rg-ace系列应用控制引擎运行维护与故障排查

1、RG-ACE 系列应用控制引擎运行与故障排查2008-10-31福建星网锐捷网络1 / 46修订2 / 46日期修订说明2008-8-24第一次发布2008-10-31部分内容更新，适用于 Fireware2.6.18 及以下版本2009-10-18更新“迅雷无法控制”解决办法前 言RG-ACE 应用控制引擎，提供详细的本文档适用于福建星网锐捷网络与故障排查方案。RG-ACE 应用控制引擎包括如下型号：RG-ACE 3000RG-ACE 2000RG-ACE 10003 / 46本文档只限指定部门使用，严禁外传。如果您在阅读中产生疑问，请与文档人联系。目录1系统故障排查流程61.11.2系统故

2、障排查流程图6系统故障排查流程说明61.2.1 流程简介62设备硬件故障排查82.12.2通过 BIOS 自检声来判断8线路连接问题及排查方法..4查看网络连通性9检测物理连接介质9/EXT 接口反接问题11旁路 BYPASS 设置123OS 故障排查13ROMON 模式排错13Firmware 版本升级14特征库升级15产品 license 的更新问题17丢失恢复17设备发生重启等故障时注意事项17从 IE 查看设备运行状态的 URL 命令18设备3.74系统配置故障排查194.1日志服务器故障排查194.1.1 日志管

3、理安装环境要求19系统安装和升级中常见故障....9无法启动管理端 ACE 服务20管理服务器无法正常卸载20管理服务器正常登录后不能添加设备21管理服务器无法正常打开登录页面21更改管理服务器端口21管理服务器无法看到实时流量22更新管理端后 Applet 还是原来的版本23IE 浏览器自动关闭23管理端大版本升级时的注意事项234.3配置常见问题案例...6网络流量大部分识别成 SoftBypass 流量24网络中大部分流量不能识别24设置了阻挡

4、策略，但阻挡报表为空26Http log 为空26策略的生效时间紊乱27基于时间策略不生效.274 / 4.84.3.9迅雷无法控制27报表失败28定时配置策略后全网速度变慢294.3.10 管理端报表无法显示294.3.11 数据库日志迁移29日志入数据库的注意事项33配置使桥设备时应注意的事项33系统性能调优注意事项34带宽通道配置时的注意事项34策略问题故障排查3655.1组件设置问题3..4策略生效时间反置37地址缺失影响策略37配置会话理解错误38通道误删引起网络拥塞395.25.3策略顺序影响策略40策略配置注意事项426附录4

5、36.16.2附录一：新旧管理端报表数据目录结构说明43附录二：命令行 Common Lineerface4.2CLI 指令CLI 指令标准模式44Romon 模式465 / 461系统故障排查流程是否配置问题否是否问题否是否硬件问题是是是完成1.2.1 流程简介按照RG- ACE 应用控制引擎安装手册和RG- ACE 应用控制引擎用户手册进行RG-ACE 的安装，在安装过程中出现，一般根据流程图来定位问题。如果在对RG-ACE 非常了解及熟悉后，可以直接定位问题。问题出现问题出现意味着 RG-ACE 的安装出现了问题，设备的初始化、安装、割接、配置，服务器的安装、初始化、配

6、置使用及客户端的安装、使用都有可能出现问题。工程师需要根6 / 461.2系统故障排查流程说明硬件问题处理策略、服务器等配置问题问题处理问题出现1.1系统故障排查流程图据问题出现的地方及阶段来分析实际情况，找出具体问题和解决方案。一般分为硬件安装问题、安装问题和系统配置问题。硬件安装问题分为设备本身、外置 bypass 设备和线路连接问题。由于在设备途中的，产生的内存松动，可能会引起设备的不断重启。RG-ACE没有内置的硬盘，不能保存实时数据，所有的数据都会被导入到指定的 MGT 服务器上。在服务器上进行数据的分析和报表的导出。配备的外置光口 bypass 设备，网络的外联、内联口接到 byp

7、ass 设备上，bypass 设备上的光纤线接到 RG-ACE 设备的和 EXT 光口上。Bypass 链路和经过设备的链路是并联的关系，流量的切换通过光感应装置，以毫秒级进行切换。安装设备时的电源插线不紧，导致设备的和不断重启；电源默认为双电源，插单电源时会有行为；和 EXT 口的反接导致流量分析里全部是公网 IP 地址，而内口的 IP 源地址；反接还导致配置的限制上行的变成限制下行的RG-ACE 只分析策略，限制上行的一半认为很小的带宽就可以，结果下行带宽很快拥塞，网络变的不可用等。安装问题RG-ACE 设备的 firmware 在出厂时已经安装完毕，并注入相应 license，如果出现没

