出口与安全产品线故障排查手册

密级：受控出口与安全线故障排查手册出口与安全线故障排查手册福建星网锐捷网络所有保存期限：2年锐捷网络，不得扩散166页文件类型：故障处理类密级：受控出口与安全线故障排查手册出口与安全线故障排查手册福建星网锐捷网络所有保存期限：2年锐捷网络，不得扩散166页文件类型：故障处理类密级：受控出口与安全线故障排查手册修订保存期限：2年锐捷网络，不得扩散266页日期版本修订说明2010-10-29V1.0第一次发布2010-11-30V1.11.3、1.4、1.5、2.5、2.6、2.7密级：受控出口与安全线故障排查手册修订保存期限：2年锐捷网络，不得扩散266页日期版本修订说明2010-10-29V1.0第一次发布2010-11-30V1.11.3、1.4、1.5、2.5、2.6、2.7章节2010-12-30V1.21.6、1.7、1.8、1.9章节2011-03-23V1.31.10、1.11、1.12、2.8、2.9章节密级：受控出口与安全线故障排查手册前言本文档操作标准。出口与安全线各保存期限：2年锐捷网络，不得扩散366页� 此文档仅限公司 ，严禁外传。密级：受控出口与安全线故障排查手册前言本文档操作标准。出口与安全线各保存期限：2年锐捷网络，不得扩散366页� 此文档仅限公司 ，严禁外传。密级：受控出口与安全线故障排查手册1ACE故障排查1.1.1故障处理流程确认是否按照正确的联动配置步骤进试。�ACE联动模块相配置�SAMACE动模块相关配置排查联动模型错误�SAM密级：受控出口与安全线故障排查手册1ACE故障排查1.1.1故障处理流程确认是否按照正确的联动配置步骤进试。�ACE联动模块相配置�SAMACE动模块相关配置排查联动模型错误�SAM用户排查配置原因导致故障�ACE上的认证用寻求故障解决帮助5支持并传回收集信息1.1.2故障处理步骤ACE2000部署SAM认证（WEB纯准出模型）等功能后，ACE出现无法控制流量，所defaultACE2000SAM保存期限：2年锐捷网络，不得扩散466页1.1 ACESAM联动则流量无法控制密级：受控出口与安全线故障排查手册认证功能并重启以后，ACE可以控制流量，现象消失。1.确认ACESAMSAM配置、认证用户、策略中心。该认证地址为主机地址，测试ACE纯准出认证。2.检查ACE密级：受控出口与安全线故障排查手册认证功能并重启以后，ACE可以控制流量，现象消失。1.确认ACESAMSAM配置、认证用户、策略中心。该认证地址为主机地址，测试ACE纯准出认证。2.检查ACE上的联动相关配置后，没有发现配置上的问题。这里第一个步骤“开启认证配置”做完后，如果和SAM联动正常，在实时分析里可以看到各others”，无法看到应用。现场可以在实时分析里可以看到各种应用，确认ACE联动配置没有问题，转入步骤三。保存期限：2年锐捷网络，不得扩散566页密级：受控出口与安全线故障排查手册3.确认SAMACESAM全局认证配置、认证用户、策略中心。：4.检查SAM上的联动相关配置后，发现接入控制里多了一个“学生”接入控制，而制名”和“网关策略名称”全部为空。5.查看SAM用户的状态，看到用户表里很多基于802.1x认证客户端的用户，并没有在此次测试的范围内，但是使用的同一个SAM服务器。这些802.1x认证用户的接入控制为“学生”。6.通过密级：受控出口与安全线故障排查手册3.确认SAMACESAM全局认证配置、认证用户、策略中心。：4.检查SAM上的联动相关配置后，发现接入控制里多了一个“学生”接入控制，而制名”和“网关策略名称”全部为空。5.查看SAM用户的状态，看到用户表里很多基于802.1x认证客户端的用户，并没有在此次测试的范围内，但是使用的同一个SAM服务器。这些802.1x认证用户的接入控制为“学生”。6.通过ACE一个web纯准出用户，而是先前已经存在大量基于802.1x认证的用户，这些用户802.1xACE策略中心里的规则，最后直接匹配默认通道。7.ACESAM802.1x，建立单独的通道进行流量控制。保存期限：2年锐捷网络，不得扩散666页密级：受控出口与安全线故障排查手册SAM上在没有开启与ACE联动之前，配置接入控制时，不需要开启“网关接入控制”；只有当开启与ACE认证用户也会被SAM同步过来，当没有匹配到对应的“网关策略名”时，进入默认通道进行管理。1.2.1故障处理流程确认组网环境对策略是否有影响。�ACE组网环ACE上的配置�ACE流控模块相配置通过流控策略优化效果�ACE策略配置优密级：受控出口与安全线故障排查手册SAM上在没有开启与ACE联动之前，配置接入控制时，不需要开启“网关接入控制”；只有当开启与ACE认证用户也会被SAM同步过来，当没有匹配到对应的“网关策略名”时，进入默认通道进行管理。1.2.1故障处理流程确认组网环境对策略是否有影响。�ACE组网环ACE上的配置�ACE流控模块相配置通过流控策略优化效果�ACE策略配置优确认策略优化效果�查看策略优化效寻求故障解决帮助5支持并传回收集信息1.2.2故障处理步骤http-browse流量一直起不来，打开网页非常缓慢。工程师再次恢复出厂设置，只启用web流量保证的情况下故障依然。保存期限：2年锐捷网络，不得扩散766页1.2 ACE策略无法达到效果密级：受控出口与安全线故障排查手册保障http-browse45Mp2p及掉，默认的压制在10M内，人2300以上情况下，网页1. 确认组网环境：依旧延迟很大，应用报表http-borwse10M多点。该网络为单双出口，ES-4000A200Mbps100MbpsNAT直接访密级：受控出口与安全线故障排查手册保障http-browse45Mp2p及掉，默认的压制在10M内，人2300以上情况下，网页1. 确认组网环境：依旧延迟很大，应用报表http-borwse10M多点。该网络为单双出口，ES-4000A200Mbps100MbpsNAT直接访署在两条出口链路上，控制各链路上的应用带宽。RG-ACE应用控制引擎部该校共有2000左右上网用户，主要通过电信出口一些教育网。2.经过对组网环境的分析确认，电信出口只有100Mbps，而最大2000，需要比较严格的流控策略才能优化网页效果，转入步骤三。3.确认ACE保存期限：2年锐捷网络，不得扩散866页密级：受控出口与安全线故障排查手册4.配置分析：区域工程师设置了一个“web”的保证通道，希望优先保证网页浏览应o10bps口处于极度拥塞的状态下。5.进行配置优化：“流量管理”的默认带宽设置过小。�analyzing_tcp和analyzing_udp不能限制，也不能 。�p2p、应用，用户打开网页感觉明显改善。�开启并限制p2p密级：受控出口与安全线故障排查手册4.配置分析：区域工程师设置了一个“web”的保证通道，希望优先保证网页浏览应o10bps口处于极度拥塞的状态下。5.进行配置优化：“流量管理”的默认带宽设置过小。�analyzing_tcp和analyzing_udp不能限制，也不能 。�p2p、应用，用户打开网页感觉明显改善。�开启并限制p2p、应用，用户上网效果良好。�把others_udp和other_tcp在加到web应用组里。中限制，删除其相关应用策略，把flv应用添�保存期限：2年锐捷网络，不得扩散966页密级：受控出口与安全线故障排查手册analyzing_tcp和analyzing_udp是用来标识正在识别的网络流量，这部分流量是受保护的，因此不要 和限制。6. 观察优化效果：2400人的时候测试，打开电信的网页速度比较快，而且部分基于flash的应用打开也比较的流量达到30M以上，web保证的通道流量基本实现。客户对目前网页浏览状况比较满意。7. 收集相关信息。