下载文档原格式
HP ProLiant Gen9 故障排除指南第一卷:故障排除指南摘要本文介绍了很多级别的 HP ProLiant Gen9 服务器故障排除的常见步骤和解决方法。
本文适合安装和管理服务器或服务器刀片以及对其进行故障排除的人员使用。
HP 假定您有资格维修计算机设备,并经过培训,可识别高压带电产品中的危险情况。
© Copyright 2014, 2015 Hewlett-Packard Development Company, L.P.本文档中包含的信息如有更改,恕不另行通知。
随 HP 产品和服务附带的明确保修声明中阐明了此类产品和服务的全部保修服务。
本文档中的任何内容均不应理解为构成任何额外保证。
HP 对本文档中出现的技术错误、编辑错误或遗漏之处概不负责。
AMD 是 Advanced Micro Devices, Inc. 的商标。
Microsoft® 和 Windows® 是 Microsoft 集团公司的商标。
Oracle 是 Oracle 和/或其分支机构的注册商标。
Linux® 是 Linus Torvalds 在美国和其它国家/地区的注册商标。
Red Hat® 是 Red Hat, Inc. 在美国和其它国家/地区的注册商标。
SD 和 microSD 是 SD-3C 在美国和/或其它国家/地区的商标或注册商标。
VMware 是 VMware, Inc. 在美国和/或其它司法辖区的注册商标或商标。
部件号:795674-AA32015 年 6 月版本:3目录1 使用本指南 (1)如何使用本指南 (1)新增内容(第三版) (2)795674-XX2(2014 年 12 月) (2)2 故障排除的准备工作 (4)预诊断步骤 (4)重要安全信息 (4)设备上的符号 (4)警告和注意 (5)静电释放 (6)防止静电释放 (6)防止静电释放的接地方法 (6)症状信息 (7)服务器诊断的准备工作 (8)执行故障排除流程中的处理器步骤 (9)将服务器降级到最低硬件配置 (9)3 常见问题的解决方法 (10)连接松动 (10)服务通知 (10)固件更新 (10)在启用了 HP Trusted Platform Module 和 BitLocker 的情况下更新服务器 (11)DIMM 操作准则 (11)DIMM 安装和配置准则 (11)组件 LED 指示灯定义 (11)SAS、SATA 和 SSD 驱动器准则 (12)热插拔驱动器 LED 定义 (12)系统电源 LED 指示灯定义 (13)运行状况 LED 条形指示灯定义(仅限刀片) (13)前面板 LED 指示灯和按钮 (13)前面板 LED 指示灯电源故障代码 (14)4 远程故障排除 (16)远程故障排除工具 (16)远程访问 Virtual Connect Manager (17)ZHCN iii使用 HP iLO 对服务器和服务器刀片进行远程故障排除 (17)使用 Onboard Administrator 对服务器刀片进行远程故障排除 (18)使用 OA CLI (18)5 诊断流程图 (20)故障排除流程图 (20)使用诊断流程图 (20)在开始之前收集重要信息 (21)故障排除流程图引用网站 (21)初始诊断流程图 (21)远程诊断流程图 (22)开机故障流程图 (23)服务器开机故障流程图(ML、DL 和 SL 系列) (23)服务器开机故障流程图(XL 系列) (24)服务器刀片开机故障流程图(BL 系列) (25)POST 故障流程图 (27)Intelligent Provisioning 故障流程图 (29)控制器问题 (29)缓存模块问题 (31)HP Smart Storage 电池问题 (32)物理驱动器问题 (33)逻辑驱动器问题 (34)操作系统引导故障流程图 (35)故障指示流程图 (36)服务器故障指示流程图(非刀片服务器) (37)服务器故障指示流程图(BL 系列) (38)电源配置文件问题 (38)网卡问题 (39)常规诊断流程图 (41)6 硬件问题 (43)用于所有 ProLiant 服务器的步骤 (43)电源问题 (43)电源问题 (43)电源问题 (43)无法打开服务器电源 (44)HP ProLiant 引导前运行状况摘要 (44)UPS 问题 (45)UPS 无法正常供电 (45)显示电池电量不足警告 (46)UPS 上的一个或多个 LED 指示灯呈红色 (46)iv ZHCN常规硬件问题 (46)新硬件的问题 (46)未知问题 (47)第三方设备的问题 (47)测试设备 (47)系统内部问题 (48)CD-ROM 和 DVD 驱动器问题 (48)系统无法从该驱动器引导 (48)从驱动器读取的数据不一致,或驱动器无法读取数据 (48)未检测到驱动器 (49)驱动器问题(硬盘驱动器和固态驱动器) (49)驱动器发生故障 (49)无法识别驱动器 (49)无法访问数据 (50)服务器响应时间比平时慢 (50)HP SmartDrive 图标或 LED 指示灯指示驱动器错误,或者在 POST、HP SSA 或 HP SSADUCLI 中显示错误消息 (51)存储问题 (51)在安装操作系统时,操作系统安装无法识别 HP Dynamic Smart Array B140iRAID 控制器驱动器 (51)具有 10 SFF 驱动器背板或 12 LFF 驱动器背板的服务器上的数据故障或磁盘错误 (51)具有 25 SFF 驱动器背板的服务器上的数据故障或磁盘错误 (51)SD 和 microSD 卡问题 (51)系统无法从该驱动器引导 (51)U 盘问题 (51)系统无法从该驱动器引导 (51)风扇问题 (52)出现一般的风扇问题 (52)出现热插拔风扇问题 (52)HP BladeSystem c 系列机箱中的所有风扇高速运行 (53)HP Trusted Platform Module 问题 (53)HP Trusted Platform Module 出现故障,或者未检测到 (53)内存问题 (53)出现一般的内存问题 (53)服务器内存不足 (54)出现内存计数错误 (54)服务器无法识别现有的内存 (54)服务器无法识别新的内存 (55)处理器问题 (55)磁带机问题 (56)ZHCN v磁带卡住问题 (56)读取/写入问题 (56)备份问题 (56)介质问题 (57)图形和视频适配器问题 (57)出现了常规图形和视频适配器问题 (57)外部设备问题 (58)视频问题 (58)启动服务器之后,屏幕持续 60 多秒钟没有显示 (58)如果使用节能功能,显示器无法正常工作 (58)显示颜色不对 (58)显示慢慢移动的水平线 (59)鼠标和键盘问题 (59)电缆问题 (59)在使用较旧的小型 SAS 电缆时,发生驱动器错误、重试、超时和无根据的驱动器故障 (59)无法识别 USB 设备,显示错误消息,或者设备在连接到 SUV 电缆时无法打开电源 (59)网络控制器或 FlexibleLOM 问题 (59)安装了网络控制器或 