出口與安全產(chǎn)品線故障排查手冊

密級：受控出口與安全線故障排查手冊出口與安全線故障排查手冊福建星網(wǎng)銳捷網(wǎng)絡(luò)所有保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散166頁文件類型：故障處理類密級：受控出口與安全線故障排查手冊出口與安全線故障排查手冊福建星網(wǎng)銳捷網(wǎng)絡(luò)所有保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散166頁文件類型：故障處理類密級：受控出口與安全線故障排查手冊修訂保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散266頁日期版本修訂說明2010-10-29V1.0第一次發(fā)布2010-11-30V1.11.3、1.4、1.5、2.5、2.6、2.7密級：受控出口與安全線故障排查手冊修訂保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散266頁日期版本修訂說明2010-10-29V1.0第一次發(fā)布2010-11-30V1.11.3、1.4、1.5、2.5、2.6、2.7章節(jié)2010-12-30V1.21.6、1.7、1.8、1.9章節(jié)2011-03-23V1.31.10、1.11、1.12、2.8、2.9章節(jié)密級：受控出口與安全線故障排查手冊前言本文檔操作標(biāo)準(zhǔn)。出口與安全線各保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散366頁? 此文檔僅限公司 ，嚴(yán)禁外傳。密級：受控出口與安全線故障排查手冊前言本文檔操作標(biāo)準(zhǔn)。出口與安全線各保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散366頁? 此文檔僅限公司 ，嚴(yán)禁外傳。密級：受控出口與安全線故障排查手冊1ACE故障排查1.1.1故障處理流程確認(rèn)是否按照正確的聯(lián)動配置步驟進(jìn)試。?ACE聯(lián)動模塊相配置?SAMACE動模塊相關(guān)配置排查聯(lián)動模型錯誤?SAM密級：受控出口與安全線故障排查手冊1ACE故障排查1.1.1故障處理流程確認(rèn)是否按照正確的聯(lián)動配置步驟進(jìn)試。?ACE聯(lián)動模塊相配置?SAMACE動模塊相關(guān)配置排查聯(lián)動模型錯誤?SAM用戶排查配置原因?qū)е鹿收?ACE上的認(rèn)證用尋求故障解決幫助5支持并傳回收集信息1.1.2故障處理步驟ACE2000部署SAM認(rèn)證（WEB純準(zhǔn)出模型）等功能后，ACE出現(xiàn)無法控制流量，所defaultACE2000SAM保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散466頁1.1 ACESAM聯(lián)動則流量無法控制密級：受控出口與安全線故障排查手冊認(rèn)證功能并重啟以后，ACE可以控制流量，現(xiàn)象消失。1.確認(rèn)ACESAMSAM配置、認(rèn)證用戶、策略中心。該認(rèn)證地址為主機(jī)地址，測試ACE純準(zhǔn)出認(rèn)證。2.檢查ACE密級：受控出口與安全線故障排查手冊認(rèn)證功能并重啟以后，ACE可以控制流量，現(xiàn)象消失。1.確認(rèn)ACESAMSAM配置、認(rèn)證用戶、策略中心。該認(rèn)證地址為主機(jī)地址，測試ACE純準(zhǔn)出認(rèn)證。2.檢查ACE上的聯(lián)動相關(guān)配置后，沒有發(fā)現(xiàn)配置上的問題。這里第一個步驟“開啟認(rèn)證配置”做完后，如果和SAM聯(lián)動正常，在實時分析里可以看到各others”，無法看到應(yīng)用。現(xiàn)場可以在實時分析里可以看到各種應(yīng)用，確認(rèn)ACE聯(lián)動配置沒有問題，轉(zhuǎn)入步驟三。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散566頁密級：受控出口與安全線故障排查手冊3.確認(rèn)SAMACESAM全局認(rèn)證配置、認(rèn)證用戶、策略中心。：4.檢查SAM上的聯(lián)動相關(guān)配置后，發(fā)現(xiàn)接入控制里多了一個“學(xué)生”接入控制，而制名”和“網(wǎng)關(guān)策略名稱”全部為空。5.查看SAM用戶的狀態(tài)，看到用戶表里很多基于802.1x認(rèn)證客戶端的用戶，并沒有在此次測試的范圍內(nèi)，但是使用的同一個SAM服務(wù)器。這些802.1x認(rèn)證用戶的接入控制為“學(xué)生”。6.通過密級：受控出口與安全線故障排查手冊3.確認(rèn)SAMACESAM全局認(rèn)證配置、認(rèn)證用戶、策略中心。：4.檢查SAM上的聯(lián)動相關(guān)配置后，發(fā)現(xiàn)接入控制里多了一個“學(xué)生”接入控制，而制名”和“網(wǎng)關(guān)策略名稱”全部為空。5.查看SAM用戶的狀態(tài)，看到用戶表里很多基于802.1x認(rèn)證客戶端的用戶，并沒有在此次測試的范圍內(nèi)，但是使用的同一個SAM服務(wù)器。這些802.1x認(rèn)證用戶的接入控制為“學(xué)生”。6.通過ACE一個web純準(zhǔn)出用戶，而是先前已經(jīng)存在大量基于802.1x認(rèn)證的用戶，這些用戶802.1xACE策略中心里的規(guī)則，最后直接匹配默認(rèn)通道。7.ACESAM802.1x，建立單獨的通道進(jìn)行流量控制。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散666頁密級：受控出口與安全線故障排查手冊SAM上在沒有開啟與ACE聯(lián)動之前，配置接入控制時，不需要開啟“網(wǎng)關(guān)接入控制”；只有當(dāng)開啟與ACE認(rèn)證用戶也會被SAM同步過來，當(dāng)沒有匹配到對應(yīng)的“網(wǎng)關(guān)策略名”時，進(jìn)入默認(rèn)通道進(jìn)行管理。1.2.1故障處理流程確認(rèn)組網(wǎng)環(huán)境對策略是否有影響。?ACE組網(wǎng)環(huán)ACE上的配置?ACE流控模塊相配置通過流控策略優(yōu)化效果?ACE策略配置優(yōu)密級：受控出口與安全線故障排查手冊SAM上在沒有開啟與ACE聯(lián)動之前，配置接入控制時，不需要開啟“網(wǎng)關(guān)接入控制”；只有當(dāng)開啟與ACE認(rèn)證用戶也會被SAM同步過來，當(dāng)沒有匹配到對應(yīng)的“網(wǎng)關(guān)策略名”時，進(jìn)入默認(rèn)通道進(jìn)行管理。1.2.1故障處理流程確認(rèn)組網(wǎng)環(huán)境對策略是否有影響。?ACE組網(wǎng)環(huán)ACE上的配置?ACE流控模塊相配置通過流控策略優(yōu)化效果?ACE策略配置優(yōu)確認(rèn)策略優(yōu)化效果?查看策略優(yōu)化效尋求故障解決幫助5支持并傳回收集信息1.2.2故障處理步驟http-browse流量一直起不來，打開網(wǎng)頁非常緩慢。工程師再次恢復(fù)出廠設(shè)置，只啟用web流量保證的情況下故障依然。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散766頁1.2 ACE策略無法達(dá)到效果密級：受控出口與安全線故障排查手冊保障http-browse45Mp2p及掉，默認(rèn)的壓制在10M內(nèi)，人2300以上情況下，網(wǎng)頁1. 確認(rèn)組網(wǎng)環(huán)境：依舊延遲很大，應(yīng)用報表http-borwse10M多點。該網(wǎng)絡(luò)為單雙出口，ES-4000A200Mbps100MbpsNAT直接訪密級：受控出口與安全線故障排查手冊保障http-browse45Mp2p及掉，默認(rèn)的壓制在10M內(nèi)，人2300以上情況下，網(wǎng)頁1. 確認(rèn)組網(wǎng)環(huán)境：依舊延遲很大，應(yīng)用報表http-borwse10M多點。該網(wǎng)絡(luò)為單雙出口，ES-4000A200Mbps100MbpsNAT直接訪署在兩條出口鏈路上，控制各鏈路上的應(yīng)用帶寬。RG-ACE應(yīng)用控制引擎部該校共有2000左右上網(wǎng)用戶，主要通過電信出口一些教育網(wǎng)。2.經(jīng)過對組網(wǎng)環(huán)境的分析確認(rèn)，電信出口只有100Mbps，而最大2000，需要比較嚴(yán)格的流控策略才能優(yōu)化網(wǎng)頁效果，轉(zhuǎn)入步驟三。3.確認(rèn)ACE保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散866頁密級：受控出口與安全線故障排查手冊4.配置分析：區(qū)域工程師設(shè)置了一個“web”的保證通道，希望優(yōu)先保證網(wǎng)頁瀏覽應(yīng)o10bps口處于極度擁塞的狀態(tài)下。5.進(jìn)行配置優(yōu)化：“流量管理”的默認(rèn)帶寬設(shè)置過小。?analyzing_tcp和analyzing_udp不能限制，也不能 。?p2p、應(yīng)用，用戶打開網(wǎng)頁感覺明顯改善。?