网康上线过程故障排查.ppt

2、设备上线后，用户上网受到影响 设备接入网络中，用户的上网收到影响，网页打不开，或者无法使用某些应用，原因可能有以下几种 1、设备上面设置的策略导致 可能是由于设备上面设置的策略导致用户上网收到影响，例如策略网段、黑白名单、策略阻塞、用户带宽上限、带宽通道对象的默认带宽通道对象设置过小等。 2、设备内外网口与上下行设备的端口协商 我们设备的端口默认是自协商全双工，在连接到客户的网络中时如果内外网口的协商不匹配，也会对用户的上网造成影响，例如速率不一致、一个端口全双工一个端口半双工等。可以通过网络配置中的网口示意图简单查看 P* ICG常见问题讲解 设备上线出现网络问题 2 策略问题 3 1 培训提纲 策略问题排错方法 1、策略控制无效 查看日志，是否有你这次的访问记录，如果没有说明问题的原因和策略的配置没太大关系，如果有说明问题的原因和策略的配置有关系。 一、没有访问记录排错方法 （1）、检查引擎是否开启（系统管理-系统状态-引擎状态），如果引擎没有开启则所有的策 略不生效。 （2）、检查你是否在控制范围内：在策略网段内吗？你是不是免监控IP？ ICG的策略只对策略网段的用户有效。若该用户在策略网段里查看一下该用户是否在免 监控IP中，免监控IP中掩码有没有正确很多用户在做这条策略时往往会把掩码写成三个255，导致不用监控的用户也被加入了免监控IP中,ICG策略对所有的名监控IP也是不生效的. 例如：用户ip是在策略如下 或者： 则策略对这个用户是不生效的。 （3）、若为网页策略，检查目的网站是否在控制范围内：是否对目的网站面监控IP或bypass域名。 （4）、在上线用户里检查一下网络中上线用户的情况，根据实际的客户人数如果在上线用户里出现的都是公网IP则有可能是设备的网线插反了导致所有的策略都不起作用。 （5）、检查访问的流量是否通过了ICG：检查一下网络拓扑图，看该用户上网是否真的通过ICG。 二、有记录排错方法 （1）、如果记录里面没匹配任何策略，检查策略是否开启了，查看策略配置的地方是否打钩,立即生效是否点击了，有些用户做完策略后没有点击立即生效。 （2）、检查策略的正确性：查看是否匹配的这条策略，如果匹配了看一下是否与做的动作相符，有可能是策略做错了。如：本来是阻塞的但实际上动作是允许。 （3）、是否有更高优先级的策略放行了：查看访问日志匹配了其他策略吗？如果是则说说明那个策略的优先级更高。 （4）、检查识别是否准确：查看日志看看你访问的流量是不是要控制的流量，可能会识别成别的流量。 2、配置策略后，无法访问 同样在查询统计里进行查询，进行快速定位，没有说明问题的原因和策略的配置没太大关系，有说明问题的原因和策略的配置有关系。 一、没有访问记录 （1）、确认一下是不是ICG的原因：停引擎，如果引擎停止还不行基本可以说不是ICG导致的，不放心还可以按下bypass按钮，bypass后还不行肯定和ICG无关。 （2）、检查是被例外处理阻断：是否在策略网段外并且是否选择了阻断策略外网段；是不是被放进了屏蔽IP。 （3）、判断一下是否跟策略有关，可以把不能上网的用户加入免监控IP或者是免管控用户中，如果用户能正常上网刚说明是策略导致的，这种情况由于没有审计记录无法快速定位到是那条策略导致，所以只能采取逐一排出的方法把策略全部关闭后再一条一条的开启看是哪条策略导致的。 二、有访问记录 （1）、检查是哪个策略导致的：在日志中产看被哪个策略阻塞。如果定位策略后，关闭该策略看看效果 （2）、检查识别是否准确：有可能被识别成的流量阻塞了。 设备上线出现网络问题 2 策略问题 3 1 培训提纲 设备上线出现网络问题 1、设备上线后，无法登陆设备 设备上线后往往会出现无法访问设备的情况，出现这种情况一般可以从以下几个步骤检查： 1、首先保证主机与网康设备的连通性，在主机上使用ping命令测试它们之间的连通性 如果测试设备之间不通首先检查一下设备的网卡灯有没有亮，保证底层物理的连通性之后 （1）若主机直连到设备上，检查主机跟设备之间的配制，是否在同一网段。 （2）若主机不是直连到设备上，则检查一下设备的路由，看主机与设备之间路由是否可达。 2、设备的登陆方式，有线客户会登陆设备时登陆方式不正确，正确有登陆方式是https://+IP地址有些客户在登陆设备时采用的是http://方式这样无法登陆到设备。 3、设备的网络配置是否正确 （1）设备如果使用桥口IP登录时，要确保桥口IP是一个真实可用的IP地址，