FlexibleLOM,但运行不正常 (59)网络控制器或 FlexibleLOM 已停止工作 (60)添加了扩展卡后,网络控制器或 FlexibleLOM 停止工作 (60)网络互联刀片出现问题 (61)控制器问题 (61)在禁用 RAID 模式时,找不到 HP Dynamic Smart Array B140i 驱动器 (61)在 RAID 模式中访问的驱动器上的数据不与从非 RAID 模式中访问的数据兼容 (61)在将驱动器移至新的服务器或 JBOD 后,Smart Array 控制器不显示逻辑驱动器 (61)驱动器漫游 (61)扩展卡问题 (61)系统在更换扩展卡期间要求使用恢复方法 (61)7 软件问题 (63)操作系统问题和解决方法 (63)操作系统问题 (63)操作系统锁定 (63)错误日志中显示错误 (63)安装 Service Pack 之后出现问题 (63)操作系统更新 (63)恢复为备份版本 (64)vi ZHCN何时重新配置或重新加载软件 (64)Linux 资源 (64)应用程序软件问题 (64)软件锁定 (64)更改软件设置后出错 (65)更改系统软件后出错 (65)安装了应用程序后出错 (65)ROM 问题 (65)远程 ROM 刷新问题 (65)命令行语法错误 (65)目标计算机上拒绝访问 (65)无效或不正确的命令行参数 (65)网络连接在进行远程通信时失败 (65)ROM 刷新期间发生故障 (65)不支持目标系统 (66)系统在固件更新期间要求使用恢复方法 (66)更新固件 (66)引导问题 (66)服务器无法引导 (66)UEFI 服务器的 PXE 引导准则 (68)8 软件工具和解决方案 (69)服务器模式 (69)产品规格说明简介 (69)HP iLO (69)Active Health System (70)用于 HP iLO 的 HP REST API 支持 (71)Integrated Management Log (71)HP Insight Remote Support (71)HP Insight Remote Support 集中连接 (72)HP Insight Online 直接连接 (72)HP Insight Online (72)Intelligent Provisioning (72)HP Insight Diagnostics (73)HP Insight Diagnostics 检测功能 (73)Erase Utility (73)适用于 Windows 和 Linux 的 Scripting Toolkit (73)HP Service Pack for ProLiant (74)HP Smart Update Manager (74)HP UEFI System Utilities (74)使用 HP UEFI System Utilities (74)ZHCN vii安全引导配置 (76)嵌入式 UEFI Shell (76)嵌入式诊断选件 (76)用于 UEFI 的 HP REST API 支持 (76)重新输入服务器序列号和产品 ID (76)实用程序和功能 (77)HP Smart Storage Administrator (77)Automatic Server Recovery(自动服务器恢复) (77)USB 支持 (78)外置 USB 功能 (78)支持冗余 ROM (78)安全性和安全优势 (78)使系统保持最新状态 (79)访问 HP 支持材料 (79)更新固件或系统 ROM (79)FWUPDATE 实用程序 (79)嵌入式 UEFI Shell 中的 FWUpdate 命令 (79)System Utilities 中的固件更新应用程序 (80)联机刷新组件 (80)驱动程序 (80)软件和固件 (81)支持的操作系统版本 (81)版本控制 (81)HP 对于 ProLiant 服务器支持的操作系统和虚拟化软件 (81)HP 技术服务组合 (81)更改控制和主动通知 (82)9 HP 故障排除资源 (83)在线资源 (83)HP 支持中心网站 (83)HP 企业信息库 (83)HP 指导的故障排除网站 (83)以前的 HP ProLiant 服务器型号的故障排除资源 (83)服务器刀片机箱故障排除资源 (84)错误消息资源 (84)服务器文档 (84)HP 产品规格说明简介 (84)白皮书 (84)服务通知、咨询和通告 (85)viii ZHCN产品信息资源 (85)其它产品信息 (85)注册服务器 (85)服务器功能概述和安装说明 (85)主要功能和选件部件号 (85)服务器和选件的规格、符号、安装警告和通告 (85)备件号 (86)拆卸步骤、部件号和规格 (86)拆卸或卸除和更换过程视频 (86)技术主题 (86)产品安装资源 (86)外部布线信息 (86)电源容量 (86)开关设置、LED 指示灯功能、驱动器、内存、扩展卡和处理器安装说明以及板卡布局 (86)产品配置资源 (87)设备驱动程序信息 (87)DDR4 内存配置 (87)支持的操作系统版本 (87)操作系统安装和配置信息(对于出厂时安装的操作系统) (87)服务器配置信息 (87)服务器设置软件的安装和配置信息 (87)服务器的软件安装和配置 (87)HP iLO 信息 (87)服务器管理 (87)服务器管理系统的安装和配置信息 (87)容错、安全保护、保养和维护、配置和设置 (88)10 支持和其它资源 (89)与 HP 技术支持部门或授权经销商联系 (89)客户自行维修 (89)所需的服务器信息 (89)所需的操作系统信息 (90)Microsoft 操作系统 (90)Linux 操作系统 (91)Oracle Solaris 操作系统 (92)报告和日志 (92)Active Health System 日志概述 (92)Active Health System 下载 CLI 实用程序 (93)HP iLO Web 界面 (93)ZHCN ixHP Intelligent Provisioning (93)下载 Active Health System 日志 (94)使用 HP iLO (94)使用 Intelligent Provisioning (95)使用用于 Windows 操作系统的 Active Health System 下载 CLI (96)使用用于 Linux 分发的 Active Health System 下载 CLI (96)使用 curl 命令行工具 (97)HP SSA 诊断任务 (97)HP Smart Storage Administrator Diagnostic Utility CLI 报告 (98)HPS 报告 (99)cfg2html 报告 (99)11 缩略语和缩写 (100)12 文档反馈 (103)索引 (104)x ZHCN1使用本指南如何使用本指南《HP ProLiant Gen9 故障排除指南,第一卷:故障排除》重点介绍了 HP ProLiant Gen9 ML、DL、BL、XL 和 SL 服务器的故障排除步骤。
