SecPath 系列防火墙维护常见问题
与案例分析
拟制
Prepared by 王思军 03513
Date 日期 2006-2-28
评审人
Reviewed by
Date 日期 yyyy-mm-dd 批准
Approved by
Date 日期
yyyy-mm-dd
华为三康技术有限公司
Huawei-3Com Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
修订记录 Revision Record
0、前言
本手册是技术支持中心安全产品组整理根据近一年来的网上问题和培训中学员提出的问题整理而成,办事处兄弟提出了很多宝贵意见,研发兄弟也提供了很多好的维护案例,在此一并表示感谢。欢迎大家将平时碰到的问题反馈给我们,一起丰富此手册。
!注意:本手册中的SecPath防火墙在没说明的情况下指的是华为3Com自主研发的SecPath10F、SecPath100F、SecPath100F-E、SecPath500F、SecPath1000F六款产品,不包括SecPath1800F。
0、前言 (3)
1、入门篇 (9)
1.1 从路由器到防火墙快速入门 (9)
1.2 防火墙的域(zone)是什么意思? (9)
1.3 SecPath系列防火墙中,为什么SecPath10F/SecPath100F/SecPath500F/SecPath1000F与
SecPath1800F的操作和特性有很大差别? (10)
1.4 SecPath防火墙中inbound和outbound的含义是什么呢? (10)
1.5 SecPath防火墙域间有相应的缺省规则吗?为什么我设置firewall packet-filter default
deny域间还是能够访问? (10)
1.6 为什么我的接口配了IP地址和PC对连却ping不通? (11)
1.7为什么我的SecPath防火墙里面没有域?也启用不了透明模式和攻击防范? (11)
1.8 SecPath10F/100F上的WAN口和LAN口必须分别接公网和内网吗? (12)
1.9 SecPath10F只有五个业务口,为何display ip interface brief却显示有
eth0/0,eth0/1,eth0/2,eth0/3,eth0/4,eth2/0六个接口? (12)
1.10 SecPath10F/SecPath100F的四个LAN口为什么只能配一个IP地址? (12)
1.11 防火墙中的Session是什么意思(请重点理解)? (12)
1.12 SecPath防火墙如何支持WEB管理? (14)
1.13 为什么WEB管理操作时从设备读取页面很慢? (16)
1.14 在BootRom模式下TFTP升级VRP版本时,为什么从有些接口上下载不了版本?. 16
1.15 我删除了FLASH里面的VRP系统文件,从BootRom模式下TFTP升级VRP版时,
系统却提示FLASH空间不足,版本无法下载,系统启动不了怎么办? (17)
1.16 VRP系统损坏了怎么办? (17)
1.17 为什么从系统下升级VRP版本重启设备后未生效? (17)
1.18 SecPath防火墙能对BT下载进行限流吗? (17)
2、进阶篇 (18)
2.1 SecPath数据包转发流程 (18)
2.1.1 SecPath软件体系架构 (18)
2.1.2 IPSec VPN报文转发流程 (18)
2.1.3 防火墙模块组成 (19)
2.2 巧用debug命令进行防火墙相关问题诊断 (20)
2.3 系统/单板异常挂起或重启后的信息收集 (27)
3、NAT (32)
3.1 FAQ (32)
3.1.1 NA T与nat server到底是用来干什么的?静态NAT呢? (32)
3.1.2为什么我更改NAT转换后的地址后就访问不了外网了呢? (32)
3.1.3 公网口作了FTP或HTTP的NATServer但不生效,如何检查网络的连通性? (32)
3.1.4服务器放在DMZ区域,在外网口作了NAT SERVER后,trust区域的用户如何通过服
务器私网地址和映射出去的公网访问服务器? (33)
3.1.5 服务器放在DMZ区域,在外网口作了NAT SERVER后,DMZ区域的用户如何通过
服务器私网地址和映射出去的公网访问服务器? (33)
3.1.6 ALG的作用是什么?如何应用? (34)
3.2 典型案例分析:满足客户需求,玩转NATSERVER (34)
4、SecPoint与L2TP (50)
4.1FAQ (50)
4.1.1 SecPoint支持哪些系统,具有哪些特性? (50)
4.1.2 SecPoint与哪些软硬件易产生冲突? (50)
4.1.3 SecPoint卸载时出现“无法卸载,SecPoint目录可能已被手工删除”如何处理? (51)
4.1.4 SecPoint设置均正确,可以ping通LNS服务器,却显示“无法连接LNS”怎么办?
(51)
4.1.5 SecPoint拨入后,可以ping通LNS的虚模板地址,却无法ping通私网公地址怎么办?
(52)
4.1.6 SecPoint拨号成功后,可以ping通内部服务器,但是无法打开网页怎么办? (53)
4.1.7 SecPoint拨号成功后,可以ping通内部服务器,无法FTP下载文件怎么办? (53)
4.1.8 在远程如何确认客户的SecPoint设置是否正确? (53)
4.1.9 SecPoint用户是否可以互访? (54)
4.1.10 共享一个公网IP出口的局域网内,多个用户能同时用SecPoint连入总部VPN吗?
(54)
4.1.11防火墙在全局下配了ip pool,为何不生效,SecPoint无法获得地址? (54)
4.1.12 防火墙产品在做L2TP时提示“用户名/密码错误”? (54)
4.1.13 L2TP客户端secpoint软件是否可以动态获得DNS? (54)
4.1.14 LNS位于NAT网关之后如何处理? (54)
4.1.15 IPSEC网关也位于NAT网关之后,如何处理? (55)
4.1.16 PC经过NAT上公网,拨入VPN网关,只使用L2TP没有问题,但是一旦用
L2TP+IPSec就无法拨入,且ike sa 和IPSec sa 都已经建立,公网PC采用相同的SecPoint 配置能通过L2TP+IPSec拨入 (55)
4. 2 典型案例分析 (56)
4.2.1 SecPath防火墙作LNS和IPSEC中心端,接受SecPoint L2TP+IPSEC拨入的最简配
置 (56)
4.2.2 如果中心的设备经过NAT上网,SecPoint要和中心的设备建立L2TP+IPSEC,在
SecPoint端设置的LNS服务器和IPSEC服务器的IP地址为什么不能一样? (60)
5、GRE (63)
5. 1 FAQ (63)
5.1.1为何tunnel口协议层已经UP了,但是却无法ping通对端tunnel口地址? (63)
5.1.2 GRE的TUNNEL中定义的ip address、source 和destination这三个地址的作用是什么?
(63)
5.1.3 为什么有的地方要用loopback口地址作tunnel的source和destination地址? (63)
6、DVPN (65)
6.1 FAQ (65)
6.1.1 SecPath防火墙和VPN设备的DVPN为何建立不起来? (65)
6.1.2 DVPN已经建立,tunnel已经UP,为何ping不通对方tunnel地址? (65)
6.1.3 DVPN已经建立,tunnel已经UP,PC 能ping通对方tunnel地址,为何ping不通对方
私网地址? (65)
7、IPSec相关 (66)
7.1 FAQ (66)
7.1.1如何知道我的设备带没带IPSec加密卡? (66)
7.1.2如何开启IPSec加密卡的快转? (66)
7.1.3 IKE野蛮模式和主模式有什么区别,分别在什么环境下采用? (66)
7.1.4 IKE的主模式能穿越NAT吗? (66)
7.1.5 IKE的野蛮模式能用IP作ID-TYPE吗? (66)
7.1.6设备双方野蛮模式都用NAME作ID,如何让只让一边发起IPSEC协商? (66)
7.1.7两设备之间建立起ipsec隧道后,如果一方的ipsec sa和ike sa不存活了,如何让对方
设备自动删除sa,再重新和对方建立ipsec隧道,从而防止数据包丢失? (67)
7.1.8 ipsec policy-template一般应用在什么环境下? (68)
7.1.9我司设备所支持的CA证书与其他厂商的CA服务器的兼容性如何? (68)
8、安全防范 (69)
8.1 FAQ (69)
8.1.1 aaa认证radius服务器有哪些? (69)
8.1.2 如何查看radius服务器服务启动没有? (69)
8.1.3 如何利用Radius服务器为用户单独分配特定的地址? (69)
8.1.4 如何理解和正确应用ASPF? (73)
8.1.5 将PC的MAC和IP地址绑定后,为何我修改了PC的IP地址,还是能够上网? .. 73
8.1.6 防火墙透明模式下,PC通过防火墙接入DHCP SERVER,为何无法获得地址? (74)
8.1.7防火墙透明模式设置为透明模式,防火墙两边的路由器为何不能建立OSPF邻居关系?
