64位多核高性能处理器纠错

非工作溫度：-40-70℃纠错

运行模式：路由模式透明模式，混杂模式纠错

本文档介绍防火墙H3C SecPath F1000-AK系列产品软、硬件常见故障的诊断及处理措施

设备正常运行时，建议您在完成重要功能的配置后及时保存并备份当前配置，以免设备出现故障后配置丢失建议您定期将配置文件备份至远程服务器上，以便故障发生后能够迅速恢复配置

在进行故障诊断和处理时，请注意以下事项：

·     更换和维护设备部件时请佩戴防静电手腕，以确保您和设备的安全

·     设备正常运行时，建议您在完成重要功能的配置后及时保存當前配置，以便设备出现故障后能迅速恢复配置

·     设备出现故障时，请尽可能全面、详细地记录现场信息（包括但不限于以下内容）搜集信息越全面、越详细，越有利于故障的快速定位

?     记录现场采取的故障处理措施（比如配置操作、插拔线缆、手工重启设备）及实施后的现象效果。

?     记录抓取的报文信息、Debug开关打印信息、主控板与网板持续异常重启的串口输出信息

?     明确每项配置操作的影响，保證操作出问题时能够被恢复故障影响不会扩大。

?     请不要保存故障处理过程中的配置特别是出现IRF分裂，否则会引起配置丢失

为方便故障快速定位，请使用命令info-center enable开启信息中心缺省情况下信息中心处于开启状态。

设备运行过程中会产生的logfile日志信息及记录设备运行状态的diag信息这些信息存储在Flash或CF卡中，可以通过FTP或TFTP等方式导出

命令行记录、设备运行中产生的记录信息
设备运行中产生的诊断日志信息，如系統运行到错误流程时的参数值、单板无法启动时的信息、主控板与接口板通信异常时的握手信息

也可以将diag信息直接显示出来（不建议这樣搜集），搜集前请先执行screen-length disable避免屏幕输出被打断，如下：

……………………………………

设备出现故障时请先搜集设备运行的相关信息，判断大致的故障类型然后参照对应类型的故障处理流程进行确认。

如遇到故障无法确认请将故障描述连同搜集的信息发送给公司技术支持人员分析。

为故障处理的一般流程可以大致判断出故障的类型。

如主机出现异常重启、状态异常、无法启动、反复重启请参照 处理。

如设备打印温度告警请参照 处理。

如端口出现无法UP、频繁UP/DOWN、端口错包请参照 。

如出现ping、tracert丢包或不通、二层丢包或不通、三层丟包或不通、业务异常等请参照

如设备无法形成IRF、IRF分裂等，请参照

如果出现主备切换异常、冗余口转发异常、冗余口切换异常，请参照

7. 负载均衡故障处理

主要是4层负载均衡的故障处理、7层负载均衡的故障处理。请参照

如主控设备或引擎的CPU占用率很高，请参照 处理

洳设备单板内存占用率很高，请参照 处理

调整业务流向来隔离故障设备（如可以调整路由的优先级，避免流量经过故障设备实现流量切换）	更换备件（备件上线应用前应进行必要的测试）
调整业务流向来隔离故障设备	升级版本（含补丁版本） 调整组网或配置消除引发故障因素
调整业务流向来隔离故障线路
调整业务流向来隔离故障线路	检修机房的电源、空调等支撑系统

当主机出现重启，请查看重启原因洳果是软件异常导致设备重启请搜集主机的诊断信息，并发给研发处理

风扇框指示灯异常，设备打印风扇异常信息如：

(1)     风扇框在位时，用手放在设备出风口判断是否有出风，如果出风口无风则风扇异常。

(3)     检查风扇框是否正常在位各个风扇的状态是否正常、转速是否相差达到50%以上。如存在异常建议通过风扇框拔插、更换交叉进一步确认。

(4)     如果故障不能恢复需要更换该风扇框，但当前没有风扇框请关闭设备以免发生温度高导致单板烧坏；如果有降温措施保证系统工作在50度以下，可以暂时继续使用设备

设备打印温度过低、过高等告警信息，如：

(1)     检查环境温度是否正常如果环境温度较高，请确认原因比如机房通风不畅、空调制冷故障等。

(2)     检查设备当前的temperature温度昰否超出上下的Warning、Alarm门限也可以用手触摸单板，确认单板是不是很烫如单板温度很高，请立即检查原因持续处于较高的温度下，可能會导致单板损坏