本案例主要是工程师对于ACE流控引擎的“保证带宽”理解有偏差，对于实际组网环境的影响和应用是必须严格限制或者的。这里仅仅进行“网页浏览带宽保证”是不够的。保存期限：2年锐捷网络，密级：受控出口与安全线故障排查手册analyzing_tcp和analyzing_udp是用来标识正在识别的网络流量，这部分流量是受保护的，因此不要 和限制。6. 观察优化效果：2400人的时候测试，打开电信的网页速度比较快，而且部分基于flash的应用打开也比较的流量达到30M以上，web保证的通道流量基本实现。客户对目前网页浏览状况比较满意。7. 收集相关信息。本案例主要是工程师对于ACE流控引擎的“保证带宽”理解有偏差，对于实际组网环境的影响和应用是必须严格限制或者的。这里仅仅进行“网页浏览带宽保证”是不够的。保存期限：2年锐捷网络，不得扩散1066页密级：受控出口与安全线故障排查手册1.3.1故障处理流程确认组网环境对策略是否有影响。�ACE组网环ACE上的配置�ACE流控模块相配置通过流控策略优化效果�ACE策略配置优确认策略优化效果�查看策略优化效寻求故障解决帮助5密级：受控出口与安全线故障排查手册1.3.1故障处理流程确认组网环境对策略是否有影响。�ACE组网环ACE上的配置�ACE流控模块相配置通过流控策略优化效果�ACE策略配置优确认策略优化效果�查看策略优化效寻求故障解决帮助5拨打支持并传回收集信息1.3.2故障处理步骤测试ACE时，设置完策略后，发现ACE的实时分析出口流入流量和中出口流入流量695Mbps， 流出流量380Mbps，相差300Mbps，此时的网络比较拥塞，具体排查方法：1. 确认组网环境：单出口组网环境，比较普遍的测试环境。经过组网环境确认，与环境无关，转入步骤二。保存期限：2年锐捷网络，不得扩散1166页1.3 ACE出口流入流量和 流出流量差别较大密级：受控出口与安全线故障排查手册2. 确认ACEinboundoutbound上行流量进行控制。根据上述配置，会出现如下的出口、流量情况：3. 进行配置优化：ACE针对上下行流量控制的管道为inbound和outbound，分别对应的流出和出口的流出。但是对于ACE流量整形之前的流量，即 的流入和出口的流入流量，无法进行很好的管控。出口的流入流量是直接和出口路由器或者口拥塞，会出现虽然经过ACE管控但仍无法改善的下行流量相关，如果该流量过大，导致出效果的现象。通过ACE的实时分析软件，得出P2P的下行最大可以达到上行的10倍，流量的下行最大可以达到上行的5倍，我们可以根据此经验数值对P2P和流量进行管控限制，将P2P和问效果。流量的outbound设置为inbound的1/5或者1/10。这样出口的流入流量经过ACE管控差很多，减轻了ACE与出口路由器或者的链路，可以很好的改善网路访4.观察优化效果：通过设置P2P和流量的outbound设置为inbound的1/5或者1/10，出口流入流量和流出流量差别基本消除，减轻了ACE与出口路由器或者的链路。客户对目前网页浏保存期限：2年锐捷网络，不得扩散1266页密级：受控出口与安全线故障排查手册2. 确认ACEinboundoutbound上行流量进行控制。根据上述配置，会出现如下的出口、流量情况：3. 进行配置优化：ACE针对上下行流量控制的管道为inbound和outbound，分别对应的流出和出口的流出。但是对于ACE流量整形之前的流量，即 的流入和出口的流入流量，无法进行很好的管控。出口的流入流量是直接和出口路由器或者口拥塞，会出现虽然经过ACE管控但仍无法改善的下行流量相关，如果该流量过大，导致出效果的现象。通过ACE的实时分析软件，得出P2P的下行最大可以达到上行的10倍，流量的下行最大可以达到上行的5倍，我们可以根据此经验数值对P2P和流量进行管控限制，将P2P和问效果。流量的outbound设置为inbound的1/5或者1/10。这样出口的流入流量经过ACE管控差很多，减轻了ACE与出口路由器或者的链路，可以很好的改善网路访4.观察优化效果：通过设置P2P和流量的outbound设置为inbound的1/5或者1/10，出口流入流量和流出流量差别基本消除，减轻了ACE与出口路由器或者的链路。客户对目前网页浏保存期限：2年锐捷网络，不得扩散1266页密级：受控出口与安全线故障排查手册览状况比较满意。5. 收集相关信息。1.4.1故障处理流程ACE是否设置mgtlog服务器地址。�ACEmgtlog址http识别�密级：受控出口与安全线故障排查手册览状况比较满意。5. 收集相关信息。1.4.1故障处理流程ACE是否设置mgtlog服务器地址。�ACEmgtlog址http识别�ACE的应用识http�ACEhttp日志启log�查看数据库的日ACE5ACE的设备时间1.4.2故障处理步骤1. 查看是否配置正确的日志服务器地址：保存期限：2年锐捷网络，不得扩散1366页RG-ACE#sysmgtshow1:Managementserveripaddress:[54]1.4 http日志无法密级：受控出口与安全线故障排查手册如果是SQL的数据库形式，这里的地址为ACE服务器；如果是elog服务器的数据库，这里的地址为elog服务器地址；如果两个数据库都有，就设置两个地址。2. 查看ACE的http-browse如果没有启用这个，ACE无法分析到相关的RULhttp密级：受控出口与安全线故障排查手册如果是SQL的数据库形式，这里的地址为ACE服务器；如果是elog服务器的数据库，这里的地址为elog服务器地址；如果两个数据库都有，就设置两个地址。2. 查看ACE的http-browse如果没有启用这个，ACE无法分析到相关的RULhttp日志。3. 查看ACE的http策略管理>全局设置：选项>配置管理>日志管理：4. 数据库连接确认：如果已经连接好SQL数据库，可以进行连接测试，显示“数据库连接成功”：保存期限：2年锐捷网络，不得扩散1466页密级：受控出口与安全线故障排查手册5. 确认是否形成当天的报表：在SQL数据里“aos”数据库是否生成了当天的报表“httplog20101103”:在elog上的操作如下：6.确认ACElog保存期限：2年锐捷网络，不得扩散1566页RG-ACE密级：受控出口与安全线故障排查手册5. 确认是否形成当天的报表：在SQL数据里“aos”数据库是否生成了当天的报表“httplog20101103”:在elog上的操作如下：6.确认ACElog保存期限：2年锐捷网络，不得扩散1566页RG-ACE#sysdateshowFriNov2616:23:16[root@cent~]#wc-l/tmp/ramdisk/*2024/tmp/ramdisk/ACE_URL0.tx密级：受控出口与安全线故障排查手册1.5.1故障处理流程ACElicense是否存在。ACEbypass�ACE的状确认应用识别是否开启密级：受控出口与安全线故障排查手册1.5.1故障处理流程ACElicense是否存在。ACEbypass�ACE的状确认应用识别是否开启�ACE的应用识确认特征库是否最新�查看特征确认是否存在非对称流量5检查测试环境1.5.2故障处理步骤1. 流量完全无法识别，IP“0”，license保存期限：2年锐捷网络，不得扩散1666页1.5 ACE流量识别异常密级：受控出口与安全线故障排查手册2.8license，2.6license2. 若licenseIP“0”，查看ACEbypass除了检查硬件部分的bypass，还需要检查全局设置里的bypass：密级：受控出口与安全线故障排查手册2.8license，2.6license2. 