-
健康日志
日志信息 cpu_used=[$1:UINT32];mem_used=[$2:UINT32];disk_used=[$3:UINT32];temperature=[$4:UINT32];session_num=[$5:UINT32] 日志含义 系统CPU利用率为[$1:UINT32],内存利用率为[$2:UINT32],硬盘利用率为[$3:UINT32],温度为[$4:UINT32],会话数为[$5:UINT32]。 日志参数 表1 日志参数表 参数名称 参数含义 cpu_used CPU利用率。 mem_used 内存利用率。 disk_used 硬盘存储利用率。 temperature 设备温度。 session_num 当前会话数。 可能原因 系统自行上报日志,每分钟一次。 处理步骤 观察设备运行CPU、内存、硬盘使用率是否出现异常,如果异常突高请检查设备流量和配置,必要时通过删除某些配置来停止某些任务。建议采集一键诊断信息,并联系华为工程师处理。
SE_Gai 2024-11-25
30 0 0 -
控制台无法登录之TLS协议不支持
新版本的谷歌浏览器、火狐浏览器已不支持TLS1.0/1.1 ,使用此类浏览器登入低版本AF时会提示TLS协议不支持 目前可通过打JG包解决,JG21及之后的JG包均可解决 JG包是以sp包的形式下发的,可在【安全能力更新】-【软件优化】出点击更新,也可通过acheck工具打 7.3 <=AF版本 <=8.0.23不支持TLS1.2,AF8026及之后版本即可在页面开启TLS1.2 1.优先建议打JG包解决,升级到高版本也可以解决,是在没辙在打KB包; //截止2023-8-17,防火墙主线版本均已覆盖JG25,都可以通巡检打包解决此问题(WAF/IPS/FW也覆盖了) 2.补丁包重启sangfor_waf影响控制台服务,不影响网络业务,双机场景建议先打备机在打主机; 3.巡检确认此设备是否有JG19及之前的JG包要打(一般为vaf、单品),需要先打JG19及以前的JG包,然后获取补丁包升级,现有版本的包都有ssu格式,可使用update工具升级。 PS:因为TLS的包和JG包都会改sangfor_waf,如果先打TLS的包在打JG19及以前的包就会导致sangfor_waf又被改回去不支持TLS1.2,所以如果设备需要打JG19级以前的JG包,则先打JG包在打TLS的包,如果设备有JG21及之后的包打,就直接打JG包无需要打KB包 常规补丁包对应关系:包名为:KB-AF-20220217-WEBUI-TLS1.2 加版本 注:英文的AF除了AF8.0.23需要找研发确认外,其他23以下的AF都是中文切过去的,可直接打FTP的包
SE_Gao 2024-11-22
13 0 0 -
锐捷N18E下联终端无法ping通网关
一、故障现象描述 同一个网段内部分终端能获取到ip地址,但是无法ping通网关,导致无法弹出认证界面去认证上网。 网络拓扑图如下: 拓扑描述:终端接在SF2920U交换机下,通过汇聚,连接到核心N18E 二、故障排查分析 检查终端侧情况,通过arp -a明确终端没有学习到网关的arp,网关ip地址为172.20.255.254; 检查核心侧arp学习情况,发现核心侧可以正常学习到终端的arp; 判断是核心和终端arp交互出现异常,通过arp计数明确核心有收到终端的arp请求报文,但是没有回复,异常点在核心侧; 检查环境并无异常,cpp,接口均无丢包,nfpp也未有异常; 进一步针对异常终端开启快转arp调试查看,发现对应arp报文被arp spoofing组件过滤了; 和研发确认是触发了arp欺骗导致,若是1x或者web用户认证表项跟收到的报文表项不一致就会被判定为arp欺骗; 通过debug acl efacl ef-packet srcip 172.20.0.93 count 10查看发现用户的mac之前有表项,新的ip不匹配所以被过滤了; show web-auth user ip查看发现对应mac之前确实有认证过; 查看租期以及无流量下线配置,发现租期比无流量下线时间短; 综上,判断是6c4b.90be.7bfd这个终端一开始获取到了172.20.0.83这个ip地址认证上线了,后面下线2小时租期到了重新获取到了172.20.0.93这个地址,但是由于无流量下线时间没到,对应的认证表项还在,此时用新ip上来,交换机校验发现不匹配原来的认证表项下发的ip+mac绑定,导致上不了网,正常无流量下线时间要比租期小,但是现场配置无流量比租期大导致。 三、故障根因说明 交换机无流量下线配置时间大于dhcp租期,导致用户认证后下线认证表项还在,后续重新上线由于dhcp租期到了获取了新的地址,此时由于新的地址和之前的认证表项下发的ip+mac绑定不匹配,导致触发arp欺骗,交换机不回……
SE_You
2024-11-22
4 0 0 -
交换机有哪些实用的技巧?
