h3c secpath m9000虚拟多业务网关产品日常维护指导书.doc

h3c secpath m9000虚拟多业务网关产品日常维护指导书 0、维护指导、常见问题摘摘要此文档用于指导日常维护H3C防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPathM9000虚拟多业务网关设备进行健康性检查的相关事项。 适用对象本文档适用于H3C SecPathM9000虚拟多业务网关产品的日常操作和维护工程师。 缩略语清单缩略语英文全名中文解释ASPF ApplicationSpecific PacketFilter状态的报文过滤NAT NetworkAddress Translation网络地址转换HA HighAbility高可靠性DDOS DistributedDenial of Service分布式拒绝服务攻击QOS QualityofService服务质量OAA OpenApplication Architecture开放应用架构H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第2页，共88页第第1章日常维护建议1.1日常维护建议尊敬的用户感谢您使用H3C公司的SecPathM9000虚拟多业务网关产品。 系统正常、稳定地运行是我们共同的愿望，为了我们共同的目标，请您重视以下建议并参照日常维护建议进行必要的日常维护。 1、H3C SecPathM9000虚拟多业务网关产品关系涉及网络安全技术、Windows系列操作系统，及相关第三方厂家设备，所以应安排受过专业培训的人员进行日常维护。 2、注意保持机房整洁，防尘防潮，防止虫鼠进入。 3、参照H3C SecPathM9000虚拟多业务网关产品维护指导中的内容对设备进行例行检查和测试，并记录检查结果。 4、用于系统管理、设备维护和业务操作的用户名和密码应该严格管理，定期更改，并只向特定的相关人员发放。 5、严禁在设备维护终端主机上安装与业务无关的软件，严禁在设备维护终端主机上运行与业务无关的应用。 维护终端主机应该定期查杀计算机病毒。 6、遇有不明原因告警或故障，请迅速与代理商工程师或H3C公司服务热线联系（400-810-0504/800-810-0504）。 7、调整线缆必须慎重，并在调整前作好标记，以防误操作。 8、对设备硬件进行相关操作时应注意戴好防静电手腕。 9、对设备进行复位操作、配置参数改动前应做好配置信息备份工作。 10、在对设备版本进行升级前，应全面备份设备配置信息，并记录当前版本号。 H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第3页，共88页1.2维护记录表格和维护操作指导书的使用说明1.H3C SecPathM9000虚拟多业务网关设备日常维护值班日志由机房维护人员填写，每日填写一张表格，说明值班期间机房环境、设备运行情况等。 用户可根据本局点具体情况以及第三方设备情况对H3C SecPathM9000虚拟多业务网关设备日常维护值班日志表格内容进行修改，并将表格制作成值班日志手册，将H3C SecPathM9000虚拟多业务网关系统日常维护指导的内容附加在值班日志手册的后面。 2.H3C SecPathM9000虚拟多业务网关设备季度维护记录表是对H3C SecPathM9000虚拟多业务网关设备进行季度维护时维护内容的记录，每季度维护的方法可参考H3C SecPathM9000虚拟多业务网关设备季度维护操作指导。 3.突发问题处理记录表是对H3C SecPathM9000虚拟多业务网关设备突发问题及相应处理措施所作的记录，作为以后进行维修或查看问题记录的依据。 用户可根据本局具体情况对突发问题处理记录表的内容进行修改，并制作H3C SecPathM9000虚拟多业务网关设备日常突发问题处理记录手册。 4.硬件更换记录表是设备整机或插在其上部件的更换记录。 5.数据修改记录表是H3C SecPathM9000虚拟多业务网关设备配置信息修改的记录。 文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第4页,共88页第第2章维护操作指导H3C SecPathM9000虚拟多业务网关产品在使用维护过程中需要关注许多方面，并以负责任的态度履行注意事项: （1）保证设备按照要求进行可靠接地。 （2）维护人员做好防静电措施。 （3）及时修改安全策略保证访问安全。 （4）保证网络线缆连接正常，以免影响网络稳定性。 （5）室外特殊环境下注意工程规范性和安全性要求。 H3C SecPathM9000虚拟多业务网关设备运维日常的维护工作内容主要有定期巡检、故障处理、投诉处理、策略优化、通信保障等。 定期巡检:定期对所有站点进行一次现场巡检，对巡检时发现的问题现场进行处理并登记。 故障处理:主要通过网管系统发现故障并根据故障性质进行处理。 用户投诉:用户投诉要求在接到投诉后一定时限内赶到现场进行处理，处理结束后要求回访客户进行故障恢复确认。 策略优化:针对客户投诉、会议保障以及站点性质变化所作的较大的网络调整和安全策略优化。 通讯保障:当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。 下面对于日常维护及巡检内容进行简单说明2.1.H3C SecPathM9000虚拟多业务网关设备现场巡检现场巡检人员需定期（建议每季度）对全区所有的设备实施一次巡检。 