(74)
8.1.8开启了防火墙的firewall defend all,为何还是无法进行DOS攻击的防范? (74)
8.1.9 SecEngine能和哪些设备进行联动?SecPath1800F可以吗? (75)
9、可靠性 (76)
8.1 FAQ (76)
8.1.1主备切换与双机热备有什么区别?SecPath支持双机热备吗? (76)
1、入门篇
1.1 从路由器到防火墙快速入门
从网络位置上,防火墙的位置是在接入层,即介于外网和内网之间。因此,它的路由功能相对较弱,也不推荐大家配置较多的路由条目和启动动态路由协议。这是由防火墙的功能决定的。因为防火墙主要的作用是为了防范外网对内网的攻击。它的位置同样决定了它必须有强大的报文转发能力。
从概念上,防火墙与路由器的区别主要有两个,一是防火墙有安全域的概念,二是防火墙能进行除了ACL过滤的其它攻击防范。它能提供黑名单、攻击防范、内容过滤、流量统计等路由器没有的功能。具体功能可参见产品规格。
在配置上,SecPath采用COMWARE,其操作命令与同VRP3.4版本的路由器是相同的。同时,SecPath还支持WEB管理。要实现WEB管理的配置方法见后面小节的说明。
简而言之,SecPath防火墙在配置非防火墙的特性时,只需要将物理接口加入某一个安全域,interface virtual-template, int tunnel, int dialer等虚接口加入untrust域。然后考虑一下防火墙的包过滤缺省规则,就把它当VRP3.4版本的路由器来配置,够简单吧。
1.2 防火墙的域(zone)是什么意思?
区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。SecPath缺省有trust、untrust、DMZ、local 4个安全域,同时还可以自定义12个区域。
[SecPath]firewall zone ?
DMZ DMZ security zone
local Local security zone
name Specify a new security zone name and create it
trust Trust security zone
untrust Untrust security zone
一般来讲,安全区域与各网络的关联遵循下面的原则:内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说,Trust所属接口用于连接用户要保护的网络;Untrust所属接口连接外部网络;DMZ区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。
1.3 SecPath系列防火墙中,为什么SecPath10F/SecPath100F/SecPath500F/SecPath1000F与SecPath1800F的操作和特性有很大差别?
SecPath1800F是OEM华为Eudemon1000的产品,因此SecPath1800F的特性与Eudemon系列是相同,而与本文所介绍的SecPath10F/SecPath100F/SecPath1000F有较大区别,具体区别将在下面各小节中介绍到。本文的SecPath系列防火墙指的是华为3Com 自主研发的SecPath10F、SecPath100F、SecPath100F-E、SecPath500F、SecPath1000F 五款产品。
1.4 SecPath防火墙中inbound和outbound的含义是什么呢?
SecPath防火墙的ACL规则和路由器一样,是应用在接口上的,inbound指从接口进入防火墙的方向,outbound是从防火墙出接口的方向。这点是与Eudemon和SecPath1800F不同的。Eudemon和SecPath1800F的ACL是应用在域间的,inbound是指从低安全级别的域进入高安全级别域的流量,如从untrust进入trust,outbound的方向与此相反。
1.5 SecPath防火墙域间有相应的缺省规则吗?为什么我设置firewall packet-filter default deny域间还是能够访问?
在3.4-0005及以前版本中,缺省情况下,域间都是互通的,即使打开了firewall packet-filter default deny,如果接口上没有应用ACL,域间还是通的。如果接口上应用了ACL,那么防火
墙先匹配ACL规则,如果没有匹配的RULE,则应用缺省规则。而SecPath1800F和Eudemon 域间缺省是不能互访的。
在3.4-0006版本后,缺省情况下,更改了包过滤的缺省规则,缺省规则由permit改为deny,缺省情况下,所有的接口都是不通的,需要配置firewall packet-filter default permit才能访问。因此在升级到3.4-0006版本后,需要注意一些事项。请参见技术公告【2005】077号。
1.6 为什么我的接口配了IP地址和PC对连却ping不通?
接口必须加入且只能加入一个域才能生效。特别要注意的是,除了物理口要加入域外,virtual-template和tunnul也必须加入域。如果不加入域,可能出现端口up但是却互相ping不通、SecPoint拨号接入却获取不到IP地址等情况。这是刚接触防火墙常犯的错误,希望大家能够牢记。
同时,在3.4-0006版本后,缺省情况下,更改了包过滤的缺省规则,缺省规则由permit 改为deny,缺省情况下,所有的接口都是不通的,需要配置firewall packet-filter default permit 才能访问。
1.7为什么我的SecPath防火墙里面没有域?也启用不了透明模式和攻击防范?
请查看SecPath防火墙的VRBD版本。查看方法是:
[SecPath]_
Now you enter a hidden command view for developer's testing, some commands may affect operation by wrong use, please carefully use it with HUAWEI-3COM engineer's direction.
[SecPath-hidecmd]vrbd
Routing Platform Software
Version SecPath 1000F 8042V100R002B02D006SP02 (COMWAREV300R002B14D006), RELEASE
SOFTWARE
Compiled Jul 27 2005 14:21:30 by xiedong
R002是防火墙版本,R001是VPN版本,VPN版本不具有防火墙功能。请升级到防火墙版本后再使用。
1.8 SecPath10F/100F上的WAN口和LAN口必须分别接公网和内网吗?
不必须但是推荐这样使用。
1.9 SecPath10F只有五个业务口,为何display ip interface brief却显示有eth0/0,eth0/1,eth0/2,eth0/3,eth0/4,eth2/0六个接口?
Eth0/1、eth0/2、eth0/3、eth0/4、eth2/0分别对于与物理接口LAN0、LAN1、LAN2、LAN3、WAN口。但是Eth0/1、eth0/2、eth0/3、eth0/4是一交换模块。不能单独配置IP地址,他们的接口地址统一在eth0/0上配置。
1.10 SecPath10F/SecPath100F的四个LAN口为什么只能配一个IP地址?
SecPath10F/100F的四个LAN口相当于一个三层交换机,但是只能配一个IP地址,相当于vlan-interface地址,且这四个口不能再划分VLAN。
在3.4-0006版本中,100F 的4 个交换LAN 接口已改为4 个独立的以太网接口(Ethernet 0/0~Ethernet0/3),这四个接口下不能再配置VLAN子接口。如果要改回原来的方式,需要在全局下配置insulate命令即可。
1.11 防火墙中的Session是什么意思(请重点理解)?
我们以一个TCP会话为例说明防火墙中连接的概念:
202.100.*.*
198.10.*.*
202.100.*.*
198.10.*.*
??μ???