8、有安装 firmware 的情况，则需要进行操作系统的安装。新的 firmware 版本会对以前的版本进行 BUG 修改和功能完善，建议升级到版本。安装服务器端 ACE 服务启动失败；流量分析不能看到实时流量；在 PC 上出现自动关闭浏览器的现象等。服务器端的时流量进行的分析有影响。安装，与设备的流量转发没有关系，仅仅对设备的实系统配置问题除了设备的硬件和问题，大部分问题是在安装配置 RG-ACE 的过程中出现的。配置时出现，有误删通道，使流量的默认通道很小，导致流量被压制至网络不可用的状态；没有启用七层识别协议，导致流量分析里全部是未知流量等。7 / 462设备硬件故障排查设备故障包括硬件故

9、障、线路连接问题等引起，具体排查方法及解决步骤如下。过程中可能导致 ACE 带宽管理设备无法正常由于影响产品安装工作的正启动过程中的自检声常进展。在这种情况下，工程师一般在用户现场可以通过硬件来判设备的故障状况。通过设备启动过程中 BIOS 自检声音来判断，常见的有以下三种情况：系统自检声为“短声”此时硬件基本系统全部通过自检，系统正常工作。若发现设备无法连接上（通过console 接口），则可以从以下几个方面来查找问题。1. 查看通过 Console 连接的设置是否正确ACE 带宽管理设备通过 console 口进行连接，此时 COM 口参数正确的设置如下图所示；2. 请检查 Console

10、 线是否连接好首先查看 console 线接口是否插紧；如果条件允来判断 console 线是否完好无损。以考虑换一条串口线连接，以此如果更换 console 线仍无法连接上设备，则查看连接 console 口的 flash 卡是否插紧。8 / 46终端类型超级终端Baud Rate (bits per second)（每秒位数）115200Data Bits（数据位）8Stts（停止位）1Parity（寄偶校验）e（无）Flow Control（数据流控制）无2.1通过 BIOS 自检声来判断系统自检声为“长鸣”音此种情况产生的原因可能是设备在过程中不安全、不规范而导致内存松动。此时需要打开

11、机箱来进行检查，然后将内存再插拔一下并插紧，然后再开机检验，若能正常开机则说明问题已经解决。若情况依旧则可能是内存损坏或者主板损坏。系统自检没有声音安装设备时的电源插线不紧，导致设备的和不断重启；电源默认为双电源，插单电源时会有行为。插单电源时的行为，需要按下电源旁边的红色按钮即可。检查电源是否连接好，如电源无异响且风扇运转正常，请与 TAC 中心联系。若 ACE 带宽管理设备能够正常启动，但是设备之间的连接还是不通的情况下，此时检测步骤如下：2.2.1 查看网络连通性通过 Console 口登录到 IP 带宽管理设备上，并在 CLI 模式下执行如下命令：2.2.2 检测物理连接介质通过各接口

12、边上的指示灯状态来判定设备接口是否工作正常，各接口的排查和处理步骤如下：检测光纤接口9 / 46RG-ACE #net sus show /查看端口的状态是否 Down 还是 UP RG-ACE #net link show/显示网络链路状态信息RG-ACE #net address show /显示地址配置信息RG-ACE #net/可以判断网络连通性2.2线路连接问题及排查方法若出现光模块指示灯不亮的情况，有可能是跳线接反了，此时将光纤跳线的两根纤左右互换一下即可。若光纤接口指示灯还是不亮，则有可能是光纤跳线有问题，重新换一根光纤跳线再试。设备默认的光纤为多模光纤，单模需要单模到多模的转换

13、。检测 RJ45 电口ACE 带宽管理设备的电口工作速率有（10/100M）和（10/100/1000M）两种。确定是否与上下游设备一致。当正对设备面板的时候，左边为 data 指示灯，右边为 link 指示灯。Date 指示灯为橙色；link 指示灯有两种颜色橙色和绿色各代表链路速率为 1000M 和 100M。另外，若链路速率为 10M 的时候，电口指示灯只有左边的 date 指示灯会亮（橙色）。具体情况如下：所有型号设备采用电口接入 10M 链路速率的网络环境中：左边的灯为橙色，有数据时，灯会闪烁；右边的灯不亮。所有型号设备采用电口接入百兆链路速率的网络环境中：左边的 data 灯为橙色

14、，有数据时，灯会闪烁；右边的 link 灯为绿色为 100M。，表示工作速率电口接入千兆链路速率的网络环境中：10 / 46左边的 data 灯为橙色，有数据时，灯会闪烁；右边的 link 灯为橙色为 1000M。因此若两个指示灯都不亮，说明该链路不通。，表示工作速率2.2.3/EXT 接口反接问题口和 EXT 口的反接导致流量分析里全部是公网IP 地址，而 RG-ACE 只分析内口的 IP 源地址；反接还导致配置的限制上行的变成限制下行的策略，限制上行的一般设置为很小的带宽，结果下行带宽很快拥塞，网络变的不可用等。设备使用前一定确认好和出口。口对应内网的网络地址，EXT 口对应的网络地址。R