为了保证网络的稳定性，对于招标选型新入网设备推荐每个月实施一次巡检，持续3个月。 （1）设备供电、接地情况；H3C SecPathM9000虚拟多业务网关如果安置在人流过往较多的地方，电源线、接地线容易被牵扯，因此每次巡检时应当检查电源线、接地线是否牢固，并检查电源线、接地线布线是否合理，尽量做到不易被人接触。 （2）查看H3C SecPathM9000虚拟多业务网关设备各指示灯状态结合指示灯状态和客户感受判断设备运转情况，指示灯通常为绿色常亮或均匀闪烁，具文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第5页,共88页体指示灯含义请参考本文档最后附表，如有异常情况，可以进一步进行排查并登录到设备收集诊断信息。 （3）检查H3C SecPathM9000虚拟多业务网关产品版本可以通过display version查看当前版本，如果版本低于H3C SecPathM9000虚拟多业务网关最新发布版本，建议升级到H3C SecPathM9000虚拟多业务网关最新发布版本。 2.2.设备日常维护操作指导维护类别维护项目操作指导参考标准备运行环境电源查看电源监控系统或测试电源输出电压电压输出正常，无异常告警温度（正常040）测试温度温度范围0-40；建议为15-25湿度（正常590）测试相对湿度相对湿度5%-90%（无冷凝）机房清洁度（灰尘含量）检查空气中灰尘的含量见附表1其他状况（火警、烟尘）查看消防控制系统告警状态消防控制系统无告警，若无条件则以肉眼判断为准文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第6页,共88页备运行状态电源指示灯状态查看电源指示灯状态电源指示灯显示正常系统指示灯状态查看系统指示灯状态系统指示灯显示正常CF指示灯状态查看CF指示灯状态CF指示灯显示正常电源线连接情况检查电源线连接是否安全可靠。 (1)各连接处安全、可靠。 (2)线缆无腐蚀、无老化。 线缆连接情况检查线缆连接是否安全可靠。 (1)各连接处安全、可靠。 (2)线缆无腐蚀、无老化。 其他线缆连接情况检查其他线缆连接是否安全可靠。 (1)各连接处安全、可靠。 (2)线缆无腐蚀、无老化。 文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第7页,共88页备配置检查系统登录检查是否可以登录设备系统可正常通过Tel、Console、Web等方式登录。 系统时间及运行状态信息检查系统时间及运行状态系统时间设定正常，运行状态信息显示正常业务配置管理信息检查系统业务配置管理信息系统各功能项配置正常，符合网络安全规划设计要求系统日志信息检查系统日志信息日志中无异常告警记录。 攻击日志信息检查攻击日志信息对攻击日志进行分析2.3.设备季度维护操作指导维护类别维护项目操作指导参考标准设备维护设备机柜状态检查安装设备的机柜安放是否平设备机柜放置水平、稳定，无晃动。 固定牢靠文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第8页,共88页稳、安装是否牢靠设备安装状态检查设备在机柜中的状态设备在机柜中安装平稳、牢靠，无松动设备散热状态检查设备散热状态设备周围通风良好，无杂物堆积，设备无过热现象设备清洁状态检查设备清洁状态设备无明显附着灰尘，外壳及各接口无腐蚀，工作台或机柜干净整洁季度维护检查系统时钟登录到系统管理页面，检查系统时钟信息显示时间和当前准确时间的误差不超过5秒网络连通性测试在设备维护终端在设备维护终端主机上，通过ping测试，各服务器与主机等节点的连通性文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第9页,共88页主机上ping各网段服务器或主机正常检查与更新系统版本查看系统当前版本信息。 通过登录H3C网站检查下载并更新设备至最新版本若设备运行异常，可尝试将设备版本升级至最新版本。 检查机柜清洁状态检查机柜清洁状态机柜无明显附着灰尘污渍，外壳及各连接处无腐蚀现象，机柜内部干净整洁检查值班电话状态检查值班电话拨 (1)值班电话可顺利拨入 (2)值班电话可顺利拨出文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第10页,共88页入、拨出情况 (3)话机工作正常2.4.H3C设备年度维护操作指导维护类别维护项目操作指导参考标准地线、地阻、业务线缆连接检查接地线检查检查接地线连接是否安全可靠 (1)各连接处安全、可靠、无腐蚀 (2)接地线无老化 (3)地线排无腐蚀，防腐蚀处理得当地阻检查使用地阻仪测试地阻地阻值应小于1欧姆业务线缆连接检查业务线缆是否与设备及配线架可靠连接 (1)各连接处安全、可靠无腐蚀。 (2)线缆无老化。 业务线缆布放检查业务线缆布放标识清晰。 (1)业务线缆布线整齐。 (2)业务线缆标识清晰，容易识别。 源检查UPS电源检查检查UPS的输出电压是否稳定；市电中断之后UPS是否继续稳定供 (1)UPS的输出电压稳定 (2)市电中断之后UPS的继续稳定供电文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第11页,共88页电第第3章维护记录表格3.1H3C SecPathM9000虚拟多业务网关设备日常维护值班日志日期年月日值班时间时至时交班人接班人维护类别维护项目维护状况备注维护人备运行环境电源（直流/交流）?