202.100.*.* 198.10.*.* TCP A
B
A B
客户端A 到服务器端B 建立一个完整TCP 连接需要经历下面过程:
1) 请求端A 发送一个S Y N 段指明客户打算连接的服务器的端口,以及初始序号。这个S Y N 段为报文段1。
2) 服务器发回包含服务器的初始序号的S Y N 报文段(报文段2)作为应答。同时,将确认序号设置为客户的I S N 加1以对客户的S Y N 报文段进行确认。一个S Y N 将占用一个序号。
3) 客户必须将确认序号设置为服务器的I S N 加1以对服务器的S Y N 报文段进行确认(报文段3)。
这三个报文段完成连接的建立。这个过程也称为三次握手。A 到B 的TCP 连接建立好后,数据就可以转发了。
对于路由器来说,存在一个针对目的网段202.100.0.0/16路由表(实际A 与B 之间是数据交换是相互的,这里以A 到B 发送数据为例),所有A 发向B 的数据都是根据这个转发表项进行转发,A 到B 的多个数据,例如A 发给B 的TCP SYN 和TCP ACK ,路由器是不会进行关联的,路由器只是根据目的的地址进行转发。
对于防火墙来说,除了存在一个路由转发表外,还有一个临时的TCP 连接状态表,防火墙需要监视A 到B 的每一个数据报文。这个TCP 连接状态表是动态存在的,当A 发起连接时,防火墙开始建立一个A 到B 的连接表项,这个连接表项中记录A 到B 之间连接的信息,包括地
址/端口、当前连接状态等。这个表项的作用是指导防火墙对后续A到B数据报文进行安全性检查:例如检查A到B的数据是否是合法的等。当A到B通信完毕后,A到B的TCP连接拆除,动态表项也就删除了。A到B之间进行一次数据传输时,在防火墙上就相应有一个连接与之对应。这里只以TCP连接为例,对于UDP数据传输来说,同样在防火墙中有一个连接存在,当A到B之间超过一定时间没有传输数据后,UDP连接就拆除。正式因为动态连接存在,才使防火墙比路由器具有更高安全性。
因此,当在实际中碰到一些业务闲置一段时间后断线的问题,一般是由于防火墙session 会话超时的原因。判断的方法如下:
第一,将出入接口加入一个安全域中。这样可以当有数据从一个接口流入到另外一个接口时,防火墙就不做session的判断,直接通过路由表转发。如果故障不再复现。则说明是会话闲置超时引起的。
第二,可以用display firewall session source X.X.X.X和display firewall session dest X.X.X.X判断业务会话是否存在。
如果判断是由于会话超时引起的,判断该业务所采用的协议,比如TCP、TELNET等。尝试修改其会话闲置超时时间为较长时间。如
Firewall session aging-time tcp 2400
问题基本能得到解决。
在3.4-0006版本中,解决了因会话表超时导致TCP等中断的问题,因此,如果有这方面的问题,请升级到3.4-0006版本。
1.12 SecPath防火墙如何支持WEB管理?
首先,要支持Web管理,FLASH里面必须有http.zip文件。在用户试图下查看FLASH里面的文件:
看里面有没有http.zip文件。如果没有,请升级到最新的版本。
注意:如果采用系统视图下ftp方式下载VRP软件,重启后依然没有http.zip。必须手动拆离出该文件。
Directory of flash:/
0 -rw- 8691281 Jun 16 2009 06:46:36 8042.web
1 -rw- 1830 Jun 17 2009 07:47:16 config.cfg
15621 KB total (7126 KB free)
System file length 7856557 bytes, http file length 834724 bytes.
Directory of flash:/
0 -rw- 8691281 Jun 16 2009 06:46:36 8042.web
1 -rw- 1830 Jun 17 2009 07:47:16 config.cfg
2 -rw- 834724 Jun 18 2009 02:22:39 http.zip
如果在bootrom下TFTP升级,系统重启后将自动拆离出http.zip。
有了http.zip文件之后,需要在secpath上创建登录用户,类型telnet。如admin/huawei 使用http://x.x.x.x(SecPath以太口地址)登录即可。
注意:需要提升你的权限才能访问所有内容!
[F3-luser-admin]lev ?
INTEGER<0-3> Level of user
[F3-luser-admin]level 3
[F3-luser-admin]quit
通过Web网管不需要配置SNMP。
如果通过FTP方式升级,请在升级后执行detach命令将新http.zip文件解压出来覆盖以前的http.zip。否则可能会导致WEB管理不可用。
1.13 为什么WEB管理操作时从设备读取页面很慢?
首先查看你的IE设置:工具->Internet选项->设置
第一次Web访问某个页面时,要从FLASH里面读取大量数据,页面显示会相对较慢。以后系统缓存后,访问已访问过的页面会比较快。当你做了上述设置之后,发现读取页面还是异常慢,不妨换台PC试试,有时会碰到有的PC机访问页面异常慢的情况,原因不明。
在3.4-0006版本中,对WEB的访问流程进行了优化,访问速度较以前的版本快。如果客户反映WEB访问很慢,请升级到3.4-0006版本。注意,如果在使用过程中单独升级http.zip 文件,需要重启设备才能生效。如果只在用户模式下,FTP上传新版本到FLASH,必须手动在用户模式下用detach system命令来解压出新的HTTP.ZIP文件。
1.14 在BootRom模式下TFTP升级VRP版本时,为什么从有些接口上下载不了版本?
SecPath系列防火墙在bootrom下TFTP升级版本时,有一个默认的eth0口用于下载,该接口是不能更改的。各系列产品所对应于eth0的接口如下:
Secpath1000/1000F: Gigabit0/0
Secpath100F: WAN2
Sepcath100: eth0/0
Secpath10/10F WAN
1.15 我删除了FLASH里面的VRP系统文件,从BootRom模式下TFTP升级VRP 版时,系统却提示FLASH空间不足,版本无法下载,系统启动不了怎么办?
删除文件时一定要/u 才能完全删除,假如在用户视图直接del system,该系统文件将放入回收站,同样占用FLASH的空间。这时,如果重启,老系统文件不生效,新系统文件又无空间写入。这时的杀手锏就是在进入boot菜单时CTRL+F格式化FLASH了。
1.16 VRP系统损坏了怎么办?
进入boot菜单时CTRL+F格式化FLASH,通过bootrom方式升级。
1.17 为什么从系统下升级VRP版本重启设备后未生效?
SecPath产品默认的系统文件为system,如果是在Bootrom下TFTP升级,系统将自动自动覆盖以前的system文件。如果在用户视图下FTP下载系统文件,需要手动更改下载的文件名为system。
