内部网络通过acg1000行为管控上网。现在网络异常 ping acg1000 设备 经常丢包。如何先直接放行。
- 0关注
- 0收藏,50浏览
save
// 或导出到TFTP服务器备份
display current-configuration > tftp://
2. 配置最高优先级的零段放行策略(覆盖现有管控规则):
system-view
policy-manage
policy 1 // 编号越小优先级越高,确保优先匹配
rule 1 source-ip <核心下内部网段> <掩码> // 替换为实际网段,如192.168.1.0 255.255.255.0
rule 1 destination-ip 0.0.0.0 0.0.0.0
action permit
quit
enable policy 1
3. 验证策略生效:display policy-manage policy 1
4. 后续排查丢包根源:
查看接口丢包统计:display interface
查看会话日志:display session table source-ip <异常主机IP>
查看系统丢包日志:display logbuffer | include drop
在当前网络全面不通的紧急情况下,最直接的“临时放行”方案,是启用 ACG1000 的 Bypass 功能。Bypass 功能可以在不调整任何策略的前提下,让你的设备暂时物理“隐身”,从而快速恢复网络。
重要提示:Bypass 功能将绕过 ACG1000 的所有(包括流量控制、行为审计和防火墙等)业务处理,请务必知悉。
临时恢复网络的 Bypass 操作
1️⃣ 确认 Bypass 支持(绝大部分型号支持)
根据 H3C 官方资料,包括您使用的 ACG1000-TE 在内的绝大多数 ACG1000 系列型号,其 GE0 和 GE1 口都支持 Bypass 功能。
硬件 Bypass:设备断电时会自动触发,无需任何设置。
软件 Bypass:可通过命令行强制启用,让设备在不切业务的前提下忽略Bypass状态的差异。
2️⃣ 通过命令行强制启用 Bypass(核心操作)
如果您的设备未断电但网络已中断,可以通过命令行手动启用 Bypass。此操作将使指定接口处于物理连通状态,完全跳过 ACG1000 的系统处理。
请在设备上执行如下操作:
补充说明:Bypass 仅在接口为二层模式时生效,如果接口被配置为三层模式,Bypass 功能则会失效,请提前核对接口类型。
3️⃣ 验证恢复结果
配置完成后,您可以从内网 PC 再次 ping ACG1000 设备的IP地址,检查网络连通性是否已恢复。
故障的真正成因与长期修复定位
Bypass 可以快速救急,但为了从根本上解决问题,还需要定位丢包的具体原因。结合您的描述“ping ACG丢包”以及“核心交换机下的设备到行为管理异常”,通常为以下三类问题:
环路与镜像冲突(旁路部署特有)
现象:通过镜像流量旁路部署时,管理报文同时被镜像口和物理接口重复接收,导致设备在回复时选择了错误的接口,引发交换机丢弃回包,从而 ping 不通或间断丢包。
解决:将交换机侧的端口镜像改为 流镜像,仅把业务流量镜像到 ACG,管理流量正常透传。
数据平面丢包(设备策略侧)
现象:各种策略(如 IP黑名单、应用控制等)丢弃了正常业务的回程报文,造成网络不通或访问异常。
检查命令:逐层排查控制策略,重点关注自动创建的黑名单。
<H3C> show dp drop # 检查数据平面丢包<H3C> show blacklist
MTU过大导致大包不通(性能侧)
现象:小包可以 ping 通,但大包会丢。
处理方案:在接口上配置 MTU(最大传输单元)和 TCP MSS(最大报文段长度)。
<H3C(config-if)#> mtu 1400 # 通常将 mss 配置为 1200 可以有效解决问题 <H3C(config-if)#> ip tcp mss 1200<H3C(config)#> interface ge0
暂无评论
核心需求
现在 内网 ping ACG1000 经常丢包、网络异常,想临时绕过 ACG、直接全网放行上网,先恢复业务,再排查 ACG 丢包 / 连接数限制问题。
一、先说组网逻辑
典型组网:内网核心 → ACG1000 串接透明模式 → 出口防火墙 / 路由器现在 ACG 自身卡、会话满、连接数限制、策略限流,导致跨设备 ping 丢包、上网卡顿。
二、最快临时放行方案(两种,任选一种立刻恢复)
方案 1:核心交换机上直连旁路绕开 ACG(最推荐,不改动配置)
查清现网:
上联到 ACG 的接口
出口防火墙 / 路由器回核心的接口
在核心交换机上,用一根网线:
核心交换机 直接接 出口防火墙内网口
把原来走 ACG 的上行链路端口 shutdown
effect:
所有内网流量直接走核心→防火墙上网,完全绕过 ACG1000,立刻不丢包、业务恢复。
后续可以慢慢排查 ACG。
方案 2:不拉线,ACG 上全局全部放行、关闭行为管控 / 连接数限制
登录 ACG1000 后台,做 3 件事:
1. 全部应用策略临时放行
把所有上网管控策略、应用封堵、流量限速全部禁用 / 删除。
2. 关闭连接数 / 会话限制(最容易导致 ping 丢包)
ACG 里找到:
单 IP 最大连接数限制
全局会话数限制
并发连接管控
全部关闭 / 调大到最大
很多时候就是内网终端中毒、P2P、扫描,把 ACG 会话打满,设备 CPU / 内存高,自身就开始丢包。
3. 关闭流量清洗、行为审计、应用识别
临时关掉:应用特征识别、深度检测、审计上报,降低 ACG 负载,ping 立马不丢。
三、排查 ACG 为啥 ping 丢包(业务恢复后查)
在 ACG1000 上看这几项:
CPU、内存使用率,是不是长期 90%+
全局会话数 是否跑满设备规格
是否有 单 IP 连接数超限 被限流、丢弃
是否有大量异常流量、广播、蠕虫病毒终端
ACG 接口是否有 错包、CRC、速率双工不匹配
命令 / 页面可看:系统状态、性能监控、会话统计、告警日志。
四、给你现场最简操作步骤
优先拉线直连核心到防火墙,绕过 ACG,业务马上恢复;
恢复后登录 ACG,看 CPU / 会话 / 连接数限制;
关闭管控策略、连接数限制、审计功能,排查哪类流量把 ACG 打挂;
找到异常 IP 做封堵 / 隔离,再切回 ACG 正常串接。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论