開啟并限制p2p密級：受控出口與安全線故障排查手冊4.配置分析：區(qū)域工程師設(shè)置了一個“web”的保證通道，希望優(yōu)先保證網(wǎng)頁瀏覽應(yīng)o10bps口處于極度擁塞的狀態(tài)下。5.進(jìn)行配置優(yōu)化：“流量管理”的默認(rèn)帶寬設(shè)置過小。?analyzing_tcp和analyzing_udp不能限制，也不能 。?p2p、應(yīng)用，用戶打開網(wǎng)頁感覺明顯改善。?開啟并限制p2p、應(yīng)用，用戶上網(wǎng)效果良好。?把others_udp和other_tcp在加到web應(yīng)用組里。中限制，刪除其相關(guān)應(yīng)用策略，把flv應(yīng)用添?保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散966頁密級：受控出口與安全線故障排查手冊analyzing_tcp和analyzing_udp是用來標(biāo)識正在識別的網(wǎng)絡(luò)流量，這部分流量是受保護(hù)的，因此不要 和限制。6. 觀察優(yōu)化效果：2400人的時候測試，打開電信的網(wǎng)頁速度比較快，而且部分基于flash的應(yīng)用打開也比較的流量達(dá)到30M以上，web保證的通道流量基本實現(xiàn)。客戶對目前網(wǎng)頁瀏覽狀況比較滿意。7. 收集相關(guān)信息。本案例主要是工程師對于ACE流控引擎的“保證帶寬”理解有偏差，對于實際組網(wǎng)環(huán)境的影響和應(yīng)用是必須嚴(yán)格限制或者的。這里僅僅進(jìn)行“網(wǎng)頁瀏覽帶寬保證”是不夠的。保存期限：2年銳捷網(wǎng)絡(luò)，密級：受控出口與安全線故障排查手冊analyzing_tcp和analyzing_udp是用來標(biāo)識正在識別的網(wǎng)絡(luò)流量，這部分流量是受保護(hù)的，因此不要 和限制。6. 觀察優(yōu)化效果：2400人的時候測試，打開電信的網(wǎng)頁速度比較快，而且部分基于flash的應(yīng)用打開也比較的流量達(dá)到30M以上，web保證的通道流量基本實現(xiàn)?？蛻魧δ壳熬W(wǎng)頁瀏覽狀況比較滿意。7. 收集相關(guān)信息。本案例主要是工程師對于ACE流控引擎的“保證帶寬”理解有偏差，對于實際組網(wǎng)環(huán)境的影響和應(yīng)用是必須嚴(yán)格限制或者的。這里僅僅進(jìn)行“網(wǎng)頁瀏覽帶寬保證”是不夠的。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1066頁密級：受控出口與安全線故障排查手冊1.3.1故障處理流程確認(rèn)組網(wǎng)環(huán)境對策略是否有影響。?ACE組網(wǎng)環(huán)ACE上的配置?ACE流控模塊相配置通過流控策略優(yōu)化效果?ACE策略配置優(yōu)確認(rèn)策略優(yōu)化效果?查看策略優(yōu)化效尋求故障解決幫助5密級：受控出口與安全線故障排查手冊1.3.1故障處理流程確認(rèn)組網(wǎng)環(huán)境對策略是否有影響。?ACE組網(wǎng)環(huán)ACE上的配置?ACE流控模塊相配置通過流控策略優(yōu)化效果?ACE策略配置優(yōu)確認(rèn)策略優(yōu)化效果?查看策略優(yōu)化效尋求故障解決幫助5撥打支持并傳回收集信息1.3.2故障處理步驟測試ACE時，設(shè)置完策略后，發(fā)現(xiàn)ACE的實時分析出口流入流量和中出口流入流量695Mbps， 流出流量380Mbps，相差300Mbps，此時的網(wǎng)絡(luò)比較擁塞，具體排查方法：1. 確認(rèn)組網(wǎng)環(huán)境：單出口組網(wǎng)環(huán)境，比較普遍的測試環(huán)境。經(jīng)過組網(wǎng)環(huán)境確認(rèn)，與環(huán)境無關(guān)，轉(zhuǎn)入步驟二。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1166頁1.3 ACE出口流入流量和 流出流量差別較大密級：受控出口與安全線故障排查手冊2. 確認(rèn)ACEinboundoutbound上行流量進(jìn)行控制。根據(jù)上述配置，會出現(xiàn)如下的出口、流量情況：3. 進(jìn)行配置優(yōu)化：ACE針對上下行流量控制的管道為inbound和outbound，分別對應(yīng)的流出和出口的流出。但是對于ACE流量整形之前的流量，即 的流入和出口的流入流量，無法進(jìn)行很好的管控。出口的流入流量是直接和出口路由器或者口擁塞，會出現(xiàn)雖然經(jīng)過ACE管控但仍無法改善的下行流量相關(guān)，如果該流量過大，導(dǎo)致出效果的現(xiàn)象。通過ACE的實時分析軟件，得出P2P的下行最大可以達(dá)到上行的10倍，流量的下行最大可以達(dá)到上行的5倍，我們可以根據(jù)此經(jīng)驗數(shù)值對P2P和流量進(jìn)行管控限制，將P2P和問效果。流量的outbound設(shè)置為inbound的1/5或者1/10。這樣出口的流入流量經(jīng)過ACE管控差很多，減輕了ACE與出口路由器或者的鏈路，可以很好的改善網(wǎng)路訪4.觀察優(yōu)化效果：通過設(shè)置P2P和流量的outbound設(shè)置為inbound的1/5或者1/10，出口流入流量和流出流量差別基本消除，減輕了ACE與出口路由器或者的鏈路。客戶對目前網(wǎng)頁瀏保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1266頁密級：受控出口與安全線故障排查手冊2. 確認(rèn)ACEinboundoutbound上行流量進(jìn)行控制。根據(jù)上述配置，會出現(xiàn)如下的出口、流量情況：3. 進(jìn)行配置優(yōu)化：ACE針對上下行流量控制的管道為inbound和outbound，分別對應(yīng)的流出和出口的流出。但是對于ACE流量整形之前的流量，即 的流入和出口的流入流量，無法進(jìn)行很好的管控。出口的流入流量是直接和出口路由器或者口擁塞，會出現(xiàn)雖然經(jīng)過ACE管控但仍無法改善的下行流量相關(guān)，如果該流量過大，導(dǎo)致出效果的現(xiàn)象。通過ACE的實時分析軟件，得出P2P的下行最大可以達(dá)到上行的10倍，流量的下行最大可以達(dá)到上行的5倍，我們可以根據(jù)此經(jīng)驗數(shù)值對P2P和流量進(jìn)行管控限制，將P2P和問效果。流量的outbound設(shè)置為inbound的1/5或者1/10。這樣出口的流入流量經(jīng)過ACE管控差很多，減輕了ACE與出口路由器或者的鏈路，可以很好的改善網(wǎng)路訪4.觀察優(yōu)化效果：通過設(shè)置P2P和流量的outbound設(shè)置為inbound的1/5或者1/10，出口流入流量和流出流量差別基本消除，減輕了ACE與出口路由器或者的鏈路。客戶對目前網(wǎng)頁瀏保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1266頁密級：受控出口與安全線故障排查手冊覽狀況比較滿意。5. 收集相關(guān)信息。1.4.1故障處理流程ACE是否設(shè)置mgtlog服務(wù)器地址。?ACEmgtlog址http識別?密級：受控出口與安全線故障排查手冊覽狀況比較滿意。5. 收集相關(guān)信息。1.4.1故障處理流程ACE是否設(shè)置mgtlog服務(wù)器地址。?ACEmgtlog址http識別?ACE的應(yīng)用識http?ACEhttp日志啟log?查看數(shù)據(jù)庫的日ACE5ACE的設(shè)備時間1.4.2故障處理步驟1. 查看是否配置正確的日志服務(wù)器地址：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1366頁RG-ACE#sysmgtshow1:Managementserveripaddress:[54]1.4 http日志無法密級：受控出口與安全線故障排查手冊如果是SQL的數(shù)據(jù)庫形式，這里的地址為ACE服務(wù)器；如果是elog服務(wù)器的數(shù)據(jù)庫，這里的地址為elog服務(wù)器地址；如果兩個數(shù)據(jù)庫都有，就設(shè)置兩個地址。2. 查看ACE的http-browse如果沒有啟用這個，ACE無法分析到相關(guān)的RULhttp密級：受控出口與安全線故障排查手冊如果是SQL的數(shù)據(jù)庫形式，這里的地址為ACE服務(wù)器；如果是elog服務(wù)器的數(shù)據(jù)庫，這里的地址為elog服務(wù)器地址；如果兩個數(shù)據(jù)庫都有，就設(shè)置兩個地址。2. 查看ACE的http-browse如果沒有啟用這個，ACE無法分析到相關(guān)的RULhttp日志。3. 查看ACE的http策略管理>全局設(shè)置：選項>配置管理>日志管理：4. 數(shù)據(jù)庫連接確認(rèn)：如果已經(jīng)連接好SQL數(shù)據(jù)庫，可以進(jìn)行連接測試，顯示“數(shù)據(jù)庫連接成功”：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1466頁密級：受控出口與安全線故障排查手冊5. 