1、设备维护手册精品文档Bluecoat ProxySG设备维护手册收集于网络,如有侵权请联系管理员删除 目录1.手册适用范围32.资源检测32.1.关键参数描述32.2.关键参数监控42.3.非关键参数监控123.常见故障及排查方法133.1.用户无法访问某个网站133.2.用户访问网站慢143.3.配置错误导致问题144.常用工具与日常操作154.1.常用维护操作154.2.常用信息查看命令184.3.SG内置常用工具191. 手册适用范围本手册适用于Bluecoat SG产品日常维护与监控,包含资源检测,基本故障排查,维护常用CLI命令。2. 资源检测2.1. 关键参数描述Bluecoat的
2、proxy产品SG包含多种关键资源,对于关键资源,只要有一种资源利用率达到一定程度,都会影响用户的使用。在日常维护过程中要密切注意这几种资源的情况。关键参数:1. CPU使用率2. 内存使用率3. HTTP worker4. DNS worker5. 端口使用率6. License状态非关键参数:1. 磁盘状态2. CPU 温度3. 主板温度4. 电源电平2.2. 关键参数监控ACPU利用率:通常小于90%,突发到90%以上但不持续维持在90%的情况属于正常。GUI监测方法(日常):点击Statistics-System Usage,在右边的窗口的CPU模版上可以看到在一个小时,一天,一个月内
3、的CPU使用情况。第一个图表,显示的时间刻度为每分钟,CPU取值是每分钟的尖峰CPU使用率第二个图表,显示的时间刻度为每小时,CPU取值是每小时的平均CPU使用率第三个图表,显示的时间刻度为每天,CPU取值是每天的平均CPU使用率监控时,可参考三个图表的CPU使用情况,在出现故障时主要监控第一个图表的内容。CPU monitor查看具体CPU消耗(高级):CPU Monitor工具是SG内置的一个工具,用于在查看CPU具体为何部分的功能所占用。CPU Monitor缺省情况下关闭,需要手工打开,同时开启CPU Monitor也会占用CPU资源。CPU Monitor开启的方法:GUI中Stat
4、istics-advanced-Diagnostics-Start CPU monitorCLI:进入SG的config模式,进入Diagnostics模式,运行cpu-monitor enable不用时关闭方法:GUI中Statistics-advanced-Diagnostics-Stop CPU monitorCLI:进入SG的config模式,进入Diagnostics模式,运行cpu-monitor disable检测CPU monitor结果:GUI方式:Statistics-advanced-Diagnostics-CPU Monitor StatisticsCLI方式:进入SG
5、的config模式,进入Diagnostics模式,运行view cpu-monitor事例:CPU MonitorURL_Path /Diagnostics/CPU_Monitor/StatisticsHTTP/1.0 200 OKPragma: No-CacheCache-Control: No-CacheContent-Type: text/plain; charset=utf-8Title CPU Monitor StatisticsCPU Monitor is not running. Enable in diagnostics menuCPU 0 59% HTTP and FTP
6、17% Object Store 10% Policy evaluation - HTTP 3% Access Logging 3% Authentication 1% Miscellaneous 1% TCPIP 20%可以看到大部分的CPU资源的消耗情况。B内存消耗情况(通常在95%以下) SG上只能通过GUI方式来查看内存使用率,SG缺省情况下会将所有内存都分配出去,但正常情况下内存使用率在95%以下。 GUI方式:Statistics-Health (memory pressure) CHTTP worker HTTP worker是SG内部的一个重要资源,不同的SG产品型号支持的最大
7、的HTTP worker数量也不相同。通常情况下,HTTP worker达到该设备的最大支持数量并持续一段时间就会引起用户不能上网。 确定设备支持最大HTTP worker数量与实施监控当前的HTTP worker的数量,只要在浏览器中键入以下链接:https:/:8082/HTTP/Statistics 在打开的表格中可以看到:Maximum acceptable concurrent client connections为该设备支持的最大HTTP worker数Currently established client connections为当前占用的worker数目(包含Idle的连接)
8、Client workers currently active (processing HTTP request)为正在处理HTTP请求的worker数目(不含Idle的连接)GUI监控(日常)Statistics-HTTP/FTP History-HTTP/HTTPS/FTP Clients第一个图表,显示的时间刻度为每分钟,HTTP worker取值是每分钟的尖峰HTTP worker数目。第二个图表,显示的时间刻度为每小时,HTTP Worker取值是每小时的尖峰HTTP worker数目。第三个图表,显示的时间刻度为每天,HTTP Worker取值是每天的尖峰HTTP worker数目
9、。监控时,可参考三个图表的使用情况,在出现故障时主要监控第一个图表的内容。CLI方法:在特权用户模式下键入show http-stat查看即时的HTTP worker信息。DDNS workerDNS worker主要用于SG访问外网时,作DNS解析的进程数目。对于目前SG平台来说,DNS worker的数目都是300个,一些低端产品(例如:SG210)为100个。当SG上所设置的DNS server有故障时,DNS worker可能会出现用满的情况,导致上网很慢。GUI方式:在浏览器中打开https:/:8082/CE/DNS/Statistics,查看DNS worker的基本情况。Max
10、imum number of simultaneous DNS server requests supported为最大DNS worker的数目Highest number of simultaneous DNS server requests experienced since last restart为从SG开机以来最多使用DNS worker的数目Number of times the maximum number of simultaneous DNS server requests were experienced since last restart从SG开机以来出现过DNS w
