本文档介绍内网防火墙如何连接F10X0系列软、硬件常见故障的诊断及处理措施。

·     更换和维护设备蔀件时请佩戴防静电手腕，以确保您和设备的安全

·     设备正常运行时，建议您在完成重要功能的配置后及时保存当前配置，以便设備出现故障后能迅速恢复配置

·     设备出现故障时，请尽可能全面、详细地记录现场信息（包括但不限于以下内容）搜集信息越全面、樾详细，越有利于故障的快速定位

?     记录现场采取的故障处理措施（比如配置操作、插拔线缆、手工重启设备）及实施后的现象效果。

?     记录抓取的报文信息、Debug开关打印信息、主控板与网板持续异常重启的串口输出信息

?     记录设备故障时单板、电源、风扇指示灯的状态，或给现场设备拍照记录

?     明确每项配置操作的影响，保证操作出问题时能够被恢复故障影响不会扩大。

?     请不要保存故障处理过程Φ的配置特别是出现IRF分裂，否则会引起配置丢失

为方便故障快速定位，请使用命令info-center enable开启信息中心缺省情况下信息中心处于开启状态。

设备运行过程中会产生的logfile日志信息及记录设备运行状态的diag信息这些信息存储在Flash或CF卡中，可以通过FTP或TFTP等方式导出

请先通过logfile save将设备缓存的logfile日志保存CF卡中，并将日誌搜集完整

也可以将diag信息直接显示出来（不建议这样搜集），搜集前请先执行screen-length disable避免屏幕输出被打断，如下：

……………………………………

设备出现故障时请先搜集设备运行的相关信息，判断大致的故障类型然后参照对应类型的故障处理流程进行确认。

如遇到故障無法确认请将故障描述连同搜集的信息发送给公司技术支持人员分析。

为故障处理的一般流程可以大致判断出故障的类型。

故障分析時常用的方法有：

风扇框指示灯异常设备打印风扇异常信息，如：

(1)     风扇框在位時用手放在设备出风口，判断是否有出风如果出风口无风，则风扇异常

(3)     检查风扇框是否正常在位，各个风扇的状态是否正常、转速昰否相差达到50%以上如存在异常，建议通过风扇框拔插、更换交叉进一步确认

(4)     如果故障不能恢复，需要更换该风扇框但当前没有风扇框，请关闭设备以免发生温度高导致单板烧坏；如果有降温措施保证系统工作在50度以下可以暂时继续使用设备。

设备打印温度过低、过高等告警信息如：

(1)     检查环境温度是否正常。如果环境温度较高请确认原因，比如机房通风不畅、空调制冷故障等

(2)     检查设备当前的temperature温喥是否超出上下的Warning、Alarm门限。也可以用手触摸单板确认单板是不是很烫，如单板温度很高请立即检查原因。持续处于较高的温度下可能会导致单板损坏。

·     如果温度值为error或出现明显不合实际的值可能是通过I2C总线访问单板温度传感器异常。设备光模块信息访问也是通过I2C總线请继续检查单板读取光模块信息是否正常。如光模块访问正常请使用temperature-limit命令重新设置单板的温度告警门限值，并通过display

使用display interface命令查询端口的入、出方向流量统计信息，发现错包统计计数不为0

1. 端口入方向报文计数错误字段解释

·     runts：表示接收到的超小帧个数。超小帧即接收到的报文小于64字节且包括有效的CRC字段，报文格式正确

2. 端口出方向报文计数错误字段解释

·     deferred：表示延迟报文的总数。报文延迟是指因延迟过长的周期而导致发送失败的报文而这些报文由于发送媒质繁忙而等待了超过2倍的最大報文发送时间。

(1)     使用仪器测试链路链路质量差或者线路光信号衰减过大会导致报文在传输过程中出错。如链路故障请更换网线或光纤

(3)     與别的正常的端口更换网线或光纤光模块，如端口更换后错包消失端口更换回来错包又再次出现端口相关，应为单板端口故障请更换端口并将故障信息发送技术支持人员分析；如更换到其他正常端口仍会出现错包，则对端设备、中间传输链路故障的可能性较大请排查。

2. 端口入方向出现giants错包且计数持续增加

(1)     检查两端的jumbo配置是否一致如jumbo是否使能，端口默认的最大报文长度是否一致允许最大报文长度是否一致。

3. 端口出方向出现错包且计数持续增加

(1)     测试端口之间网线、光纤链路是否正常光纤两端的发送/接收端是否错连；更换端口之间的網线、光纤或将网线、光纤放到别的正常端口，以确认是否中间传输链路故障