若licenseIP“0”，查看ACEbypass除了检查硬件部分的bypass，还需要检查全局设置里的bypass：3. ACE的状态为normal，查看ACE的应用识别，识别大部分为others_tcp，others_tcp，和一些三、四层的流量，则ACE保存期限：2年锐捷网络，不得扩散1766页RG-ACE#sysbypassshowBRI Port Type Status LastUpdateTime01Internal NORMAL SunNov2107:33:202010Internal NORMAL SunNov2107:33:202010RG-ACE#syslicenseshMODEL:RG-ACE3000licensekey:958a00556bb7licenseOK密级：受控出口与安全线故障排查手册请勾选需要识别的应用组，点击右上角的“保存”，再点击“配置保存”。4. others_tcp，others_tcp，others非常大，则需要更新特征库：请将特征库更新至最新，使用命令行升级、http服务器升级、WEB界面升级三种方式中的任何一种即可。5.若升级特征库至最新，仍出现大量的others流量，请确认是否存在非对称流量；6.上述确认完毕，问题仍未得到解决，请收集信息向TAC密级：受控出口与安全线故障排查手册请勾选需要识别的应用组，点击右上角的“保存”，再点击“配置保存”。4. others_tcp，others_tcp，others非常大，则需要更新特征库：请将特征库更新至最新，使用命令行升级、http服务器升级、WEB界面升级三种方式中的任何一种即可。5.若升级特征库至最新，仍出现大量的others流量，请确认是否存在非对称流量；6.上述确认完毕，问题仍未得到解决，请收集信息向TAC反馈。保存期限：2年锐捷网络，不得扩散1866页密级：受控出口与安全线故障排查手册1.6.1故障处理流程CPU利用率是否异常�CPU占比�检查任务运行情分析故障怀疑点�确定异常任务并分寻求故障解决帮助�400进一步处理密级：受控出口与安全线故障排查手册1.6.1故障处理流程CPU利用率是否异常�CPU占比�检查任务运行情分析故障怀疑点�确定异常任务并分寻求故障解决帮助�400进一步处理1.6.2故障处理步骤1. 通过JAVA实时分析或者ARASCPU利用率的具体情况，这里可以看到ACE设备的CPU是一直处于100%，还是突发性的处于100%的状态：保存期限：2年锐捷网络，不得扩散1966页1.6 ACECPU利用率异常密级：受控出口与安全 线故障排查手册2.使用命令sysstatus并CPUACE3000为例设备各任务运行情况：3.1、2的结果，进行故障分析。2显示的CPU，0、1、2、34Cll4，%user表示用户占用的CPU密级：受控出口与安全 线故障排查手册2.使用命令sysstatus并CPUACE3000为例设备各任务运行情况：3.1、2的结果，进行故障分析。2显示的CPU，0、1、2、34Cll4，%user表示用户占用的CPU%sysCPU%iowait表示中断，%soft%idleCPU，%intr/s任务运行不正常。下面介绍一些常见导致设备CPU高的任务及处理方法：%userCPU��如果设备的默认为admin，遭到猜测、备无法进行管理和操作。�这种状态下一般为CPU突发性的增大到100%。保存期限：2年锐捷网络，不得扩散2066页密级：受控出口与安全线故障排查手册�需要修改ACE，然后重启ACE%intr/s��如果设备性能1Gbps的吞吐下进试。��这种状态下CPU会一直保持在100%。设备性能问题只能靠使用更高性能的设备来解决。4.密级：受控出口与安全线故障排查手册�需要修改ACE，然后重启ACE%intr/s��如果设备性能1Gbps的吞吐下进试。��这种状态下CPU会一直保持在100%。设备性能问题只能靠使用更高性能的设备来解决。4.如果无法确定任务利用率高属于正常现象还是存在异常，请400进一步处理。保存期限：2年锐捷网络，不得扩散2166页密级：受控出口与安全线故障排查手册1.7.1故障处理流程ACEMGT口是否配置正确ACE的管理口配ACEMGT口间“80端口”是否正ACE与设备的通密级：受控出口与安全线故障排查手册1.7.1故障处理流程ACEMGT口是否配置正确ACE的管理口配ACEMGT口间“80端口”是否正ACE与设备的通端口确认服务器java安装版本确认服务器IE�ACE服务器的确认ACE确是否正�ACE确认是否因为下发配ACE�ACEMGTMAC现�MGTMAC寻求故障解决帮助�4008保存期限：2年锐捷网络，不得扩散2266页1.7 ACE服务器无法连接设备密级：受控出口与安全线故障排查手册1.7.2故障处理步骤1. 与服务器的地址可达，ACE请确保管理口的地址能够ping通服务器，即路由可达。一般为配置了错误的接口地址或者网关地址导致路由不可达：2. 服务器与ACE设备的“tcp80端口”确认没有问题：保存期限：2年锐捷网络，不得扩散密级：受控出口与安全线故障排查手册1.7.2故障处理步骤1. 与服务器的地址可达，ACE请确保管理口的地址能够ping通服务器，即路由可达。一般为配置了错误的接口地址或者网关地址导致路由不可达：2. 服务器与ACE设备的“tcp80端口”确认没有问题：保存期限：2年锐捷网络，不得扩散2366页C:\DocumentsandSettings\yuanxiangwei>telnet2380RG-ACE#netpinginputdestinationipaddress:1PING1(1):56databytes84bytesfrom1:icmp_seq=0ttl=128time=7.4ms84bytesfrom1:icmp_seq=1ttl=128time=0.2ms84bytesfrom1:icmp_seq=2ttl=128time=0.2ms84bytesfrom1:icmp_seq=3ttl=128time=0.2ms84bytesfrom1:icmp_seq=4ttl=128time=0.2ms---1pingstatistics---5packetstransmitted,5packetsreceived,0%packetlossround-tripmin/avg/max=0.2/1.6/7.4msRG-ACE#netaddshowGateway:PrimaryDNS:SecondaryDNS:Interface IPAddress Netmask Status--------- ---------- ------- INT0 N/A N/A UPEXT0 N/A N/A UPINT1 N/A N/A UPEXT1 N/A N/A UPINT2 N/A N/A UPEXT2 N/A N/A UPMGT 23 HA N/A N/A UP密级：受控出口与安全线故障排查手册如果服务器部署在服务器区，而服务器区存在放通。ACEtcp803. 确认服务器上的java1.6.0以上，版本过低也会造成服务器无法连接设备。4. 确认服务器上的IEIE6.0IE“关于internetexplorer”：在ser2000服务器或者早期的服务器上，安装的一般为IE6.0以下的版本，虽然客户端可以远程操作服务器，但是服务器的IE版本过低仍然会导致设备无法连接。5. 确认ACE设备的是否被更改过：服务器上设备的必须和当前的设备一致，如果在添加设备后密级：受控出口与安全线故障排查手册如果服务器部署在服务器区，而服务器区存在放通。ACEtcp803. 确认服务器上的java1.6.0以上，版本过低也会造成服务器无法连接设备。4. 