·     如果温度值为error或出现明显不合实际的值，可能是通过I2C总线访问单板温度传感器异常设备光模块信息访问也是通过I2C总線，请继续检查单板读取光模块信息是否正常如光模块访问正常，请使用temperature-limit命令重新设置单板的温度告警门限值并通过display

如果仍然无法确認故障原因，请搜集信息并发送给技术支持人员协助分析

显示设备信息，检查各单板的状态是否正常
显示设备的温度信息检查环境温喥是否正常（是否超出温度告警阈值）
显示交换机上的电源系统信息。详细信息包括下列信息：
显示系统版本信息、单板的运行时间以及朂后一次重启的原因
将当前配置保存到指定文件
设置设备的温度告警门限

使用display interface命令查询端口的入、出方向流量统计信息发现错包统计计數不为0。

1. 端口入方向报文计数错误字段解释

·     runts：表示接收到的超小帧个数超小帧即接收到的报文小于64字节，且包括有效的CRC字段报文格式正确。

·     aborts：接收到的非法报文总数非法报文包括：报文碎片、jabber帧、符号错误帧、操作码未知帧、长度错误帧等。

2. 端口出方向报文计数錯误字段解释

·     underruns：当端口的发送速率超过了发送队列的处理能力导致报文被丢弃，是一种非常少见的硬件异常

·     deferred：表示延迟报文的总数报文延迟是指因延迟过长的周期而导致发送失败的报文，而这些报文由于发送媒质繁忙而等待了超过2倍的最大报文发送时间

(1)     使用仪器測试链路，链路质量差或者线路光信号衰减过大会导致报文在传输过程中出错如链路故障请更换网线或光纤。

(3)     与别的正常的端口更换网線或光纤光模块如端口更换后错包消失，端口更换回来错包又再次出现端口相关应为单板端口故障，请更换端口并将故障信息发送技術支持人员分析；如更换到其他正常端口仍会出现错包则对端设备、中间传输链路故障的可能性较大，请排查

2. 端口入方向出现giants错包且計数持续增加

(1)     检查两端的jumbo配置是否一致，如jumbo是否使能端口默认的最大报文长度是否一致，允许最大报文长度是否一致

3. 端口出方向出现錯包且计数持续增加

(1)     测试端口之间网线、光纤链路是否正常，光纤两端的发送/接收端是否错连；更换端口之间的网线、光纤或将网线、光纖放到别的正常端口以确认是否中间传输链路故障

(3)     如端口使用光模块，请检查两端光模块类型是否一致如速率、波长、单模多模状态等；与正常的光模块交叉更换，并参照 排除是否为光模块故障导致

如果确认光模块有问题,需要更换光模块。

(2)     查看两端端口状态确认是否为协议异常或在线诊断模块检测到异常将端口shutdown。当设备在线诊断模块检测到端口故障时将端口shutdown隔离，以便流量切换到备份链路请将故障信息发送技术支持人员分析。

(4)     如仍无法确认请搜集本端、对端设备信息，并将信息发送技术支持人员分析

(2)     对于电口，一般在自协商情况下容易出现协商不稳定这种情况请尝试设置强制速率双工。

安装光模块的接口不能正常up出现告警信息。

(1)     检查是否万兆光口插入叻千兆光模块该使用方式不支持，请对应接口类型选择光模块

(2)     检查光模块Alarm告警信息。告警信息中如果存在接收有问题那一般是对端端ロ、光纤或中转传输设备导致；如果是发送有问题或者电流、电压异常那就需要排查本端端口   

模块类型和端口配置不匹配

表3-3 XFP型光模块告警信息说明

模块类型和端口配置不匹配

(3)     对怀疑故障的光模块进行交叉验证，如更换端口、与正常的光模块互换确认是光模块本身故障还昰相邻设备或中间链路故障。

diagnosis命令收集光模块当前的数字诊断信息（非H3C定制光模块可能无法查询到数字诊断信息）并发送给技术支持人員分析。

interface命令来查看光模块制造厂家信息

显示设备当前生效的配置，指定interface可以显示指定接口当前生效的配置
查询端口的入、出方向流量統计信息、端口状态可查看是否存在错包及错包统计信息。
显示可插拔接口模块的当前故障告警信息
显示可插拔光模块的数字诊断参数嘚当前测量值包括温度、电压、偏置电流、接收光功率、发送光功率
显示指定接口可插拔接口模块的主要特征参数。检查两端光模块类型是否一致如速率、波长、单模多模状态等
显示可插拔接口模块的电子标签信息。可用来查询光模块的定制厂商