15、G-ACE 不会区分实际的外网和内网，在流量分析里的 IP 分析模块，设备只分析从装时需要注意。0、EXT0 对应桥 0，依此类推。口进来的源地址。这里安11 / 462.2.4旁路 BYPASS 设置ACE 带宽管理设备中，RG- ACE 2000 和 RG-ACE 3000 型号的光纤接口需要配置外置光纤 Bypass 交换机，以保证用户网络的最大可用性。电口内置 bypass。光纤 Bypass 交换机主要的作用是：一旦发生断电或 ACE 带宽管理设备发生硬件故障的情况下，光纤 Bypass 交换机会直接桥接该链路，把 ACE 带宽管理设备旁路掉，从而最大程度地保证用户网络的可用性。具体

16、的接线方法如下图所示：在使用 Bypass 交换机时，应注意以下事项：Bypass 交换机单独加电时，应当处于 Bypass 状态；Bypass 交换机先加电，连接好 Bypass 交换机与设备间的心跳线后再开启 ACE 带宽管理设备的电源，当设备完全启动后，Bypass 交换机会自动从 Bypass 状态切换到正常状态；正常情况，Bypass 交换机的ER 灯亮，其他灯不亮；ACE 带宽管理设备掉电后，Bypass 交换机会切换到 Bypass 状态；ACE 带宽管理设备故障时，Bypass 交换机会切换到 Bypass 状态；ACE 带宽管理设备 REBOOT 和 SHUTDOWN 时，B

17、ypass 交换机会切换到 Bypass状态；12 / 46光旁路交换机的接口为 LC 接口，下图 ACE 对应的是 SFP 类型的光口3OS 故障排查设备当 ACE 能够正常启动，同时网络连接及链路状态都正常的情况下，若系统还是无法正常使用时，通过 Console 接口连接时提示设备 Firmware 启动不成功，此时则有可能是设备的系统有问题：一是误操作，将对应的 firmware 删除了；二是 CF 卡中的 firmware发生损坏（这种可能性是很低的）。具体检测步骤如下：进入 ROMON 模式：使用 console 连接设备，将 ACE 带宽管理设备重新开机后，在 5 秒钟的倒数程序过

18、程中按 + Pause Break 键进入 RONOM 模式。这里不需要就能进入。重新启动 ACE 带宽管理设备，此时系统应该能够正常启动。此时通过 Console 口连接设备，输入 sys vershow，即可查看设备中已经运行的 Firmware 版本和 Module 版本。这里 Firmware 版本为 2.6.12，Module 版本为 4.2.02。13 / 46RG-ACE # sys verFirmware ver2.6.12, running on RG-Aeries/RG-ACE 1000. Copyright(c) 2002-2008, Ruijie Networks Li

19、mited.s. Build time:Thu Aug 21 00:13:03 2008, htt .cn/.Ruijie Layer 7 Module ver4.2.02 for RG-AeriesCopyright(c) 2002-2008, Ruijie System Co.,.s.Build time: Fri Aug 29 09:32:09 2008,.cn.Sys flash show查看 CF 卡中拥有哪些 firmwareSys boot set切换到老版本的 firmwareSys reboot重启机器3.1ROMON 模式排错升级包升级操作以下升级说明，以 RG-ACE 2

20、000 为例：1. 备份设备配置文件：config.xml2. 设备连接，用交叉线将 TFTP 服务器直接连接到 ACE2000 的 mgt 接口（注：mgt接口默认 IP 地址为 ），同时将 ace2000 的 Firmware包拷贝到TFTP服务器的目录中。3. 使用超级终端或 SecureCRT，通过串口连接并登录 ACE2000 设备，登录的默认用户名和均为 admin。（注：请用设备自带的串口线）。其中 COM 口的配置参数如下：4. 在命令行配置模式下（输入 enable 命令进入配置模式），输入 sys看设备现有 firmware 版本，若为 2.6.12 则无需升级。ver命令

21、，查5. 输入 sys flash copy 命令进行升级，按照提示逐步进行。14 / 46RG-Ays flash copyimage type firmware/modules: firmware /升级 firmware包upload type tftp/ftp/http: tftp/使用 TFTP 方式升级remote server ip address: 00/指定 TFTP 服务器地址（本例中为终端类型超级终端Baud Rate (bits per second)（每秒位数）115200Data Bits（数据位）8Stts（停止位）1Parity（寄偶校验）e（无）Flow Co

22、ntrol（数据流控制）无文件名MD5适用产品ace-1000-firmware-2.6.12.binF184B4AF9C3F500B8FE333C5B478DFC9RG-ACE 1000ace-2000-firmware-2.6.12.bin64B315B5DC70029E66671F38C686E84BRG-ACE 2000ace-3000-firmware-2.6.12.bin0FB7C0656E7917E4EC83A67654A09EAARG-ACE 30003.2Firmware 版本升级6. 输入 sys boot show 命令，查看可以查看当前系统调用的是否是刚才升级过的fir