确认服务器上的IEIE6.0IE“关于internetexplorer”：在ser2000服务器或者早期的服务器上，安装的一般为IE6.0以下的版本，虽然客户端可以远程操作服务器，但是服务器的IE版本过低仍然会导致设备无法连接。5. 确认ACE设备的是否被更改过：服务器上设备的必须和当前的设备一致，如果在添加设备后被更换，就会导致服务器无法连接设备。6. 确认ACE是否由于配置错误导致设备出现“假死”：ACE在下发配置的时候，由于配置错误，会导致ACE设备进入“假死”状态，这时只能通过重启ACE设备来解决。。7. 确认ACE连接的交换机上的MAC地址是否正确：保存期限：2年锐捷网络，不得扩散2466页RG-ACE#netarp=========================================================================C:\DocumentsandSettings\yuanxiangwei>java-versionjavaversion"1.6.0_01"Java(TM)SERuntimeEnvironment(build1.6.0_01-b06)JavaHotSpot(TM)ClientVM(build1.6.0_01-b06,mixedmode,sharing)密级：受控出口与安全线故障排查手册如果内网出现ARP，会导致服务器无法与ACE设备连接。8. 如果无法确定ACE服务器无法连接设备问题是属于正常现象还是存在异常，请联400进一步处理。1.8.1故障处理流程java装。�ACEjava确认当前java版本是否正密级：受控出口与安全线故障排查手册如果内网出现ARP，会导致服务器无法与ACE设备连接。8. 如果无法确定ACE服务器无法连接设备问题是属于正常现象还是存在异常，请联400进一步处理。1.8.1故障处理流程java装。�ACEjava确认当前java版本是否正确�ACEjavajava径是否正确�ACEjava安装径javapath目录是否正确目录寻求故障解决帮助�4008保存期限：2年锐捷网络，不得扩散2566页1.8 ACE管理服务无法启动IPaddress HWtype Flags HWaddress Mask 0x1 0x2 00:D0:F8:C1:C6:A1 * MGT=========================================================================密级：受控出口与安全线故障排查手册1.8.2故障处理步骤1. 确认javaJAVA2. 确认服务器上的当前java1.6.0：在服务器上如果有安装两个或者两个以上的java版本，会出现当前版本为较低版本的情况，这个时候一定要进行确认。3. 确认服务器上的JAVAACEconf目录中的密级：受控出口与安全线故障排查手册1.8.2故障处理步骤1. 确认javaJAVA2. 确认服务器上的当前java1.6.0：在服务器上如果有安装两个或者两个以上的java版本，会出现当前版本为较低版本的情况，这个时候一定要进行确认。3. 确认服务器上的JAVAACEconf目录中的system.conf文件，找到mand=javaJRE的安装路径，默认是C:\ProgramFiles\Java\jre1.6.0_03\bin，修改system.conf文件中mand=java一行成为mand=C:\ProgramFiles\Java\jre1.6.0_03\bin\java.保存修改；4. 确认服务器的javapathWIN7ser2008的用户变量：变量名为Path，变量值为JRE安装路径下bin文件夹的绝对路径，确定以后，点击应用。如图所示：保存期限：2年锐捷网络，不得扩散2666页C:\DocumentsandSettings\yuanxiangwei>java-versionjavaversion"1.6.0_01"Java(TM)SERuntimeEnvironment(build1.6.0_01-b06)JavaHotSpot(TM)ClientVM(build1.6.0_01-b06,mixedmode,sharing)密级：受控出口与安全线故障排查手册1.9.1故障处理流程确认服务器时间是否正确。�ACE服务器的时ACE设备的连接是否正常�检查服务器与设备的接DATA磁盘空间�DATA的磁盘空间确认服务器临时目录是否可写�检查服务器的临时目密级：受控出口与安全线故障排查手册1.9.1故障处理流程确认服务器时间是否正确。�ACE服务器的时ACE设备的连接是否正常�检查服务器与设备的接DATA磁盘空间�DATA的磁盘空间确认服务器临时目录是否可写�检查服务器的临时目是否可写寻求故障解决帮助�40081.9.2故障处理步骤1. 确认服务器的时间是否正确：在安装管理端服务器时的时间设置不对，后来虽然调整了管理服务器时间，但报表历史数据文件里日期还是不正确的，所以导致报表流量数据无法保持在历史数据文件里。（删除设备同时删除了历史报表数据文件，重启添加设备即可。保存期限：2年锐捷网络，不得扩散2766页1.9 ACE报表无法显示密级：受控出口与安全线故障排查手册2. 确认服务器与ACE设备的连接是否正常：用户在使用管理端服务器的过程中，无意间将服务器关机，或者连接管理端的链路出现问题，都将导致此段时间内的管理端报表无法显示。3. 确认服务器上的DATA管理端服务器的DATA目录下的文件夹太大，使得磁盘空间满，ACE服务被终止，也会导致此段时间内的管理端报表无法显示。4. 确认服务器的tempWIN7密级：受控出口与安全线故障排查手册2. 确认服务器与ACE设备的连接是否正常：用户在使用管理端服务器的过程中，无意间将服务器关机，或者连接管理端的链路出现问题，都将导致此段时间内的管理端报表无法显示。3. 确认服务器上的DATA管理端服务器的DATA目录下的文件夹太大，使得磁盘空间满，ACE服务被终止，也会导致此段时间内的管理端报表无法显示。4. 确认服务器的tempWIN7ser2008文件，TempDir的值即为临时目录文件夹的路径（默认c:\\tep，请见下图：上图表示管理端服务启用时会在D盘下新建名称为“temp”的临时目录。使用JRE1.6的早期版本在Windows2008和Windows7系统上是没（C盘）进行创建，读写等操作的。当修改此参数完毕后，需要重启服务才能生效。5.如果无法确定ACE进一步处理。400保存期限：2年锐捷网络，不得扩散2866页密级：受控出口与安全线故障排查手册1.10.1故障处理流程SAM是否配置第三方记账。配置ACE的时间及时区是否正确�ACE设备的时ACESAM联动是否正常�密级：受控出口与安全线故障排查手册1.10.1故障处理流程SAM是否配置第三方记账。配置ACE的时间及时区是否正确�ACE设备的时ACESAM联动是否正常�ACESAM是否正常流量设置为“”�ACE的计费类型置寻求故障解决帮助�40081.10.2故障处理步骤1. 确认SAM记账：ACE保存期限：2年锐捷网络，不得扩散2966页1.10ACE与SAM联动无法 流量密级：受控出口与安全线故障排查手册1. 确认ACE的时间及时区是否正确：ACE的时区为“比正常的晚8个小时。”时区，需要修改到“”正常时区。如不修改，将看到流量2. 确认ACE与SAM如联动失效，在实时分析里可以看到流量全部被识别为“othr如联动失效，在实时分析里可以看到流量通道无法显示。3. 确认ACE”。密级：受控出口与安全线故障排查手册1. 确认ACE的时间及时区是否正确：ACE的时区为“比正常的晚8个小时。”时区，需要修改到“”正常时区。如不修改，将看到流量2. 确认ACE与SAM如联动失效，在实时分析里可以看到流量全部被识别为“othr如联动失效，在实时分析里可以看到流量通道无法显示。3. 