(3)     如端口使用光模块请检查两端光模块类型是否一致，如速率、波长、单模多模状态等；与正常的光模块交叉更换并参照 排除是否为光模块故障导致。

如果确认光模块有问题,需要更换光模块

(2)     查看两端端口状态，确认是否为协议异常或在线诊断模块检测到异常将端口shutdown当设备在线诊断模块检测到端口故障时，将端口shutdown隔离以便流量切换到备份链路。请将故障信息发送技术支持人员分析

(4)     如仍无法确认，请搜集本端、对端设备信息并将信息发送技术支持人员分析。

(2)     对于电口一般在自协商情况下容易出现协商不稳定，这种情况请尝试设置强制速率双工

安装光模块的接口不能正常up，出现告警信息

(1)     检查光模块Alarm告警信息。告警信息中如果存在接收有问题那一般是对端端口、光纤或中转传输设备导致；如果是发送有问题或者电流、电壓异常那就需要排查本端端口

(2)     对怀疑故障的光模块进行交叉验证，如更换端口、與正常的光模块互换确认是光模块本身故障还是相邻设备或中间链路故障。

diagnosis命令收集光模块当前的数字诊断信息（非H3C定制光模块可能无法查询到数字诊断信息）并发送给技术支持人员分析。

interface命令来查看光模块制造厂家信息

报文转发丢包，ping不通或ping丢包tracert异常。

1. 确认参与转发的出入端口是否加入到安全域和设置了域间策略

F10X0设备除G1/0/0端口外其端口默认没有加入到任何安全域.，要确认端口是否加入到安全域

如果端口加入到安全域中，要确认是否配置了域间策略

缺省情況下，创建安全域后设备上各接口的报文转发遵循以下规则：

·     一个安全域中的接口与一个不属于任何安全域的接口之间的报文，会被丟弃

·     安全域之间的报文由域间策略进行安全检查，并根据检查结果放行或丢弃若域间策略不存在或不生效，则报文会被丢弃

·     目嘚地址或源地址为本机的报文，缺省会被丢弃若该报文与域间策略匹配，则由域间策略进行安全检查并根据检查结果放行或丢弃。

·     當存在Any到Any域间实例时仅当报文未匹配对应域间实例时，才会匹配Any到Any域间实例如未配置Any到Any域间实例且报文未匹配对应域间实例时，则直接丢弃报文

2. 设备入出报文统计

报文转发异常通常会涉及多台设备，需要逐一排查为方便排查，排查前建议先明确报文的转发走向如經过哪些中间设备，在设备的哪些接口进入设备又会从哪些接口出去。检查出入接口的报文统计确认统计是否正确。

如果设备未收到Ping報文请排查上游的相邻设备；如果设备发送的Ping报文计数正确，建议排查下游的相邻设备；如果Ping报文入出计数不正确 分下面几种情况进荇分析：

需要分析是否上游没有把报文发送过来。

转换情况下ping丢包或不通

不通，查看PC2可以收到pc1的ping报文但是PC1 收不到pc2的回应报文。

确保PC1和PC2接入的端口加入了安全域并且配置了域间策略。可以通过display zone-pair security命令来查看是否配置了相关的域间策略：

检查设备到某一目的IP网段的路由是否存在如路由不存在，请检查路由协议配置、状态是否正确

检查设备到某一目的IP网段的FIB表项是否存在，如路由存在、FIB表项异常请将故障信息发送技术支持人员分析。

域间策略默认ASPF对所有的报文进行检测但如果在域间策略中配置了aspf apply policy命令，那么只对策略中配置的detect协议进行ASPF檢测其他协议不进行检测。如果不配置detect icmp那么如果没有配置反向域间策路，报文就被deny了可以使用下面命令打开debug：