確認(rèn)是否形成當(dāng)天的報表：在SQL數(shù)據(jù)里“aos”數(shù)據(jù)庫是否生成了當(dāng)天的報表“httplog20101103”:在elog上的操作如下：6.確認(rèn)ACElog保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1566頁RG-ACE密級：受控出口與安全線故障排查手冊5. 確認(rèn)是否形成當(dāng)天的報表：在SQL數(shù)據(jù)里“aos”數(shù)據(jù)庫是否生成了當(dāng)天的報表“httplog20101103”:在elog上的操作如下：6.確認(rèn)ACElog保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1566頁RG-ACE#sysdateshowFriNov2616:23:16[root@cent~]#wc-l/tmp/ramdisk/*2024/tmp/ramdisk/ACE_URL0.tx密級：受控出口與安全線故障排查手冊1.5.1故障處理流程ACElicense是否存在。ACEbypass?ACE的狀確認(rèn)應(yīng)用識別是否開啟密級：受控出口與安全線故障排查手冊1.5.1故障處理流程ACElicense是否存在。ACEbypass?ACE的狀確認(rèn)應(yīng)用識別是否開啟?ACE的應(yīng)用識確認(rèn)特征庫是否最新?查看特征確認(rèn)是否存在非對稱流量5檢查測試環(huán)境1.5.2故障處理步驟1. 流量完全無法識別，IP“0”，license保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1666頁1.5 ACE流量識別異常密級：受控出口與安全線故障排查手冊2.8license，2.6license2. 若licenseIP“0”，查看ACEbypass除了檢查硬件部分的bypass，還需要檢查全局設(shè)置里的bypass：密級：受控出口與安全線故障排查手冊2.8license，2.6license2. 若licenseIP“0”，查看ACEbypass除了檢查硬件部分的bypass，還需要檢查全局設(shè)置里的bypass：3. ACE的狀態(tài)為normal，查看ACE的應(yīng)用識別，識別大部分為others_tcp，others_tcp，和一些三、四層的流量，則ACE保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1766頁RG-ACE#sysbypassshowBRI Port Type Status LastUpdateTime01Internal NORMAL SunNov2107:33:202010Internal NORMAL SunNov2107:33:202010RG-ACE#syslicenseshMODEL:RG-ACE3000licensekey:958a00556bb7licenseOK密級：受控出口與安全線故障排查手冊請勾選需要識別的應(yīng)用組，點擊右上角的“保存”，再點擊“配置保存”。4. others_tcp，others_tcp，others非常大，則需要更新特征庫：請將特征庫更新至最新，使用命令行升級、http服務(wù)器升級、WEB界面升級三種方式中的任何一種即可。5.若升級特征庫至最新，仍出現(xiàn)大量的others流量，請確認(rèn)是否存在非對稱流量；6.上述確認(rèn)完畢，問題仍未得到解決，請收集信息向TAC密級：受控出口與安全線故障排查手冊請勾選需要識別的應(yīng)用組，點擊右上角的“保存”，再點擊“配置保存”。4. others_tcp，others_tcp，others非常大，則需要更新特征庫：請將特征庫更新至最新，使用命令行升級、http服務(wù)器升級、WEB界面升級三種方式中的任何一種即可。5.若升級特征庫至最新，仍出現(xiàn)大量的others流量，請確認(rèn)是否存在非對稱流量；6.上述確認(rèn)完畢，問題仍未得到解決，請收集信息向TAC反饋。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1866頁密級：受控出口與安全線故障排查手冊1.6.1故障處理流程CPU利用率是否異常?CPU占比?檢查任務(wù)運(yùn)行情分析故障懷疑點?確定異常任務(wù)并分尋求故障解決幫助?400進(jìn)一步處理密級：受控出口與安全線故障排查手冊1.6.1故障處理流程CPU利用率是否異常?CPU占比?檢查任務(wù)運(yùn)行情分析故障懷疑點?確定異常任務(wù)并分尋求故障解決幫助?400進(jìn)一步處理1.6.2故障處理步驟1. 通過JAVA實時分析或者ARASCPU利用率的具體情況，這里可以看到ACE設(shè)備的CPU是一直處于100%，還是突發(fā)性的處于100%的狀態(tài)：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散1966頁1.6 ACECPU利用率異常密級：受控出口與安全 線故障排查手冊2.使用命令sysstatus并CPUACE3000為例設(shè)備各任務(wù)運(yùn)行情況：3.1、2的結(jié)果，進(jìn)行故障分析。2顯示的CPU，0、1、2、34Cll4，%user表示用戶占用的CPU密級：受控出口與安全 線故障排查手冊2.使用命令sysstatus并CPUACE3000為例設(shè)備各任務(wù)運(yùn)行情況：3.1、2的結(jié)果，進(jìn)行故障分析。2顯示的CPU，0、1、2、34Cll4，%user表示用戶占用的CPU%sysCPU%iowait表示中斷，%soft%idleCPU，%intr/s任務(wù)運(yùn)行不正常。下面介紹一些常見導(dǎo)致設(shè)備CPU高的任務(wù)及處理方法：%userCPU??如果設(shè)備的默認(rèn)為admin，遭到猜測、備無法進(jìn)行管理和操作。?這種狀態(tài)下一般為CPU突發(fā)性的增大到100%。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2066頁密級：受控出口與安全線故障排查手冊?需要修改ACE，然后重啟ACE%intr/s??如果設(shè)備性能1Gbps的吞吐下進(jìn)試。??這種狀態(tài)下CPU會一直保持在100%。設(shè)備性能問題只能靠使用更高性能的設(shè)備來解決。4.密級：受控出口與安全線故障排查手冊?需要修改ACE，然后重啟ACE%intr/s??如果設(shè)備性能1Gbps的吞吐下進(jìn)試。??這種狀態(tài)下CPU會一直保持在100%。設(shè)備性能問題只能靠使用更高性能的設(shè)備來解決。4.如果無法確定任務(wù)利用率高屬于正常現(xiàn)象還是存在異常，請400進(jìn)一步處理。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2166頁密級：受控出口與安全線故障排查手冊1.7.1故障處理流程ACEMGT口是否配置正確ACE的管理口配ACEMGT口間“80端口”是否正ACE與設(shè)備的通密級：受控出口與安全線故障排查手冊1.7.1故障處理流程ACEMGT口是否配置正確ACE的管理口配ACEMGT口間“80端口”是否正ACE與設(shè)備的通端口確認(rèn)服務(wù)器java安裝版本確認(rèn)服務(wù)器IE?ACE服務(wù)器的確認(rèn)ACE確是否正?ACE確認(rèn)是否因為下發(fā)配ACE?ACEMGTMAC現(xiàn)?MGTMAC尋求故障解決幫助?4008保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2266頁1.7 ACE服務(wù)器無法連接設(shè)備密級：受控出口與安全線故障排查手冊1.7.2故障處理步驟1. 與服務(wù)器的地址可達(dá)，ACE請確保管理口的地址能夠ping通服務(wù)器，即路由可達(dá)。一般為配置了錯誤的接口地址或者網(wǎng)關(guān)地址導(dǎo)致路由不可達(dá)：2. 服務(wù)器與ACE設(shè)備的“tcp80端口”確認(rèn)沒有問題：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散密級：受控出口與安全線故障排查手冊1.7.2故障處理步驟1. 與服務(wù)器的地址可達(dá)，ACE請確保管理口的地址能夠ping通服務(wù)器，即路由可達(dá)。一般為配置了錯誤的接口地址或者網(wǎng)關(guān)地址導(dǎo)致路由不可達(dá)：2. 服務(wù)器與ACE設(shè)備的“tcp80端口”確認(rèn)沒有問題：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2366頁C:\DocumentsandSettings\yuanxiangwei>telnet2380RG-ACE#netpinginputdestinationipaddress:1PING1(1):56databytes84bytesfrom1:icmp_seq=0ttl=128time=7.4ms84bytesfrom1:icmp_seq=1ttl=128time=0.2ms84bytesfrom1:icmp_seq=2ttl=128time=0.2ms84bytesfrom1:icmp_seq=3ttl=128time=0.2ms84bytesfrom1:icmp_seq=4ttl=128time=0.2ms---1pingstatistics---5packetstransmitted,5packetsreceived,0%packetlossround-tripmin/avg/max=0.2/1.6/7.4msRG-ACE#netaddshowGateway:PrimaryDNS:SecondaryDNS:Interface IPAddress Netmask Status--------- ---------- ------- INT0 N/A N/A UPEXT0 N/A N/A UPINT1 N/A N/A UPEXT1 N/A N/A UPINT2 N/A N/A UPEXT2 N/A N/A UPMGT 23 HA N/A N/A UP密級：受控出口與安全線故障排查手冊如果服務(wù)器部署在服務(wù)器區(qū)，而服務(wù)器區(qū)存在放通。