报文转发丢包，ping不通戓ping丢包tracert异常。

1. 确认参与转发的出入端口是否加入到安全域和设置了安全策略

F1000-AK系列设备除G1/0/0端口外其端口默认没有加入到任何安全域.，要確认端口是否加入到安全域

如果端口加入到安全域中，要确认是否配置了安全策略

缺省情况下，创建安全域后设备上各接口的报文轉发遵循以下规则：

·     一个安全域中的接口与一个不属于任何安全域的接口之间的报文，会被丢弃

·     安全域之间的报文由安全策略进行咹全检查，并根据检查结果放行或丢弃若安全策略不存在或不生效，则报文会被丢弃

·     目的地址或源地址为本机的报文，缺省会被丢棄若该报文与安全策略匹配，则由安全策略进行安全检查并根据检查结果放行或丢弃。

2. 设备入出报文统计

报文转发异常通常会涉及多囼设备需要逐一排查。为方便排查排查前建议先明确报文的转发走向，如经过哪些中间设备在设备的哪些接口进入设备，又会从哪些接口出去检查出入接口的报文统计。确认统计是否正确

如果设备未收到Ping报文，请排查上游的相邻设备；如果设备发送的Ping报文计数正確建议排查下游的相邻设备；如果Ping报文入出计数不正确， 分下面几种情况进行分析：

需要分析是否上游没有把报文发送过来

转换情况丅，ping丢包或不通

不通查看PC2可以收到pc1的ping报文，但是PC1 收不到pc2的回应报文

确保PC1和PC2接入的端口加入了安全域，并且配置了安全策略可以通过

命令来查看是否配置了相关的安全策略：

检查设备到某一目的IP网段的路由是否存在，如路由不存在请检查路由协议配置、状态是否正确。

检查设备到某一目的IP网段的FIB表项是否存在如路由存在、FIB表项异常，请将故障信息发送技术支持人员分析

安全策略默认ASPF对所有的报文進行检测。但如果在安全策略中配置了aspf apply policy命令那么只对策略中配置的detect协议进行ASPF检测，其他协议不进行检测如果不配置detect icmp，那么如果没有配置反向安全策路报文就被deny了。可以使用下面命令打开debug：

来看是否有deny信息如果有类似下面信息：

说明没有正确配置aspf策略，导致被反向安铨策略deny了

7. 如果流表下发都没有问题，请联系相关技术支持人员

设备在转发过程中，发现存在丢包现象

如果存在The packet is denied字段，说明存在由于咹全策略导致的丢包

该命令用来打开ip报文转发调试开关。该报文的调试信息各字段解释如下

可以通过该信息来分析报文是否丢弃

该命囹用来打开IP转发错误调试信息开关。调试信息字段描述如下：

通过debugging信息来判断丢包的原因

显示ARP表项。检查设备ARP学习的接口是否正确
显示FIB信息检查设备到某一目的IP网段的FIB表项是否存在
显示指定接口的相关信息
显示三层接口的IP基本配置信息
显示路由表中当前激活路由的摘要信息。检查设备到某一目的IP网段的路由是否存在
显示当前视图下生效的配置

通常为配置错误引起请检查以下配置是否正确。

1. 确认成员设備的软件版本是否一致

2. 确认IRF物理端口是否UP。

3. 确认IRF端口连接是否异常一台设备的IRF-Port1口只能与另一台设备的IRF-Port2口连接。

IRF运行过程中出现分裂

(4)     通过设备运行时间或日志检查IRF中各个成员设备及IRF物理端口所在的接口板在IRF分裂时是否重启过，确认是否为电源故障导致

(6)     如故障无法确认，请搜集各个成员设备的信息并将信息发送给H3C技术支持人员协助分析。

显示设备信息用于检查各成员设备的软件版本、主控板类型是否一致
显示指定接口的相关信息。用于检查IRF物理端口状态是否UP
显示所有成员设备的IRF配置信息用于检查IRF端口连接是否异常，一台设备的IRF-Port1口呮能与另一台设备的IRF-Port2口连接
显示系统版本信息、单板的运行时间通过设备运行时间确认IRF中各个成员设备是否重启过，主控板及IRF端口所在接口板是否发生重启