23、mware，即 ace-2000-firmware-2.6.12.bin 文件。7. 输入 sys reboot 命令重启设备；8. 待机器重启完成后，验证升级是否成功。经过上述三条命令确认后，将设备关机，然后重新启动一次，若都正常则说明升级成功！当网络中的应用有更新，比如迅雷等新版本的更新，需要加载新的特征码才能识别出新的应用流量。升级操作9. 输入 sys flash copy 命令进行升级，按照提示逐步进行。15 / 46RG-ACE # sys flash copyimage type firmware/modules: modules upload type tftp/ftp/htt

24、p: ftpremote server ip address: 9remote filename: l7-ruijie-4-2-02.bin local filename: l7-ruijie-4-2-02.bin3.3特征库升级sys ver/查看 Firmware 目前运行版本是否 2.6.12 ？sys boot show/查看设备启动文件是否为 ace-2000-firmware-2.6.12.bin ？sys license show/查看 license 是否 OK？rg-ace# sys boot show boot parametersFIRMWARE = flash:/fir

25、mware/ace-2000-firmware-2.6.12.bin L7_MODULE = flash:/modules/l7-ruijie-4-2-02.bin00）remote filename: ace-2000-firmware-2.6.12.bin /指定远端（即 TFTP 服务器）上firmware 文件的全名，注意文件名一定要全！local filename: ace-2000-firmware-2.6.12.bin /指定设备本地 firmware 的文件名，和上面文件名保持一致即可upload file sucs/提示文件上载成功use as boot firmware i

26、mage Y/N? Y/输入“Y”,说明将其作为设备启动的映像文件1 0 . 输入 sys reset conf 命令，将设备恢复出厂配置。1 1 . 输入 sys reboot 命令，重启设备。1 2 . 输入 sys ver和 modules。命令，查看可以查看当前系统调用的是否是刚才升级过的 firmware1 3 . 输入 sys license sh 命令，为空则需要重新输入 license；输入 sys license set 将 HWID粘贴下来发送给 TAC 产品，可以获取 license。输入 license 后reboot 设备。1 4 . 将导出的备份文件 config.

27、xml 重新导入，升级完毕。16 / 46注：设备升级过程中有三次 reboot 和一次 reset，注意升级时将对网络的影响减少到最小，RG-ACE # sys verFirmware ver2.6.12, running on RG-Aeries/RG-ACE 3000. Copyright(c) 2000-2008, Ruijie Networks Limited. s. Build time:Thu Aug 21 00:13:09 2008, Signature Module ver4.2.00 for RG-AeriesCopyright(c) 2002-2008, Ruijie S

28、ystem Co.,.s. Build time: Wed Aug 13 09:30:20 2008, .cnupload file sucs VER=4.2.00 SERIES=RG-ACE=.cnVENDOR=RuijieCOMPANY=Ruijie System Co.,COPYRIGHT=Copyright(c) 2002-2008, Ruijie System Co.,.s.BUILD_TIME=Wed Aug 13 09:30:20 2008use as boot module image Y/N? y set boot moduleuse this module image no

29、w Y/N? yLayer7 Signature Module ver4.2.00 for RG-Aeries Copyright(c) 2002-2008, Ruijie System Co.,.s.Build time: Wed Aug 13 09:30:20 2008,.cnsignaturepressedLoading 627 protocols from SIGNATURE database.Done restarting application firewall.设备 demo key 在时间还没有过期的情况下无法更新，此时需要删除/etc/conf/license.conf文件，

30、然后即可输入新的 demo license。设备初始化后的用户名为：admin；为：admin。在设备使用过程中，如果忘记，可以采取如下步骤恢复。1. 加电重启，同时按住“ctrl”和“break”建进入安全模式。2. 输入 sys reset conf 恢复出厂设置。3. 再次重启设备，此时可以使用初始进行配置。当在用户环境中，设备出现异常时（问题，如设备重启等），请获取以下信息：17 / 46注：这里的丢失，设备根本无法使用，备份无从做起，所以设置要谨慎。3.6设备发生重启等故障时注意事项ROMON sys reset confreset config to facotory config

31、ure sucs.ROMON sys resetreset config or password-confreset config to facotory configurepassreset admin password password=admin注：输入新的 License 时，设备需要重启。3.5丢失恢复可以将设备下线，等升级完毕再割接进入网络。恢复出厂设置后，HWID 重算，license会失效，可向 TAC 产品索要 license，否则 modules 无法生效。3.4产品 license 的更新问题又需要了解设备运行是否正常时，可以通过 IE 浏览器来当管理端有问题，而设备，从

32、而了解设备运行是否运行正常。1. 查看设备的基本信息：2. 查看设备的配置信息3. 查看设备性能信息4. 查看协议与流量信息当发现管理端实时分析模块中没有流量信息，则可通过该 URL 命令直接从设备获取应用协议分析的流量数据，以此来判断设备是否正常。18 / 46http:/admc.cgi?type=proto&bridge=2http:/admc.cgi?type=syshttp:/admin/config/config.xmlhttp:/admin/info.cgi注：此时需要输入登录设备所需的用户名和。3.7从 IE 查看设备运行状态的 URL 命令http:/admin/logs/目

