网康上线过程故障排查课件.ppt

ICG常见问题讲解;;策略问题排错方法;例如：用户ip是10.214.100.2在策略如下 或者： 则策略对这个用户是不生效的。 （3）、若为网页策略，检查目的网站是否在控制范围内：是否对目的网站面监控IP或bypass域名。 （4）、在上线用户里检查一下网络中上线用户的情况，根据实际的客户人数如果在上线用户里出现的都是公网IP则有可能是设备的网线插反了导致所有的策略都不起作用。 （5）、检查访问的流量是否通过了ICG：检查一下网络拓扑图，看该用户上网是否真的通过ICG。 ;二、有记录排错方法 （1）、如果记录里面没匹配任何策略，检查策略是否开启了，查看策略配置的地方是否打钩,立即生效是否点击了，有些用户做完策略后没有点击立即生效。 （2）、检查策略的正确性：查看是否匹配的这条策略，如果匹配了看一下是否与做的动作相符，有可能是策略做错了。如：本来是阻塞的但实际上动作是允许。 （3）、是否有更高优先级的策略放行了：查看访问日志匹配了其他策略吗？如果是则说说明那个策略的优先级更高。 （4）、检查识别是否准确：查看日志看看你访问的流量是不是要控制的流量，可能会识别成别的流量。 ;2、配置策略后，无法访问 同样在查询统计里进行查询，进行快速定位，没有说明问题的原因和策略的配置没太大关系，有说明问题的原因和策略的配置有关系。 一、没有访问记录 （1）、确认一下是不是ICG的原因：停引擎，如果引擎停止还不行基本可以说不是ICG导致的，不放心还可以按下bypass按钮，bypass后还不行肯定和ICG无关。 （2）、检查是被例外处理阻断：是否在策略网段外并且是否选择了阻断策略外网段；是不是被放进了屏蔽IP。 （3）、判断一下是否跟策略有关，可以把不能上网的用户加入免监控IP或者是免管控用户中，如果用户能正常上网刚说明是策略导致的，这种情况由于没有审计记录无法快速定位到是那条策略导致，所以只能采取逐一排出的方法把策略全部关闭后再一条一条的开启看是哪条策略导致的。 二、有访问记录 （1）、检查是哪个策略导致的：在日志中产看被哪个策略阻塞。如果定位策略后，关闭该策略看看效果 （2）、检查识别是否准确：有可能被识别成的流量阻塞了。 ;;设备上线出现网络问题;3、设备的网络配置是否正确 （1）设备如果使用桥口IP登录时，要确保桥口IP是一个真实可用的IP地址，虚假的桥IP或者不正确的桥IP都会让用户使用桥口IP登陆设备时无法连接，例如与上下行设备不在同一网段的假地址：1.1.1.1/24，或者是192.168.1.23/30（三层网络环境），这样的IP都会造成设备无法登陆。 解决的办法：可以更换桥IP地址，或者开启管理口管理设备。 （2）在某些三层网络环境中，管理员无法访问设备，可能需要设置设备的回指路由。 目的网段是用户实际使用环境的vlan，子网掩码按照客户的实际情况设定，下一条：与网康设备内网口或者管理口相连接的三层交换机的端口的IP地址 ;2、设备上线后，用户上网受到影响 设备接入网络中，用户的上网收到影响，网页打不开，或者无法使用某些应用，原因可能有以下几种 1、设备上面设置的策略导致 可能是由于设备上面设置的策略导致用户上网收到影响，例如策略网段、黑白名单、策略阻塞、用户带宽上限、带宽通道对象的默认带宽通道对象设置过小等。 2、设备内外网口与上下行设备的端口协商 我??设备的端口默认是自协商全双工，在连接到客户的网络中时如果内外网口的协商不匹配，也会对用户的上网造成影响，例如速率不一致、一个端口全双工一个端口半双工等。可以通过网络配置中的网口示意图简单查看