问题描述

  • windows虚拟机2016或者2012,telnet公网地址,发现需要9秒才能通,但是ping延时非常低,windows7虚拟机去telnet相同地址就正常。
  • 打开百度等公网网页慢,一直在转圈。

解决办法

通过抓包发现,前两个SYN请求包的中,带有ECN标记,到第三个SYN包没有带ECN标记才请求成功。
syncbbs-1660638043.png
查询官方文档,因为windows server 2016中的ECN功能默认是开启的,ECN利用了TCP/IP中未使用的字段来支持功能,目的是为了减少网络拥堵,但网络中间的各种设备可能不支持,并把该字段不为0的包丢弃。
telnet的时候第一次发送带ECN标志的SYN包,3秒后未收到响应,接着发第二次,6秒后未收到相应,第三次会采用不带ECN的SYN包,即可成功,所以导致telnet需要9秒多才可以连上。
可以使用管理员权限的CMD执行下面的命令:

netsh int tcp set global ecncapability=disabled

问题描述

打开windows设备管理器查看到异常设备,右键带感叹号的设备,查看属性,提示设备状态“这个设备(服务)的驱动程序已被禁用。另一个驱动程序可以提供这个功能”。
syncbbs-1658230162.png

解决办法

操作前先备份个镜像或打个快照;
设备异常,最先要检查的是以下两点:

  1. 卸载设备,重新刷新设备管理器
  2. 卸载设备,勾选“删除此设备的驱动程序软件”;然后刷新设备管理器,再次手动安装驱动,指定驱动所在目录来更新驱动;

出现上述报错还应该检查是否存在过滤驱动,检查方式如下:

  1. 运行regedit打开注册表,找到以下目录
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass
  2. 逐个检查这个项下的每个文件,查看是否有upfilter和lowfilter字段,查看是否upfilter和lowfilter的值的驱动是来自于哪个软件,是否系统自带的驱动;



阅读全文 »

问题描述

故障背景:新增一台WAF,旁挂在H3C核心交换机上。WAF部署模式为反向代理-牵引模式。通过策略路由引流的方式将内网服务器访问互联网的流量引到WAF上,将外网回来的流量引到WAF上来实现对服务器站点的保护。(如下图所示)
故障现象:在H3C核心交换机上配置针对服务器网段业务双向的策略路由,在将其引流到WAF后,出现无法访问的问题。
waf1.png

过程分析

H3C核心交换机添加策略路由后出现了无法访问外网的问题,进行排查,检查策略路由的配置是否正确,确认配置无误后尝试路由跟踪命令来排查问题。
通过路由跟踪命令发现了下图所示问题
1.外部流量访问服务器
waf2.png






阅读全文 »

问题描述

某日重启Nginx出现如下告警:

[root@localhost ~]# systemctl status nginx

8月 16 14:16:13 localhost systemd[1]: Starting The nginx HTTP and reverse proxy server...
8月 16 14:16:13 localhost nginx[2116]: nginx: [warn] could not build optimal types_hash, you should increase either types_hash_max_size: 2048 or types_hash_bucket_size: 64; ignoring types_hash_bucket_size
8月 16 14:16:13 localhost nginx[2116]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
8月 16 14:16:13 localhost nginx[2116]: nginx: configuration file /etc/nginx/nginx.conf test is successful
8月 16 14:16:13 localhost nginx[2116]: nginx: [warn] could not build optimal types_hash, you should increase either types_hash_max_size: 2048 or types_hash_bucket_size: 64; ignoring types_hash_bucket_size
8月 16 14:16:13 localhost systemd[1]: Started The nginx HTTP and reverse proxy server.

Nginx配置文件也出现上述告警

解决办法

在Nginx.conf的http模块下增加:

types_hash_max_size 4096;

通过Nginx -t不在出现告警,重启Nginx服务也恢复正常。

问题描述

深信服SSL VPN更新护网组合包之后控制台登录提示“503 Service Unavailable”
syncbbs-1651929790.png

原因分析

  • 客户端电脑无法联网,acheck工具通过离线导入补丁包升级improve护网组合包成功之后,控制台IP和4430端口测试均正常通,但是控制台页面登录提示“503 Service Unavailable”。
    2、后台通过cat /hislog/shellcall.txt |grep boa,查看shellcall日志内容看到了boa服务 stop,但是没有看到start,判断为打护网包重启服务的时候boa服务未正常拉起导致。

syncbbs-1651931700.png

解决办法

后台通过命令systemctl restart sangfor-boa重启boa服务之后,控制台登录正常。
PS.需要重启控制台服务,重启不影响其他业务。