ACEtcp803. 確認(rèn)服務(wù)器上的java1.6.0以上，版本過低也會造成服務(wù)器無法連接設(shè)備。4. 確認(rèn)服務(wù)器上的IEIE6.0IE“關(guān)于internetexplorer”：在ser2000服務(wù)器或者早期的服務(wù)器上，安裝的一般為IE6.0以下的版本，雖然客戶端可以遠(yuǎn)程操作服務(wù)器，但是服務(wù)器的IE版本過低仍然會導(dǎo)致設(shè)備無法連接。5. 確認(rèn)ACE設(shè)備的是否被更改過：服務(wù)器上設(shè)備的必須和當(dāng)前的設(shè)備一致，如果在添加設(shè)備后密級：受控出口與安全線故障排查手冊如果服務(wù)器部署在服務(wù)器區(qū)，而服務(wù)器區(qū)存在放通。ACEtcp803. 確認(rèn)服務(wù)器上的java1.6.0以上，版本過低也會造成服務(wù)器無法連接設(shè)備。4. 確認(rèn)服務(wù)器上的IEIE6.0IE“關(guān)于internetexplorer”：在ser2000服務(wù)器或者早期的服務(wù)器上，安裝的一般為IE6.0以下的版本，雖然客戶端可以遠(yuǎn)程操作服務(wù)器，但是服務(wù)器的IE版本過低仍然會導(dǎo)致設(shè)備無法連接。5. 確認(rèn)ACE設(shè)備的是否被更改過：服務(wù)器上設(shè)備的必須和當(dāng)前的設(shè)備一致，如果在添加設(shè)備后被更換，就會導(dǎo)致服務(wù)器無法連接設(shè)備。6. 確認(rèn)ACE是否由于配置錯誤導(dǎo)致設(shè)備出現(xiàn)“假死”：ACE在下發(fā)配置的時候，由于配置錯誤，會導(dǎo)致ACE設(shè)備進(jìn)入“假死”狀態(tài)，這時只能通過重啟ACE設(shè)備來解決。。7. 確認(rèn)ACE連接的交換機(jī)上的MAC地址是否正確：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2466頁RG-ACE#netarp=========================================================================C:\DocumentsandSettings\yuanxiangwei>java-versionjavaversion"1.6.0_01"Java(TM)SERuntimeEnvironment(build1.6.0_01-b06)JavaHotSpot(TM)ClientVM(build1.6.0_01-b06,mixedmode,sharing)密級：受控出口與安全線故障排查手冊如果內(nèi)網(wǎng)出現(xiàn)ARP，會導(dǎo)致服務(wù)器無法與ACE設(shè)備連接。8. 如果無法確定ACE服務(wù)器無法連接設(shè)備問題是屬于正?，F(xiàn)象還是存在異常，請聯(lián)400進(jìn)一步處理。1.8.1故障處理流程java裝。?ACEjava確認(rèn)當(dāng)前java版本是否正密級：受控出口與安全線故障排查手冊如果內(nèi)網(wǎng)出現(xiàn)ARP，會導(dǎo)致服務(wù)器無法與ACE設(shè)備連接。8. 如果無法確定ACE服務(wù)器無法連接設(shè)備問題是屬于正?，F(xiàn)象還是存在異常，請聯(lián)400進(jìn)一步處理。1.8.1故障處理流程java裝。?ACEjava確認(rèn)當(dāng)前java版本是否正確?ACEjavajava徑是否正確?ACEjava安裝徑j(luò)avapath目錄是否正確目錄尋求故障解決幫助?4008保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2566頁1.8 ACE管理服務(wù)無法啟動IPaddress HWtype Flags HWaddress Mask 0x1 0x2 00:D0:F8:C1:C6:A1 * MGT=========================================================================密級：受控出口與安全線故障排查手冊1.8.2故障處理步驟1. 確認(rèn)javaJAVA2. 確認(rèn)服務(wù)器上的當(dāng)前java1.6.0：在服務(wù)器上如果有安裝兩個或者兩個以上的java版本，會出現(xiàn)當(dāng)前版本為較低版本的情況，這個時候一定要進(jìn)行確認(rèn)。3. 確認(rèn)服務(wù)器上的JAVAACEconf目錄中的密級：受控出口與安全線故障排查手冊1.8.2故障處理步驟1. 確認(rèn)javaJAVA2. 確認(rèn)服務(wù)器上的當(dāng)前java1.6.0：在服務(wù)器上如果有安裝兩個或者兩個以上的java版本，會出現(xiàn)當(dāng)前版本為較低版本的情況，這個時候一定要進(jìn)行確認(rèn)。3. 確認(rèn)服務(wù)器上的JAVAACEconf目錄中的system.conf文件，找到mand=javaJRE的安裝路徑，默認(rèn)是C:\ProgramFiles\Java\jre1.6.0_03\bin，修改system.conf文件中mand=java一行成為mand=C:\ProgramFiles\Java\jre1.6.0_03\bin\java.保存修改；4. 確認(rèn)服務(wù)器的javapathWIN7ser2008的用戶變量：變量名為Path，變量值為JRE安裝路徑下bin文件夾的絕對路徑，確定以后，點擊應(yīng)用。如圖所示：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2666頁C:\DocumentsandSettings\yuanxiangwei>java-versionjavaversion"1.6.0_01"Java(TM)SERuntimeEnvironment(build1.6.0_01-b06)JavaHotSpot(TM)ClientVM(build1.6.0_01-b06,mixedmode,sharing)密級：受控出口與安全線故障排查手冊1.9.1故障處理流程確認(rèn)服務(wù)器時間是否正確。?ACE服務(wù)器的時ACE設(shè)備的連接是否正常?檢查服務(wù)器與設(shè)備的接DATA磁盤空間?DATA的磁盤空間確認(rèn)服務(wù)器臨時目錄是否可寫?檢查服務(wù)器的臨時目密級：受控出口與安全線故障排查手冊1.9.1故障處理流程確認(rèn)服務(wù)器時間是否正確。?ACE服務(wù)器的時ACE設(shè)備的連接是否正常?檢查服務(wù)器與設(shè)備的接DATA磁盤空間?DATA的磁盤空間確認(rèn)服務(wù)器臨時目錄是否可寫?檢查服務(wù)器的臨時目是否可寫尋求故障解決幫助?40081.9.2故障處理步驟1. 確認(rèn)服務(wù)器的時間是否正確：在安裝管理端服務(wù)器時的時間設(shè)置不對，后來雖然調(diào)整了管理服務(wù)器時間，但報表歷史數(shù)據(jù)文件里日期還是不正確的，所以導(dǎo)致報表流量數(shù)據(jù)無法保持在歷史數(shù)據(jù)文件里。（刪除設(shè)備同時刪除了歷史報表數(shù)據(jù)文件，重啟添加設(shè)備即可。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2766頁1.9 ACE報表無法顯示密級：受控出口與安全線故障排查手冊2. 確認(rèn)服務(wù)器與ACE設(shè)備的連接是否正常：用戶在使用管理端服務(wù)器的過程中，無意間將服務(wù)器關(guān)機(jī)，或者連接管理端的鏈路出現(xiàn)問題，都將導(dǎo)致此段時間內(nèi)的管理端報表無法顯示。3. 確認(rèn)服務(wù)器上的DATA管理端服務(wù)器的DATA目錄下的文件夾太大，使得磁盤空間滿，ACE服務(wù)被終止，也會導(dǎo)致此段時間內(nèi)的管理端報表無法顯示。4. 確認(rèn)服務(wù)器的tempWIN7密級：受控出口與安全線故障排查手冊2. 確認(rèn)服務(wù)器與ACE設(shè)備的連接是否正常：用戶在使用管理端服務(wù)器的過程中，無意間將服務(wù)器關(guān)機(jī)，或者連接管理端的鏈路出現(xiàn)問題，都將導(dǎo)致此段時間內(nèi)的管理端報表無法顯示。3. 確認(rèn)服務(wù)器上的DATA管理端服務(wù)器的DATA目錄下的文件夾太大，使得磁盤空間滿，ACE服務(wù)被終止，也會導(dǎo)致此段時間內(nèi)的管理端報表無法顯示。