常见爱立信交换机故障处理流程TT计费停1)〈CHODP:FN=TT;连续看几次,如果指针不变,则确认TT计费停2)〈CHOFP:FN=TT;看那些计费子文件是CLOSE,那些计费子文件是OPEN3)〈CHOFI:FN=TT,FILEID=;打开另一个状态为CLOSE的计费子文件CHOFP:FILE=TTFILE03;4)〈CHODP:FN=TT;连续看几次,如果指针变,TT计费恢复正常;如果指针仍然不变,则重复3)、4)直到TT计费恢复正常;如果把所有的计费子文件都打开,指针仍然不变,则马上通知交换室。
(计费恢复正常后,除了能够正常计费子文件外,其他的计费子文件都要关闭,如果更改了计费子文件要通知立信计费中心)2.CPFAULT〈REPCI;测试出错部件。
〈REMCI:MAG=,PCB=;根据REPCI指令结果把最大怀疑坏的对应值填入。
〈RECCI;测试并复位。
如果CPFAULT不能消除,则报交换室。
3.RP(EM)FAULT〈REPRI:RP=,(EM=);〈REMRI:RP=,(EM=),PCB=;根据REPRI指令结果把最大怀疑坏的对应值填入。
〈RECRI:rp=;如果RPFAULT不能消除,则报交换室。
4.EMRPFAULT〈REPEI:EMG=,EMRP=;〈REMEI:EMG=,MAG=,PCB=;〈RECEI:EMG=,PCB=;如果不能恢复,还可以进行如下操作:〈EXEDP:EMG=,EM=;〈BLODI:DEV=;〈BLEEI:EMG=,EM=;〈BLEEE:EMG=,EM=;〈BLODE:DEV=;如果EMRPFAULT不能消除,则报交换室。
5.TSMFAULT〈GSSTP;检查TSM的状态。
〈GSDSP;清除干扰源。
〈GSBLI:TSM=;闭TSM。
〈GSTEI:TSM=;测TSM。
〈GSBLE:TSM=;解TSM。
等待5分钟,如果TSMFAULT不能消除,则报交换室。
6.系统时钟故障〈NSSTP;时钟状态。
FORTRAN常见错误41 Insufficient virtual memory 虚拟内存不足70 Integer overflow 整数溢出错误71 Integer divide by zero 整数除0错误72 Floating overflow 浮点数溢出错误73 Floating divide by zero 浮点数除0错误74 Floating underflow 浮点数下溢错误75 Floating point exception 浮点数异常错误77 Subscript out of range 数组定义超出边界95 Floating-point conversion failed 浮点数格式转换失败146 Null pointer error 空指针错误147 Stack overflow 堆栈溢出148 String length error 字符串长度超出允许范围149 Substring error 数组下标超出允许范围150 Range error 整数值超出允许范围151 Allocatable array is already allocated 数组重复定义161 Program Exception - array bounds exceeded 引用数组下标超出允许范围162 Program Exception - denormal floating-point operand 非法浮点数操作符163 Program Exception - floating stack check 浮点数堆栈检查164 Program Exception - integer divide by zero 整数除0错误165 Program Exception - integer overflow 整数溢出166 Program Exception - privileged instruction 非法执行特权指令168 Program Exception - illegal instruction 非法指令170 Program Exception - stack overflow 堆栈溢出540 Array or substring subscript expression out of range 数组下标低下数组定义下界或高于数组定义上界541 CHARACTER substring expression out of range 字符串非法表示542 Label not found in assigned GOTO list 不属于GOTO语句引用的标号543 INTEGER arithmetic overflow 整数运算结果出现溢出544 INTEGER overflow on input 输入的整数值超出允许范围545 Invalid INTEGER 非法整数值546 REAL indefinite (uninitialized or previous error) 产生非法实数547 Invalid REAL 非法实数548 REAL math overflow 实数值溢出549 No matching CASE found for SELECT CASE select case语句中缺少case项550 INTEGER assignment overflow 整数定义超出允许范围556 A edit descriptor expected for CHARACTER 字符型数据的格式化输入和输出需要A编辑符557 E, F, D, or G edit descriptor expected for REAL 实数型数据的格式化输入和输出需要E,F,D,G编辑符558 I edi t descriptor expected for INTEGER 整数型数据的格式化输入和输出需要I编辑符559 L edit descriptor expected for LOGICAL 逻辑型数据的格式化输入和输出需要L编辑符568 Multiple radix specifiers 输入或输出语句重复说明582 Array already allocated 数组已分配583 Array size zero or negative 数组大小为0或负数585 Array not allocated 没有被分配的数组610 Invalid argument 非法参数616 Invalid number in input 输入非法数字617 Invalid string in input 输入非法字符串618 Comma missing in COMPLEX input 输入的多个表达式之间缺少逗号619 T or F expected in LOGICAL read 输入的逻辑值必须是T或F622 Illegal character in hexadecimal input 输入非法的十六进制数637 Integer expected in format 格式语句中要求的整数638 Initial left parenthesis expected in format 格式语句中多余的左括号639 Positive integer expected in format 格式语句中要求用正整数641 Integer expected preceding H, X, or P edi t descriptor 在H、X、P编辑符前要求用整数644 '.' expected in format 在D、E、F、G编辑符中w和d域之间用'.'