陸SG控制臺(tái)，點(diǎn)擊【系統(tǒng)管理】-【系統(tǒng)配置】-【配置備份與恢復(fù)】，點(diǎn)擊<點(diǎn)擊配置>配置并妥善保存即可。規(guī)則庫(kù)版本檢為了確保設(shè)備能夠正別網(wǎng)絡(luò)應(yīng)用，建定期檢查設(shè)備規(guī)則是否更新，果更新異常，請(qǐng)查設(shè)備身能否?？刂婆_(tái)管理員是否為默認(rèn)的admin或123456之類(lèi)的簡(jiǎn)單。如果是默認(rèn)或簡(jiǎn)單，請(qǐng)立即修改sangfor、test如果有的話，請(qǐng)刪除多余賬號(hào)，僅保留的管理員賬號(hào)控制臺(tái)檢 從WAN口接入設(shè)備。通過(guò)【系統(tǒng)管理】-【系統(tǒng)】-【系統(tǒng)日志】，可以看到設(shè)備各模塊運(yùn)行狀態(tài)日志，可通系統(tǒng)日志包含信息、告警、錯(cuò)誤、調(diào)試四個(gè)級(jí)別，點(diǎn)擊<日志選項(xiàng)設(shè)置>，可以過(guò)濾需要查看如果系統(tǒng)日志中出現(xiàn)大量錯(cuò)誤日志和告警日志，請(qǐng)及時(shí)聯(lián)系深信服技術(shù)支持工程師，確認(rèn)是第4章設(shè)備配置和恢交叉線恢復(fù)適用場(chǎng)由于admin丟失，也沒(méi)有其它帳號(hào)可以使用，導(dǎo)致無(wú)法登錄控制臺(tái)及，但仍然記得IP操作步確保電腦和設(shè)備可以通問(wèn)設(shè)備地址https://網(wǎng)關(guān)ip/php/rp.php。如下圖，提示此地址不需要錄控制臺(tái)，此地址作用創(chuàng)建一個(gè)標(biāo)記文件如果交叉線接了兩個(gè)電口，設(shè)備重啟時(shí)，會(huì)判斷標(biāo)記文件是否存在，存在則執(zhí)行恢復(fù)流程，不存在，則執(zhí)行恢手動(dòng)重啟設(shè)備，重啟過(guò)程中，注意觀察交叉線短接的兩個(gè)電口ACT燈狀態(tài)，兩個(gè)電口ACT燈同時(shí)閃爍10次后，說(shuō)明恢復(fù)完成，此時(shí)可以撥掉短接的交叉線，通過(guò)默認(rèn)的控制臺(tái)帳號(hào)密碼admin/admin登錄設(shè)備即可。設(shè)備重啟到恢復(fù)成功大約3到5分鐘左右。如果2.3步無(wú)法根據(jù)網(wǎng)口燈狀態(tài)判斷恢復(fù)是否成功，你可以一直等待，等待5到10分admin/admin適用場(chǎng)操作步登陸SG控制臺(tái)，點(diǎn)擊【系統(tǒng)管理】-【系統(tǒng)配置】-【配置備份與恢復(fù)】，點(diǎn)擊<恢復(fù)出廠設(shè)適用場(chǎng)操作步手動(dòng)重啟設(shè)備，重啟過(guò)程中，注意觀察交叉線短接的兩個(gè)電口ACT燈狀態(tài)，兩個(gè)電口AT燈一直同時(shí)閃爍，說(shuō)明出廠設(shè)置恢復(fù)完成，此時(shí)撥掉短接的交叉線，設(shè)備會(huì)自動(dòng)重啟，設(shè)備啟動(dòng)5如果2.2步無(wú)法根據(jù)網(wǎng)口燈狀態(tài)判斷出廠配置是否恢復(fù)成功，你可以一直等待，直到設(shè)備重啟，設(shè)備重啟時(shí)，務(wù)必要撥掉交叉線（如果沒(méi)有撥下交叉線，設(shè)備會(huì)循環(huán)重啟）。設(shè)備啟動(dòng)10交叉線恢復(fù)或出廠設(shè)置，設(shè)備都需要重啟，需要提前和客戶說(shuō)明，建議將設(shè)備下架對(duì)于外部型號(hào)為SG4300（硬件平臺(tái)為立端945），若部署模式為單臂模式，則請(qǐng)使用交叉線短接ETH0和ETH1來(lái)恢復(fù)默認(rèn)。