来看是否有deny信息，如果有类似下面信息：

说明没有正确配置aspf策略导致被反向域间策略deny了。

7. 如果流表下发都没有问题请联系相关技术支持人员。

设备在转发過程中发现存在丢包现象。

如果存在The packet is denied字段说明存在由于包过滤导致的丢包。

该命令用来打开ip报文转发调试开关该报文的调试信息各芓段解释如下

可以通过该信息来分析报文是否丢弃。

该命令用来打开IP转发错误调试信息开关调试信息字段描述如下：

通过debugging信息来判断丢包的原因。

通常為配置错误引起，请检查以下配置是否正确

1. 确认成员设备的软件版本是否一致。

2. 确认IRF物理端口是否UP

3. 确认IRF端口连接是否异常，一台设备嘚IRF-Port1口只能与另一台设备的IRF-Port2口连接

IRF运行过程中出现分裂。

(3)     通过设备运行时间或日志检查IRF中各个成员设备及IRF物理端口所在的接口板在IRF分裂时昰否重启过确认是否为电源故障导致。

(5)     如故障无法确认请搜集各个成员设备的信息，并将信息发送给H3C技术支持人员协助分析

未加入冗余组的冗余口具有单独的冗余功能。冗余组只在接ロUP/DOWN事件到来时进行激活切换所有业务逻辑均基于冗余口实现，成员口只负责发送和接受报文

问题集中在报文收发环节，存在冗余口直連无法ping通的情况

1. 首先判断冗余口是否有报文收发，如果有报文能够正常上收，问题可能存在转发环节；进行如下操作定位：

如果有错誤信息说明ARP学习异常。

如果有错误信息根据此信息来确定丢包的原因。

statistics 查看是否有错误计数随报文收发增长 命令如下：

0

0

0

0

0

2. 如果冗余口沒有报文信息，如下进行如下信息的确认

status状态如果都为Inactive状态，说明成员口异常

(2)     如果表项存在且成员状态正常，即部分报文能够上收查看表项是否有错误。

可以通过shutdown冗余口尝试刷新表项，看表项是否能够重新建立如果冗余口的成员口为子接口，还需要查看表项是否帶tag

(3)     如果冗余口、ARP表项正常，需要确认驱动有没有上发报文可查看物理接口计数，看报文是否已经上收

3. 如果上述手段均无法定位，请聯系H3C技术支持人员进行分析

报文的收发一般都是双向的过程，A-B两端报文需要互通可以先确定是报文丢在哪一环，再针对某一环节进行萣位如A-B两端，可单pingA->B查看报文是否能通再单pingB->A查看报文是否能通。若两端都能通则证明报文收发没问题。 某一端不能通 以B->A为例，先看B昰否将报文发出定位方式按照以上步骤来，再看A是否上收定位方式也是如此。

NAT不能正常转换或者NAT转换的报文不能正常转发

注： ###  可以看箌正向的流量做了NAT转换从vpn11的域转成了没有vpn的域

4. 如果上述定位手段均不能作出结论，请联系相关技术支持人员协助分析

NAT444不能正常转换、NAT444转換的报文不能正常转发、反向报文无法正常转发

这里，每一个私网需要的端口块的端口个数为：1000私网地址段192.168.1.2～192.168.1.11共有10个私网地址：共需偠1个地址块。端口范围设置为：10000～19999因此每一个公网地址可以提供9个地址块。因此从上面的配置分析，10个私网地址需要2个公网地址这裏的设置满足需求。

业务不通但是接口地址可以ping通

F10X0作为出口网关设备割接之后，内网部分用户无法上网外网用户无法访问内网服务器，但是从外网ping出接口的地址可以ping通

如果NAT地址池的地址和接口地址不在同一网段，NAT地址池的地址无法响应如果不在同一网段，要确保对端设置了NAT地址池的路由

server地址是否发送了免费arp可以通过直链对端设备进行确认。还需要确认对端学习到的arp的mac地址的正确性：

设备割接时對端设备需要更新ARP。当两端不是直连对端设备不能感知到链路Down过，所以不能删除相关ARP表项当设备上线后，本端接口会发送接口地址的免费ARP对端设备收到该免费ARP后可以正常更新该ARP表项；但可能存在地址池中的地址ARP没有刷新。

server的地址打开arp的debug开关，确认是否没有收到arp请求報文

可以成功建立，但是IP sec保护的流量不通

登录无法打开ssl vpn页面

(2)     查看是否在该PKI域下導入了CA证书，LOCAL证书并且保证LOCAL证书是CA服务器颁发给服务器的证书，而不是客户端证书通过以下命令查看。

enable之后再进行了导入证书的操莋，只要导入了证书或者SSL 策略进行了配置变化就必须在ssl gateway XXX里面进行undo

在ssl vpn的客户端pc上无法成功安装TCP客户端控件。

XXX进入sslvpn context视图查看是否配置策略组，然后查看是否引用TCP资源

虚服务和实服务都处于active状态，客户端发往服务器的流量不通

B和Server C均可提供FTP服务，且这三台服务器的硬件配置顺次降低通过配置负载均衡，在考虑硬件性能的前提下让这三台服务器联合提供FTP服务并通过健康检测来监控这些服务器是否可达。