分隔645 Unexpected end of format 格式语句没有结束646 Unexpected character in format 格式语句中的非法字符647 M field exceeds W field in I edit descriptor 在I编辑符中M域的值大于W域的值648 Integer out of range in format 格式语句中的整数值超出允许范围650 Separator expected in format 格式语句中需要分隔符663 Out of range: substring starting position 'pos' is less than 1 子字符串的起始位置小于1664 Out of range: substring ending position 'pos' is greater than string length 'len' 子字符串的终止位置大于字符串长度672 Out of memory 内存不足718 Cannot allocate temporary array -- out of memory 由于内存不足不能分配临时数组727 Cannot ALLOCATE allocatable array -- out of memory 由于内存不足不能分配数组729 DEALLOCATE failure: ALLOCATABLE array is not ALLOCATED 释放没有被分配的数组。
Fortinet飞塔Fortigate 防火墙功能介绍集成了一个5个端口的交换机,免除使用外5个端口的交换机,免除使用外接HUBFortiGate-60CWAN 链接,支持冗余的互联网连接,集成了一个病毒防火墙对小型办公室是理想的解决办法。
FortiGate的特点是双可以自动由For了流量控制,增强了网络流量能力。
FortiGate 在容量、速率、和性价比方面对小型商务,远程商店、宽带通信点都是理想的。
FortiGate或交换机,使得联网的设备直接连接到对小型办公和分支机构企业提供All-in-One保护。
FortiGate 病毒防火墙是专用的基于ASIC的硬件产品,在网络边界处提供了实时的保护。
基于Fortinet的FortiASIC? 内容处理器芯片,FortiGate平台是业界唯一能够在不影响网络性能情况下检测病毒、蠕虫及其他基于内容的安全威胁,甚至象Web过滤这样的实时应用的系统。
系统还集成了防火墙、VPN、入侵检测、内容过滤和流量控制功能,实现具有很高性价比、方便的和强有力的解决方案。
双DMZ端口对web 或邮件服务器提供了额外的网络区域,和对网络流量的增加的控制具有单个安全和接入策略无线接入点增加tiProtectTM网络实现攻击数据库的更新,它提供持续的升级,以保护网络不受最新的病毒,蠕虫,木马及其他攻击,随时随地的受到安全保护。
产品优势:1.提供完整的网络保护:综合了基于网络的病毒防御,Web和EMail内容过滤,防火墙,VPN,动态入侵检测和防护,流量管理和反垃圾邮件功能检测和防止1300多种不同的入侵,包括DoS和DDoS攻击,减少了对威胁的暴露基于ASIC的硬件加速,提供优秀的性能和可靠性2.保持网络性能的基础下,在邮件,文件转送和实时Web流量中消除病毒,蠕虫,和灰色软件/间谍软件的威胁3.自动下载更新病毒和攻击数据库,同时可以从FortiProtectTM网主动“推送”更新容易管理和使用—通过图形化界面初始建立,快速简便地配置指南指导管理通过FortiManagerTM集中管理工具,管理数千个FortiGate设备。
FortiGate HA状态监测及告警目录1.目的 (3)2.测试拓扑 (3)3.测试组件 (4)4.配置 (4)4.1FortiGate配置 (5)4.1.1 HA配置 (5)4.1.2 SNMP配置 (5)4.2 PRTG 配置 (6)4.2.1 主防火墙监测 (7)4.2.2 主备防火墙告警 (14)5.总结: (19)1.目的本文介绍FortiGate设备在要求高可用性,24x7x365不间断运行的关键应用中,通过PRTG网管软件实时记录FortiGate HA成员运行状态,并对故障进行实时告警的方法。
根据监测结果,HA成员一旦出现故障或运行参数超过设定阀值,立即以不同形式告警,包括Email、短信、图表颜色变化及声音告警,达到故障预警、提前处理,实现不间断运行的目的。
2.测试拓扑其中,穿过接口对port27、port28的是业务流量, port25是心跳口,port39是管理口。
WAN接受互联网用户访问,LAN交换机接入提供手机电视、手机音乐和手机push 邮件的服务器群。
3.测试组件3.1状态检测及告警软件PRTG Traffic Grapher V6.2.2.983, 包含10个免费sensor的许可。
10个免费license基本能满足大多数FortiGate HA单点运行环境的要求。
下载地址ftp://59.108.29.181/upload_directory/SE_Directory/Jerry/PRTG_V6.2.2.983.zip3.2监测主机要求操作系统:Windows 2000, XP, 2003, Vista 和windows 732bit 或64bit 版本系统要求:64 MB RAM (256 MB 或更多内存)安装要求磁盘空间20 MB每个传感器每天产生的数据大约25kb 到300kb之间同时要求该监测主机能够访问互联网,并注册能支持短信提示邮件收到的邮箱,如<手机号>@或<手机号>@等。
透明模式下FortiGate故障分析1.适用范围所有的FortiGate设备。
更多:2.说明本文描述的是FortiGate在透明模式下面的一些常见配置及故障分析举例。
3.FortiGate透明模式下面的注意事项3.1 默认情况下FortiGate不转发BPDU报文,这样可能会导致STP问题从而引起网络出现二层环路,可以登陆到FortiGate命令行下,进入到接口编辑下面,执行命令启用BPDU 转发:set stpforward enable;3.2 在trunk环境下面可以使用forward domain来控制指定的接口间数据转发,具有相同的forward domain号不同的接口间数据包在启用vlan_forward (vlan_forward = enabled)之后将会被转发,所以请谨慎使用forward domain以仅添加需要被转发的不同接口到同一个forward domain,或者把需要相互连通的不同vlan或接口划分到不同的VDOM以避免二层环路;3.3 只有Ethernet II类型帧可以被转发,在默认的配置下,所有的其他类型的二层协议都不能被转发。
