渠道高级认证培训09_产品部署排错课件.ppt

培训内容 培训目标 NGAF产品上架部署排错 了解上架断网，网段不通的排错步骤 掌握结合数据包拦截日志与直通的排错步骤 掌握全局排除地址的功能 掌握结合数据中心日志的排错步骤 SANGFOR NGAF各种部署模式下排错步骤 SANGFOR NGAF数据包拦截日志与直通 深信服公司简介 SANGFOR NGAF全局排除地址 SANGFOR NGAF数据中心日志 SANGFOR NGAF 1.1 物理层排错 1.2 链路层排错 1.3 网络层排错 1.4 应用层排错 NGAF各种部署排错步骤 物理层排错： 物理层的排错思路可以通过替换法来判断。 具体操作： 1、通过更换邻接设备的网口甚至邻接设备本身来定位是否AF设备故障还是环境问题； 2、如果执行以上步骤还无法解决，可以进入链路层排错步骤。 1.1物理层排错 链路层排错： 通过检查链路协商状态来定位问题。 具体操作： 1、检查双工及速率，通过AF控制台页面【网络配置】-【物理接口】-【工作模式】确认； 2、根据状态是否异常进行调整； 3、若状态正常或调整后仍异常，则检查 网口丢包错误包 情况； 1.2链路层排错 4、查看各个接口的 errors/dropped后面的数字，运行多次命令，看其数值是否增加，且增加速度快； 5、属于以上情况则插入二层设备，例如一个傻瓜交换机。正常则说明与邻接设备存在兼容性问题，不正常或者无错误包丢包情况则检查 arp表项； 6、不正常则检查邻接设备及网络环境，正常则转入 网络层排错。 网络层排错： 通过检查路由表以及ip冲突或限制来定位问题。 具体操作： 1、检查ip冲突情况，可通过检查邻接设备arp表项该ip对应的mac是否变动或者mac根本不是设备的mac； 2、非以上情况则检查路由表情况，若错误则检查配置，配置正常则联系深信服人员检查设备后台情况； 3、路由表正常则需考虑运营商或前置设备限制情况，在设备上面ping外网定位是否受。Ping操作通过升级客户端-【工具】-【Ping】/控制台页面-【系统维护】-【命令控制台】 ping命令进行； 4、确认非前置限制问题或ping正常但上网不正常，转入 应用层排错。例如qq上不了，另外网页打不开的则需首先检查dns情况再来定位设备问题。 另外，网络层排错适用于设备网关部署或混合部署等要求设备路由转发的情况，虚拟网线或透明网桥等部署则可以略过此步，直接往应用层方面排错 1.3网络层排错 应用层排错： 1、考虑到设备策略限制情况，可以通过检查各个策略设置情况来定位，也可以通过控制台页面-【系统维护】-【数据包拦截日志与直通】功能进行定位； 1.4 应用层排错 2、开启直通后仍然无法解决，保持直通未关闭状态，对控制台页面-【系统】-【全局排除地址】填写故障网段或具体ip； 3、直通后正常则需定位具体拒绝模块从而调整策略配置，首先查看拦截日志，看能否定位具体策略和模块的，另外还可以通过数据中心日志来查看； 4、排除后正常，则检查直通无效的模块，仍然不正常，则需检查部署模式及具体网络环境情况； 5、部署模式，再次确认客户网络环境，根据【2013年度渠道初级认证培训03_常见网络环境部署】进行调整配置。 例如，二层交换模式部署虚拟网线 需要检查部署时两个接口是否配对为一对虚拟网线，具体配置参考 -【虚拟网线】配置。多vlan网络环境，透明网桥下，若少配置某几个vlan接口则会导致部分网段不通甚至全网断网。 问题思考 1.说明设备上架部署导致断网的思路，根据什么体系来进行排错？ 2. 链路层常见的故障及解决方法？ 3.关于应用层的排查，NGAF设备控制台页面提供了哪几个功能用于排错？ 检查网口错误包和丢包情况，通过升级客户端连接设备-【工具】-【查看网络配置】或者控制台页面-【系统维护】-【命令控制台】输入ifconfig命令； arp表项通过升级客户端-【工具】-【查看arp表】/控制台页面- -【系统维护】-【命令控制台】输入arp命令查看； * * NGAF中开启实时拦截日志并直通不生效或无效的模块： 二层协议过滤和DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、网页防篡改 * NGAF全局排除地址（排除IP或域名）不生效或无效的模块有： 地址转换（nat）、DoS/DDoS防护（wdos）中基于数据包攻击和异常包检测、流量审计（IP流量排行、用户流量排行、应用流量排行）、连接数控制。其中流量审计、连接数限制模块在AF 2.0后会修改为不审计和不限制排除IP和域名。 * * * NGAF中开启实时拦截日志并直通不生效或无效的模块： 二层协议过滤和DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、网页防篡改 * NGAF全局排除地址（排除IP或域名）不生效或