01 包转发率 包转发率(Packet Forwarding Rate)是指交换机在单位时间内能够处理的数据包数量,通常以pps(包每秒)为单位。 包转发率是衡量交换机性能的重要指标之一,反映了交换机在高负载情况下处理数据包的能力。 01 重要性 性能指标:包转发率直接影响交换机的性能。高包转发率意味着交换机能够处理更多的数据流量,适合高负载环境,如数据中心和大型企业网络。 网络稳定性:在高流量环境下,如果交换机的包转发率不足,可能会导致数据包丢失和网络拥塞,影响网络的稳定性和可靠性。 02 计算方法 包转发率的计算公式如下: 包转发率=交换机总带宽/数据包大小×8 其中: - 交换机总带宽:交换机的所有端口带宽之和。 - 数据包大小:通常使用最小数据包大小(64字节)进行计算,因为小数据包对交换机的处理能力要求更高。 03 示例 假设一个1Gbps的交换机,处理64字节的数据包,其包转发率计算如下: 包转发率=1×109 bps64×8 bits=1×109512=1,953,125 pps包转发率=64×8 bits1×109 bps=5121×109=1,953,125 pps 因此,该1Gbps交换机的包转发率为1,953,125 pps。 02 交换容量 交换容量(Switching Capacity)是指交换机在单位时间内能够处理的最大数据吞吐量,通常以bps(比特每秒)为单位。 交换容量决定了交换机的带宽能力,反映了交换机在高负载情况下处理数据的能力。 01 重要性 带宽能力:交换容量决定了交换机能够支持的总带宽,高交换容量意味着交换机能够处理更多的高速端口和更大的数据流量。 网络性能:在高流量环境下,交换容量不足会导致数据包丢弃和网络拥塞,影响网络性能和用户体验。 02 计算方法 交换容量的计算公式如下: 交换容量=端口数量×端口速率×2交换容量=端口数量×端口速率×2 其中: - 端口数量:交换机上的物理端口总数。 - 端口速率:每个端口的传输速率。 - 乘以2:表示全双工通信……
SE_YJ 2024-11-22
12 0 0 -
系统状态日志
日志信息 [$1:STRING]. 日志含义 系统状态变化日志信息,如系统健康检查信息等。 日志参数 表1 日志参数表 参数名称 参数含义 STRING 系统健康检查信息等。 可能原因 系统状态变化。 处理步骤 根据日志信息检查相应的模块,如有异常对应处理。
5 0 0 -
单位PC访问某互联网业务失败之公网IP被网站封堵
客户局域网无法访问互联网某业务,客户发现在自己家能正常访问。 访问某网页时显示访问超时。(客户怀疑是防火墙策略拦截) 1、防火墙开启直通发现还是无法访问此业务。(怀疑是对端单位把用户公网IP给封锁了) 2、抓取用户访问互联网某业务的pc包,再抓取AF的数据包。 发现PC端的数据包和AF的数据包一致,说明AF没有拦截这个访问 分析数据包发现源到目的访问为RST,说明是对端拒绝的。 3、用户有多个公网IP,在AF上NAT策略上更换了另一个公网地址上网。发现用户的PC可以正常访问对端业务了。 对端单位的业务那边,把本端客户的公网地址给封锁了。 临时方案:如果有多个公网地址,可以在AF的NAT策略上更换公网地址去访问。 永久方案:联系对端单位管理员协商,把本用户的公网地址放通。 建议让客户和对端单位沟通一下是什么原因导致,公网IP被拦截或者是被封锁了。
5 0 0 -
锐捷S7805C跨设备无法ping通
一、故障现象 7805C ping S2不通,但是ping S1正常,S2 ping S1正常,S1 ping S7805C正常。 网络拓扑如下: 二、设备型号和版本 型号:S7805C 版本:S7800C_RGOS 11.0(4)B19T3, Release(05240612) 三、故障分析思路 确定网络环境是否存在环路,是否存在地址冲突; ACL计数判断是否未收到回应ICMP报文; 开启快转查看ICMP报文送达驱动; 专家ACL计数或者抓包查看对端回应ICMP报文是否合法; (注:对端回应ICMP不可达时ACL计数仍可以计数回应报文) 四、故障分析过程解析 检查双方路由均显示正常(ON2 10.0.0.0/8 10.0.15.1); 检查环境中不存在地址冲突,环路等问题。华三设备均使用静态路由进行回指,华三S1设备可以ping通两端的S7805C和S2。7805C指定静态路由 10.0.42.1 255.255.255.255 10.0.15.1 仍不通; acl计数,7805cping对端华三设备有收发但是显示不通。华三设备ping 7805c 有收到但是没有回应; 设备端开启debug efmp packet filter ipv4_sip host 10.0.42.1 ipv4_dip host 10.0.15.3 v4_protocol icmp counter 5 显示未收到,acl计数结果有增长,使用debug pkt-monitor match诊断PI未发出,判断上层收到报文之后没有同步底层; 接口下使能匹配源目ip的ACL计数,全局使用匹配目的mac源目ip的ACL计数显示,接口下仅匹配ip的acl能够统计到回应icmp报文,但是全局下匹配目的mac和ip的acl记不到数,故友商设备回应icmp报文时目的mac地址异常导致S7805C认为不是回音给自己的报文所以没有送达设驱动; 抓包进一步确认显示友商S2回应报文在S2回应S1时显示目的MAC正常,但是S1回应S7805C时目的MAC发生变化。(实际测试每次回应报文经过S1之后目的MAC都会变化,每次变化的目的MAC不一样); 故障原因说明:友商系统异常,导致转发回应报文的目的MAC地址会随机发生变化 ……
SE_You
2024-11-21
11 0 0 -
如何用多种方法查看 Linux ip 地址?