需要转发这些帧请在接口下面启用l2forward功能;3.4 多播包默认情况下是不转发的,所以如果部署透明模式的防火墙接入到多播环境中请添加对应的多播策略以允许相关多播数据流通过FortiGate,如把防火墙部署到OSPF或RIP V2环境中的话需要在防火墙策略里面双向添加允许目的地址是224.0.0.5和224.0.0.6或224.0.0.9的策略;3.5 如果明确需要带外管理功能的话,请设置多VDOM,其中VDOM root仅用来管理其他相关的透明VDOM使用;3.6 如果部署透明模式的FortiGate到路由器和主机直接的时候,请注意在这段线路中是否会出现相同的源目的IP地址数据流在防火墙不同方向上时的MAC 地址不一致的情况,简单的应用如VRRP,HSRP之类的主机路由备份协议,这种情况下请尽量在防火墙上面设置静态IP/MAC以告诉FortiGate指定的虚拟MAC 地址属于某个VRRP组或HSRP组。
说明:本文档针对FortiGate 4.1.0 MR1产品的流量整形功能配置和基本故障分析命令使用进行说明,相关详细命令参照相关手册。
1.基本命令命令:config firewall shaper traffic-shaperdiagnose firewall shaper traffic-shaper statediagnose firewall shaper traffic-shaper statsdiagnose firewall shaper traffic-shaper list2.概述2.1 流量整形功能在FOS4.0版本里面已经从防火墙策略里面单独剥离出来,这样就可以让多条策略共用一条流量整形策略;2.2 请尽可能的为一台防火墙策略同时配置正向及反向流量整形策略已更精确控制带宽使用;2.3 相关P2P流控功能已经转移到应用控制模块实现;2.4 如何通过“diagnose firewall shaper traffic-sha per”命令来查看防火墙丢包情况;2.5 如何通过“diagnose debug flow”来分析流量整形问题;2.6 如何通过“diagnose sys session”来分析流量整形问题。
3.详细说明3.1流量整形功能在FOS4.0版本里面已经从防火墙策略里面单独剥离出来,在防火墙里面新增加一个独立的“流量整形器”用来配置独立的流量整形配置,也可以通过命令行来配置,格式如下:config firewall shaper traffic-shaperedit "limit_GB_25_MB_50_LQ"set action none(*)――――配额满时的动作set guaranteed-bandwidth 25 ――――承诺带宽set maximum-bandwidth 50 ――――限制带宽set priority high(*)――――带宽优先级set per-policy disable (*) ――――带宽类型set quota 0(*)――――配额set type hour(*)――――带宽报告产生周期nextend注意,带“*”表示默认配置,如果“每条策略”没有启用,表示所有的共有这台整形器的防火墙策略共享同一个带宽,启用的话不同的防火墙策略都可以独立享受一个带宽。
FortiGate HA同步机制和故障诊断说明版本 1.0时间2021年2月18涉及设备及版本FortiGate作者李威峰反馈***********************目录1HA同步配置说明 (3)1.1禁用自动同步配置 (3)1.2增量同步 (4)1.3周期性同步 (5)1.4当同步成功的Console 上输出的消息 (6)1.5当同步失败的Console 上输出的消息 (6)1.6HA 对象消息和它们引用的配置对象不同步的参考: (7)1.7对比集群成员的checksums校验和 (12)2怎样诊断HA out of sync 不同步消息 (15)2.1确定为什么没有进行HA同步 (15)2.2确定哪一部分配置导致的问题 (16)2.3重新计算checksums校验和解决HA不同步问题 (17)2.4确定导致配置同步问题的原因 (18)1HA同步配置说明FGCP 协议用联合的增量同步和周期性同步去确保所有HA Cluster中的成员与主设备的配置一致。
下面的配置不会在cluster成员中同步:●主机名●GUI 仪表盘中的微件●HA 中的override抢占●HA设备priority优先级●虚拟cluster priority优先级●HA下的Ping server 优先级●HA专用管理接口的配置●HA 专用管理接口的下的默认路由配置多数订阅服务和授权是不同步的,每一个FortiGate授权是独立的。
FortiToken Mobile是一个例外,它们注册到主设备然后同步给备设备。
主设备同步所有其它的配置给集群成员,包括HA下的一些配置。
所有同步活动在HA hearbert心跳接口用TCP /703 和UDP/703。
1.1禁用自动同步配置在一些情况下你可能想用下面的命令关掉自动同步主设备的配置到所有集群中的设备。
config system haset sync-config disableend当这个选项disable禁用后,集群不再同步配置变更。
常见fortran错误1. Incrementally linked image--PC correlation disabled.!编译终止2. forrtl: severe (157): Program Exception - access violation!The program tried to read from or write to a virtual address for which it does not have the appropriate access. Try recompiling with the /check:bounds and /warn:argument_checking options set, to see if the problem is an out-of-bounds memory reference or a argument mismatch that causes data to be treated as an address.Other causes of this error include:Mismatches in C vs. STDCALL calling mechanisms, causing the stack to become corrupted References to unallocated pointers Attempting to access a protected (for example, read-only) address3 "forrtl: severe (64): input conversion error, unit 2, file D:\FORTRAN2\testi!文件testi正在读写,直到读写到2时错误。
