代理場景化實(shí)施方案-a06-交付sg運(yùn)維手冊

1■ 第1章前 第2章運(yùn)維工具列 第3章設(shè)備日常例行檢 日常注意事 第4章設(shè)備配置和恢 交叉線恢復(fù) 第5章輔助工具使 第6章常見問題排 通過SG上網(wǎng)不了網(wǎng) 第7章突發(fā)事件應(yīng)急處 內(nèi)網(wǎng)斷 第8章技術(shù)支 12維工具列1W/download/product/tools/SA34/download/TeamViewer_Setu3備日常例行檢日常注意事2、用戶并不具備標(biāo)準(zhǔn)機(jī)柜情況下，可將設(shè)備安裝在干凈的工作臺上。保證安裝工作臺足夠牢固，足以承擔(dān)設(shè)備及電纜的10cm4、在機(jī)器上架安裝過程中，注意同一機(jī)柜中其它設(shè)備，避免在1、布放走道線纜時，必須綁扎。綁扎后的線纜應(yīng)互相緊密靠攏，外觀平直整齊，線扣間距均勻，松緊適度。布放槽道線纜2、信號電纜、尾纖、電源線的布放盡量避開，不要靠得太近，更不能綁扎在一起。線纜在機(jī)柜中捆扎后，應(yīng)平直、捆扎整齊，3、尾纖綁扎前檢查光纖走線區(qū)域附近是否有毛刺、銳邊或銳角物體等，如果發(fā)現(xiàn)應(yīng)盡量規(guī)避。在機(jī)柜外布放時，建議安裝光纖1、電源線：內(nèi)容為電纜對端位置信息，填寫所在電纜2、信號線：兩面內(nèi)容分別標(biāo)識電纜兩端所連端口的位3、粘貼之前先在整版紙上填寫或打印好內(nèi)容，SANGFORSGPOWERALARM大概分鐘半小時后將設(shè)備重啟，若重啟設(shè)備后ALARM燈仍一直長亮不能熄滅，請速與深信服技術(shù)支link（百兆鏈路，如果是千兆鏈路，該燈會成橙色）且長亮，網(wǎng)口ACT燈在有數(shù)據(jù)通過的時候會呈橙色且會不停閃爍，如果link或者act設(shè)備cpu檢cpuCPU查看【系統(tǒng)管理】-【實(shí)時狀態(tài)】-【流量狀態(tài)】-【用戶流量】，檢查是否有突發(fā)流量開啟設(shè)備防DOS模塊（【安全防護(hù)】-【防DOS】），檢查設(shè)備是否到了 如果設(shè)備有異常聲響，可能是硬盤或風(fēng)扇的異常工作導(dǎo)致，請立即斷開電源停止設(shè)備工作，備用機(jī)，請立即將系統(tǒng)切換到備用機(jī)；并及時聯(lián)系深信服技術(shù)支持工程師以確認(rèn)故障并SG方法：登陸SG控制臺，點(diǎn)擊【系統(tǒng)管理】-【系統(tǒng)配置】-【配置備份與恢復(fù)】，點(diǎn)擊<點(diǎn)擊配置>配置并妥善保存即可。規(guī)則庫版本檢為了確保設(shè)備能夠正別網(wǎng)絡(luò)應(yīng)用，建定期檢查設(shè)備規(guī)則是否更新，果更新異常，請查設(shè)備身能否。控制臺管理員是否為默認(rèn)的admin或123456之類的簡單。如果是默認(rèn)或簡單，請立即修改sangfor、test如果有的話，請刪除多余賬號，僅保留的管理員賬號控制臺檢 從WAN口接入設(shè)備。通過【系統(tǒng)管理】-【系統(tǒng)】-【系統(tǒng)日志】，可以看到設(shè)備各模塊運(yùn)行狀態(tài)日志，可通系統(tǒng)日志包含信息、告警、錯誤、調(diào)試四個級別，點(diǎn)擊<日志選項(xiàng)設(shè)置>，可以過濾需要查看如果系統(tǒng)日志中出現(xiàn)大量錯誤日志和告警日志，請及時聯(lián)系深信服技術(shù)支持工程師，確認(rèn)是第4章設(shè)備配置和恢交叉線恢復(fù)適用場由于admin丟失，也沒有其它帳號可以使用，導(dǎo)致無法登錄控制臺及，但仍然記得IP操作步確保電腦和設(shè)備可以通問設(shè)備地址https://網(wǎng)關(guān)ip/php/rp.php。