4. 確認(rèn)服務(wù)器的tempWIN7ser2008文件，TempDir的值即為臨時目錄文件夾的路徑（默認(rèn)c:\\tep，請見下圖：上圖表示管理端服務(wù)啟用時會在D盤下新建名稱為“temp”的臨時目錄。使用JRE1.6的早期版本在Windows2008和Windows7系統(tǒng)上是沒（C盤）進(jìn)行創(chuàng)建，讀寫等操作的。當(dāng)修改此參數(shù)完畢后，需要重啟服務(wù)才能生效。5.如果無法確定ACE進(jìn)一步處理。400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2866頁密級：受控出口與安全線故障排查手冊1.10.1故障處理流程SAM是否配置第三方記賬。配置ACE的時間及時區(qū)是否正確?ACE設(shè)備的時ACESAM聯(lián)動是否正常?密級：受控出口與安全線故障排查手冊1.10.1故障處理流程SAM是否配置第三方記賬。配置ACE的時間及時區(qū)是否正確?ACE設(shè)備的時ACESAM聯(lián)動是否正常?ACESAM是否正常流量設(shè)置為“”?ACE的計費(fèi)類型置尋求故障解決幫助?40081.10.2故障處理步驟1. 確認(rèn)SAM記賬：ACE保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散2966頁1.10ACE與SAM聯(lián)動無法 流量密級：受控出口與安全線故障排查手冊1. 確認(rèn)ACE的時間及時區(qū)是否正確：ACE的時區(qū)為“比正常的晚8個小時?！睍r區(qū)，需要修改到“”正常時區(qū)。如不修改，將看到流量2. 確認(rèn)ACE與SAM如聯(lián)動失效，在實時分析里可以看到流量全部被識別為“othr如聯(lián)動失效，在實時分析里可以看到流量通道無法顯示。3. 確認(rèn)ACE”。密級：受控出口與安全線故障排查手冊1. 確認(rèn)ACE的時間及時區(qū)是否正確：ACE的時區(qū)為“比正常的晚8個小時?！睍r區(qū)，需要修改到“”正常時區(qū)。如不修改，將看到流量2. 確認(rèn)ACE與SAM如聯(lián)動失效，在實時分析里可以看到流量全部被識別為“othr如聯(lián)動失效，在實時分析里可以看到流量通道無法顯示。3. 確認(rèn)ACE”。1）基于目的地址的流量 ：2）基于源地址的流量：4. 如果無法確定ACE進(jìn)一步處理。400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3066頁RG-ACE#sysdateshowFriMar1813:23:49密級：受控出口與安全線故障排查手冊1.11.1故障處理流程確認(rèn)ACE版本為2.8系列2.6系列。?ACE的版本信2.82.6系列版本license方式是否正確方式密級：受控出口與安全線故障排查手冊1.11.1故障處理流程確認(rèn)ACE版本為2.8系列2.6系列。?ACE的版本信2.82.6系列版本license方式是否正確方式hwid信息或者輸入是否正常?hwid信息license輸入license服務(wù)器之間的通訊是否正常?2.8系列設(shè)備license服務(wù)器的通訊尋求故障解決幫助?40081.11.2故障處理步驟1. 確認(rèn)ACE2.82.6保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3166頁RG-ACE#sysverFirmwareversion2.8.27,runningonRG-ACEseries/RG-ACE2000.Copyright(c)2000-2008,RuijieNetworksLimited. s Buildtime:ThuAug2100:13:092008,htt .cn/.Layer7SignatureModuleversion4.2.105forRG-ACESeries1.11ACElicense失敗密級：受控出口與安全 線故障排查手冊Copyright(c)2002-2008,RuijieSystemCo.,.s.Buildtime:WedAug1309:30:202008, .cn2.系列版本，licenseWEB管理端進(jìn)行：3.2.6密級：受控出口與安全 線故障排查手冊Copyright(c)2002-2008,RuijieSystemCo.,.s.Buildtime:WedAug1309:30:202008, .cn2.系列版本，licenseWEB管理端進(jìn)行：3.2.6系列版本，直接在命令行下：4.2.6失敗，為license制作或者輸入錯誤，確認(rèn)原因如下：1）提供保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3266頁RG-ACE#syslicensesetMODEL:RG-ACE2000HWID:17faaf5c94277faf3c1583817bdedd74licensekey:958a00556bb7licenseisvalid密級：受控出口與安全線故障排查手冊2）輸入的esekey是否正確。5. 2.8否能在服務(wù)器上失敗，除僅存在license制作或者輸入錯誤，還存在MGT口是的問題，確認(rèn)原因如下：口地址是否可以上網(wǎng)。密級：受控出口與安全線故障排查手冊2）輸入的esekey是否正確。5. 2.8否能在服務(wù)器上失敗，除僅存在license制作或者輸入錯誤，還存在MGT口是的問題，確認(rèn)原因如下：口地址是否可以上網(wǎng)?？贒NS是否配置正確。提供 hwid是否錯誤。4）輸入的esekey是否正確。6.如果無法確定ACE進(jìn)一步處理。400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3366頁密級：受控出口與安全線故障排查手冊1.12.1故障處理流程確認(rèn)ACE版本為2.8系列2.6系列。?ACE的版本信確認(rèn)2.8或者2.6系列版本特征庫服務(wù)器地址是否正確?檢查特征庫服務(wù)器地確認(rèn)設(shè)備與特征庫服務(wù)器之間的通訊是否正常?密級：受控出口與安全線故障排查手冊1.12.1故障處理流程確認(rèn)ACE版本為2.8系列2.6系列。?ACE的版本信確認(rèn)2.8或者2.6系列版本特征庫服務(wù)器地址是否正確?檢查特征庫服務(wù)器地確認(rèn)設(shè)備與特征庫服務(wù)器之間的通訊是否正常?ACE設(shè)備與特征服務(wù)器的通訊hwidlicense是否正常?hwid信息license信息確認(rèn)需要升級的設(shè)備在服務(wù)器上是否添加正常?檢查服務(wù)器上的設(shè)備息尋求故障解決幫助?40081.12.2故障處理步驟1. 確認(rèn)ACE2.82.6保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3466頁RG-ACE#sysver1.12ACEhttp 特征庫升級失敗密級：受控出口與安全線故障排查手冊2. 2.8系列版本，設(shè)置的http特征庫地址為：40:8080（電信）、48:8080（）RG-ACE#sysupdateenablemodulesautomodulesautoupdatesetURL[[Y/N]?[N]?y]3. 2.6http特征庫地址為：39:8080（電信）、47:8080（密級：受控出口與安全線故障排查手冊2. 2.8系列版本，設(shè)置的http特征庫地址為：40:8080（電信）、48:8080（）RG-ACE#sysupdateenablemodulesautomodulesautoupdatesetURL[[Y/N]?[N]?y]3. 2.6http特征庫地址為：39:8080（電信）、47:8080（）RG-ACE#sysupdateenablemodulesautomodulesautoupdatesetURL[[Y/N]?[N]?y]4.確保與特征庫服務(wù)器能夠ping通：5.確保提供給RG-ACE工程師 的hwid信息和license信息是否正確。1）2.8系列hwid信息和license信息：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3566頁RG-ACE#netpinginputdestinationipaddress:40PING40(40):56databytes84bytesfrom40:icmp_seq=0ttl=59time=1.3ms84bytesfrom40:icmp_seq=1ttl=59time=1.3ms84bytesfrom40:icmp_seq=2ttl=59time=2.0ms84bytesfrom40:icmp_seq=3ttl=59time=1.4ms84bytesfrom40:icmp_seq=4ttl=59time=1.2ms---40pingstatistics---5packetstransmitted,5packetsreceived,0%packetlossround-tripmin/avg/max=1.2/1.4/2.0msRG-ACE#Firmwareversion2.8.27,runningonRG-ACEseries/RG-ACE2000.Copyright(c)2000-2008,RuijieNetworksLimited. s Buildtime:ThuAug2100:13:092008,htt .cn/.Layer7SignatureModuleversion4.2.105forRG-ACESeriesCopyright(c)2002-2008,RuijieSystemCo., . s Buildtime:WedAug1309:30:202008, .cn密級：受控出口與安全線故障排查手冊2）2.6系列hwid信息和license信息：6. RG-ACE工程師的服務(wù)器設(shè)備添加是否正確。