举例:程序想读写整数,却碰到变量故终止。
4 error LNKZOOI : unresolved external symbol _ SN @ 4 fatal error LNKllZO : 1 unresolved externals! 出现了未指定的外部函数符号Sn 。
硬件故障处理指南声明:+本文档解释权归Fortinet+只能由代理商或分销商向Fortinet技术支持中心进行故障申报。
+在申请故障处理前,确认所购买的Fortinet产品的硬件质保或技术支持服务在有效期内。
一、硬件故障1.硬件检测+ 电源故障+ 简单直观的故障+ 不能正常启动的故障+ HQIP故障检查软件2.硬件返修流程3.RMA/DOA4.硬件故障——Ticket二、软件故障1.收集故障信息+ 拓扑图+ v2.80版本+ v3.00版本2.申报Ticket三、常见问题1. FortiCare和FortiGuard包含的服务2. RMA/DOA的Ticket处理注意事项3. RMA/DOA的其他问题4. RMA/DOA的服务替换步骤一、硬件故障处理1.硬件检测Fortinet产品线比较长,共有六个大的类别。
检测故障的方法归纳如下:1.1 适配器故障FortiGate 100及以下型号。
低端产品都配有一个单独的电源适配器。
如果发现设备不能上电的情况,可以换一个型号相同、工作正常的适配器作交换测试。
根据测试结果,确定是否维修适配器。
FortiGate 1000A及以上型号。
高端产品的后面右端位置都有两个可拆卸的电源适配器。
如果发现不能上电的情况,可作交换测试,以确认是否维修适配器。
1.2 简单直观的故障+ LCD不亮、电源指示灯不亮、网络接口灯不亮等+ LCD的四个按键不工作+ 电源风扇不工作。
(说明:因为有些型号的风扇能够根据机器运行的温度来实时调整风扇的转速,个别风扇可能暂时不工作或风扇转速很小,所以请小心检测。
如果不能完全确认,请用细小的纸条帮助检测。
)1.3 不能正常启动在判断设备的启动故障前,参考一下FortiGate网关的正常启动状态。
下面例子是FortiGate200A网关的正常启动过程:FG200A (13:37-07.09.2004)Ver:03006000Serial number:FG200AxxxxxxxxxxRAM activationTotal RAM: 512MBEnabling cache...Done.Scanning PCI bus...Done.Allocating PCI resources...Done.Enabling PCI resources...Done.Zeroing IRQ settings...Done.Verifying PIRQ tables...Done.Disabling local APIC...Done.Boot up, boot device capacity: 61MB.Press any key to display configuration menu.........Reading boot image 1144001 bytes.Initializing firewall...System is started.FG200A2104450177 login:1.3.1启动过程没到“Press any key”如果启动过程没有进行到“Press any key to display configuration menu...”,可以直接申报维修。
一次语音流量穿越飞塔Gate不通的解决过程V 1.0北京超圣信华科技有限公司2016年4月11日问题:一次语音穿越Gate不通的解决过程版本:V1.0日期:2016年4月11日作者:宋泽春摘要:一次语音穿越Gate不通的解决过程关键字:SIP、SDP、SDF、RTP文档记录文档说明本文档描述了一次语音流量穿越飞塔Gate不通的解决过程的说明。
目录文档记录 (33)文档说明 (33)第1章需求 (55)第2章SIP浅析 (55)第3章拓扑结构 (55)第4章配置部分 (66)4.1配置火墙地址 (66)4.2开启负载均衡功能及VOIP高级特性 (66)4.3配置虚拟服务器 (77)4.4配置真实服务器 (77)4.5监控检查 (88)4.6配置虚拟IP (99)4.7策略配置 (1010)第5章分割点 (1212)第6章遇到的问题 (1212)6.1负载均衡回切慢问题 (1212)6.2语音无法建立问题 (1414)6.3语音IPPBX无法回切问题 (1717)第1章需求内部安装两台IPPBX,外部IP分机呼入,通过Fortiner 200D可实现负载均衡功能。
当主设备故障后,呼叫会切换到备用设备。
需求:默认语音网关访问飞塔VIP流量分发到IPPBX A上当IPPBX A异常,语音网关访问飞塔的VIP的流量分发到IPPBX B上当IPPBX A恢复后,语音网关访问飞塔VIP的流量继续分发到IPPBX A上第2章 SIP浅析简单的说SIP有信令流(5060)和媒体流(两个人的通话)两部分组成,信令流主要用作从语音网关到IPPBX管理系统的注册,媒体流用来传输建立好通道的语音流量。
第3章拓扑结构拓扑结构如下:第4章配置部分欲完成上述需求,飞塔防火墙需要启用负载均衡功能。
即,两个IPPBX管理系统作为两台服务器看待,语音网关作为访问者看待,飞塔防火墙通过其负载均衡模块将两台IPPBX管理系统向语音网关发布。