如下圖，提示此地址不需要錄控制臺，此地址作用創(chuàng)建一個標(biāo)記文件如果交叉線接了兩個電口，設(shè)備重啟時，會判斷標(biāo)記文件是否存在，存在則執(zhí)行恢復(fù)流程，不存在，則執(zhí)行恢手動重啟設(shè)備，重啟過程中，注意觀察交叉線短接的兩個電口ACT燈狀態(tài)，兩個電口ACT燈同時閃爍10次后，說明恢復(fù)完成，此時可以撥掉短接的交叉線，通過默認(rèn)的控制臺帳號密碼admin/admin登錄設(shè)備即可。設(shè)備重啟到恢復(fù)成功大約3到5分鐘左右。如果2.3步無法根據(jù)網(wǎng)口燈狀態(tài)判斷恢復(fù)是否成功，你可以一直等待，等待5到10分admin/admin適用場操作步登陸SG控制臺，點(diǎn)擊【系統(tǒng)管理】-【系統(tǒng)配置】-【配置備份與恢復(fù)】，點(diǎn)擊<恢復(fù)出廠設(shè)適用場操作步手動重啟設(shè)備，重啟過程中，注意觀察交叉線短接的兩個電口ACT燈狀態(tài)，兩個電口AT燈一直同時閃爍，說明出廠設(shè)置恢復(fù)完成，此時撥掉短接的交叉線，設(shè)備會自動重啟，設(shè)備啟動5如果2.2步無法根據(jù)網(wǎng)口燈狀態(tài)判斷出廠配置是否恢復(fù)成功，你可以一直等待，直到設(shè)備重啟，設(shè)備重啟時，務(wù)必要撥掉交叉線（如果沒有撥下交叉線，設(shè)備會循環(huán)重啟）。設(shè)備啟動10交叉線恢復(fù)或出廠設(shè)置，設(shè)備都需要重啟，需要提前和客戶說明，建議將設(shè)備下架對于外部型號為SG4300（硬件平臺為立端945），若部署模式為單臂模式，則請使用交叉線短接ETH0和ETH1來恢復(fù)默認(rèn)。5助工具使上網(wǎng)故障排除功能用于查詢一個數(shù)據(jù)包在通過AC&SG設(shè)備時是被哪個模塊，是什么原因被。當(dāng)用戶上網(wǎng)出現(xiàn)故障時，便于快速定位故障原因，也可用來測試一些規(guī)則是否生效。如果僅開啟日志過濾條件，則SG設(shè)備僅在列表中打記錄，可以通過記錄查看設(shè)SGIPIPSANGFORAC&SG 在【系統(tǒng)管理】-【系統(tǒng)】-【命令控制臺】頁面直接輸入命令回車即可，高級抓包是用TCPDUMP的方式抓包，將抓取的數(shù)據(jù)包保存在設(shè)備的控制臺界面，需要在電腦wiresharkSniffer在【系統(tǒng)管理】-【系統(tǒng)】-【抓包工具】頁面，點(diǎn)擊<抓包選項(xiàng)>，選擇抓包數(shù)量和網(wǎng)tcpdump0080的數(shù)據(jù)包的過濾表達(dá)host00andportwebweb登錄控制時，可用該工進(jìn)行一常見的絡(luò)令測試，地址：.cn/download/product/tools/SANGFOR_Updater6.0.zipTCP51111SANGFOR_Updater6.0完成后，解壓即可使用，在解壓縮的文件內(nèi)找到“SANGFORFirmwareUpdater.exe”雙擊運(yùn)行，即可打開升級客戶端接入程序。PC 按鍵盤【F10【命令】模塊下，可使用包括、查看路由表、查看ARP表、查看網(wǎng)絡(luò)配置、網(wǎng)卡操作、態(tài)檢查請向技支持工師索取。6見問題排無法登陸SG控制是否能夠正常通設(shè)備內(nèi)網(wǎng)嘗試用一臺電腦通過交叉線接到DMZ口（缺省為eth1口），將電腦的IP配成0/24，測試DMZ口的默認(rèn)IP52是否能通SG部署在網(wǎng)橋模式下，開直通后，所有的上網(wǎng)策略不生效，SG起到網(wǎng)絡(luò)的作用，通過開SG上網(wǎng)故障排除策略啟后，會在表中顯示詳細(xì)的日志，可根據(jù)日志排查那條策略的據(jù)，排過程中議制定IP地址啟志，以便速定位題。如下策略中，support用戶會匹配<限制通道>，P2P等應(yīng)用最大上行200Kbps，下行2Mbps，support200Kbps2Mbps，則該用戶在使用過程中理論最大可以流量可以達(dá)到上行400Kbps4Mbps（P2P等應(yīng)用上行200Kbps，2Mbps200Kbps2Mbps）。