1.18 SecPath防火墙能对BT下载进行限流吗?
目前SecPath系列中还没有此功能。在SecPath1800F上,有区域受限版本能进行BT限流。该版本经申请后方能使用。
E500/E1000也有区域受限版本有BT限流的功能,E100/E200没有版本支持。
2、 进阶篇
2.1 SecPath 数据包转发流程 2.1.1 SecPath 软件体系架构
SecPath 是在COMWARE3.3的基础上,对VPN 、防火墙特性进行增强。其由链路层、配置管理、数据转发、动态路由、系统服务等部分组成。
SecPath 软件体系结构
SecPath 从链路层收到报文后,进行快转表的查找,如果找到快转表则直接根据快转表进行转发;否则查找路由表,根据路由所定应的接口发送。
SecPath 无论是在快转流程或在普通路由转发流程中,均需要处理VPN 、防火墙等功能。
2.1.2 IPSec VPN 报文转发流程
在转发数据报文时,根据所配置的规则(ACL )来决定是否需要加密,如果需要加密,则查找相应的加密参数(SA ),如果没有找到,就触发IPSEC 隧道的协商、建立,后续报文直接用协商出来的参数进行加密,并转发出去。
对于接收到数据报文,如果是加密后的报文,则根据SPI 查找响应的SA ,并进行解密,然后转发;如果没有找到SA 则丢包。如果是非加密报文,根据所配置的规则来决定是否是需要加密的,如果是需要加密的则丢包。
2.1.3 防火墙模块组成
SecPath防火墙结构图
上图为V1R2版本新增强防火墙特性的结构框图,从图中可以看到数据报文从链路层(Ethernet)收上来先进行入报文校验过滤,再根据是否已经有相对应的流转发信息,如果没有则建立流转发信息,并维护其会话状态机,并根据配置的流策略进行相关的处理,如内容交换、内容过滤等,最后再进行流转发,在出接口上再进行出报文的校验过滤。
2.2 巧用debug命令进行防火墙相关问题诊断
1、由于防火墙工作在IP转发层,与IP协议族的关系比较密切,因此IP相关的一些调试诊断命令对于定位防火墙的问题有一定的帮助。
举一个例子:
是与攻击防范相关的问题。在测试large-icmp功能的时候,同时打开了tracert攻击的开关,不但出现了large-icmp告警同时出现了发现tracert的攻击告警。经过分析发现这个环境是没有tracert工具运行的。因此可以判断出应该是tracert出现了误报警。进一步了解到tracert攻击的检查主要依赖ICMP_TIMXCEED的icmp错误消息以及类型为icmp-unreach代码为icmp-unreach-port的icmp错误消息。因此打开debugging ip icmp开关,进行观察。可以看到出现了ICMP_TIMXCEED消息,这个是符合tracert告警的条件。进一步观察可以看出这个超时消息的code为1。经过查看协议内容发现超时icmp消息有两种:code为0表示ttl超时;code为1表示ip重组超时。这样看来应该是tracert的判断条件过于宽松了。
借助ip icmp packet的调试命令发现了问题的原因。因此,在解决防火墙问题的时候不妨使用相关的IP层的调试命令。
可能有用的调试命令:
debugging ip icmp 与icmp相关的调试信息。
debugging ip packet 与ip层数据包文相关的调试信息。
debugging ethernet packet 与以太网相关的数据包的调试信息。
2、对于有可能是防火墙处理流程中出现的问题,可以使用防火墙的处理调试命令察看相关信息,并基于这些信息判断到防火墙处理的哪一步出现了问题。
命令:(进入隐藏命令视图)
degugging firewall process
屏幕会出现相应的处理关键点的信息。根据异常情况可以确定大致的问题所在位置。
3、对于包过滤功能的调试有专门的调试命令debugging firewall packet-filter
4、对于MAC地址绑定功能有专门的调试命令debuggin firewall mac-binding
5、对于攻击防范功能有专门的调试命令debugging firewall defend …这里可以选择特定的攻击种类。
6、对于mac地址过滤功能有专门的调试命令debugging firewall eff
五年制高职商贸信息专业毕业论文 计算机网络故障处理与维护方法 班级 姓名 学号 指导老师
目录 【摘要】 (1) 一、计算机网络故障的分类 (1) (一)计算机网络物理故障 (4) (二)计算机网络逻辑故障 (3) 二、计算机网络常见故障的处理 (1) (一)本地连接断开 (1) (二)本地连接收限制或无连接 (1) (三)本地连接正常,但浏览器无法连接网页 (1) 三、如何加强网络的维护 (1) (一)概括的说,应做到: (4) (二)具体来说,应该做到: (3) 四、结论 (8) 【参考文献】 (3)
计算机网络故障处理与维护方法 【摘要】 本文就网络中常见故障进行分类,针对各种常见网络故障提出相应的解决方法,并就如何加强网络的维护进行了概括论述。 网络出现故障是极普遍的事,其种类也多种多样,在网络出现故障时对出现的问题及时进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论方法和技术是至关重要的。 【关键词】 网络故障分类处理维护 一、计算机网络故障的分类 计算机网络故障主要是指,用户在使用计算机网络过程中或网络在运行过程中出现的问题,导致计算机网络不能正常使用。通常计算机网络故障可以按照其故障的性质,分为物理故障和逻辑故障。 (一)物理故障: 物理故障也就是硬件故障,一般是指网络设备或线路损坏、接口松动、线路受到严重干扰,以及因为人为因素导致的网络连接错误等情况。出现该类故障时,通常表现为网络断开或时断时续。物理故障主要包括: (1)线路故障
线路故障的发生率在日常的网络维护中非常高,约占发生网络故障的60%~70%。线路故障包括线路的损坏和线路受到严重干扰。 (2)接口故障 接口故障通常包括插头松动和端口本身的物理损坏。如:双绞线RJ45接头的损坏。 (3)交换机或路由器故障 交换机或路由器故障在这里是指设备出现物理损坏,无常工作,导致网络不能正常运行的情况。 (4)网卡故障 网卡也称网络适配器,大多安装在计算机的主机部。通过主机完成配置和。网卡故障主要包括网卡松动、主机网卡插槽故障、网卡本身物理故障等。 (二)逻辑故障: 逻辑故障也称为软件故障,主要是指软件安装或网络设备配置错误所引起的网络异常。与硬件故障相比,逻辑故障往往要复杂得多。常见的网络逻辑故障有:主机逻辑故障、进程或端口故障、路由器故障等。 (1)主机逻辑故障 主机逻辑故障通常包括网卡驱动程序、网络通信协议或服务安装不正确、网络地址参数配置有误等。对计算机网络用户来讲,该类故障是十分常见的网络故障之一。 (2)进程或端口故障 进程或端口故障是指一些有关网络连接的进程或端口由于受到病毒或系统
十大X86服务器常见故障——硬件篇 ?摘要:由于X86服务器和台式机有着很多相似之处,从前期部署→中期维护→后期管理都有着异曲同工之妙。用得多了,遇到的故障自然不少,以下故障不知大家是否遇到过…… ?标签:X86服务器常见故障 说起X86平台的CPU,我们可能会如数家珍的报出N多种,Inter的至强5600、至强7500,AMD强劲的12核心x86处理器--“Magny-Cours”(马尼库尔)等等。在它的基础上,辅以带ECC、ChipKill、热插拔技术的内存;防止数据异常丢失的RAID硬盘;提供不中断电力供应的冗余电源等等共同构建出一个完整的X86服务器。 由于X86服务器和台式机有着很多相似之处,从前期部署→中期维护→后期管理都有着异曲同工之妙。因此,X86应该算是我们广为熟知的架构了。用得多了,遇到的故障自然不少,以下故障不知大家是否遇到过…… 硬件故障篇 Top10 网卡 服务器网卡 故障回放:近几日,内网用户通过代理服务器进行连接时不太稳定,ping的速度有时低于1ms,有时高达500多ms,数值相差之大也说明了网络时好时坏。起先判断是蠕虫病毒作祟,但经过详细筛查,确定非病毒引发的故障;再对网线进行测试,衰减、串扰、回波损耗等各项技术指标都在正常指标之内,最后更换网卡故障才得以解决。 解决方案:我们知道一款优秀的网卡除了拥有高速率外,还需要关注2个技术指标,TOE(TCPOffloadEngine,TCP减负引擎)技术和RSS(Receive-sideScaling接收端调节)技术,它们能大幅减轻CPU的资源,解决了输入/输出流(I/O)的瓶颈,使网络吞吐大幅提升,这两项技术可以使系统的响应指标的TPS值能提升2.1到2.5倍,所以一块好的网卡是保证服务器快速、稳定连接的保障。 一般来说,网卡出现故障的状况较低,即便是损坏也可以使用独立网卡代替,它的危害程度也不是很高。 危害程度:★★ 控制难度:★