确认ACE”。1）基于目的地址的流量 ：2）基于源地址的流量：4. 如果无法确定ACE进一步处理。400保存期限：2年锐捷网络，不得扩散3066页RG-ACE#sysdateshowFriMar1813:23:49密级：受控出口与安全线故障排查手册1.11.1故障处理流程确认ACE版本为2.8系列2.6系列。�ACE的版本信2.82.6系列版本license方式是否正确方式密级：受控出口与安全线故障排查手册1.11.1故障处理流程确认ACE版本为2.8系列2.6系列。�ACE的版本信2.82.6系列版本license方式是否正确方式hwid信息或者输入是否正常�hwid信息license输入license服务器之间的通讯是否正常�2.8系列设备license服务器的通讯寻求故障解决帮助�40081.11.2故障处理步骤1. 确认ACE2.82.6保存期限：2年锐捷网络，不得扩散3166页RG-ACE#sysverFirmwareversion2.8.27,runningonRG-ACEseries/RG-ACE2000.Copyright(c)2000-2008,RuijieNetworksLimited. s Buildtime:ThuAug2100:13:092008,htt .cn/.Layer7SignatureModuleversion4.2.105forRG-ACESeries1.11ACElicense失败密级：受控出口与安全 线故障排查手册Copyright(c)2002-2008,RuijieSystemCo.,.s.Buildtime:WedAug1309:30:202008, .cn2.系列版本，licenseWEB管理端进行：3.2.6密级：受控出口与安全 线故障排查手册Copyright(c)2002-2008,RuijieSystemCo.,.s.Buildtime:WedAug1309:30:202008, .cn2.系列版本，licenseWEB管理端进行：3.2.6系列版本，直接在命令行下：4.2.6失败，为license制作或者输入错误，确认原因如下：1）提供保存期限：2年锐捷网络，不得扩散3266页RG-ACE#syslicensesetMODEL:RG-ACE2000HWID:17faaf5c94277faf3c1583817bdedd74licensekey:958a00556bb7licenseisvalid密级：受控出口与安全线故障排查手册2）输入的esekey是否正确。5. 2.8否能在服务器上失败，除仅存在license制作或者输入错误，还存在MGT口是的问题，确认原因如下：口地址是否可以上网。密级：受控出口与安全线故障排查手册2）输入的esekey是否正确。5. 2.8否能在服务器上失败，除仅存在license制作或者输入错误，还存在MGT口是的问题，确认原因如下：口地址是否可以上网。口DNS是否配置正确。提供 hwid是否错误。4）输入的esekey是否正确。6.如果无法确定ACE进一步处理。400保存期限：2年锐捷网络，不得扩散3366页密级：受控出口与安全线故障排查手册1.12.1故障处理流程确认ACE版本为2.8系列2.6系列。�ACE的版本信确认2.8或者2.6系列版本特征库服务器地址是否正确�检查特征库服务器地确认设备与特征库服务器之间的通讯是否正常�密级：受控出口与安全线故障排查手册1.12.1故障处理流程确认ACE版本为2.8系列2.6系列。�ACE的版本信确认2.8或者2.6系列版本特征库服务器地址是否正确�检查特征库服务器地确认设备与特征库服务器之间的通讯是否正常�ACE设备与特征服务器的通讯hwidlicense是否正常�hwid信息license信息确认需要升级的设备在服务器上是否添加正常�检查服务器上的设备息寻求故障解决帮助�40081.12.2故障处理步骤1. 确认ACE2.82.6保存期限：2年锐捷网络，不得扩散3466页RG-ACE#sysver1.12ACEhttp 特征库升级失败密级：受控出口与安全线故障排查手册2. 2.8系列版本，设置的http特征库地址为：40:8080（电信）、48:8080（）RG-ACE#sysupdateenablemodulesautomodulesautoupdatesetURL[[Y/N]?[N]?y]3. 2.6http特征库地址为：39:8080（电信）、47:8080（密级：受控出口与安全线故障排查手册2. 2.8系列版本，设置的http特征库地址为：40:8080（电信）、48:8080（）RG-ACE#sysupdateenablemodulesautomodulesautoupdatesetURL[[Y/N]?[N]?y]3. 2.6http特征库地址为：39:8080（电信）、47:8080（）RG-ACE#sysupdateenablemodulesautomodulesautoupdatesetURL[[Y/N]?[N]?y]4.确保与特征库服务器能够ping通：5.确保提供给RG-ACE工程师 的hwid信息和license信息是否正确。1）2.8系列hwid信息和license信息：保存期限：2年锐捷网络，不得扩散3566页RG-ACE#netpinginputdestinationipaddress:40PING40(40):56databytes84bytesfrom40:icmp_seq=0ttl=59time=1.3ms84bytesfrom40:icmp_seq=1ttl=59time=1.3ms84bytesfrom40:icmp_seq=2ttl=59time=2.0ms84bytesfrom40:icmp_seq=3ttl=59time=1.4ms84bytesfrom40:icmp_seq=4ttl=59time=1.2ms---40pingstatistics---5packetstransmitted,5packetsreceived,0%packetlossround-tripmin/avg/max=1.2/1.4/2.0msRG-ACE#Firmwareversion2.8.27,runningonRG-ACEseries/RG-ACE2000.Copyright(c)2000-2008,RuijieNetworksLimited. s Buildtime:ThuAug2100:13:092008,htt .cn/.Layer7SignatureModuleversion4.2.105forRG-ACESeriesCopyright(c)2002-2008,RuijieSystemCo., . s Buildtime:WedAug1309:30:202008, .cn密级：受控出口与安全线故障排查手册2）2.6系列hwid信息和license信息：6. RG-ACE工程师的服务器设备添加是否正确。1）输入2.8系列的esekey是否正确：保存期限：2年密级：受控出口与安全线故障排查手册2）2.6系列hwid信息和license信息：6. RG-ACE工程师的服务器设备添加是否正确。1）输入2.8系列的esekey是否正确：保存期限：2年锐捷网络，不得扩散3666页RG-ACE#syslicenseshMODEL:RG-ACE2000licensekey:958a00556bb7licenseOKRG-ACE#syshwidb7e8d5427f01b5e675495d0e06b0be6e� License在 的时候已经提供，请做好保存。