經(jīng)過SG上網(wǎng)比較啟用流量管理系統(tǒng)，限制p2p，，流的帶寬，保證上網(wǎng)及辦公應(yīng)用的帶寬，測試打SG 檢查SG設(shè)備認(rèn)證策略是否啟用認(rèn)證，或者單點(diǎn)登錄失敗動作選擇認(rèn)證檢查SG設(shè)備到內(nèi)網(wǎng)電腦的回包路由（網(wǎng)橋模式使用虛擬地址重定向不需要檢查SG是否允許用戶認(rèn)證成功之前能DNS服注意：這里之所以能解析出并且能通地址,是因?yàn)樵赟G上啟用了“未通過認(rèn)用戶可以dns服務(wù)”及“未通過認(rèn)證用戶具體根組權(quán)限（http應(yīng)用除外使用命令控制臺，測試與域控的連通性，可通過和net測試檢查組織結(jié)構(gòu)是否存在相同用戶名的本地賬號，如果有本地賬號，SG設(shè)備優(yōu)先認(rèn)證本地賬確定用戶是否成功加入域------運(yùn)行下輸入“gpresult-r”，用戶如果加入域成功則會顯示出確認(rèn)當(dāng)前一次域策略下發(fā)是否正常------運(yùn)行下輸入rsop.msc，正常情況下，能從域里面獲檢查【系統(tǒng)管理】-【系統(tǒng)配置】-【系統(tǒng)更新】-【規(guī)則庫升級】中，相應(yīng)規(guī)則庫升級服 在服務(wù)器上檢查SangforDenter服務(wù)是否啟動SGTCP810SG有了TCP810端口；查看系統(tǒng)日志，通過系統(tǒng)日志可以檢查：外置數(shù)據(jù)中心安裝軟件的版本和設(shè)備版本是否一致，外置據(jù)中心步賬號是和設(shè)備的致通過SG上網(wǎng)不了網(wǎng)二是用戶不了某些網(wǎng)頁，大部分網(wǎng)頁正常。檢查方法：通過命令控制臺執(zhí)行：，確認(rèn)DNS解析是否正常。同時可以在命令控制臺執(zhí)行：net 檢查方法：直接用最簡單的操作，SG和PC之間互，看能否通如果不了的網(wǎng)是固定的，也好處理一些最麻煩的是打不開網(wǎng)頁不固定有時可以打開有時又不能打開這種情況，因?yàn)楝F(xiàn)象不固定，收集信息就需要足夠的耐心。這類問題處理tcpdumpieth0hostx.x.x.xs0w/tmp/xxx.capIPtcpdump-ieth0hostx.x.x.xandportxxx-s0-w/tmp/xxx.cap (指定端口抓3、SG口抓包：第式數(shù)據(jù)量會很大，如果開啟抓包后能很快重現(xiàn)現(xiàn)象，建議還是按tcpdump-ieth2tcpport80orudpport53andhosty.y.y.y-s0-w/tmp/yyy.cap(y.y.y.y是SG設(shè)備IP，抓SG發(fā)出的80端口和dns解析的數(shù)據(jù)包，數(shù)據(jù)量很大)tcpdumpieth2tcp[20:4]=0x47455420andhosty.y.y.y-s0w/tmp/yyy.cap（httpgethttpwatch在現(xiàn)在不固定的情況下，收集有效的信息對后續(xù)問題排查有很大幫助，收集信息同時請速聯(lián)7發(fā)事件應(yīng)急處從內(nèi)網(wǎng)PC上下SG設(shè)備，測試PC能否正常SG，如果能正常SG，嘗試使用命令控制臺從SG上分別一下網(wǎng)關(guān)和，確認(rèn)是否正常。開啟日志并直通，看用戶上網(wǎng)是否恢復(fù)，如果恢復(fù)，則通過查看日志，找到被拒絕數(shù)據(jù)的模塊，修改策略。關(guān)閉日志和直通，測試上網(wǎng)是否恢復(fù)正常，如果仍然未恢復(fù)，則再開啟日志，據(jù)志修改略，直故修復(fù)。設(shè)備網(wǎng)橋部署，確認(rèn)設(shè)備橋接接口是否為橋接口，設(shè)備接口面板一般有標(biāo)注bypass接口eth0eth2bypassbypass針對該業(yè)務(wù)系統(tǒng)，開啟日志并直通，看業(yè)務(wù)系統(tǒng)是否恢復(fù)正常，如果恢復(fù)，則通過查看日志，找到被數(shù)據(jù)的模塊