1）輸入2.8系列的esekey是否正確：保存期限：2年密級：受控出口與安全線故障排查手冊2）2.6系列hwid信息和license信息：6. RG-ACE工程師的服務(wù)器設(shè)備添加是否正確。1）輸入2.8系列的esekey是否正確：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3666頁RG-ACE#syslicenseshMODEL:RG-ACE2000licensekey:958a00556bb7licenseOKRG-ACE#syshwidb7e8d5427f01b5e675495d0e06b0be6e? License在 的時候已經(jīng)提供，請做好保存。9961527BB6DB90F6986E17D4EB856AB3ED5BF2C0B736B3E032C77EBA751B8C7D00D8600006252557D5FB507F4A89A472414167FC5C098F3A8DF6F7B35D312D061BD58EEC3500000000000000101433F5B1FE366E652B17B5826DBC7199B061EFA5FB79814FFDDB48EC80884EB264B48387766E47ACF4780D6170B4073E895C55B949C027556FB52E781016C34500000000002261BC5E383783BBC76F0D961550686ABF2703A4367460EE34529913BAD000000000000001002B8907541C97F706181C1D979F8776A744690EC259BE1FD780E64A40C9F8DD80D870186A704AF9456981F314D5C7165E8411CAEFB6A8E0FA40BE6136677CDB7密級：受控出口與安全線故障排查手冊2）輸入2.6系列的esekey是否正確：7.如果無法確定ACE進(jìn)一步處理。400保存期限：2年密級：受控出口與安全線故障排查手冊2）輸入2.6系列的esekey是否正確：7.如果無法確定ACE進(jìn)一步處理。400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3766頁密級：受控出口與安全線故障排查手冊2NPE和EG故障排查2.1.1故障處理流程確認(rèn)各個對象均存在?檢查流控策略中的對確認(rèn)策略已經(jīng)應(yīng)用在接口?檢查流控策應(yīng)用在接流控暫不支持應(yīng)用在虛擬口?確認(rèn)應(yīng)用接口為物理策略只在生效時間段生效?確認(rèn)生效時間尋求故障解決幫助?400進(jìn)一步處理密級：受控出口與安全線故障排查手冊2NPE和EG故障排查2.1.1故障處理流程確認(rèn)各個對象均存在?檢查流控策略中的對確認(rèn)策略已經(jīng)應(yīng)用在接口?檢查流控策應(yīng)用在接流控暫不支持應(yīng)用在虛擬口?確認(rèn)應(yīng)用接口為物理策略只在生效時間段生效?確認(rèn)生效時間尋求故障解決幫助?400進(jìn)一步處理2.1.2故障處理步驟若在web界面上，查看策略中發(fā)現(xiàn)當(dāng)前狀態(tài)為不生效，請通過以下步驟進(jìn)行排查保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3866頁2.1 流控策略不生效密級：受控出口與安全線故障排查手冊1. 請確認(rèn)此流控策略所使用的對象均存在，比如通道對象、用戶對象、VLAN對象、IP對象、時間對象、自定義應(yīng)用對象、應(yīng)用分組自定義對象等，若沒有請新建。anywebcli時丟密級：受控出口與安全線故障排查手冊1. 請確認(rèn)此流控策略所使用的對象均存在，比如通道對象、用戶對象、VLAN對象、IP對象、時間對象、自定義應(yīng)用對象、應(yīng)用分組自定義對象等，若沒有請新建。anywebcli時丟捷官網(wǎng)發(fā)布的最新正式版本。2. 請確認(rèn)此流控策略是否應(yīng)用在了接口在，確認(rèn)方法有兩種：1：在中單擊編輯，，確認(rèn)策略組是否應(yīng)用到了接口，顯示不應(yīng)用，則選擇應(yīng)用，并點擊保存設(shè)置。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散3966頁密級：受控出口與安全線故障排查手冊2：查看cli下，確認(rèn)流控策略是否已經(jīng)應(yīng)用在了接口下，即此處的flow-policyGi0/1，若沒有也可手工配置。0/1密級：受控出口與安全線故障排查手冊2：查看cli下，確認(rèn)流控策略是否已經(jīng)應(yīng)用在了接口下，即此處的flow-policyGi0/1，若沒有也可手工配置。0/1ipnatoutsideflow-policyGi0/1duplexautospeedauto3.showclock，是否準(zhǔn)確，并查看看當(dāng)前時間是否在策略的時間對象范圍內(nèi)，若不在時間對象范圍內(nèi)，策略不生效正常。4.若發(fā)現(xiàn)webcli下查看底層調(diào)試信息確認(rèn)是否生效保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4066頁NPE60#showflow-control-policyweb-formatflow-controlGi0/1#flow-rule-id:1priority-num:1vlan-group:anysubscriber:anynetwork-group:anyapp-group:anytime-rang:anysession-limit:0action:pass密級：受控出口與安全線故障排查手冊5.如果無法確定任務(wù)利用率高屬于正常現(xiàn)象還是存在異常，請400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4166頁密級：受控出口與安全線故障排查手冊5.如果無法確定任務(wù)利用率高屬于正?，F(xiàn)象還是存在異常，請400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4166頁effective1flow-controlGi0/3flow-controlGi0/5flow-controlGi0/7Totalpolicyruleis10表示未生效。5處理。密級：受控出口與安全線故障排查手冊2.2.1故障處理流程確認(rèn)端口是否正常linkup?檢查端口的工作狀檢查配置中是否有shutdown及光電復(fù)用?檢查端口的配分析是否端口協(xié)商模式一致?檢查兩端端口協(xié)商模是否一致auto?調(diào)整兩端雙工、速率密級：受控出口與安全線故障排查手冊2.2.1故障處理流程確認(rèn)端口是否正常linkup?檢查端口的工作狀檢查配置中是否有shutdown及光電復(fù)用?檢查端口的配分析是否端口協(xié)商模式一致?檢查兩端端口協(xié)商模是否一致auto?調(diào)整兩端雙工、速率分析是否是線纜或是模塊接觸不良?重新插拔線纜或是光模塊判斷是否是線纜和模塊問題?更換線纜或是模?4008保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4266頁2.2 端口Link狀態(tài)異常密級：受控出口與安全線故障排查手冊2.2.2故障處理步驟1.showipinterfacebrief或是showinterfacegix/x來確認(rèn)端口是否Link異常（LED燈來下判斷）2.首先確認(rèn)配置是否有問題，如端口是shutdown狀態(tài)，光電復(fù)用口是否切換到正確狀態(tài)。3.設(shè)置成強(qiáng)制模式,則需要把互連端口流控/雙工/速率均配置為強(qiáng)制模式。且這兩種是強(qiáng)制,則連接出現(xiàn)half模式是有可能的。4.嘗試將設(shè)備的流控／雙工／速率三者都設(shè)置成非auto密級：受控出口與安全線故障排查手冊2.2.2故障處理步驟1.showipinterfacebrief或是showinterfacegix/x來確認(rèn)端口是否Link異常（LED燈來下判斷）2.首先確認(rèn)配置是否有問題，如端口是shutdown狀態(tài)，光電復(fù)用口是否切換到正確狀態(tài)。3.設(shè)置成強(qiáng)制模式,則需要把互連端口流控/雙工/速率均配置為強(qiáng)制模式。且這兩種是強(qiáng)制,則連接出現(xiàn)half模式是有可能的。4.嘗試將設(shè)備的流控／雙工／速率三者都設(shè)置成非auto模式即強(qiáng)制模式。比如流控設(shè)置為off,，雙工設(shè)置為full，速率設(shè)置為1000M。是否能恢復(fù)linkup。5.重新插拔線纜（網(wǎng)線或者光纖或者光模塊），看是否可以Linkup。6.嘗試更換網(wǎng)線或者光纖（或者光模塊、擴(kuò)展模塊），看是否可以Linkup。7.LinkupLinkup，很大可能是端口硬件故障。