正常?不正常温度（正常035）?正常?不正常湿度（正常2080）?正常?不正常机房清洁度（灰尘含量）?正常?不正常其他状况（火警、烟尘）?正常?不正常?备运行电源指示灯状态?正常?不正常诊断指示灯状?正常?不正常?文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第12页,共88页状态态USB指示灯状态?正常?不正常?电源线连接情况?正常?不正常?线缆连接情况?正常?不正常?其他线缆连接情况?正常?不正常?备配置检查系统登录?正常?不正常系统时间及运行状态信息?正常?不正常?业务配置管理信息?正常?不正常?系统日志信息?正常?不正常?故障情况及其处理遗留问题主管核查3.2H3C SecPathM9000虚拟多业务网关设备季度维护记录表维护周期年月日至年月日维护类别维护项目维护状况备注维护人文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第13页,共88页设备维护设备机柜状态?正常?不正常设备安装状态?正常?不正常设备散热状态?正常?不正常设备清洁状态?正常?不正常季度维护检查系统时钟?正常?不正常变更管理员登陆密码?完成?未完成网络连通性测试?正常?不正常?备份设备配置信息?完成?未完成检查与更新系统版本?完成?未完成?检查机柜清洁状态?完成?未完成?检查值班电话状态?完成?未完成?文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第14页,共88页发现问题及处理情况记录遗留问题说明主管核查3.3H3C SecPathM9000虚拟多业务网关设备年度维护记录表维护周期年月日至年月日维护类别维护项目维护状况备注维护人接地线、业务地线连?正常?不正常文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第15页,共88页线缆连接检查接检查地阻检查?正常?不正常业务线缆布放检查?正常?不正常业务线缆连接检查?正常?不正常电源检查UPS电源检查?正常?不正常?发现问题及处理情况记录遗留问题说明文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第16页,共88页主管核查3.4突发问题处理记录表发生时间解决时间值班人处理人问题类别?设备问题（包含软硬件，下同）?连接线缆问题?电网供电/UPS问题?接地或电源连接问题?设备安装问题?操作问题?其他（温度、湿度、鼠害、电磁干扰等）?不可抗力（洪水、飓风、地震、雷电等）?其他设备设备名称生产厂家设备名称生产厂家设备名称生产厂家故障描述文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第17页,共88页处理方法及结果3.5硬件更换记录表更换原因原设备名称/型号/条码新设备名称/型号/条码数量日期更换人文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第18页,共88页3.6系统参数修改记录表修改人修改时间修改原因修改内容文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第19页,共88页第第4章常见故障处理4.1故障处理通用流程4.2.1故障处理注意事项?更换和维护设备部件时，请佩戴防静电手腕，以确保您和设备的安全。 ?设备正常运行时，建议您在完成重要功能的配置后，及时保存当前配置，以便设备出现故障后能迅速恢复配置。 ?F10X0的故障，包括主机故障、插卡故障，主要通过主机上的console口或者tel来进行搜集。 ?设备出现故障时，请尽可能全面、详细地记录现场信息（包括但不限于以下内容），搜集信息越全面、越详细，越有利于故障的快速定位。 ?记录具体的故障现象、故障时间、配置信息。 ?记录完整的网络拓扑，包括组网图、端口连接关系、故障位置。 ?记录现场采取的故障处理措施（比如配置操作、插拔线缆、手工重启设备）及实施后的现象效果。 ?记录故障处理过程中配置的所有命令行显示信息。 ?搜集设备日志信息和diag信息。 文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第20页,共88页?记录抓取的报文信息、Debug开关打印信息、主控板与网板持续异常重启的串口输出信息。 ?记录设备故障时单板、电源、风扇指示灯的状态，或给现场设备拍照记录。 ?故障处理过程中，请注意?明确每项配置操作的影响，保证操作出问题时能够被恢复，故障影响不会扩大。 ?操作执行后请等待一定时间以确认执行效果。 ?请不要保存故障处理过程中的配置，特别是出现IRF分裂、插卡Fault、否则会引起配置丢失。 ?更换主控板时，请确保新、老主控板的软件版本一致。 4.2.2如何搜集设备运行信息为方便故障快速定位，建议不要关闭设备的信息中心（info-center enable）。 缺省情况下信息中心处于开启状态。 设备运行过程中会产生的logfile日志信息及记录设备运行状态的diag信息。 这些信息存储在Flash或CF卡中，可以通过FTP或TFTP等方式导出。 