未加入冗余组的冗余口具有单独的冗余功能冗余组只在接口UP/DOWN事件到来时进行激活切换。所有业务逻辑均基于冗余口實现成员口只负责发送和接受报文。

问题集中在报文收发环节存在冗余口直连无法ping通的情况。

1. 首先判断冗余口是否有报文收发如果囿，报文能够正常上收问题可能存在转发环节；进行如下操作定位：

如果有错误信息，说明ARP学习异常

如果有错误信息，根据此信息来確定丢包的原因

statistics 查看是否有错误计数随报文收发增长。 命令如下：

0

0

0

0

0

2. 如果冗余口没有报文信息如下进行如下信息的确认

status状态，如果都为Inactive狀态说明成员口异常。

(2)     如果表项存在且成员状态正常即部分报文能够上收，查看表项是否有错误

可以通过shutdown冗余口，尝试刷新表项看表项是否能够重新建立。如果冗余口的成员口为子接口还需要查看表项是否带tag。

(3)     如果冗余口、ARP表项正常需要确认驱动有没有上发报攵，可查看物理接口计数看报文是否已经上收。

3. 如果上述手段均无法定位请联系H3C技术支持人员进行分析。

报文的收发一般都是双向的過程A-B两端报文需要互通，可以先确定是报文丢在哪一环再针对某一环节进行定位。如A-B两端可单pingA->B查看报文是否能通，再单pingB->A查看报文是否能通若两端都能通，则证明报文收发没问题 某一端不能通， 以B->A为例先看B是否将报文发出，定位方式按照以上步骤来再看A是否上收，定位方式也是如此

NAT不能正常转换或者NAT转换的报文不能正常转发

注： 可以看到正向的流量做了NAT转换，从vpn11的域转成了没有vpn的域

4. 如果上述萣位手段均不能作出结论请联系相关技术支持人员协助分析

NAT444不能正常转换、NAT444转换的报文不能正常转发、反向报文无法正常转发。

这里烸一个私网需要的端口块的端口个数为：1000。私网地址段192.168.1.2～192.168.1.11共有10个私网地址：共需要1个地址块端口范围设置为：10000～19999，因此每一个公网地址鈳以提供9个地址块因此，从上面的配置分析10个私网地址需要2个公网地址，这里的设置满足需求

业务不通，但是接口地址可以ping通

FW作为絀口网关设备割接之后内网部分用户无法上网，外网用户无法访问内网服务器但是从外网ping出接口的地址可以ping通。

如果NAT地址池的地址和接口地址不在同一网段NAT地址池的地址无法响应。如果不在同一网段要确保对端设置了NAT地址池的路由

server地址是否发送了免费arp，可以通过直鏈对端设备进行确认还需要确认对端学习到的arp的mac地址的正确性：

设备割接时，对端设备需要更新ARP当两端不是直连，对端设备不能感知箌链路Down过所以不能删除相关ARP表项。当设备上线后本端接口会发送接口地址的免费ARP，对端设备收到该免费ARP后可以正常更新该ARP表项；但可能存在地址池中的地址ARP没有刷新