近年来,各级党政机关及其文书处理部门认真贯彻国务院发布地《国家行政机关公文处理办法》(以下简称《办法》)和中共中央办公厅发布地《中国共产党机关公文处理条例)(以下简称《条例》),以及国家质技术监督局发布地《国家行政机关公文格式)(以下简称《格式))等三个公文处理规范性文件,使机关文书处理工作日益规范化,维护了公文地严肃性和权威性,发挥了机关公文地应有效用. 但一些基层党政机关地公文处理工作仍然存在一些不规范地现象,值得引起重视并加以克服改进.笔者就日常公文处理工作中所见以及容易被大家忽略地一些问题进行粗略归纳和分析,期待与同行们一起探讨.资料个人收集整理,勿做商业用途 一、公文处理中常见地问题 (一)文种使用不规范 .滥发通知.(办法》第十五条规定:“政府各部门依据部门职权可以相互行文和向下一级政府相关业务部门行文;除以函地形式商洽工作、询问和答复问题、审批事项外,一般不得向下一级政府正式行文”.如需行文,应报请本级政府批转或由本级政府办公厅(室)转发;因特殊情况确需向下一级政府正式行文地,应当报本级政府批准,并在文中注明经政府同意.但资料个人收集整理,勿做商业用途事实上一些县级政府工作部门(包括一些议事协调机构,如领导小组、指挥部、委员会等),却常常将其所主管地业务性工作以“通知”形式直接向乡镇一级政府行文交办,而没有正确使用“函”这一文种,明显违反了《办法)第十五条地规定.资料个人收集整理,勿做商业用途 .滥用请示.《办法》和《条例》都规定“请示适用于向上级机关请求指示、批准”“函适用于不相隶属机关之间商洽工作、询问和答复题,请求批准和答复审批事项”.根据上述定义,在请求批准时,有隶属关系,下级向上级请求批准地用“请示”;没有隶属关系,不论单位级别高低,向有关部门请求批准,一律用“函”.但在日常行文中,却常常出现乡镇一级政府向省、市、县级相关业务部门请求审批事项时,错误地用“请示”行文,而没有正确使用“申请色”或“请准函”这一文种.相应地,有关业务主管部门在答复审批事项时,也没有正确使用“问复函”答复,而错用“批复”文种.资料个人收集整理,勿做商业用途 (二)随意升格发文 公文随意升格地现象主要发生在乡镇一级机关,经常或被迫或不经意地发生以下两类情况: .有些成立或调整领导机构地“通知”类文件,本应由乡镇地党政办公室行文即可,但却常常错误地升格为以镇党委或镇政府地文件进行行文..资料个人收集整理,勿做商业用途 有些关于某一方面工作地一般性计划、方案、要点类文书,本应以相应工作部门或站所名义拟制,或者由党政办公室转发(印发)即可,但却常要以党委、政府重视为由,升格为镇党委或镇政府文件进行发文.资料个人收集整理,勿做商业用途 以上两类随意升格公文地现象,让党委、政府地公文沦为一般性事务通知地工具,有失党委、政府公文地严肃性和庄重性.资料个人收集整理,勿做商业用途 (三)文面格式不规范 较为常见地文面格式不规范地情况主要有如下种: .发文字号标注不规范.公文发文字号地正确标注方法是“机关代字〔位数年份〕实位序号”.但有地公文出现以位数标注年份、年份错用圆括号、序号出现虚位、序号前出现“第”字等不规范现象.资料个人收集整理,勿做商业用途 .公文标题不规范.有地公文标题出现逗号、顿号、书名号等不规范现象,违反了“公文标题中除法规、规章名称加书名号外,一般不用标点符号”地规定.资料个人收集整理,勿做商业用途 .主送、抄送机关称谓不规范.主要是因县乡两级机构改革后,其组成部门、内设机构、直属机构地名称职能已做相应变更,但一些上级业务主管部门在向下行文时,没有按改革后地规范名称行文,
网络维护及常见故障排除 第一章排除故障过程 1.1识别故障现象 在你排故障之前,也必须确切地知道网络上到底出了什么毛病,是不能共享资源,还是找不到另一台计算机,如此等等。知道出了什么问题并能够及时识别,是成功排除故障最重要的步骤。为了与故障现象进行对比,你必须知道系统在正常情况下是怎样工作的,反之,你是不好对问题和故障进行定位的。 识别故障现象时,应该向操作者询问以下几个问题: (1)当被记录的故障现象发生时,正在运行什么进程(即操作者正在对计算机进行什么操作)。 (2) (2)这个进程以前运行过吗? (3)(3)以前这个进程的运行是否成功? (4) (4)这个进程最后一次成功运行是什么时候? (5)(5)从那时起,哪些发生了改变? (6)带着这些疑问来了解问题,才能对症下药排除故障。 1.2对故障现象描述 当处理由操作员报告的问题时,对故障现象的详细描述显得尤为重要。如果仅凭他们的一面之词,有时还很难下结论,这时就需要你亲自操作一下刚才出错的程序,并注意出错信息。对此在排除故障前,可以按以下步骤执行: (1)收集有关故障现象的信息; (2)对问题和故障现象进行详细描述; (3)注意细节; (4)把所有的问题都记下来; (5)不要匆忙下结论。
第二章网络故障原因 2.1 网络连通性故障 1、故障表现 连通性故障通常表现为以下几种情况: ①计算机无法登录到服务器; ②计算机无法通过局域网接入Internet; ③计算机在"网上邻居"中只能看到自己,而看不到其他计算机,从而无 使用其他计算机上的共享资源和共享打印机 ④计算机无法在网络内实现访问其他计算机上的资源; 2、故障原因 以下原因可能导致连通性故障: ①网卡未安装,或未安装正确,或与其他设备有冲突; ②网卡硬件故障; ③网络协议未安装 ④IP地址设置错误; ⑤网线、信息模块故障; 3、排除方法 ①确认连通性故障 当出现一种网络应用故障时,如无法接入Internet,首先尝试使用其他网络应用,如查找网络中的其他计算机,或使用局域网中的Web浏览等。如果其他网络应用可正常使用,如虽然无法接入Internet,却能够在"网上邻居"中找到其他计算机,或可ping到其他计算机,即可排除连通性故障原因。如果其他网络应用均无法实现,继续下面操作。 ②用ping命令排除网卡故障 使用ping命令,ping本地的IP地址或计算机名,检查网卡和IP网络协议是否安装完好。如果能ping通,说明该计算机的网卡和网络协议设置都没有问题。 因此,应当检查网线和交换机的接口状态,如果无法ping通,只能说明TCP/IP协议有问题。这时可以在计算机的"控制面板"的"系统"中,查看网卡是否已经安装或是否出错。如果在系统中的硬件列表中没有发现网络适配器,或网络
一、标题常见问题分析 公文标题是公文内容的摄要,在发挥公文效能上起着举足轻重的作用。但受诸多因素的影响,公文标题时常出现一些毛病,现归纳为以下八个方面,并作粗浅分析。 (一)要素不全 完整的、规范的公文标题,一般应具备“三要素”,即发文机关名称、事由、文种,以标明由谁发文、为什么发文和用什文种发文。2012年7月1日起施行的《党政机关公文处理工作条例》作出明确规定:“公文标题应当准确简要地概括公文的主要内容(事由)并标明公文种类(文种),一般应当标明发文机关”。当然,特殊情况下,也可省略标题中的一至二个要素,但不可随意省略,要相对规范,否则,将毛病百出。 常见的病例有三种: 一是随意省略事由。如《××县人民政府决定》,由于省略事由,受文者看不出标题所反映的主要内容、事项和基本观点,不利于学习、贯彻、领会、落实文件精神。除一些非重要的、极其简短的通知、通告和特殊机关发出的特定公文外(如中华人民共和国国务院、司法部门发出的国务院“公告”、“主席令”、“布告”等),一般情况下不得省略事由。 二是随意省略发文机关。如:一份没有版头的文件标题《关于加强农村党支部建设的报告》,待上级看完文件后,才从落款处知道文件是哪个机关发出的,既不庄重,也不严肃,更不利于公文运转和办理。具有重大决策和事项的下行文不得省略发文机关;没有版头的下行文、上行文均不得省略发文机关,但有版头(发文机关标识)的,也可不标明发文机关。 三是随意省略文种。使受文者不得要领,失去公文的严肃性。如《××乡人民政府关于召开春耕生产会议的有关事宜》。 (二)乱用文种 主要表现在三个方面:
一是混用文种。如《全国人大常委会党组关于县乡换届选举问题的请示报告》,这里把“请示”、“报告”两个不同的文种混淆在一起使用,不论是已经废止的《国家行政机关公文处理办法》,还是自2012年7月1日起施行的《党政机关公文处理工作条例》,都没有“请示报告”这一文种,明显不妥。从该“请示报告”的内容看,应使用批转式“报告”这一文种。 二是错用文种。有的该用“请示”的,却用了“报告”,而该用“报告”的反而用的是“请示”;有的该用“函”的却用“通知”;有的把没列为文种的公文种类作为文种使用,如“条例”、“规定”、“办法”、“总结”、“计划”等,以上这些,都不可作为文种使用,不可直接行文。《党政机关公文处理工作条例》所确定的公文文种共有15种,决议、决定、命令(令)、公报、公告、通告、意见、通知、通报、报告、请示、批复、议案、函、纪要。除此之外,均不可直接行文,但可作为“印发”、“颁发”或“通知”的“附件”行文。 三是生造文种。如《关于调整工资的补充说明》、《关于机构改革中有关问题的解释》等,这里的“补充说明”、“解释”均不应作为文种使用,以上两个标题可修定为《××(发文机关)关于印发调整工资补充说明的通知》、《××(发文机关)关于印发机构改革中有关问题解释的通知》。还有的把“安排”、“要点”、“细则”这些既不是公文文种又不是应用文体种类的东西常常作为公文文种直接行文,是错误的。 (三)隶属不清 不该用“批转”的,用了“批转”;该用“批转”的却用了“印发”、“转发”,分不清三者之间的隶属关系和词性。如《××县政府办公室关于批转××市长在××会议上讲话的通知》,这里的“批转”使用不当,应该使用“印发”或“转发”。因为“批转”具有“批准转发”之意,是上级对下级报告的认同并转发下去贯彻落实的。下级对上级机关的文件和上级领导同志的讲话、批示等不可使用“批转”,否则将混淆了上下级的隶属关系。 (四)提炼不精。主要表现在标题冗长上。如《×××(发文机关)关于招收退休退职职工子女就业,进行合理安
ALG的作用是什么 地址转换会导致许多对NAT敏感的应用协议无法正常工作,必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和(或)端口号,如果不进行特殊处理,将会严重影响后继的协议交互。 地址转换应用网关(NAT Application Level Gateway,NAT ALG)是解决特殊协议穿越NAT的一种常用方式,该方法按照地址转换规则,对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。 在SecPath上,当开启NAT功能后,系统会自动开启NAT ALG,无需手工设置。 防火墙的域(zone)是什么意思 区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。一个安全区域包括一个或多个接口的组合,具有一个安全级别。 在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。SecPath缺省有trust、untrust、DMZ、local 4个安全域,同时还可以自定义12个区域。 [SecPath]firewall zone ? DMZ DMZ security zone local Local security zone name Specify a new security zone name and create it trust Trust security zone untrust Untrust security zone 一般来讲,安全区域与各网络的关联遵循下面的原则:
网络维护基础知识及维护经验 【摘要】:本文是作者结合教科知识与实际经验的一些简单的总结。 【关键词】:网络运行,网络维护 随着internet网络的普及,大家对网络也有一定了解,但在日常使用中可能会遇到这样或那样的问题,下面就一些本人常见问题进行一个简要概括,与大家分享以解决一些网络使用过程中的小问题。 一、网线(双绞线)连接线的制作 双绞线制作有568A和568B两个标准,日常以568B标准较常用。568B标准按颜色排序为:1-橙白、2-橙、3-绿白、4-蓝、5-蓝白、6-绿、7-棕白、8-棕(使用568A标准可将568B标准中橙-绿互换,橙白绿-白互换即可),直通线制作必须保证双绞线两端的双绞线针脚序列一样;交叉线制作在直通线基础上保证橙绿对应,橙白绿白对应(可以理解为一端采用568A标准,另一端采用568B标准)。 网线制作好后再一个主要问题是测试网络,通常检验网络最常用的参数是[-t]和[-a]。检验网络是否连通、网卡安
装及设置是否正确可采用以下办法:首先Ping 127.0.0.1 检验网络回环;第二Ping本机IP地址,检测网卡安装设置是否完好;第三Ping同一网断中其他计算机IP地址,检测网线是否连好,整个网络是否畅通;最后要检验的是Internet 接入商的DNS(有些接入商禁止Ping DNS服务器的IP地址,这一点值得注意)或网关,检测Internet连接是否完好。 二、网络运行过程中的故障排除 网络运行过程中或系统安装过程中一些网络为什么不 能连接的问题,原因也是多方面的,除一些设置或软件禁止而使网络不能连通外,大多是由于以下原因造成: 1,网卡未能正确安装或网卡本身有问题。一般插上网卡,系统没有提示,说明网卡没有插好或接口有问题;安装驱动后Ping回环正确但Ping自己IP不通,首先要检查网卡是否有问题;Ping本机IP通但相邻微机不能通讯,首先应该检查网线或网卡接口是否有问题。网卡检测最好的办法是代替法,即用问题网卡代替运行正常的同型号网卡。在使用替换法之前最好检测一下本机网卡是否插好,不妨换个插槽试试。 2,TCP/IP协议的问题。微机之间不能通讯有问题,原因大多是由于TCP/IP协议引起的。由于TCP/IP协议本身很脆弱,
公文常见错误分析及对策 公文写作 公文常见错误分析及对策 公文是公务文书的简称,是处理公务、管理事务的一种书面文字工具。其重要特点就是行文的规范化、制度化和标准化。对于公文格式,国家技术监督局制定了《国家行政机关公文格式》(GB/T9704—1999,以下简称《格式》),国务院办公厅制定了《国家行政机关公文处理办法》(2001年1月1日起施行,以下简称《办法》),中央办公厅制定了《中国共产党各级领导机关文件处理条例(试行)》(以下简称《条例》)。但是不少单位和部门制发文件,并没有严格按照规定、要求去做,而是各行其是,制发文件存在很大的随意性,造成公文格式的不规范,严重影响了公文的严肃性、公正性。更在一定程度上影响了公文的质量和效能,影响了政 府的行政效率,因此必须引起高度重视。 一、存在的问题 (一)文种使用乱。一是生造文种。把没列为文种的公文种类作为文种使用。《办法》所确定的公文文种共有13类14种,即:命名、令,决定,公告,通告,通知,通报,议案,报告,请示,批复,意见,函,会议纪要。除此之外,均不可直接行文,但可作为"印发"、"颁发"式"通知"的"附件"行文。例如,《关于××市区退休人员一次性缴纳医疗费分期缴费的具体操作规定》、《关于使用社会保障卡有关问题的说明》等,这里的"操作规定"、"说明"均不应作为文种使用,可以改成《××关于印发市区退休人员一次性缴纳医疗费分期缴费的具体操作规定的通知》、《××关于印发使用社会保障卡有关问题的说明的通知》,不能作为文种使用的还有"条例"、"规定"、"办法"、"总结"、"计划"等,有的甚至把"安排"、"要点"、"细则"这些既不是公文文种又不是应用文体种类的东西常常作为公文文种直接行文,都是错误的。
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