9961527BB6DB90F6986E17D4EB856AB3ED5BF2C0B736B3E032C77EBA751B8C7D00D8600006252557D5FB507F4A89A472414167FC5C098F3A8DF6F7B35D312D061BD58EEC3500000000000000101433F5B1FE366E652B17B5826DBC7199B061EFA5FB79814FFDDB48EC80884EB264B48387766E47ACF4780D6170B4073E895C55B949C027556FB52E781016C34500000000002261BC5E383783BBC76F0D961550686ABF2703A4367460EE34529913BAD000000000000001002B8907541C97F706181C1D979F8776A744690EC259BE1FD780E64A40C9F8DD80D870186A704AF9456981F314D5C7165E8411CAEFB6A8E0FA40BE6136677CDB7密级：受控出口与安全线故障排查手册2）输入2.6系列的esekey是否正确：7.如果无法确定ACE进一步处理。400保存期限：2年密级：受控出口与安全线故障排查手册2）输入2.6系列的esekey是否正确：7.如果无法确定ACE进一步处理。400保存期限：2年锐捷网络，不得扩散3766页密级：受控出口与安全线故障排查手册2NPE和EG故障排查2.1.1故障处理流程确认各个对象均存在�检查流控策略中的对确认策略已经应用在接口�检查流控策应用在接流控暂不支持应用在虚拟口�确认应用接口为物理策略只在生效时间段生效�确认生效时间寻求故障解决帮助�400进一步处理密级：受控出口与安全线故障排查手册2NPE和EG故障排查2.1.1故障处理流程确认各个对象均存在�检查流控策略中的对确认策略已经应用在接口�检查流控策应用在接流控暂不支持应用在虚拟口�确认应用接口为物理策略只在生效时间段生效�确认生效时间寻求故障解决帮助�400进一步处理2.1.2故障处理步骤若在web界面上，查看策略中发现当前状态为不生效，请通过以下步骤进行排查保存期限：2年锐捷网络，不得扩散3866页2.1 流控策略不生效密级：受控出口与安全线故障排查手册1. 请确认此流控策略所使用的对象均存在，比如通道对象、用户对象、VLAN对象、IP对象、时间对象、自定义应用对象、应用分组自定义对象等，若没有请新建。anywebcli时丢密级：受控出口与安全线故障排查手册1. 请确认此流控策略所使用的对象均存在，比如通道对象、用户对象、VLAN对象、IP对象、时间对象、自定义应用对象、应用分组自定义对象等，若没有请新建。anywebcli时丢捷官网发布的最新正式版本。2. 请确认此流控策略是否应用在了接口在，确认方法有两种：1：在中单击编辑，，确认策略组是否应用到了接口，显示不应用，则选择应用，并点击保存设置。保存期限：2年锐捷网络，不得扩散3966页密级：受控出口与安全线故障排查手册2：查看cli下，确认流控策略是否已经应用在了接口下，即此处的flow-policyGi0/1，若没有也可手工配置。0/1密级：受控出口与安全线故障排查手册2：查看cli下，确认流控策略是否已经应用在了接口下，即此处的flow-policyGi0/1，若没有也可手工配置。0/1ipnatoutsideflow-policyGi0/1duplexautospeedauto3.showclock，是否准确，并查看看当前时间是否在策略的时间对象范围内，若不在时间对象范围内，策略不生效正常。4.若发现webcli下查看底层调试信息确认是否生效保存期限：2年锐捷网络，不得扩散4066页NPE60#showflow-control-policyweb-formatflow-controlGi0/1#flow-rule-id:1priority-num:1vlan-group:anysubscriber:anynetwork-group:anyapp-group:anytime-rang:anysession-limit:0action:pass密级：受控出口与安全线故障排查手册5.如果无法确定任务利用率高属于正常现象还是存在异常，请400保存期限：2年锐捷网络，不得扩散4166页密级：受控出口与安全线故障排查手册5.如果无法确定任务利用率高属于正常现象还是存在异常，请400保存期限：2年锐捷网络，不得扩散4166页effective1flow-controlGi0/3flow-controlGi0/5flow-controlGi0/7Totalpolicyruleis10表示未生效。5处理。密级：受控出口与安全线故障排查手册2.2.1故障处理流程确认端口是否正常linkup�检查端口的工作状检查配置中是否有shutdown及光电复用�检查端口的配分析是否端口协商模式一致�检查两端端口协商模是否一致auto�调整两端双工、速率密级：受控出口与安全线故障排查手册2.2.1故障处理流程确认端口是否正常linkup�检查端口的工作状检查配置中是否有shutdown及光电复用�检查端口的配分析是否端口协商模式一致�检查两端端口协商模是否一致auto�调整两端双工、速率分析是否是线缆或是模块接触不良�重新插拔线缆或是光模块判断是否是线缆和模块问题�更换线缆或是模�4008保存期限：2年锐捷网络，不得扩散4266页2.2 端口Link状态异常密级：受控出口与安全线故障排查手册2.2.2故障处理步骤1.showipinterfacebrief或是showinterfacegix/x来确认端口是否Link异常（LED灯来下判断）2.首先确认配置是否有问题，如端口是shutdown状态，光电复用口是否切换到正确状态。3.设置成强制模式,则需要把互连端口流控/双工/速率均配置为强制模式。且这两种是强制,则连接出现half模式是有可能的。4.尝试将设备的流控／双工／速率三者都设置成非auto密级：受控出口与安全线故障排查手册2.2.2故障处理步骤1.showipinterfacebrief或是showinterfacegix/x来确认端口是否Link异常（LED灯来下判断）2.首先确认配置是否有问题，如端口是shutdown状态，光电复用口是否切换到正确状态。3.设置成强制模式,则需要把互连端口流控/双工/速率均配置为强制模式。且这两种是强制,则连接出现half模式是有可能的。4.尝试将设备的流控／双工／速率三者都设置成非auto模式即强制模式。比如流控设置为off,，双工设置为full，速率设置为1000M。是否能恢复linkup。5.重新插拔线缆（网线或者光纤或者光模块），看是否可以Linkup。6.尝试更换网线或者光纤（或者光模块、扩展模块），看是否可以Linkup。7.LinkupLinkup，很大可能是端口硬件故障。如果无ink，需要更换网线（需要尝试正线和反线），确认光纤线的TX、RX的正确连接。8.如果双绞线比较长，则改为短线进行和其他正常端口连接，看是否Link正常。9.把对端更换到其他正常端口上，看是否可以正常Linkup。10.(有条件的话选做)使用测试设备对网线或者光纤的衰减进较，以确认线缆是否损坏。试，并和标准值比11.另外需要注意确认端口上是否有异常的报文文，会把自己端口关闭，这样将导致端口linkdown。12.如果无法确定端口link400进一步处理。保存期限：2年锐捷网络，不得扩散4366页密级：受控出口与安全线故障排查手册2.3.1故障处理流程明确CPU利用率是否异常�CPU占比�检查任务运行情分析故障怀疑点�确定异常任务并分寻求故障解决帮助�400进一步处理2.3.2故障处理步骤1.