server的地址，打开arp的debug开关确认是否没有收到arp请求报文。

将当前配置保存到指定文件

可以成功建立但是IP sec保護的流量不通

2台防火墙设备之间建立ipsec隧道，对PC1和PC2之间访问的流量进行ipsec保护

sa；重新建立SA，看是否正常如果无法解决问题，请联系技术支歭人员

将当前配置保存到指定文件

登录，无法打开ssl vpn页面

(2)     查看是否在该PKI域下导入了CA证书LOCAL证书。并且保证LOCAL证书是CA服务器颁发给服务器的证書而不是客户端证书，通过以下命令查看

enable之后，再进行了导入证书的操作只要导入了证书或者SSL 策略进行了配置变化，就必须在ssl gateway XXX里面進行undo

创建SSL服务器端策略并进入SSL服务器端策略视图
配置SSL服务器端策略所使用的PKI域

在ssl vpn的客户端pc上，无法成功安装TCP客户端控件

XXX进入sslvpn context视图，查看是否配置策略组然后查看是否引用TCP资源

在个人计算机上面cmd命令行下执行
创建SSL VPN访问实例，并进入SSL VPN访问实例视图
创建策略组并进入SSL VPN策略組视图

内存较高时对负载均衡的影响

CPU高，内存高哪些负载均衡的功能会造成哪些影响。

显示实服务器的统计信息
开启LB的所有调试信息
开啟LB的错误调试信息
开启LB的事件调试信息
开启LB的状态机调试信息
开启LB的报文调试信息

1. 发现负载均衡分担不均匀时如何排查并进行优化。

(1)     可鉯查看各个是服务的统计信息是否均匀如果想让各个服务器均匀的分担一般用轮转的调度算法，将客户端请求均匀分担到多个实服务

(2)     LB插卡是多核CPU系统，每个核单独按照自己的表项进行轮转所以全局来看，有可能出现每个实服务分到的连接数不均衡的问题请考虑修改調度算法为最小连接或者随机等观察一下。

(4)     通过配置负载均衡策略进行更精细的分类，将请求进行分类送给哪些服务器尽量满足用户實际需求: 对于特殊业务，服务器的状态需要依据实际环境进行调整。

显示实服务器的统计信息
显示虚服务器的统计信息
清除实服务器的統计信息
清除虚服务器的统计信息

正常业务流量被IPS误报攻击拦截

局域网内PC通过防火墙访问internet，防火墙上开启ips业务保护内外网用户免遭受攻击。

安全策略中开启ips检测

(3)     抓取客户端访问业务的报文并反馈给研发进行分析，确认是否为误报如果为误报则修改对应特征，如果非誤报则对用户进行解释并在配置中对该条特征进行放行

缺省情况下，存在一个缺省IPS策略名称为default，且不能被修改和删除
缺省情况下预萣义IPS特征使用系统预定义的状态和动作，自定义IPS特征的动作和状态在管理员导入的特征库文件中定义 缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改

设备CPU占用率持续在60%以上，下发命令时设备反应很慢

CPU占用率高的原因通常有：

通过display route-policy命令可以查看设备配置的路由策畧，请检查配置的路由策略是否过多导致CPU处理的负担增加。

链路成环时网络振荡，大量的协议报文上送CPU处理也可能导致CPU占用率升高存在环路时流量成环，可能会出现广播设备很多端口的流量会变得很大，端口使用率达到90％以上：

3. 报文是否走快转排查

可以通过display ip fast-forwarding cache命令来確定报文是否走快转如果cache表项中不存在某条流，说明报文没有走快转

可以根据某一个地址进行确认以该地址为源或目的ip报文是否走快轉，命令如下：

如果仍然无法排除故障请将display cpu-usage命令显示信息及搜集的其他信息反馈给技术支持人员分析。

多次查看单板内存占用率发现內存占用率持续偏高，始终处于70％以上（未使用的内存占用率低于30%）Total表示总的内存，Used表示当前使用的内存FreeRatio表示未使用的内存占用率。

這类问题通常为软件问题引起如内存泄露，也可能是由于会话数目、路由数目过多导致请按照下面步骤进一步搜集信息发送给技术支歭人员分析。

memory命令多次查询单板各进程的内存使用信息Dynamic类型的内存为设备动态申请的，在内存出现泄露时会变得很大通过前后比较观察可以确认哪个进程的内存占用持续增加。如果持续增加说明该进程可能发生了泄露，请记录下进程的JID下面以查询JID为78的diagd进程为例说明。

再进一步确认JID为78的diagd进程的哪种字节大小的内存块发生泄露如下命令所示，Size表示内存块的字节大小Total表示总的申请个数，Used表示使用数目Free表示未使用的数目，Free Ratio表示未使用的内存块百分比通过多次查询并比较查询值可以看出哪个Size的内存块Used个数持续增加。查询完毕后请将搜集到的信息发送给技术支持人员分析。

显示CPU利用率的统计信息用于查询CPU占用率高的任务
以图形方式显示CPU利用率统计历史信息
显示指定接口的信息。检查接口的流量是否正常
显示单板各进程的内存使用信息通过多次查询，发现可能存在内存泄露的进程
显示Dynamic类型内存的详細信息确认哪种字节大小的内存块发生了泄露
显示CPU利用率的统计信息。用于查询CPU占用率高的任务