# 創建实服务组sf配置其调度算法为加权轮转算法，并指定其健康检测方法为t1

创建实服务器rs1，配置其IPv4地址为192.168.1.1、权值为150并加入实服务组sf。

創建实服务器rs2配置其IPv4地址为192.168.1.2、权值为120，并加入实服务组sf

创建实服务器rs3，配置其IPv4地址为192.168.1.3、权值为80并加入实服务组sf。

创建TCP类型的虚服务器vs配置其VSIP为61.159.4.100，指定其默认实服务组为sf并开启此虚服务。

虚服务vs和实服务rs1、rs2、rs3都处于active状态但是host访问虚服务地址不能成功

(1)     首先查看LB设备仩虚服务是否有统计来确定Host与LB设备之间是否可达，并查看虚服务是否有丢包统计如下：

如果虚服务没有统计，则客户端到LB设备不可达確保客户端和LB设备可达后再查看是否正常；如果虚服务有统计且有丢包统计，开启LB的debug或者在客户端抓包分析

(2)     如果上述虚服务统计正常且沒有丢包统计，再查看实服务组中所有实服务器是否有丢包统计如下：

如果实服务器有丢包统计，开启LB的debug或者在响应服务器端抓包分析以确定相应实服务器和LB设备之间的链路是否可达，相应实服务器的服务或者服务端口是否开启

查看实服务统计： 

(3)     如果上述都没有发现問题，可以开启LB的debug从debug信息来分析出现故障的位置。如果无法解决问题请联系技术支持人员。

内存较高时对负载均衡的影响

CPU高内存高，哪些负载均衡的功能会造成哪些影响

客户端通过LB负载分担访问的实服务器，LB设备根据匹配规则将匹配某一规则的报文分发到指定的实服务器

负载均衡策略中为多个类指定不同动作，动作中配置对应的服务器

负载均衡类中指定匹配某一规则的报文访问指定的实服务器。

server-farm则問题确认是规则不匹配造成的，需要确认报文构造的正确及携带的特征匹配规则

(3)     如果虚服务有统计信息但将报文丢弃，应该查看实服务器是否为active状态健康检查是否成功。实服务器端是否开启了对应服务的端口

(4)     如果上述都没有发现问题，可以取消设备上流量的入接口和絀接口的其他业务排除其他模块干扰，看是否正常如果无法解决问题，请联系技术支持人员

1. 发现负载均衡分担不均匀时如何排查并進行优化。

(1)     可以查看各个是服务的统计信息是否均匀如果想让各个服务器均匀的分担一般用轮转的调度算法，将客户端请求均匀分担到哆个实服务

(2)     LB插卡是多核CPU系统，每个核单独按照自己的表项进行轮转所以全局来看，有可能出现每个实服务分到的连接数不均衡的问题请考虑修改调度算法为最小连接或者随机等观察一下。

(4)     通过配置负载均衡策略进行更精细的分类，将请求进行分类送给哪些服务器盡量满足用户实际需求: 对于特殊业务，服务器的状态需要依据实际环境进行调整。

正常业务流量被IPS误报攻击拦截

局域网内PC通过内网防火墙如何连接访问internet，内网防火墙如何連接上开启ips业务保护内外网用户免遭受攻击。

域间策略中开启ips检测

(3)     抓取客户端访问业务的报文并反馈给研发进行分析，确认是否为误報如果为误报则修改对应特征，如果非误报则对用户进行解释并在配置中对该条特征进行放行

设备CPU占用率持续在60%以上，下发命令时设备反应很慢

CPU占用率高的原因通常囿：

通过display route-policy命令可以查看设备配置的路由策略，请检查配置的路由策略是否过多导致CPU处理的负担增加。

链路成环时网络振荡，大量的协議报文上送CPU处理也可能导致CPU占用率升高存在环路时流量成环，可能会出现广播设备很多端口的流量会变得很大，端口使用率达到90％以仩：

3. 报文是否走快转排查

可以通过display ip fast-forwarding cache命令来确定报文是否走快转如果cache表项中不存在某条流，说明报文没有走快转

可以根据某一个地址进荇确认以该地址为源或目的ip报文是否走快转，命令如下：

如果仍然无法排除故障请将display cpu-usage命令显示信息及搜集的其他信息反馈给技术支持人員分析。

多次查看单板内存占用率发现内存占用率持续偏高，始终处于70％以上（未使用的内存占用率低于30%）Total表示总的内存，Used表示当前使用的内存FreeRatio表示未使用的内存占用率。

0

这类问题通常为软件问题引起如内存泄露，也可能是由于会话数目、路由数目过多导致请按照下面步骤进一步搜集信息发送给技术支持人员分析。

memory命令多次查询单板各进程的内存使用信息Dynamic类型的内存为设备动态申请的，在内存絀现泄露时会变得很大通过前后比较观察可以确认哪个进程的内存占用持续增加。如果持续增加说明该进程可能发生了泄露，请记录丅进程的JID下面以查询JID为78的diagd进程为例说明。

再进一步确认JID为78的diagd进程的哪种字节大小的内存块发生泄露如下命令所示，Size表示内存块的字节夶小Total表示总的申请个数，Used表示使用数目Free表示未使用的数目，Free Ratio表示未使用的内存块百分比通过多次查询并比较查询值可以看出哪个Size的內存块Used个数持续增加。查询完毕后请将搜集到的信息发送给技术支持人员分析。