33、录下的日志文件列表首页（coredump_log_0、 coredump_log_1 等共 10 个文件）及每一个 coredump 文件的具体内容。4系统配置故障排查本节简要介绍了 MGT 管理服务器在安装、升级以及配置过程中常见的故障，以及故障和解决步骤。4.1.1 日志管理安装环境要求ACE 日志管理服务器为 B/S 架构，其管理服务器为 Web Server，基于Java 环境运行；而客户端只要能够Web Server 服务器，同时有IE 浏览器即可以对系统进行配置和管理。ACE 日志管理的安装和使用环境要求如下：ACE 日志管理服务器运行环境要求：操作系统：Windows浏览器：IE

34、 6.0 以上、firefox 2.0 以上JAVA 环境：JRE 1.6.0 以上硬件要求：（最小配置要求）CPU：P4 3.0 以上内存：500MB 以上硬盘：最少 100MB 空间ACE 客户端环境要求19 / 46此处列出的配置要求为最低配置，请大家在产品测试和实施过程中要考虑内存（最少1GM）和硬盘的大小。4.1日志服务器故障排查客户端浏览器的要求为： IE 6.0 以上；firefox 2.0 以上。ACE 管理服务器在安装、升级过程中常见故障及解决步骤如下：4.2.1无法启动管理端 ACE 服务故障现象：安装完 ACE 管理端后，无法正常启动 ACE 服务。解决方法：1. 首先确

35、认安装了 JRE1.6.0 以上版本；2. 在操作系统 DOS 命令行窗口里输入 java ver，可以看到 java ver1.6.0_xx，如果版本不是 1.6.0 则说明默认 java 版本是其他版本的；3. 此时用记事本打开管理端安装目录下 conf 目录中的 system.conf文件，找到mand=java 一行，然后找到 JRE 的安装路径，默认是 C:ProgramFilesJavajre1.6.0_03bin，修改 system.conf 文件中mand=java 一行mand=C:Program FilesJavajre1.6.0_03binjava.保存修改；成为4. 重

36、新启动管理端，此时管理端应该可以正常启动。4.2.2管理服务器无法正常卸载故障现象：ACE 管理服务器无法正常卸载。解决步骤：此时可采用手工卸载管理服务器的方法解决问题。1. 停止管理服务器服务程序：在服务管理中ACE 服务选项；2. 清除表信息：运行管理端安装目录下 Uninstall.reg。3. 删除服务管理中的 ACE 服务项：运行管理端安装目录下 UninstallACE-NT.bat。4. 备份数据：备份 data 目录和 database 目录。5. 删除管理服务器的安装目录20 / 464.2系统安装和升级中常见故障4.2.3管理服务器正常登录后不能添加设备故障现象：ACE 管

37、理服务器通过 Web 登录后，无法正常添加 ACE 带宽管理设备。此情况在 window 2000 上出现（2000 默认IE 版本是 5.0）。解决方法：检查管理服务器或客户端 Windows 系统的IE 版本是否为 5.0，如果是请更新至 IE6.0 或者 IE7.0 即可。4.2.4管理服务器无法正常打开登录页面故障现象：通过 IE 浏览器输入 ACE 管理服务器的 IP 地址（），此时若发现管理端打开的是其它程序的登录页面，无法打开 ACE 管理服务器的管理页面。故障判断：管理服务器上的 tcp/80 端口已经被别的程序使用。具体检测步骤如下：1. 如果已经启动管理端，则先要在服务管理

38、器中停止管理端的 ACE 服务；2. 在 Windows 命令行窗口输入 nets-an | find 80. 如果发现有 TCP :80:0 LISTENING的进程号；，则说明 80 端口被占用，后面的表示占用 80 端口3. 打开任务管理器，选择查看菜单里的选择列菜单，在打开的窗口里选择ID）；（进程4. 在任务管理器中的进程80 端口的进程。里，找到等于上面查询值得进程，此进程即为占用5. 关闭占用 80 端口的程序，然后重新启动 ACE 管理服务器的 ACE 服务即可。4.2.5更改管理服务器端口当用户提供的管理服务器上有 Web 服务的时候，需要将管理服务器的端口更改为其他端口，以

39、免产生。具体步骤如下：1. 在控制面板-服务里，停止 ACE 服务。2. 修改管理端安装目录confsystem.conf 文件，找到 wrapper.app.parameter.3=80，把 80改成所需要的端口。3. 在控制面板-服务里，重启 ACE 服务。21 / 464.2.6管理服务器无法看到实时流量由于 ACE 管理服务器是基于 Java 实现的，而实时流量模块是基于 Applet 实现的，因此它的正常运行必须基于 Java 环境以及支持 Applet 的设置。具体检查步骤如下：1. 首先检查系统是否安装了 java 程序在 Windows 命令行下输入 java ver版本号。，