网络维护向本地连接管理要效率 可以这么说,“本地连接”其实是计算机的网络访问出入口,无论是修改上网参数,还是新建上网连接,我们往往都要从该连接开始。事实上,在平时的网络维护过程中,我们也要经常与“本地连接”打交道,如此一来网络维护的效率,就与“本地连接”的管理效率息息相关了;有鉴于此,本文下面就为各位朋友贡献几则着眼“本地连接”管理网络的私房秘籍,相信这些容能有效帮助大家提高网络维护效率。 解决网络访问隐性故障 对于不少网络访问故障,我们无论怎么观察现象、寻找原因,或许都不能顺利将它解决掉,笔者就曾碰到过类似这样的蹊跷故障,后来无意中在“本地连接”列表窗口中,通过简单新建一个网络访问连接的办法,就将看似无法解决的网络故障成功排除掉了。现在,本文就将该特殊的网络故障解决过程还原出来,希望大家能从中获得启发。 某局域网中有一台计算机不能正常访问网中的文件服务器,笔者进入该计算机的“本地连接”属性设置对话框,发现该计算机不但可以正常向外面发送数据信息,而且也能正常从外面接受数据信息,可是该计算机却始终不能访问网中的文件服务器。经过仔细观察,笔者看到故障计算机的网卡设备信号灯状态有点不正常,这说明网卡的工作状态也是不正常的,会不会是连接网卡设备的物理线缆连通性出了问题呢?想到这里,笔者利用专业线缆测线工具,对连接故障计算机的物理线缆连通性进行了测试,测试过程中笔者发现专业测试工具中的8个指示灯依次被点亮,这就说明物理连接线缆的连通性是没有任何问题的。为此,笔者断定该网络访问故障绝对不是由网卡设备与网络连接引起的,多半是由故障计算机系统自身原因引起的。 于是,笔者开始将目光转移到故障计算机的“本地连接”图标上了,依次点选“开始”、“设置”、“网络连接”选项,打开对应系统的网络连接列表界面,选中“本地连接”图标,并用鼠标右键单击之,点击右键菜单中的“属性”命令,此时系统屏幕上会出现一个如图1所示的“本地连接”属性设置对话框;
前言: 相对PC机而言服务器出故障的机率是小多了,但是它的故障给企业也带来了一些影响。作为服务器工程师除要有服务器基础知识以外,还需要具备服务器故障的诊断思路,这样才能最快速的解决问题也可以减少故障停机时间。 本文并不是针对某个厂家服务器故障完全手册,而是根据个人经验总结出来的一些经验思路还有一些总结案例。按照下面思路和方法基本上能够解决目前服务器更换式维修的大多数问题。而且里面的一些操作风险性也不是很大,因为服务器本身就是坏的,最坏的情况下就是它一点都不能工作了呗,(主要确认是否有数据,数据无价啊)而且现在很多厂商都有自己的客服电话关于产品问题打个电话也很方便,所以安心做啦 当然如果服务器在保修期内就打电话让售后工程师上门服务,毕竟顾客就是上帝嘛,但是如果上帝比较着急使用,一般小故障自己解决一下就好了,因为一般报修最快都是第二天(大客户如银行等除外,一般当天还得是晚上才能停机解决) 目录: 一、服务器常见故障分类 二、服务器常见故障现象及其对应排错方法 三、服务器排错基本原则 四、服务器故障需要收集哪些信息 五、服务器硬件故障排错实例 六、服务器软件故障排错实例 七、服务器常见内存故障现象 一、服务器常见故障类型分类: A. 开机无显示 B. 加电BIOS自检阶段故障 C. 系统和软件安装阶段故障和现象 D. 操作系统启动失败 E. 系统运行阶段故障 二、服务器常见故障现象及其对应的排除方法
A.服务器开机无显示(加电无显示和不加电无显示) 1. 检查供电环境 2. 检查电源和故障指示灯(故障指示灯状态,目前很多厂商的服务器都有故障指示灯,或故障诊断卡等。) 3. 按下电源开关时,键盘指示灯是否亮、风扇是否全部转动 4. 是否更换过显示器,尝试更换另外一台显示器 5. 插拔内存,用橡皮擦擦拭一下金手指,如果在故障之前有增加内存,去掉增加的内存尝试 6. 是否添加了CPU,如果有增加CPU尝试去掉 7. 去掉增加的第三方I/O卡包括Raid卡等 8. ClearCMOS (记得使用跳线来清除,尽量不要直接拔电池,每款服务器清除跳线位置不一致,具体找不到电话联系一下厂商客服) 9. 尝试更换主板、内存等主要部件 10.清除静电,将电源线等外插在服务器上的线缆全部拔掉,然后轻按开机键几下 B.加电BIOS自检报错 1. 根据BIOS自检报错信息提示 2. 查看是否外插了第三方的卡或者添加部件,如果有还原基本配置重启 3. 做最小化测试 4. 尝试清除CMOS 5. 看能否正常进入BIOS C. 系统安装阶段故障和现象 1.查看服务器支持操作系统的兼容版本(从厂商能查到兼容性列表) 2.系统安装蓝屏(对蓝屏故障代码诊断) 3.安装在分区格式化的时候找不到硬盘 (阵列驱动没有安装或者没有配置阵列,可以尝试适应引导光盘安装) 4.大于2T的硬盘式应该如何分区(必须使用阵列卡才能实现或者有外插识别卡) (使用阵列卡配置阵列分成一个小于2T的空间,一个大于2T的空间,然后将系统安装在小于2T的上面,安装好系统后在使用GPT方式分区即可) 5.安装过程是死机 (检查兼容性列表---查看硬盘接口选择是否正确---阵列驱动安装是否正确---尝试最小化配置安装检查是否为内存和CPU等问题) 6.引导光盘安装失败
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形:19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式
产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条,颜色:灰色) -交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
网络常见故障处理方法 1.网络突然中断 网卡IP地址的设置错误 右键点击网上邻居,在弹开菜单中选择属性,然后继续右键点击本地网络,在弹开菜单中选择属性,进入本地连接属性栏,之后双击INTERNET协议( TCP/IP),可才看到自己的IP地址,子网掩码,DNS等相关设置。 在公司内部每个人的地址多不相同,如果你的地址与别人的相同,就会造成 IP地址冲突,导致上不去网络;而且配置与网关给的配置不一样,也有上不去网络 的可能。 网卡误操作被禁用 网卡被禁用后,在右下角将没有连接提示,需要用右键点击网络邻居,在弹开菜单中选择属性,然后继续右键点击本地网络,在弹开菜单中选择启用。 网线接触不良,网卡插错或插的不严实 这类故障通常因为设备的老化或者网络头的磨损导致的,这类故障要彻底解决的话需要更换交换机或者更换网络头。 交换机停止工作 通常是有人不小心碰到了电源,导致设备断电。通常这种情况发生,会导致掉电设备上所有的用户多会中断与网络的连接。 电脑中了恶性病毒 电脑在中病毒后,通常情况是系统运行速度变慢,上网速度也变的缓慢;当电脑中一些恶性病毒后,病毒会对一些常用端口发病毒包,从而导致电脑上不去网或 者一些软件无法正常使用。 2.网络正常,邮件收发有问题
邮件服务器设置错误 邮件服务一般需要用户设置SMTP服务器,POP3服务器以及用户名和密码;其中SMTP服务器是发件服务器,邮件的收发多是通过该服务器来发送,POP3服务器是收 件服务器,你收到的邮件多是从POP3服务器上传送到本地的。如果用户更改设置后,发现邮件能收不能发,或者邮件能发不能收,只需要查看响应的服务器设置就可以。 电脑操作系统故障导致邮件收发出现问题 ???此类故障主要因为电脑配置,系统稳定性所导致。当电脑配置教低,系统稳定性又很差时,电脑经常出现各种故障,有时出现突然邮件收发出现问题;一般此类问题解决方法就是重启操作系统。 邮件提供商的配置问题 当您在一个地方使用邮件服务很正常,换到另外一个地点后,邮件服务突然出 现问题,而上网正常,很又可能是邮件提供商或者当地的网络提供商对网络进行了一些安全设置,所以这时你需要联系邮件提供商或者当地的网络提供商来处理此类问题。 3.网络时断时续,很不稳定 ???当网络配置完后,发现网络时断时续,首先我们需要查看我们的路由等设备配置,查看网络设备配置上是否有任何问题。 ???如果网络时断时续是网络正常运行一段时候后才发生的,那我们需要查看路由设备的CPU利用率等相关数据,以此来确定是否问题来源于内部网络病毒。 ???如果确认上面那些多没有问题,那我们需要联系我们的网络提供商,一起配合检查线路。 4.网络故障查询经常使用的命令 Ping命令的使用技巧 ???Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报。根据返回的信息,我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常. Ping命令的常用参数选项: ???ping IP –t 连续对IP地址执行Ping命令,直到被用户以Ctrl+C中断。
公文写作的基础知识与常见问题分析 公文的分类 按其行文方向,可分为上行文、下行文、平行文。 按其时限要求,可分为特急公文、急办公文、常规公文 按其时限要求,可分为绝密公文、机密公文、秘密公文、普通公文。 常用公文文种 我国现行党和各级领导机关使用的文件有14个: 决议、决定、指示、意见、通知、通报、公报、报告、请示、批复、条例、规定、函、会议纪要。 国家行政机关使用的公文种类有13个: 命令(令)、决定、公告、通告、通知、通报、议案、报告、请示、批复、意见、函、会议纪要。 上述文件共27个,其中9个是相同的,即:决定、意见、通知、通报、请示、报告、批复、函、会议纪要; 不同的有9个,其中属党的机关的有5个,即:公报、指示、决议、条例、规定;属国家行政机关的有4个,即:命令(令)、议案、通告、公告。由于这18个文件是党和国家在公文管理法规中明确规定的,一般称为法定文种。 公司常用的主要公文种类