使用命令show cpu连续设备的CPU利用率，确定设备的CPU密级：受控出口与安全线故障排查手册2.3.1故障处理流程明确CPU利用率是否异常�CPU占比�检查任务运行情分析故障怀疑点�确定异常任务并分寻求故障解决帮助�400进一步处理2.3.2故障处理步骤1.使用命令show cpu连续设备的CPU利用率，确定设备的CPU利用率是否异理，需要确认CPU高的具体原因，请转步骤2。2.使用命令showcpu并询设备各任务运行情况：保存期限：2年锐捷网络，不得扩散4466页� 1在通过TELNET方式登录使用showrun/showmemory/debugsu模式下showtask收集诊断信息时， 结果会显示CPU利用率较高，此时需要在信息收集完毕后，等待一段时间再 导致的CPU利用率升高还是任务异常导致的CPU占用率升高。2.3 CPU利用率异常密级：受控出口与安全线故障排查手册保存期限：2年锐捷网络，不得扩散4566页NPE60#sh密级：受控出口与安全线故障排查手册保存期限：2年锐捷网络，不得扩散4566页NPE60#shcpu======================================= CPUUsingRateInformationCPUutilizationinfiveseconds:2%CPUutilizationinoneminute:2%CPUutilizationinfiveminutes:2%NO5Sec 1Min 5Min Process0 0% 0% 0% LISRINT1 0% 0% 0% HISRINT2 0% 0% 0% ktimer3 0% 0% 0% atimer4 0% 0% 0% printk_task5 0% 0% 0% waitqueue_process6 0% 0% 0% tasklet_task7 0% 0% 0% kevents8 0% 0% 0% snmpd9 0% 0% 0% snmp_trapd10 0% 0% 0% mtdblock11 0% 0% 0% gc_task12 0% 0% 0% Context13 0% 0% 0% kswapd14 0% 0% 0% bdflush15 0% 0% 0% kupdate16 0% 0% 0% usb_hub17 0% 0% 0% buffcopy18 0% 0% 0% ll_mt19 0% 0% 0% llmainprocess20 0% 0% 0% ip6timer21 0% 0% 0% rtadvd22 0% 0% 0% tnet623 1% 1% 1% tnet24 0% 0% 0% Tarptime25 0% 0% 0% gra_arp26 0% 0% 0% Ttcptimer27 0% 0% 0% fc_obj_msg28 0% 0% 0% Tfc_timer29 0% 0% 0% ip6_tunnel_rcv_pkt30 0% 0% 0% ipmrfd31 0% 0% 0% tRefRes32 0% 0% 0% imid33 1% 0% 0% nsmd34 0% 0% 0% ripd35 0% 0% 0% ospfd密级：受控出口与安全线故障排查手册360%0%0%370%0%0%PPTP380%0%0%390%0%0%400%0%0%410%0%0%aaa_task420%0%0%Tlogtrap430%0%0%440%0%0%ntp_task450%0%0%460%0%0%ddns_task470%0%0%httpautoupdatetask480%0%0%490%0%0%500%0%0%510%0%0%pbr_guard520%0%0%530%0%0%540%0%0%550%0%0%tac+_task560%0%0%570%0%0%580%0%0%dhcpping_task590%0%0%600%0%0%610%0%0%lbdetect_task620%0%0%630%0%0%640%0%0%650%0%0%660%0%0%670%0%0%rl_listen680%0%0%690%0%0%700%0%0%processoftucl710%0%0%watchthread720%0%0%OS730%0%0%pstn740%0%0%vfdc750%0%0%ncc760%0%0%processofsi770%0%0%rtp780%0%0%vfdcprocess保存期限：2年锐捷网络，不得扩散4666页密级：受控出口与安全线故障排查手册360%0%0%370%0%0%PPTP380%0%0%390%0%0%400%0%0%410%0%0%aaa_task420%0%0%Tlogtrap430%0%0%440%0%0%ntp_task450%0%0%460%0%0%ddns_task470%0%0%httpautoupdatetask480%0%0%490%0%0%500%0%0%510%0%0%pbr_guard520%0%0%530%0%0%540%0%0%550%0%0%tac+_task560%0%0%570%0%0%580%0%0%dhcpping_task590%0%0%600%0%0%610%0%0%lbdetect_task620%0%0%630%0%0%640%0%0%650%0%0%660%0%0%670%0%0%rl_listen680%0%0%690%0%0%700%0%0%processoftucl710%0%0%watchthread720%0%0%OS730%0%0%pstn740%0%0%vfdc750%0%0%ncc760%0%0%processofsi770%0%0%rtp780%0%0%vfdcprocess保存期限：2年锐捷网络，不得扩散4666页密级：受控出口与安全线故障排查手册790%0%0%gkprocess800%0%0%810%1%1%flowaudittask820%0%0%rotuedb830%0%0%signatureupdate840%0%0%rl_vty_1850%0%0%httpt292860%0%0%httpt29387 98% 98% 98% idleNPE60#3. 2的结果，进行故障分析。在显示的任务信息中，第二列显示该任务占用CPU的比率，其中有个idle任务比较特殊，是CPUCPUCPU运行不正常。下面介绍一些常见导致设备CPU高的任务及处理方法：Tnet和buffcopy：收包上送CPU处理任务。该任务占用率高，说明CPU收到大量上送CPU报文并进行处理：��网络中存在对设备的，开启NPEEG功能，可以防止和抵御到设备本身的，如arp、DOS 、并能进行端口过滤和限速等。�网络中存在过多分片报文：showip密级：受控出口与安全线故障排查手册790%0%0%gkprocess800%0%0%810%1%1%flowaudittask820%0%0%rotuedb830%0%0%signatureupdate840%0%0%rl_vty_1850%0%0%httpt292860%0%0%httpt29387 98% 98% 98% idleNPE60#3. 2的结果，进行故障分析。在显示的任务信息中，第二列显示该任务占用CPU的比率，其中有个idle任务比较特殊，是CPUCPUCPU运行不正常。下面介绍一些常见导致设备CPU高的任务及处理方法：Tnet和buffcopy：收包上送CPU处理任务。该任务占用率高，说明CPU收到大量上送CPU报文并进行处理：��网络中存在对设备的，开启NPEEG功能，可以防止和抵御到设备本身的，如arp、DOS 、并能进行端口过滤和限速等。