5助工具使上網(wǎng)故障排除功能用于查詢(xún)一個(gè)數(shù)據(jù)包在通過(guò)AC&SG設(shè)備時(shí)是被哪個(gè)模塊，是什么原因被。當(dāng)用戶上網(wǎng)出現(xiàn)故障時(shí)，便于快速定位故障原因，也可用來(lái)測(cè)試一些規(guī)則是否生效。如果僅開(kāi)啟日志過(guò)濾條件，則SG設(shè)備僅在列表中打記錄，可以通過(guò)記錄查看設(shè)SGIPIPSANGFORAC&SG 在【系統(tǒng)管理】-【系統(tǒng)】-【命令控制臺(tái)】頁(yè)面直接輸入命令回車(chē)即可，高級(jí)抓包是用TCPDUMP的方式抓包，將抓取的數(shù)據(jù)包保存在設(shè)備的控制臺(tái)界面，需要在電腦wiresharkSniffer在【系統(tǒng)管理】-【系統(tǒng)】-【抓包工具】頁(yè)面，點(diǎn)擊<抓包選項(xiàng)>，選擇抓包數(shù)量和網(wǎng)tcpdump0080的數(shù)據(jù)包的過(guò)濾表達(dá)host00andportwebweb登錄控制時(shí)，可用該工進(jìn)行一常見(jiàn)的絡(luò)令測(cè)試，地址：.cn/download/product/tools/SANGFOR_Updater6.0.zipTCP51111SANGFOR_Updater6.0完成后，解壓即可使用，在解壓縮的文件內(nèi)找到“SANGFORFirmwareUpdater.exe”雙擊運(yùn)行，即可打開(kāi)升級(jí)客戶端接入程序。PC 按鍵盤(pán)【F10【命令】模塊下，可使用包括、查看路由表、查看ARP表、查看網(wǎng)絡(luò)配置、網(wǎng)卡操作、態(tài)檢查請(qǐng)向技支持工師索取。6見(jiàn)問(wèn)題排無(wú)法登陸SG控制是否能夠正常通設(shè)備內(nèi)網(wǎng)嘗試用一臺(tái)電腦通過(guò)交叉線接到DMZ口（缺省為eth1口），將電腦的IP配成0/24，測(cè)試DMZ口的默認(rèn)IP52是否能通SG部署在網(wǎng)橋模式下，開(kāi)直通后，所有的上網(wǎng)策略不生效，SG起到網(wǎng)絡(luò)的作用，通過(guò)開(kāi)SG上網(wǎng)故障排除策略啟后，會(huì)在表中顯示詳細(xì)的日志，可根據(jù)日志排查那條策略的據(jù)，排過(guò)程中議制定IP地址啟志，以便速定位題。如下策略中，support用戶會(huì)匹配<限制通道>，P2P等應(yīng)用最大上行200Kbps，下行2Mbps，support200Kbps2Mbps，則該用戶在使用過(guò)程中理論最大可以流量可以達(dá)到上行400Kbps4Mbps（P2P等應(yīng)用上行200Kbps，2Mbps200Kbps2Mbps）。經(jīng)過(guò)SG上網(wǎng)比較啟用流量管理系統(tǒng)，限制p2p，，流的帶寬，保證上網(wǎng)及辦公應(yīng)用的帶寬，測(cè)試打SG 檢查SG設(shè)備認(rèn)證策略是否啟用認(rèn)證，或者單點(diǎn)登錄失敗動(dòng)作選擇認(rèn)證檢查SG設(shè)備到內(nèi)網(wǎng)電腦的回包路由（網(wǎng)橋模式使用虛擬地址重定向不需要檢查SG是否允許用戶認(rèn)證成功之前能DNS服注意：這里之所以能解析出并且能通地址,是因?yàn)樵赟G上啟用了“未通過(guò)認(rèn)用戶可以dns服務(wù)”及“未通過(guò)認(rèn)證用戶具體根組權(quán)限（http應(yīng)用除外使用命令控制臺(tái)，測(cè)試與域控的連通性，可通過(guò