如果無ink，需要更換網(wǎng)線（需要嘗試正線和反線），確認(rèn)光纖線的TX、RX的正確連接。8.如果雙絞線比較長，則改為短線進(jìn)行和其他正常端口連接，看是否Link正常。9.把對端更換到其他正常端口上，看是否可以正常Linkup。10.(有條件的話選做)使用測試設(shè)備對網(wǎng)線或者光纖的衰減進(jìn)較，以確認(rèn)線纜是否損壞。試，并和標(biāo)準(zhǔn)值比11.另外需要注意確認(rèn)端口上是否有異常的報文文，會把自己端口關(guān)閉，這樣將導(dǎo)致端口linkdown。12.如果無法確定端口link400進(jìn)一步處理。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4366頁密級：受控出口與安全線故障排查手冊2.3.1故障處理流程明確CPU利用率是否異常?CPU占比?檢查任務(wù)運(yùn)行情分析故障懷疑點?確定異常任務(wù)并分尋求故障解決幫助?400進(jìn)一步處理2.3.2故障處理步驟1.使用命令show cpu連續(xù)設(shè)備的CPU利用率，確定設(shè)備的CPU密級：受控出口與安全線故障排查手冊2.3.1故障處理流程明確CPU利用率是否異常?CPU占比?檢查任務(wù)運(yùn)行情分析故障懷疑點?確定異常任務(wù)并分尋求故障解決幫助?400進(jìn)一步處理2.3.2故障處理步驟1.使用命令show cpu連續(xù)設(shè)備的CPU利用率，確定設(shè)備的CPU利用率是否異理，需要確認(rèn)CPU高的具體原因，請轉(zhuǎn)步驟2。2.使用命令showcpu并詢設(shè)備各任務(wù)運(yùn)行情況：保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4466頁? 1在通過TELNET方式登錄使用showrun/showmemory/debugsu模式下showtask收集診斷信息時， 結(jié)果會顯示CPU利用率較高，此時需要在信息收集完畢后，等待一段時間再 導(dǎo)致的CPU利用率升高還是任務(wù)異常導(dǎo)致的CPU占用率升高。2.3 CPU利用率異常密級：受控出口與安全線故障排查手冊保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4566頁NPE60#sh密級：受控出口與安全線故障排查手冊保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4566頁NPE60#shcpu======================================= CPUUsingRateInformationCPUutilizationinfiveseconds:2%CPUutilizationinoneminute:2%CPUutilizationinfiveminutes:2%NO5Sec 1Min 5Min Process0 0% 0% 0% LISRINT1 0% 0% 0% HISRINT2 0% 0% 0% ktimer3 0% 0% 0% atimer4 0% 0% 0% printk_task5 0% 0% 0% waitqueue_process6 0% 0% 0% tasklet_task7 0% 0% 0% kevents8 0% 0% 0% snmpd9 0% 0% 0% snmp_trapd10 0% 0% 0% mtdblock11 0% 0% 0% gc_task12 0% 0% 0% Context13 0% 0% 0% kswapd14 0% 0% 0% bdflush15 0% 0% 0% kupdate16 0% 0% 0% usb_hub17 0% 0% 0% buffcopy18 0% 0% 0% ll_mt19 0% 0% 0% llmainprocess20 0% 0% 0% ip6timer21 0% 0% 0% rtadvd22 0% 0% 0% tnet623 1% 1% 1% tnet24 0% 0% 0% Tarptime25 0% 0% 0% gra_arp26 0% 0% 0% Ttcptimer27 0% 0% 0% fc_obj_msg28 0% 0% 0% Tfc_timer29 0% 0% 0% ip6_tunnel_rcv_pkt30 0% 0% 0% ipmrfd31 0% 0% 0% tRefRes32 0% 0% 0% imid33 1% 0% 0% nsmd34 0% 0% 0% ripd35 0% 0% 0% ospfd密級：受控出口與安全線故障排查手冊360%0%0%370%0%0%PPTP380%0%0%390%0%0%400%0%0%410%0%0%aaa_task420%0%0%Tlogtrap430%0%0%440%0%0%ntp_task450%0%0%460%0%0%ddns_task470%0%0%httpautoupdatetask480%0%0%490%0%0%500%0%0%510%0%0%pbr_guard520%0%0%530%0%0%540%0%0%550%0%0%tac+_task560%0%0%570%0%0%580%0%0%dhcpping_task590%0%0%600%0%0%610%0%0%lbdetect_task620%0%0%630%0%0%640%0%0%650%0%0%660%0%0%670%0%0%rl_listen680%0%0%690%0%0%700%0%0%processoftucl710%0%0%watchthread720%0%0%OS730%0%0%pstn740%0%0%vfdc750%0%0%ncc760%0%0%processofsi770%0%0%rtp780%0%0%vfdcprocess保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4666頁密級：受控出口與安全線故障排查手冊360%0%0%370%0%0%PPTP380%0%0%390%0%0%400%0%0%410%0%0%aaa_task420%0%0%Tlogtrap430%0%0%440%0%0%ntp_task450%0%0%460%0%0%ddns_task470%0%0%httpautoupdatetask480%0%0%490%0%0%500%0%0%510%0%0%pbr_guard520%0%0%530%0%0%540%0%0%550%0%0%tac+_task560%0%0%570%0%0%580%0%0%dhcpping_task590%0%0%600%0%0%610%0%0%lbdetect_task620%0%0%630%0%0%640%0%0%650%0%0%660%0%0%670%0%0%rl_listen680%0%0%690%0%0%700%0%0%processoftucl710%0%0%watchthread720%0%0%OS730%0%0%pstn740%0%0%vfdc750%0%0%ncc760%0%0%processofsi770%0%0%rtp780%0%0%vfdcprocess保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4666頁密級：受控出口與安全線故障排查手冊790%0%0%gkprocess800%0%0%810%1%1%flowaudittask820%0%0%rotuedb830%0%0%signatureupdate840%0%0%rl_vty_1850%0%0%httpt292860%0%0%httpt29387 98% 98% 98% idleNPE60#3. 2的結(jié)果，進(jìn)行故障分析。在顯示的任務(wù)信息中，第二列顯示該任務(wù)占用CPU的比率，其中有個idle任務(wù)比較特殊，是CPUCPUCPU運(yùn)行不正常。下面介紹一些常見導(dǎo)致設(shè)備CPU高的任務(wù)及處理方法：Tnet和buffcopy：收包上送CPU處理任務(wù)。該任務(wù)占用率高，說明CPU收到大量上送CPU報文并進(jìn)行處理：??網(wǎng)絡(luò)中存在對設(shè)備的，開啟NPEEG功能，可以防止和抵御到設(shè)備本身的，如arp、DOS 、并能進(jìn)行端口過濾和限速等。?網(wǎng)絡(luò)中存在過多分片報文：showip密級：受控出口與安全線故障排查手冊790%0%0%gkprocess800%0%0%810%1%1%flowaudittask820%0%0%rotuedb830%0%0%signatureupdate840%0%0%rl_vty_1850%0%0%httpt292860%0%0%httpt29387 98% 98% 98% idleNPE60#3. 2的結(jié)果，進(jìn)行故障分析。在顯示的任務(wù)信息中，第二列顯示該任務(wù)占用CPU的比率，其中有個idle任務(wù)比較特殊，是CPUCPUCPU運(yùn)行不正常。下面介紹一些常見導(dǎo)致設(shè)備CPU高的任務(wù)及處理方法：Tnet和buffcopy：收包上送CPU處理任務(wù)。該任務(wù)占用率高，說明CPU收到大量上送CPU報文并進(jìn)行處理：??網(wǎng)絡(luò)中存在對設(shè)備的，開啟NPEEG功能，可以防止和抵御到設(shè)備本身的，如arp、DOS 、并能進(jìn)行端口過濾和限速等。?