�网络中存在过多分片报文：showipfpmstatics800userNPE#showipfpmstatisticstable:2080000Numberofactiveflows:817433contexts:1806NumberofthebuffersholdbyFPM:1945Eventcount(%256):249�网络存在过多的协议报文(如ospf)：showrun是否存在的协议；�telnet/icmpICMP不可达是否可以关闭，黑洞路由是否配置，结合防使用。Tnet6：V6CPUtnet类似，就是IPV4和IPV6区别。Httptweb管理NPEEG的进程，若同时有大量的用户同时web��登陆设备的管理界面，并在web页面上保存期限：2年锐捷网络，不得扩散4766页密级：受控出口与安全线故障排查手册设备会进行大量的数据，导致出现大量的Httpt进程，并会使cpu大幅升高，此时应减少用户大量的web登陆设备管理界面。flowaudittask：流量审计进程，若设备开启了流量审计功能（flow-auditenable），且网络出口流量很大，用户很多的情况下，会出现此进程CPU占用的利用率PE密级：受控出口与安全线故障排查手册设备会进行大量的数据，导致出现大量的Httpt进程，并会使cpu大幅升高，此时应减少用户大量的web登陆设备管理界面。flowaudittask：流量审计进程，若设备开启了流量审计功能（flow-auditenable），且网络出口流量很大，用户很多的情况下，会出现此进程CPU占用的利用率PE和G.release（98250）3%-5%cpu利用率左右为正常范围。prntk_tskprnk_tsk占用PUdbughowrun命令等操作，可以通过以下步骤进行排查：任务占用过多CPU，showdebug是否开启部分调2）showrun30秒后，方可showcpushowarp是否存在过多的�（代表P同一时刻多个地址被刷新arp泛洪,同时等待一段时间确认CPU利用率是否下降rl_conshowrun、show命令都会对CPU有所影响，可以在show完后一段时间检查cpu利用率是否下降。�4.如果无法确定任务利用率高属于正常现象还是存在异常，请400进一步处理。保存期限：2年锐捷网络，不得扩散4866页密级：受控出口与安全线故障排查手册2.4.1故障处理流程确认设备本身是否可以公网�检查设备本身联网状DNS�桥接模式下需要额外的配置�检查设备的工作模寻求故障解决帮助�400进一步处理2.4.2故障处理步骤若在web界面上，通过单击＞若发现提示 连接服务器失败！请通过以下步骤进行排查保存期限：2密级：受控出口与安全线故障排查手册2.4.1故障处理流程确认设备本身是否可以公网�检查设备本身联网状DNS�桥接模式下需要额外的配置�检查设备的工作模寻求故障解决帮助�400进一步处理2.4.2故障处理步骤若在web界面上，通过单击＞若发现提示 连接服务器失败！请通过以下步骤进行排查保存期限：2年锐捷网络，不得扩散4966页2.4 特征库不能升级密级：受控出口与安全线故障排查手册1）1请确认设备本身的联网状态，设备本身是否可以 进2）2试，若不能公网，请进行相应的配置。DNSserver，若没配置的话请配置，命令为ipname-server.x，特征库更新服务启在福州此时可以通过在设备密级：受控出口与安全线故障排查手册1）1请确认设备本身的联网状态，设备本身是否可以 进2）2试，若不能公网，请进行相应的配置。DNSserver，若没配置的话请配置，命令为ipname-server.x，特征库更新服务启在福州此时可以通过在设备ping3）3为.cn来确认更新服务器的可达性及地址的正确性。确认一下设备的工作模式，在桥接模式需要进行如下配置：HTTP升级是从非管理口进行升级的。如果需要从管理口进行升级，进入配置模式，按以下步骤进行操作：Ruijie(confighttpupdatesetoob配置从管理口进行升级4）4如果无法确定任务利用率高属于正常现象还是存在异常，请400保存期限：2年锐捷网络，不得扩散5066页密级：受控出口与安全线故障排查手册2.5.1故障处理流程NAT的ACL列表�ACL确认配置了地址池poolpoolNAT口�检查密级：受控出口与安全线故障排查手册2.5.1故障处理流程NAT的ACL列表�ACL确认配置了地址池poolpoolNAT口�检查口是否配置NAT�NAT则确认以ACL�ACLPOOL配顺序�40082.5.2故障处理步骤1. 在showrunNAT的acl保存期限：2年锐捷网络，不得扩散5166页ipaccess-liststandard1010permitany2.5 NAT不生效密级：受控出口与安全线故障排查手册2.在配置确认是否配置了地址池pool，例如：3.确认是否配置了NAT内 口，例如：4.确认NAT5.NPEnat匹配规则的时候使用列表作为首要条件，地址池配置中只对一个地址池下面的多条规则逐一查找，不查找多个地址池配置。地址池匹配中可以针对出接口查找，但不支持针对路由下一跳查找。举例说明：常见的错误配置如下。g0/1口的地址池将无法匹配。正确的配置方法如下：6、另外，一个物理接口绑定两个地址池，也是可以正常进行数据转换的，例如保存期限：2年锐捷网络，不得扩散52密级：受控出口与安全线故障排查手册2.在配置确认是否配置了地址池pool，例如：3.确认是否配置了NAT内 口，例如：4.确认NAT5.NPEnat匹配规则的时候使用列表作为首要条件，地址池配置中只对一个地址池下面的多条规则逐一查找，不查找多个地址池配置。地址池匹配中可以针对出接口查找，但不支持针对路由下一跳查找。举例说明：常见的错误配置如下。g0/1口的地址池将无法匹配。正确的配置方法如下：6、另外，一个物理接口绑定两个地址池，也是可以正常进行数据转换的，例如保存期限：2年锐捷网络，不得扩散5266页ipaccess-listextendedtest1permitany55ipaccess-liststandard1010permitanyipnatpooltestprefix-length24address0001matchinterfacegigabitEthernet0/2address0001matchinterfacegigabitEthernet0/1ipnatinsidesourcelist10pooltestoverloadipaccess-liststandard1010permitanyipaccess-liststandard1110permitanyipnatpooltestprefix-length24address0001matchinterfacegigabitEthernet0/2ipnatpooltest1prefix-length30address0001matchinterfacegigabitEthernet0/1ipnatinsidesourcelist10pooltestoverloadipnatinsidesourcelist11pooltest1overloadipnatinsidesourcelist10pooltestoverloadinterfaceGigabitEthernet0/0ipnatinsideinterfaceGigabitEthernet0/1ipnatoutsideipnatpooltestprefix-length24address0001matchinterfacegigabitEthernet0/2密级：受控出口与安全线故障排查手册2.6.1故障处理流程�DLDP的地址是可达DLDPNexthop是否可达是否可达根据实际情况调整DLDP密级：受控出口与安全线故障排查手册2.6.1故障处理流程�DLDP的地址是可达DLDPNexthop是否可达是否可达根据实际情况调整DLDPretry参数�DL