1.决定:适用于公司对重要事项或者重大行动做出安排,如机构设立与撤销;变更或撤销公司不适当决定。 2.通报:传达重要精神或者通报有关重要情况,也适用于对全系统各单位或个人的表彰与批评。 表彰通报:介绍先进事迹+先进事迹意义+表彰决定+希望号召批评通报:错误事实+错误性质分析+惩罚措施+提出希望要求情况通报:缘由目的+情况信息+希望要求 3.请示:适用于下级向上级的请求指示和批准;也适用于分公司必须以公文形式向总公司的请求指示和批准。 应用范围 (1)遇到问题无法解决,需要上级指示; (2)处理较为重要的事件和问题,要上报批准; (3)遇到问题,虽有解决方法,但没有权力或能力实施,需要上级帮助; (4)对有关方针、政策和上级发布指示有疑问,要上级解答; (5)下级机关之间在重要问题上出现意见分岐,要上级仲裁; (6)请上级领导参加活动,指导工作。 注意事项 (1)主送机关只能有一个,如需同时送其他机关,应当用抄送的形式; (2)只能主送上级机关,不能送领导者本人;
服务器常见故障排除 服务器常见故障一、造成服务器无法启动的主要原因: 1)市电或电源线故障(断电或接触不良) 2)电源或电源模组故障 3)内存故障(一般伴有报警声) 4)CPU故障(一般也会有报警声) 5)主板故障 6)其它插卡造成中断冲突 服务器常见故障二、服务器无法启动? 1)检查电源线和各种I/O接线是否连接正常。 2)检查连接电源线后主板是否加电。 3)将服务器设为最小配置(只接单颗cpu,最少的内存,只连接显示器和键盘)直接短接主板开关跳线,看看是否能够启动。 4)检查电源,将所有的电源接口拔下,将电源的主板供电口的绿线和黑线短接,看看电源是否启动。 5)如果判断电源正常,则需要用替换法来排除故障,替换法是在最小化配置下先由最容易替换的配件开始替换(内存、cpu、主板) 服务器常见故障三、系统频繁重启? 造成系统频繁重启的原因: 1)电源故障(替换法判断解决) 2)内存故障(可从BIOS错误报告中查出) 3)网络端口数据流量过大(工作压力过大) 4)软件故障(更新或重装操作系统解决) 服务器常见故障四、服务器死机故障判断处理: 服务器死机故障比较难以判断,一般分为软件和硬件两个方面: 1)软件故障 首先检查操作系统的系统日志,可以通过系统日志来判断部分造成死机的原因。 电脑病毒的原因。 系统软件的bug或漏洞造成的死机,这种故障需要在判断硬件无故障后做出,而且需要软件提供商提供帮助。 软件使用不当或系统工作压力过大,可以请客户适当降低服务器的工作压力来看看是否能够解决 2)硬件故障 硬件冲突 电源故障或电源供电不足,可以通过对比计算服务器电源所有的负载功率的值来作出判断。 硬盘故障(通过扫描硬盘表面来检查是否有坏道) 内存故障(可以通过主板BIOS中的错误报告和操作系统的报错信息来判断) 主板故障(使用替换法来判断) CPU故障(使用替换法) 板卡故障(一般是SCSI/RAID卡或其他pci设备也有可能造成系统死机,可用替换法判断处理)
公文处理中的常见错误分析及案例解读 XXX (2018年6月13日) 尊敬的各位领导、各位同行,大家好: 根据安排,我与大家交流探讨四个方面内容:一是?党政机关公文处理工作条例?的特点和规范性要求;二是公文处理中常见错误分析;三是办公厅办文中出现的不规范性案例;四是市州政府和省政府部门向省政府报文易出现的错误和应该注意的问题。 一、《党政机关公文处理工作条例》的特点和规范性要求 (一)《党政机关公文处理工作条例》的主要特点。 ?党政机关公文处理工作条例?已经党中央、国务院同意,自2012年7月1日起施行;与之配套的?党政机关公文格式?已由国家质检总局、国家标准委发布,自2012年7月1日起正式实施。其主要特点如下(五个统一): 1.统一了公文的定义。“党政机关公文是党政机关实施领导、履行职能、处理公务的具有特定效力和规范体式的文书,是传达贯彻党和国家方针政策,公布法规和规章,指导、布臵和商洽工作,请示和答复问题,报告、通报和交流情况等的重要工具。”(简称五大作用:一是指导工作,传达意图;二是联系工作,交流情况;三是请示工作,答复问题;四是总结工作,推广经验;五是记载工作,积累史料。)
2.统一了公文种类。统一后的公文种类有15种:决议、决定、命令(令)、公报、公告、通告、意见、通知、通报、报告、请示、批复、议案、函、纪要。这里大家注意,除了文种种类统一以外,还有一点就是“会议纪要”改成了“纪要”。 15个文种的适用范围: 决议:适用于会议讨论通过的重大决策事项。 决定:适用于对重要事项作出决策和部署、奖惩有关单位和人员、变更或者撤销下级机关不适当的决定事项。 命令(令):适用于公布行政法规和规章、宣布施行重大强制性措施、批准授予和晋升衔级、嘉奖有关单位和人员。 公报:适用于公布重要决定或者重大事项。 公告:适用于向国内外宣布重要事项或者法定事项。 通告:适用于在一定范围内公布应当遵守或者周知的事项。 意见:适用于对重要问题提出见解和处理办法。 通知:适用于发布、传达要求下级机关执行和有关单位周知或者执行的事项,批转、转发公文。 通报:适用于表彰先进、批评错误、传达重要精神和告知重要情况。 报告:适用于向上级机关汇报工作、反映情况,回复上级机关的询问。 请示:适用于向上级机关请求指示、批准。 批复:适用于答复下级机关请示事项。 议案:适用于各级人民政府按照法律程序向同级人民代表
公文写作中常见的错误 1.×市×区区属图书馆为办好图书事业,满足该区群众读书的要求,特向区政府请示增加经费,并将该请示抄送该区人事局、劳动局、物价局、财政局。 错误。抄送单位应当是与该请示事项有关的单位。“人事局、劳动局、物价局”与区图书馆申请经费无关,不应将该请示抄送给他们。 2.某县人事局向县直属各单位下发年终考核工作通知,抄报于该县政府办公室 正确。根据《国家行政机关处理办法》有关规定,向下级机关的重要行文,应抄报上级机关,目的是为了让上级了解情况,避免出现工作中的被动情况。 3.×省×市×区区属瓷器厂因税务问题受到该区税务所的处罚,该厂认为处罚不符合国家税法,特向市税务局申诉,并同时向×省税务厅申诉,并抄报于×市政府、×区政府。 错误。主送单位应当是一个,同时主送,搞乱了行文关系。抄送单位应当是与该申诉事项有关的单位。“×市政府、×区人民政府”,与税务申诉事项无关,不应将该申诉抄送给他们。 4.某县农林局写例行报告,一向县政府汇报1995年全年工作,二在报告中请示了1996年增建农机站的事项,三建议对困难地区减
免乡政府提留费用。 错误。报告中不能夹带请示,且应“一文一事”。 5.×市×工业总公司因市属重点企业×××电器厂因领导班子个别人贪污犯罪,准备调整该厂领导班子,特向市政府请示。并将该请示抄送于该厂办公室。 错误。请示不能抄送下级机关。 6.×市纪检委员会将1997年纪检情况通报于市各直属机关和各局。 正确。该通报属于情况通报,为知照类文件,可以有多个主送机关。 7.中共××市委与市委宣传部就学习贯彻中共第十七次代表大会精神,建设有特色的社会主义联合向下发出通知。 错误。为了维护文件的权威性和法定效用,联合行文的单位应当是同级单位。 8.×市×区职工大学是受区政府和市成人教育局双重领导的单位。该职工大学就1994年需增加教育经费一事,特向两个上级机关请示。 错误。请示只能够有一个主送机关;若是双重领导机关,则需要
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、防火墙的连接方式
5 硬件一台 ?外形:19寸1U 标准机箱产品外形接COM 口管理机 直通线交叉线串口 线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式 6 ?CONSOLE 线缆 ?UTP5双绞线 - 直通(1条,颜色:灰色)-交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 产品提供的附件及线缆使用方式
二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 三、防火墙的管理及登录方式