表1设备运行信息介绍分类文件名内容logfile日志logfileX.log命令行记录、Trap信息、设备运行中产生的记录信息diag信息XXX.gz设备状态、CPU状态、内存状态、配置情况、软件表项、硬件表项等1.logfile日志请先通过logfile save将设备缓存的logfile日志保存CF卡中，并将日志搜集完整。 H3Clogfile saveThe contentsin thelog filebuffer havebeen savedto thefile flash:/logfile/l ogfile.log.设备的logfile日志dir flash:/logfile/Directory offlash:/logfile文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第21页,共88页0-rw-10483632Jul08xx15:05:22logfile.log253156KB total(77596KB free)2.diag信息执行display diagnostic-information命令后，请输入“Y”，以选择将diag保存到CF卡中（选择display会出现信息搜集不全）。 display diagnostic-information Saveor displaydiagnostic information(Y=save,N=display)?Y/N:y Pleaseinput thefile name(*.gz)flash:/diag.gz:flash:/diag.gz Diagnosticinformation isoutputting toflash:/diag.gz.Save suessfully.dir flash:/Directory offlash:6-rw-898180Jun26xx09:23:51diag.gz1021808KB total(259072KB free)也可以将diag信息直接显示出来（不建议这样搜集），搜集前请先执行screen-length disable，避免屏幕输出被打断，如下screen-length disable%Screen-length configurationis disabledfor currentuser.dis diagnostic-information Saveor displaydiagnostic information(Y=save,N=display)?Y/N:N=display cpu=Slot1CPU0CPU usage:6%in last5seconds6%in last1minute6%in last5minutes=display cpu-usage historyslot1=100%|95%|90%|85%|80%|75%|文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第22页,共88页70%|65%|60%|55%|50%|45%|40%|35%|30%|25%|20%|15%|10%|5%|#-102030405060(minutes)cpu-usage(CPU0)last60minutes(SYSTEM)4.2.3故障定位和处理设备出现故障时，请先搜集设备运行的相关信息，判断大致的故障类型，然后参照对应类型的故障处理流程进行确认。 如遇到故障无法确认，请将故障描述连同搜集的信息发送给公司技术支持人员分析。 1.故障处理流程图图1为故障处理的一般流程，可以大致判断出故障的类型。 文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第23页,共88页图1故障处理流程图开始单板状态单板故障不正常检查入端口信息正常端口状态链路端口故障DOWN入端口计数UP上连设备出端口计数没有增加增加对端设备故障没有增加硬件故障检查出端口信息增加端口状态UP DOWN下连设备入端口计数crc错包增加对端设备故障overruns/ingored错包增加业务故障排查结束业务功能故障排查故障分析时常用的方法有?端口报文计数?报文镜像?端口抓包?查看会话状态及统计信息?查看L 2、L3转发表项及统计?Debug开关信息文档名称文档密级xx-03-29H3C机密，未经许可不得扩散第24页,共88页2.故障原因分类1.风扇故障如设备风扇指示灯异常、风扇停转、不断打印风扇告警信息，请参照14.2.3风扇故障处理。 2.温度告警如设备打印温度告警，请参照4.2.4温度告警处理。 3.链路端口故障如端口出现无法UP、频繁UP/DOWN、端口错包，请参照4.3链路端口故障处理。 4.报文转发故障如出现ping、tracert丢包或不通、二层丢包或不通、三层丢包或不通、业务异常等，请参照4.4报文转发故障处理。 5.IRF故障如果出现堆叠不成功、堆叠分裂，请参照请参照4.4报文转发故障处理。 6.双机热备故障如果出现冗余口相关异常，请参照请参照4.4报文转发故障处理。 7.NAT/ALG转换故障如果出现nat转换异常，不能正常转换，或者alg处理异常，请参照4.4报文转发故障处理8.IPSEC/IKE故障IPSEC出现转发不通、不能正常加解密时，请参考8IPSEC/IKE类故障处理9.系统管理维护类故障处理如设备的CPU占用率很高，请参照9系统管理类故障处理。 3.常见的故障恢复措施表2常见