40、即可看到是否安装了 JRE以及JRE的2. 检查 JRE 的版本是否过低，ACE 管理服务器要求安装 JRE1.6.0 以上版本 Java若 JRE 低于 1.6.0 版本，则需要升级至JRE1.6.0 版本或以上。3. 查看 IE 浏览器工具ernet 选项高级，是否勾选“将 JRE 用于applet”，若没有，把它勾选上即可。4. 如果 java 程序加载成功后仍没有出现实时流量，则可以查看设备是否有 license，没有 license 设备也无法识别出流量。5. 将 HWID下来，由 TAC 产品制作 license 输入即可。6. 全局配置里没有设置的话，默认全部 BYPASS。22

41、 / 46RG-ACE # sys license show M: RG-ACE 1000HWID: 3832f56e4a092a5a4bcaab2b6b319aa4license key: 7311f31b2810 license OKRG-ACE # sys license shRG-ACE # sys license set M: RG-ACE 1000HWID: 3832f56e4a092a5a4bcaab2b6b319aa4please enter license key:4.2.7 更新管理端后 Applet 还是原来的版本解决方法一：1. 管理端页面上先切换到 Trafficyz

42、er 以外的功能菜单；2. 在 IE 工具菜单打开Java 控制台。并在控制台内输入 x（清除高速缓存），并回车；3. 在管理端页面上打开 Trafficyzer 功能，此刻应该可以看到更新后的 Trafficyzer 界面，然后打开 about 页面，可以检查版本号是否是更新后的版本。解决方法二：1. 关闭所有打开的 IE 浏览器；2. 打开控制面板中的 java 控制台；3. 中点击“临时ernet 文件”里的设置按钮，在弹出的窗口中按下在“常规”删除文件按钮，在弹出的框中勾选“应用程序和 applet”以及“件”，按下确定按钮；和日志文4. 启动 IE 浏览器，选择工具菜单下的钮，选择清

43、除所有缓存文件；ernet 设置项，在弹出窗口内按下删除文件按5. 打开 IE 浏览器，登录管理端，打开 Traffic的版本号。yzer 页面，检查 about 页面上 Applet4.2.8IE 浏览器自动关闭故障现象：登录 MGT 管理服务器后，点击实时流量分析时，IE 浏览器会自动关闭。此故障目前只在 windows 2003 Server 上发生。解决方法：检查%WINNT%SYSTEM32里是否有 MSVCR71.DLL，如果没有一个并到%WINNT%SYSTEM32下。4.2.9管理端大版本升级时的注意事项当产品管理端大版本升级时（管理端从 3.1.10 升级到 3.1.20），

44、按照以下步骤进行：23 / 46MSVCR71.DLL 文件是微软 VC7 的运行库，J AVA 执行时必须要此文件。1. 备份原有的配置文件 config.xml 以及管理服务器安装目录中 Data 目录下面的数据；2. 设备要恢复出厂设备；3. 基于原来的配置，重新配置策略。4.3.1网络流量大部分识别成 SoftBypass 流量1. 首先检查设备是否有正确的 license，以及 license 是否已经过期；此时通过 Console口登录设备，并在模式下输入如下命令：2. 在策略中心全局配置中是否有策略，允许网段或任意 IP 地址为Trusted，若没有则需要添加一条涵盖IP 网段的

45、、动作为Trusted 的规则。3. 若还是不能正确识别，再查看一下 firmware 以及 modules 版本是否正确；此时通过Console 口登录设备，并在模式下输入如下命令：4.3.2网络中大部分流量不能识别若发现大部分流量不能识别，最可能的情况是没有选择适当的协议库，因为系统缺省只启用了 12 种协议。此时需要选择添加的 7 层应用协议，具体启用方法为：在第七层应用协议下下，选中需要比对的协议，点击右上角的“保存”按钮，然后再点击左上角的“保存”按钮，将配置下发到设备。24 / 46Sys boot show查看系统启动所采用的 firmware 和 modules 版本。Sys

46、license show查看设备 license 的详细情况。如果发现显示为空，则需要重新申请并设置 license。Sys license set输入 Demo 或正式的 license，然后重启设备。4.3配置常见问题案例说明及注意事项：在新版本中，DPI 引擎已经经过优化，基本实现了协议数量和性能无关，同时也不需要对协议进行排序。新版本中，对启用的应用协议数量有限制，一次最多为 512 个，如果超过 512 个，则会导致后面的应用协议无法启用，从而无法进行识别和控制（目前应用协议库总数为 630 多种）。因此，建议在设备安装和调试过程中，一次启用的协议数量控制在 512 个之内（除了 R

