IPS(ACG)带宽管理功能故障排查.pdfVIP

IPS(ACG)带宽管理功能故障排查 一、开始 网络流量按照其用途的不同划分成不同的服务类型，例如E- Mail服务、VoIP服务等，对不同的服务类型实施不同的管理控制行为 版权所有:杭州华三通信技术有限公司 ，称为带宽管理。因此，带宽管理包括两个主要部分：服务和针对一 个具体服务的控制行为。 IPS/ACG带宽管理定位故障的思路是，通过查看设备工作模式，引流配 置，确认设备二层回退状态，查看带宽管理全局配置，查看带宽管理 具体配置等步骤逐步排查，确认问题所在。 1、查看设备工作模式 通过登录ACG插卡，查看设备目前的工作模式：直连或者旁路。如果为 旁路部署，需修改为直连部署。 例如：通过WEB页面查看ACG当前工作模式。 通过WEB页面，可以查看到连接模式处于直连模式，应用模式为完整功 能集，在此情况下，带宽管理的限速策略才能生效。 2、查看设备引流配置 通过登录ACG插卡，查看设备安全域配置，确认设备内部域接口和外部 域接口选择无错误。 例如：通过WEB页面查看，内部域所选端口为连接内网端口，外部域所 选端口为连接外部域端口。 版权所有:杭州华三通信技术有限公司 版权所有:杭州华三通信技术有限公司 如图可以看出内部域端口定义为Eth0/2，外部域端口定义为Eth0/3。 查看ACG上段配置，确认内部域以及外部域成功关联，并正确调用。。 例如：通过ACG插卡的WEB页面，查看ACG插卡段配置。 如图所示，通过查看段配置，确认内部域为in，接口为Eth0/2，外部 域为out，接口为Eth0/3，关联段为0。 3、查看二层回退状态 查看ACG插卡二层回退状态，确认设备处在正常工作状态。 例如：通过WEB页面，查看设备二层回退状态，设备是否使能了二层回 退。 如图所示，通过查看设备二层回退状态，确认设备未使能二层回退功 能，当前设备处于正常工作模式。 版权所有:杭州华三通信技术有限公司 4、查看引流功能 带宽管理功能要求双向流量都经过设备才能成功生效。如果是单向流 ，会导致部分或者全部带宽管理出现问题。因此，首先要检查双向流 量是否引到设备上。 例如 “大概看” 在导航栏中选择“报表 报文统计”中可以看到单向的实时报文统计，如果段的双向都有报文 统计，说明双向流量大概都引到了设备上。 “仔细看” 在导航栏中选择“带宽管理 策略管理”，新建策略应用，默认规则工作选择“permit notify”，通过带宽管理检测所有流量应用。在日志中过滤出想要的 版权所有:杭州华三通信技术有限公司 五元组日志，可以看到访问网站的流量是否双向被检测到，如果检测 到则说明双向引流成功。 5、查看带宽管理配置 查看ACG带宽管理全局配置，确认多条策略无地址重复调用。 例如：通过查看ACG的WEB页面，查看带宽策略调用地址情况。 版权所有:杭州华三通信技术有限公司 如图所示，ACG带宽管理策略中，无地址重复调用情况，仅策略名称为 迅雷1的策略生效，应用于段0上。 查看ACG带宽管理配置，确认配置了基于应用的策略。 例如：通过ACG的WEB页面，查看设备带宽管理的配置，确认设备配置 了正确的应用配置。 如图所示，迅雷1的带宽管理策略中，配置了限制迅雷的规则，动作集 为Block Notify，应用在段0上，匹配内部和外部所有IP。 7、判断是否为误识别 版权所有:杭州华三通信技术有限公司 在上述信息均确认无误的情况下，通过配置测试IP，进行信息收集。 收集方法如下： 1）配置测试IP，如本机测试IP地址并应用于段策略中。 2）策略中规则动作配置为permit notify 版权所有:杭州华三通信技术有限公司 3）策略激活后，进行需要限制的业务访问，导出服务日志 4）记录设备特征库版本信息 5）记录设备license信息 版权所有:杭州华三通信技术有限公司 6）记录所使用软件版本，如迅雷 记录输出后，一并反馈总部处理。 请拨打热线400-810-0504 版权所有:杭州华三通信技术有限公司