FortiNACTroubleshootingDevice Detection TrapsVersion: 8.7, 8.8Date: October 13, 2020Rev: AFORTINET DOCUMENT LIBRARYFORTINET VIDEO GUIDEFORTINET KNOWLEDGE BASEFORTINET BLOGCUSTOMER SERVICE & SUPPORTFORTINET COOKBOOKNSE INSTITUTEFORTIGUARD CENTERFORTICASTEND USER LICENSE AGREEMENT/doc/legal/EULA.pdfContentsOverview (4)Procedure (4)Debugging (5)OverviewThis document provides steps to validate the receipt and processing of a Device Detection SNMP Trap sent by FortiGate.For configuration details, refer to the Fortigate Endpoint Management Integration reference manuals in the FortiNAC Document Library:Procedure1.Verify the appliance is running version 8.7.6, 8.8.2 or higher.2.Verify the FortiGate is detecting the connected device. In the FortiGate UI, navigate toUser & Device > Device Inventory confirm the device is listed.3.Disconnect test device or admin down the switch port.4.Delete the device entry from Device Inventory. In FortiGate CLI typeDiagnose user device del <mac address xx:xx:xx:xx:xx>5.Run tcpdump on the FortiNAC to verify traps are received. In the FortiNAC CLI typetcpdump –nni any port 162 and host <FGT IP address in FortiNAC>6.Connect the device or admin up the port.7.In the FortiGate UI, confirm the device re-populates the Device Inventory.8.In the FortiNAC CLI, verify the trap is received.9.Ctrl-C to stop tcpdump.10.In the FortiNAC UI, navigate to Hosts > Host View and search by MAC address for theconnecting device. The host should now show online.Note:∙If the host record has not yet been created, FortiNAC runs a L2 poll of the FortiGate after receiving the trap. Once poll completes, the host record is created.∙If host record already exists, the online status is updated upon receipt of the trap.∙Host record will display FortiGate as the location (since FortiNAC has no knowledge of the connecting switch).DebuggingIf tcpdump shows the trap received but the host record connection status does not update, collect logs while reproducing the behavior.In the FortiNAC CLI, enable debug. Type:CampusMgrDebug –name DeviceInterface trueCampusMgrDebug –name BridgeManager trueCampusMgrDebug –name SnmpV1 true1.Disconnect test device or admin down the switch port.2.Delete the device entry from Device Inventory. In FortiGate CLI typeDiagnose user device del <mac address xx:xx:xx:xx:xx>3.Run tcpdump on the FortiNAC to verify traps are received. In the FortiNAC CLI typetcpdump –nni any port 162 and host <FGT IP address in FortiNAC>4.Open another FortiNAC CLI window and tail the logs. Save output to a file(DevDTrap_master.txt). Typetail –F /bsc/logs/output.master | tee DevDTrap_master.txt5.Connect the device or admin up the port.6.In the FortiGate UI, confirm the device re-populates the Device Inventory.7.In the FortiNAC CLI tcpdump, verify the trap is received.8.Ctrl-C to stop the tcpdump.9.Save tcpdump output to a text file and save as DevDTraptcpdump.txt10.Ctrl_C to stop the tail.11.Disable debug. TypeCampusMgrDebug –name DeviceInterface falseCampusMgrDebug –name BridgeManager falseCampusMgrDebug –name SnmpV1 falsee WinSCP or a similar application to download deviceDTrap_master.txt to a computer(use SCP for the transfer protocol).13.Open a support ticket and provide the following information:∙Description of behavior∙MAC address of the test device∙Attach DevDTraptcpdump.txt∙Attach DeviDTrap_master.txtCopyright© 2020 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., in the U.S. and other jurisdictions, and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet ente rs a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. In no event does Fortinet make any c ommitment related to future deliverables, features or development, and circumstances may change such that any forward-looking statements herein are not accurate. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.。