47、FC 协议外-RFC 标准协议的流量比较小的，其余应用协议均可启用！）25 / 464.3.3设置了阻挡策略，但阻挡报表为空此时需要检查如下并确认以下配置：1. 配置阻挡策略的时候，是否勾选了阻挡日志。2. 在日志管理选项中是否勾选了启用阻挡日志。3. 管理端服务器的是否了 UDP 514 端口。4.3.4Http log 为空此时需要检查如下并确认以下配置：1. 确保数据库初始化及连接池配置是正确的。2. 在日志管理选项中是否勾选了启用 Http 日志。3. 确认在全局配置中开启 HTTP 日志的功能。4. 是否了 UDP 514 端口。管理端服务器的5. HTTP 日志只能在 MGT SE

48、RVER 上才能看到。由于设备在性能方面的考虑，HTTP log 会现在管理服务器上缓存 1000 条，然后才会入库，因此需要考虑日志数量的大小是否达到 1000 条，否则在管理端 http log 是空的。6. 设备配置指定了 MGT SERVER。26 / 467. 版本 2.6.06 没有区分开 http-browse、http-download、http-part、http-mirror、http-tunnel、http-others，因此需要在加载 http-browse 后才能看到 http 日志（e-log 联动时也需要开启 http-browse 才能看到日志）。4.3.5策略

49、的生效时间紊乱ACE 系统在进行时间策略设置的时候，时间段是不可以跨天（24 小时）的。例如：设置每天晚上的 22 点到第二天上午的 8 天的时间段，如果设置为 22:0008:00，设备会自动将时间转换成 08:0022:00，故不可避免地导致时间策略发生错误。解决方法：将此时间间隔分成两个段 22:0023:59 和 00:0008:00 进行设置即可。4.3.6基于时间策略不生效基于时间的策略不生效的原因有可能是以下几个方面：一是设备端的时间不对，二是设备的时区被更改过。在配置时间策略时，一定保证设备时间与当前时间是同步的。4.3.7迅雷无法控制在策略中心选择迅雷应用，进行迅雷的控制：有

50、时无法限制住，而以其他的应用形式仍在进行，如：http-download：单线程 httphttp-part：多线程 http、分块、断点续传等27 / 46RG-ACE # sys mgt shManagement server ip address : 1http-mirror：镜像站点 httphttp-others：其他通过 tcp/80 端口传输的流量，一般为加密的 P2P 报文ftp：通过文件传输协议进行此时可以将迅雷、http-part、http-mirror、http-others 放在一个应用组里进行限制：如果仍在进行迅雷，可将 http-download、FTP 也加入应用

51、组：4.3.8定时报表失败自动发送报表功能要求邮件服务器支持 SMTP 协议，有些邮箱（例如 sina 的 vip邮箱）不支持用命令的格式发送邮件，因此，如若需要定时方法如下：报表，可事先测试一下。报表 邮件报表邮件设置设置发送报表的邮箱和接收报表的邮箱。其中“收件人”是填写接收报表的完整邮箱地址，“邮件服务器”是填写发送报表邮箱的 SMTP 服务器，“发件人”是填写发送报表的28 / 46 迅雷可以通过 P2P、FTP 和 WEB 三种形式进行 ，是最不好控制的应用。在这里第一个应用组已经可以限制大部分迅雷，第二个应用组可以完全控制住迅雷，但是 http-download 限制了网页当前 ，

52、FTP 限制了正常的 FTP，需慎用。”是发送邮箱的，“端口”是发送邮箱的端口，默认 25，“邮箱地址，“验证”默认选中。“测试”按钮为发送测试按钮，发送测试邮件。测试无误后点击此模块中“保存”提交。系统支持多个收件人，此时它们之间通过逗号分隔。4.3.9 配置策略后全网速度变慢此时查看在做流量管控通道的时候是否误将低通道设置为默认通道。如果误删通道，结果流量的默认通道很小，会导致流量被压制到网络不可用的状态。4.3.10管理端报表无法显示故障原因：在安装管理端服务器时机器的时间设置不对，后来虽然调整了管理服务器时间，但报表历史数据文件里日期还是不正确的，所以导致报表流量数据无法保持在历史数据

53、文件里。解决方法：调整好管理服务器时间后，重启管理端，删除设备（删除设备同时删除了历史报表数据文件），重启添加设备即可。4.3.11数据库日志迁移数据库只需要在 ACE 管理服务器上做连接，无需其他任何配置。MS SQL server 2000 的企业版需要SP4 的补丁，基于性能方面的考虑，ORACLE 优于SQL Server。HTTP 日志在数据库的服务器上。以 SQL Server 为例，步骤如下：1. SQL Server 数据库初始化29 / 46如果已经在服务器上装好了数据库，又不希望在当前的系统盘日志信息，可以将该文件到另外一个较大空间的盘ACE 系统中不管控的所有流量都走 d

