2复杂故障排查方法和思路.pptVIP

目录 目录 案例一、流量统计缺失 故障描述：部署图如下，设备接的端口接收了业务网接口的镜像流量，ICG是5.0 path4，配置了策略网段： —54，此网段包含了业务网段。 结果发现ICG上在应用监控中能够看到数据流， 但是在查询统计中却查不到数据， 在线用户中也只有5个用户。 案例一、流量统计缺失 案例一、流量统计缺失 经验总结：在部署旁路时，一定要将用户的内网网段分析清楚，并将汇总的最小网段填写在策略网段列表中。但是也要避免策略网段的精确导致列表填写条数过多，因为策略网段最多只能填写10条。 同时，无特殊需求，请勿点击“阻塞不在策略网段中的IP” 案例二、AD认证失败 网络拓扑如下：其中的Servers包含AD域控 案例二、AD认证失败 故障描述： 如上图网络拓扑图，当ICG部署在位置1，用户使用AD域认证无任何问题；当将ICG部署到位置2时，用户使用AD域认证出现客户端软件连接服务器失败的提示（connect server fail），但此时ICG、用户与AD域控服务器间并无任何网络连通性问题。 案例二、AD认证失败 故障原因： 结合上图可以看到，在位置1时，ICG可以拦截到客户端软件发送的数据包，因此可以完成认证；而在位置2时，ICG无法拦截到客户端软件发送的数据包，也就无法截获此用户的域用户名与密码，因此导致出现无法连接服务器的提示，造成认证失败。因此本例ICG必须部署在位置1处。 经验总结： 一般情况下，ICG是部署在用户互联网出口的链路上，因此ICG是可以拦截到客户端软件发送的数据包的，也就不会出现上述问题。 当遇到需要AD域认证的时候，大家先分析下ICG的部署位置与用户上网的数据包走向，以免遇到类似情况。 案例三、AD认证环境断网 故障描述：用户网络环境如图，用户环境中部署AD认证，认证网段内用户必须认证后方可使用网络，认证失效期为1天。ICG为5.0 path5 ，内旁路部署。用户早上10点登陆，下午下班后没有关闭电脑，计算机一直处于待机状态；第二天8点上班激活计算机，到10点时，用户发现自己不能上网，ICG上此用户处于下线状态。重新认证后（注销重登录或在客户端上重启AD认证客户端软件），网络访问恢复正常。 案例三、AD认证环境断网 案例三、AD认证环境断网 案例三、AD认证环境断网 目录 目录 FAQ 常见问题（9） 哪些设备接口支持trunk（只有千兆口支持trunk），哪些设备接口支持bypass 设备型号 可短接端口 每端口继电器数 端接的线芯 短接后的线序及支持速率 NS151 E0 + E1 2 1,2,3,6 交叉线，支持100M信号 NS250 E2 + E3 2 1,2,3,6 交叉线，支持100M信号 NS550 E2 + E3 2 1,2,3,6 交叉线，支持100M信号 NS1501 E0 + E1 E2 + E3 4 1,2,3,4,5,6,7,8 交叉线，支持1000M NS2501 E0 + E1 E2 + E3 4 1,2,3,4,5,6,7,8 交叉线，支持1000M NS5501 E0 + E1 E2 + E3 4 1,2,3,4,5,6,7,8 交叉线，支持1000M NS15000 E0 + E1 E2 + E3 4 1,2,3,4,5,6,7,8 交叉线，支持1000M NS25000 E0 + E1 E2 + E3 4 1,2,3,4,5,6,7,8 交叉线，支持1000M 常见问题（10） 客户发生异常断网（上） 如果内部能PING通NSICG： 1、首先登录web界面，停止引擎，测试网络是否恢复正常 2、如果停止引擎后网络恢复正常，请检查策略设置是否有问题， 3、登录Web管理界面，进入系统管理——系统状态，查看系统负载是否过高 4、通过监控统计——流量监控查看流量是否异常 5、如果策略没问题，请检查是否做用户IP和MAC地址绑定，且设置是否有误。 6、如果停止引擎后依旧断网，且用户PING我们设备及网关全部正常，应该不是NSICG的问题，请检查其他网络连接设备。 常见问题（11） 客户发生异常断网（下） 如果内部不能PING通NSICG： 1、查看设备网络接口指示灯状态是否正常 2、通过串口登录设备，用icg_status查看NSICG状态是否正常。 3、用icg_http_ctl stop停止引擎查看网络是否恢复正常。 4、如果网络依旧不通或串口连接不上，请联系网康工程师。 故障处理流程 复杂故障排查案例 常见故障排查思路 FAQ 问：如何联系网康售后工程师？ 答：网康全国统一售后电话：400-678-3600 问：硬件故障需要返厂维修的，费用是多少？ 答：在质保期内（三年），如确实是网康产品质