FortiGate其他常见问题目录1.设备或服务注册后多少时间生效 (3)2.关于FortiOS (3)2.1 什么是FortiOS (3)2.2FortiOS 版本演进表 (4)2.3 FortiOS升降级版本注意事项 (5)3.配置缺省网关和静态路由 (6)3.1 配置缺省网关 (6)3.2 配置静态路由 (7)3.3 验证路由表 (8)4.通过仪表盘查看接口流量 (9)5.如何查看接口MAC地址 (11)5.1 GUI查看 (11)5.2 CLI查看 (11)6.如何查看ARP信息 (12)7.如何配置接口管理权限 (12)8.GUI备份配置文件及恢复配置文件 (13)8.1 备份配置 (13)8.2 恢复配置 (13)9.如何下载OS、特征库 (14)9.1 下载OS (14)9.2 离线下载特征库 (18)9.3 离线升级特征库 (21)10.如何回退到升级前的版本和配置文件 (22)10.1 升级且备份配置 (22)10.3快速回滚版本 (23)10.4快速回滚配置 (23)1.设备或服务注册后多少时间生效设备或服务注册后后台并非立即生效,一般需要1到2个小时同步到服务器群的每个成员服务器,有时候可能需要24小时的同步时间,所以可以考虑在部署设备前注册设备或者服务,以便使用时服务有效。
2.关于FortiOS2.1 什么是FortiOSa)FortiOS 与FortiGate、FortiWiFi的区别与关系FortiGate与FortiWiFi通常是指硬件盒子产品;FortiOS是以上两种硬件盒子上运行的操作系统(OS,Operation System)。
b)FortiOS 版本说明v5.2 Patch7 Build0718大版本号补丁号Build号“v5.2 Patch7 Build0718”通常被简称或缩写成“v5.2.7”大版本号:如v4.3,v5.0,v5.2…大版本之间的功能、命令、管理界面存在较大差别大版本号越大,功能越丰富补丁号:补丁版本之间功能命令集没有变化,界面可能会有小调整主要修复bug,补丁号越大,bug越少,稳定性越好Build号:内部标识,具有唯一性正式发布版本的FortiOS编号与特殊项目的特殊build有所区分2.2 FortiOS 版本演进表2.3 FortiOS升降级版本注意事项a)升级路径,FortiOS升级版本跨度较大时, 为保证升级后原配置正确的自动转换为新版本OS需要的配置,稳妥考虑最好严格按照以下链接所示路径逐步升级:Table for 5.4Table for 5.2Table for 5.0Table for unsupported firmware(v4.3及更早)b)每一次升级最好先备份配置保存在本地并且不要混淆;c)版本降级则无需逐步,一步到位并恢复配置即可。
FortiGate硬件故障处理指南硬件故障处理指南声明:+本⽂档解释权归Fortinet+只能由代理商或分销商向Fortinet技术⽀持中⼼进⾏故障申报。
+在申请故障处理前,确认所购买的Fortinet产品的硬件质保或技术⽀持服务在有效期内。
⼀、硬件故障1.硬件检测+ 电源故障+ 简单直观的故障+ 不能正常启动的故障+ HQIP故障检查软件2.硬件返修流程3.RMA/DOA4.硬件故障——Ticket⼆、软件故障1.收集故障信息+ 拓扑图+ v2.80版本+ v3.00版本2.申报Ticket三、常见问题1. FortiCare和FortiGuard包含的服务2. RMA/DOA的Ticket处理注意事项3. RMA/DOA的其他问题4. RMA/DOA的服务替换步骤⼀、硬件故障处理1.硬件检测Fortinet产品线⽐较长,共有六个⼤的类别。
检测故障的⽅法归纳如下:1.1 适配器故障FortiGate 100及以下型号。
低端产品都配有⼀个单独的电源适配器。
如果发现设备不能上电的情况,可以换⼀个型号相同、⼯作正常的适配器作交换测试。
根据测试结果,确定是否维修适配器。
FortiGate 1000A及以上型号。
⾼端产品的后⾯右端位置都有两个可拆卸的电源适配器。
如果发现不能上电的情况,可作交换测试,以确认是否维修适配器。
1.2 简单直观的故障+ LCD不亮、电源指⽰灯不亮、⽹络接⼝灯不亮等+ LCD的四个按键不⼯作+ 电源风扇不⼯作。
(说明:因为有些型号的风扇能够根据机器运⾏的温度来实时调整风扇的转速,个别风扇可能暂时不⼯作或风扇转速很⼩,所以请⼩⼼检测。
如果不能完全确认,请⽤细⼩的纸条帮助检测。
)1.3 不能正常启动在判断设备的启动故障前,参考⼀下FortiGate⽹关的正常启动状态。
下⾯例⼦是FortiGate200A⽹关的正常启动过程:FG200A (13:37-07.09.2004)Ver:03006000Serial number:FG200AxxxxxxxxxxRAM activationTotal RAM: 512MBEnabling cache...Done.Scanning PCI bus...Done.Allocating PCI resources...Done.Enabling PCI resources...Done.Zeroing IRQ settings...Done.Verifying PIRQ tables...Done.Disabling local APIC...Done.Boot up, boot device capacity: 61MB.Press any key to display configuration menu.........Reading boot image 1144001 bytes.Initializing firewall...System is started.FG200A2104450177 login:1.3.1启动过程没到“Press any key”如果启动过程没有进⾏到“Press any key to display configuration menu...”,可以直接申报维修。