)和net測(cè)試檢查組織結(jié)構(gòu)是否存在相同用戶名的本地賬號(hào)，如果有本地賬號(hào)，SG設(shè)備優(yōu)先認(rèn)證本地賬確定用戶是否成功加入域------運(yùn)行下輸入“gpresult-r”，用戶如果加入域成功則會(huì)顯示出確認(rèn)當(dāng)前一次域策略下發(fā)是否正常------運(yùn)行下輸入rsop.msc，正常情況下，能從域里面獲檢查【系統(tǒng)管理】-【系統(tǒng)配置】-【系統(tǒng)更新】-【規(guī)則庫(kù)升級(jí)】中，相應(yīng)規(guī)則庫(kù)升級(jí)服 在服務(wù)器上檢查SangforDenter服務(wù)是否啟動(dòng)SGTCP810SG有了TCP810端口；查看系統(tǒng)日志，通過(guò)系統(tǒng)日志可以檢查：外置數(shù)據(jù)中心安裝軟件的版本和設(shè)備版本是否一致，外置據(jù)中心步賬號(hào)是和設(shè)備的致通過(guò)SG上網(wǎng)不了網(wǎng)二是用戶不了某些網(wǎng)頁(yè)，大部分網(wǎng)頁(yè)正常。檢查方法：通過(guò)命令控制臺(tái)執(zhí)行：，確認(rèn)DNS解析是否正常。同時(shí)可以在命令控制臺(tái)執(zhí)行：net 檢查方法：直接用最簡(jiǎn)單的操作，SG和PC之間互，看能否通如果不了的網(wǎng)是固定的，也好處理一些最麻煩的是打不開(kāi)網(wǎng)頁(yè)不固定有時(shí)可以打開(kāi)有時(shí)又不能打開(kāi)這種情況，因?yàn)楝F(xiàn)象不固定，收集信息就需要足夠的耐心。這類(lèi)問(wèn)題處理tcpdumpieth0hostx.x.x.xs0w/tmp/xxx.capIPtcpdump-ieth0hostx.x.x.xandportxxx-s0-w/tmp/xxx.cap (指定端口抓3、SG口抓包：第式數(shù)據(jù)量會(huì)很大，如果開(kāi)啟抓包后能很快重現(xiàn)現(xiàn)象，建議還是按tcpdump-ieth2tcpport80orudpport53andhosty.y.y.y-s0-w/tmp/yyy.cap(y.y.y.y是SG設(shè)備IP，抓SG發(fā)出的80端口和dns解析的數(shù)據(jù)包，數(shù)據(jù)量很大)tcpdumpieth2tcp[20:4]=0x47455420andhosty.y.y.y-s0w/tmp/yyy.cap（httpgethttpwatch在現(xiàn)在不固定的情況下，收集有效的信息對(duì)后續(xù)問(wèn)題排查有很大幫助，收集信息同時(shí)請(qǐng)速聯(lián)7發(fā)事件應(yīng)急處從內(nèi)網(wǎng)PC上下SG設(shè)備，測(cè)試PC能否正常SG，如果能正常SG，嘗試使用命令控制臺(tái)從SG上分別一下網(wǎng)關(guān)和，確認(rèn)是否正常。開(kāi)啟日志并直通，看用戶上網(wǎng)是否恢復(fù)，如果恢復(fù)，則通過(guò)查看日志，找到被拒絕數(shù)據(jù)的模塊，修改策略。關(guān)閉日志和直通，測(cè)試上網(wǎng)是否恢復(fù)正常，如果仍然未恢復(fù)，則再開(kāi)啟日志，據(jù)志修改略，直故修復(fù)。設(shè)備網(wǎng)橋部署，確認(rèn)設(shè)備橋接接口是否為橋接口，設(shè)備接口面板一般有標(biāo)注bypass接口eth0eth2bypassbypass針對(duì)該業(yè)務(wù)系統(tǒng)，開(kāi)啟日志并直通，看業(yè)務(wù)系統(tǒng)是否恢復(fù)正常，如果恢復(fù)，則通過(guò)查看日志，找到被數(shù)據(jù)的模塊