54、efault 通道，因此切记不可将 default 通道的带宽配置得太小。服务器地址：数据库服务器的 IP 地址。服务器端口：SQL Server 数据库的端口，默认 1433。用户：数据库的用户，默认是 sa。：数据库用户。企业管理器出现 aosrpt 用户和 aos 数据库。2. 在 SQL 数据库上分离数据库 AOSaos 数据库，选择分离数据库，点击清除，确认后数据库分离完毕30 / 463. 将SQL 数据库DATA 目录下带有aos 的两个文件剪切放到比较大的空间的磁盘文件夹下。31 / 464. 在 SQL 数据库上附加刚才的 aos 数据库文件。数据库，选择附加数据库。5. S

55、QL Server 数据库连接池设定32 / 46：数据库用户，默认是 aosrpt。：数据库用户，默认是 aosrpt。确认6. 重启SQL 和 ACE 服务，在 ACE 管理的WEB界面就能看到 HTTP 日志。此时的 http日志全部在数据库服务器上，调用查询也是在数据库服务器上完成4.3.12日志入数据库的注意事项1. 目前经过测试验证的、支持的数据库服务器的版本为：Oracle 10gr2MS SQL Server2000 企业版（SP4）2. 入库日志的类型包括 Http Log、SesLog（传统五元组再加流量信息），而原来的阻断日志是不入数据库的，其中 Http Log 可以在

56、全局配置或日志管理配置中选择是否启用，而 SesLog 则缺省是启用的。3. 在大流量的环境中（如吞吐量为 1Gbps 或更高时），每秒钟产生的 Http Log 和Ses Log 会非常大，可能会超过几万条；此时如果都开启的话，有可能会导致管理端服务器宕机。4. 若需要将日志数据发送给第的 Syslog 服务器，则可在设备端使用 sys mgt set命令配置第Syslog 服务器的IP 地址即可。4.3.13配置使桥设备时应注意的事项1. 使桥时，注意桥 0 和桥 1 网络端口的对应关系。在 ACE 设备中，缺省情况下，电口为桥 1，光口为桥 0；2. 在配置策略时，请注意桥 0 和桥 1

57、 对应的策略配置；在测试时，要注意不同的桥对应的策略和 IP 网段；3. 当两个桥的负载均比较大时，在设备端配置 sys dbp set 命令，可以优化双桥运行时的性能。33 / 46注：在大流量的环境中尽量不要启用该日志，或者是将日志传给第的专业的 syslog日志服务器。4.3.14系统性能调优注意事项RG-ACE 系统在进行配置时，特别是当用户网络流量较大时，需要按照如下事项进行系统性能的优化：1. 在新版本中，DPI 引擎已经经过优化，基本实现了协议数量和性能无关，同时也不需要对协议进行排序。2. 在带宽通道配置中若没有明确的要求，则最好不要启用 SFQ（随机公平队列）；3. 在校园网

58、环境，特别是当网络流量较大的情况下，不要启用 HTTP 日志和断日志的功能，以避免影响设备和管理服务器的性能；阻4. ACE 系统目前采用的新的算法，在性能上有了很大的，目前并发连接数、主机数以及策略数等的数量大小对系统性能的影响不是太大；5. 当用户IP 地址数量较多时，并在启用用户自定义 IP 规则时，需要考虑硬盘空间的大小；另外，若 IP 地址较多时，则相关报表生成时间较慢。4.3.15带宽通道配置时的注意事项1. 缺省带宽（default）通道不能太小。因为除了已经识别出来并且进行了带宽管理和控制后的所有协议、应用，都从缺省带宽通道通过，若太小，则导致网络速度变慢、时延增加，甚至出现较

59、大的丢包现象。2. 虚拟通道没有实际意义，只做带宽的限制；在配置规则时只显示叶子节点的通道。3. 各通道的保证带宽之和要小于等于总带宽通道。4. 通道带宽不能使用小数点，如果要配置 1.5Mbps，需要转换成 1500Kbps。5. 在流量管理的右上角“启用流量管理”一定要勾上，否则流入流出通道为空：34 / 4635 / 465策略问题故障排查本章节将策略配置单独提出做故障排查，策略配置是整个 RG-ACE 测试中的重点，出现和测试的效果都在这一模块。新建规则时，规则需要调用很多组件共同达到流量匹配和流量控制的目的。规则中的各个组件说明如下：时间计划：策略启用的时间段。调用前需要在“对象管理

60、”中定义。VLAN：策略匹配的 VLAN ID。调用前需要在“对象管理”中定义。源地址：该策略控制的源 IP 地址。调用前需要在“对象管理”中定义。目的地址：策略控制的目的 IP 地址。调用前需要在“对象管理”中定义。会话限制：命中该策略的流量，每 IP 的并发连接限制数量。调用前需要在“对象管理”中定义。应用或应用组：该策略需要对那些应用或应用组进行控制。认证配置：命中策略的流量，是否进行认证。动作：对命中策略的流量说执行的动作，“允许”或者“”。流入流量：对命中策略的流量，使用那个 Inbound 带宽控制规则进行控制。36 / 465.1组件设置问题流出流量：对命中策略的流量，使用那个