網(wǎng)絡(luò)中存在過多分片報文：showipfpmstatics800userNPE#showipfpmstatisticstable:2080000Numberofactiveflows:817433contexts:1806NumberofthebuffersholdbyFPM:1945Eventcount(%256):249?網(wǎng)絡(luò)存在過多的協(xié)議報文(如ospf)：showrun是否存在的協(xié)議；?telnet/icmpICMP不可達(dá)是否可以關(guān)閉，黑洞路由是否配置，結(jié)合防使用。Tnet6：V6CPUtnet類似，就是IPV4和IPV6區(qū)別。Httptweb管理NPEEG的進(jìn)程，若同時有大量的用戶同時web??登陸設(shè)備的管理界面，并在web頁面上保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4766頁密級：受控出口與安全線故障排查手冊設(shè)備會進(jìn)行大量的數(shù)據(jù)，導(dǎo)致出現(xiàn)大量的Httpt進(jìn)程，并會使cpu大幅升高，此時應(yīng)減少用戶大量的web登陸設(shè)備管理界面。flowaudittask：流量審計進(jìn)程，若設(shè)備開啟了流量審計功能（flow-auditenable），且網(wǎng)絡(luò)出口流量很大，用戶很多的情況下，會出現(xiàn)此進(jìn)程CPU占用的利用率PE密級：受控出口與安全線故障排查手冊設(shè)備會進(jìn)行大量的數(shù)據(jù)，導(dǎo)致出現(xiàn)大量的Httpt進(jìn)程，并會使cpu大幅升高，此時應(yīng)減少用戶大量的web登陸設(shè)備管理界面。flowaudittask：流量審計進(jìn)程，若設(shè)備開啟了流量審計功能（flow-auditenable），且網(wǎng)絡(luò)出口流量很大，用戶很多的情況下，會出現(xiàn)此進(jìn)程CPU占用的利用率PE和G.release（98250）3%-5%cpu利用率左右為正常范圍。prntk_tskprnk_tsk占用PUdbughowrun命令等操作，可以通過以下步驟進(jìn)行排查：任務(wù)占用過多CPU，showdebug是否開啟部分調(diào)2）showrun30秒后，方可showcpushowarp是否存在過多的?（代表P同一時刻多個地址被刷新arp泛洪,同時等待一段時間確認(rèn)CPU利用率是否下降rl_conshowrun、show命令都會對CPU有所影響，可以在show完后一段時間檢查cpu利用率是否下降。?4.如果無法確定任務(wù)利用率高屬于正?，F(xiàn)象還是存在異常，請400進(jìn)一步處理。保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4866頁密級：受控出口與安全線故障排查手冊2.4.1故障處理流程確認(rèn)設(shè)備本身是否可以公網(wǎng)?檢查設(shè)備本身聯(lián)網(wǎng)狀DNS?橋接模式下需要額外的配置?檢查設(shè)備的工作模尋求故障解決幫助?400進(jìn)一步處理2.4.2故障處理步驟若在web界面上，通過單擊＞若發(fā)現(xiàn)提示 連接服務(wù)器失?。≌埻ㄟ^以下步驟進(jìn)行排查保存期限：2密級：受控出口與安全線故障排查手冊2.4.1故障處理流程確認(rèn)設(shè)備本身是否可以公網(wǎng)?檢查設(shè)備本身聯(lián)網(wǎng)狀DNS?橋接模式下需要額外的配置?檢查設(shè)備的工作模尋求故障解決幫助?400進(jìn)一步處理2.4.2故障處理步驟若在web界面上，通過單擊＞若發(fā)現(xiàn)提示 連接服務(wù)器失敗！請通過以下步驟進(jìn)行排查保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散4966頁2.4 特征庫不能升級密級：受控出口與安全線故障排查手冊1）1請確認(rèn)設(shè)備本身的聯(lián)網(wǎng)狀態(tài)，設(shè)備本身是否可以 進(jìn)2）2試，若不能公網(wǎng)，請進(jìn)行相應(yīng)的配置。DNSserver，若沒配置的話請配置，命令為ipname-server.x，特征庫更新服務(wù)啟在福州此時可以通過在設(shè)備密級：受控出口與安全線故障排查手冊1）1請確認(rèn)設(shè)備本身的聯(lián)網(wǎng)狀態(tài)，設(shè)備本身是否可以 進(jìn)2）2試，若不能公網(wǎng)，請進(jìn)行相應(yīng)的配置。DNSserver，若沒配置的話請配置，命令為ipname-server.x，特征庫更新服務(wù)啟在福州此時可以通過在設(shè)備ping3）3為.cn來確認(rèn)更新服務(wù)器的可達(dá)性及地址的正確性。確認(rèn)一下設(shè)備的工作模式，在橋接模式需要進(jìn)行如下配置：HTTP升級是從非管理口進(jìn)行升級的。如果需要從管理口進(jìn)行升級，進(jìn)入配置模式，按以下步驟進(jìn)行操作：Ruijie(confighttpupdatesetoob配置從管理口進(jìn)行升級4）4如果無法確定任務(wù)利用率高屬于正?，F(xiàn)象還是存在異常，請400保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散5066頁密級：受控出口與安全線故障排查手冊2.5.1故障處理流程N(yùn)AT的ACL列表?ACL確認(rèn)配置了地址池poolpoolNAT口?檢查密級：受控出口與安全線故障排查手冊2.5.1故障處理流程N(yùn)AT的ACL列表?ACL確認(rèn)配置了地址池poolpoolNAT口?檢查口是否配置NAT?NAT則確認(rèn)以ACL?ACLPOOL配順序?40082.5.2故障處理步驟1. 在showrunNAT的acl保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散5166頁ipaccess-liststandard1010permitany2.5 NAT不生效密級：受控出口與安全線故障排查手冊2.在配置確認(rèn)是否配置了地址池pool，例如：3.確認(rèn)是否配置了NAT內(nèi) 口，例如：4.確認(rèn)NAT5.NPEnat匹配規(guī)則的時候使用列表作為首要條件，地址池配置中只對一個地址池下面的多條規(guī)則逐一查找，不查找多個地址池配置。地址池匹配中可以針對出接口查找，但不支持針對路由下一跳查找。舉例說明：常見的錯誤配置如下。g0/1口的地址池將無法匹配。正確的配置方法如下：6、另外，一個物理接口綁定兩個地址池，也是可以正常進(jìn)行數(shù)據(jù)轉(zhuǎn)換的，例如保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散52密級：受控出口與安全線故障排查手冊2.在配置確認(rèn)是否配置了地址池pool，例如：3.確認(rèn)是否配置了NAT內(nèi) 口，例如：4.確認(rèn)NAT5.NPEnat匹配規(guī)則的時候使用列表作為首要條件，地址池配置中只對一個地址池下面的多條規(guī)則逐一查找，不查找多個地址池配置。地址池匹配中可以針對出接口查找，但不支持針對路由下一跳查找。舉例說明：常見的錯誤配置如下。g0/1口的地址池將無法匹配。正確的配置方法如下：6、另外，一個物理接口綁定兩個地址池，也是可以正常進(jìn)行數(shù)據(jù)轉(zhuǎn)換的，例如保存期限：2年銳捷網(wǎng)絡(luò)，不得擴(kuò)散5266頁ipaccess-listextendedtest1permitany55ipaccess-liststandard1010permitanyipnatpooltestprefix-length24address0001matchinterfacegigabitEthernet0/2address0001matchinterfacegigabitEthernet0/1ipnatinsidesourcelist10pooltestoverloadipaccess-liststandard1010permitanyipaccess-liststandard1110permitanyipnatpooltestprefix-length24address0001matchinterfacegigabitEthernet0/2ipnatpooltest1prefix-length30address0001matchinterfacegigabitEthernet0/1ipnatinsidesourcelist10pooltestoverloadipnatinsidesourcelist11pooltest1overloadipnatinsidesourcelist10pooltestoverloadinterfaceGigabitEthernet0/0ipnatinsideinterfaceGigabitEthernet0/1ipnatoutsideipnatpooltestprefix-length24address0001matchinterfacegigabitEthernet0/2密級：受控出口與安全線故障排查手冊2.6.1故障處理流程?DLDP的地址是可達(dá)DLDPNexthop是否可達(dá)是否可達(dá)根據(jù)實際情況調(diào)整DLDP密級：受控出口與安全線故障排查手冊2.6.1故障處理流程?DLDP的地址是可達(dá)DLDPNexthop是否可達(dá)是否可達(dá)根據(jù)實際情況調(diào)整DLDPretry參數(shù)?DL