01 ifconfig概述 ifconfig(interface configuration)是一个传统的命令行工具,用于配置和显示网络接口的参数。它允许用户查看、启用、禁用网络接口,以及设置IP地址、子网掩码等网络参数。 01 特点 功能丰富:ifconfig可以显示和配置网络接口的各种参数,包括IP地址、子网掩码、广播地址等。 广泛支持:ifconfig在大多数Linux发行版中都有预装,使用广泛。 语法简单:ifconfig的命令语法相对简单,易于学习和使用。 02 基本用法 显示所有网络接口: ifconfig 显示特定网络接口: ifconfig eth0 启用/禁用网络接口: ifconfig eth0 up ifconfig eth0 down 设置IP地址: ifconfig eth0 192.168.1.10 netmask 255.255.255.0 显示简要信息: ifconfig -a 02 ip命令 ip命令是一个更现代的网络配置工具,功能更强大,语法更一致。它不仅可以显示网络接口的信息,还可以进行网络配置和管理。 01 基本用法 显示所有网络接口: ip addr show 显示特定网络接口: ip addr show eth0 启用/禁用网络接口: ip link set eth0 up ip link set eth0 down 设置IP地址: ip addr add 192.168.1.10/24 dev eth0 删除IP地址: ip addr del 192.168.1.10/24 dev eth0 显示路由表: ip route show 添加路由: ip route add 192.168.2.0/24 via 192.168.1.1 删除路由: ip route del 192.168.2.0/24 via 192.168.1.1 03 nmcli命令 nmcli是NetworkManager的命令行工具,适用于图形化管理网络连接。它提供了丰富的网络配置和管理功能。 01 基本用法 显示所有网络接口: nmcli device status 显示特定网络接口: nmcli device show eth0 启用/禁用网络接口: nmcli device disconnect eth0 nmcli device connect eth0 设置IP地址: nmcli connection modify eth0 ipv4.address……
6 0 0 -
事件日志
日志信息 [$1:STRING]. 日志含义 系统事件日志信息,如接口UP/DOWN信息等。 日志参数 表1 日志参数表 参数名称 参数含义 STRING 系统重启、接口UP/DOWN、升级版本、HA切换等信息。 可能原因 系统事件产生。 处理步骤 根据日志信息检查相应的模块,如有异常对应处理。 如果系统事件日志频繁提示“设备以冷启动方式启动”,需要排查供电环境或设备电源模块是否有故障。
6 0 0 -
防火墙会话机制与基本概念
会话机制与基本概念 一、会话概念: 当数据流经过AF转发时,AF会生成一个记录五元组、出入接口、路由匹配情况、策略匹配情况、nat转换情况等信息的表项,此表项称为会话 二、会话作用: AF转发数据时为了提升数据转发效率率并减少重复判断策略匹配情况而损耗设备性能,通过会话记录的策略等信息,进行数据快处理 三、会话的机制介绍: A:会话建立的条件参数: 1.老架构(五元组):源IP,目的IP,源端口,目的端口,协议 2.新架构(七元组):源IP,目的IP,源端口,目的端口,协议,VLAN,数据为二层或三层(数据经过AF时,AF是2层转发还是3层转发) B、会话匹配: 1.老架构:仅通过识别五元组信息是否已有会话一致,一致则根据对应会话转发并刷新老化时间,否则生成新会话。 2.新架构:在标准五元组场景的前提上针对数据包VLAN标签,以及首包为二层或三层的识别标签,共同组成七元组进行识别。若七元组完全一致则根据对应会话转发并刷新老化时间,否则生成新会话。 C、会话更新: 1、自然更新会话 TCP会话默认老化时间为30min,UDP会话默认老化时间为3min,ICMP默认老化时间为30s(对应时间可以在控制台修改),老化时间超过后会话过期清除,若同一五元组(七元组)数据在老化前再次触发则会刷新老化时间重新进老化计算。 2、recheck更新会话 recheck是指路由或者策略发生变化时(增/删/改操作),通知会话立即重新按照当前策略或路由的匹配情况进行更新并刷新老化时间。例如路由变化了,那已经建立的会话,需要重新去匹配路由,查询下一跳和出接口,如果转发情况发生变化则清理老会话并重新建立会话(recheck)。但是并非所有recheck场景均会重建所有会话,例如黑名单修改仅仅会让修改的IP相关会话recheck。 注:老架构存在NAT策略调整下发后不及时recheck的情况,可通过打包优化解决-- KB-AF-20210904-Na……
17 0 0
硬件天地