11、orker用满这种情况的次数。如果第三个参数显示有很多次,就要调整DNS。E端口使用率端口使用率就是SG物理端口的使用率,通常应该保持在80%以下,如果端口使用率过高可能会导致丢包的情况发生。需要增加端口或限制到SG的流量。GUI方式:statistics-health(Interface utilization)F.License情况在SG中license如果过期,SG是无法正常工作的,一般用户只要购买相应的license就不会过期。但过期会出现在SGOS大版本的升级过程后,需要重新输入license。GUI方式:Statistics-health(licensing)2.3. 非关键参数监
12、控 包含开始列出的磁盘状态,CPU/主板温度,电源电平,通过GUI方式下的Statistics-health(Status)进行检测 3. 常见故障及排查方法具体在SG上工具的使用请参见常用命令与工具部分3.1. 用户无法访问某个网站排错定位:1.是否返回SG的policy deny的页面 2.用户上网经过SG是否需要认证 3.是否使用了Websense或AV产品 4.SG是否当时有性能上的问题排错手段:1.使用SG的policy trace功能查看是否用户该请求被SG阻止 2.查看用户是否没有通过认证 3.在SG上查看是否AV或Websense造成了该故障 4.通过对关键参数的监控,看是否有
13、性能问题 5.在SG上进行抓包,看用户端到SG,SG到源服务器,DNS解析是否有故障。3.2. 用户访问网站慢排错定位:1.用户上网经过SG是否需要认证 2.是否使用了Websense或AV产品 3.SG是否当时有性能上的问题排错手段:1.查看用户是否没有通过认证,通过认证时间是多少。 2.在SG上查看是否AV或Websense造成了该故障 3.通过对关键参数的监控,看是否有性能问题 4.在SG上进行抓包,看用户端到SG,SG到源服务器,DNS解析是否哪一个环节慢。如果有认证或AV,是否从认证服务器或AV的设备返回响应很慢。3.3. 配置错误导致问题1.端口速度引起的访问速度慢:方法:查看端口
14、状态,是否有大量input/output或CRC error,如果存在错误,在与SG连接的端口和SG的端口手动设置速率与双工模式。2.丢失登录密码:方法:重起SG,在启动后系统提示键入三次回车,然后选择Setup console,重新设置,需要注意的是在作此步操作前,需要备份SG的config信息,在重设置密码后重新导入。4. 常用工具与日常操作4.1. 常用维护操作 配置备份选择General/Archive进入配置备份及恢复页面,如下图示:其中,View File将显示配置,其中Configuration-expanded为全配置,View后选择Save As,可将其保存为本地文件。其中I
15、nstall Configration from可以选择从本地文件恢复配置。注:对于由VPM生成的Policy配置,建议通过Policy配置管理的中的备份和恢复方式。VPM的Policy备份:需要备份两个文件CPL和XML,在Configuration-policy-policy files-VPM里分别选择”VPM-CPL”和”VPM-XML”按钮,将其中的配置保存为txt文件。(当配置恢复后,LADP转发的密码必须重新配。KEY:password) 升级软件:预先将要升级的SGOS放到PC上,SGOS升级可通过HTTP/FTP或直接从本机下载的方式。在GUI中的maintenance-up
16、grade中点击upload按钮,选择要升级的OS软件,install,完成Upload之后,系统会谈出成功页面。此时重起SG,就会升级到相应的版本。License 添加添加license可使用自动到Bluecoat网站retrieve的方式,或手动添加方式。Retrieve的方式比较简单,先打开maintenance-licensing-install,点击retrieve按钮,在谈出对话框中输入WebPower的用户名和密码,如能连上网站即可完成license的更新。手动方式:预先到webpower上下载license的文件存在本地,打开maintenance-licensing-inst
17、all,在install license key from右边的下拉框中选择local file,点击install,在打开的界面中选择license file,点击安装,完成license的安装4.2. 常用信息查看命令GUI:1. Sysinfo 信息(包含所有SG图形界面上看到的统计内容)https:/:8082/sysinfo2. Eventlog信息(SG的系统日志信息,通常用来检测是否有硬件/系统级别故障) https:/:8082/eventlog/statistics3. Accesslog信息(查看用户访问日志)https:/ :8082/Accesslog/tail-N/m
18、ain?1000通常在SG中只检测最近的用户访问信息,如果要检测一段时间内的accesslog请使用Reporter来分析。 CLI:1. show ip-stat查看interface信息2. show config查看配置3. ping查看网络连接状态4. test http get 检测SG是否能获取URL的内容5.show version查看SGOS的版本6.show license查看license信息4.3. SG内置常用工具Policy Trace工具:在SG设备上可以打开该工具用于查看某个请求是否与某些policy匹配,从而判断是否有些错Policy的情况,导致正常应用无法访问
19、或不正常应用还能继续访问。方法:在VPM中增加一个新的Web access layer,新建一条规则,source/destination/service/time 都选择any,action选择none,在trace的字段new一个trace。此时在打开页面选择verbose trace,并钩选trace file,在输入框写入一个文件名,点击ok,Install policy。此时来的请求就可以被记录在该文件中。 查看Policy trace file,可以IE中输入https:/10.254.16.184:8082/policy/trace,并点击该文件名进行查看。SG内置的抓包工具可通
20、过图形界面到maintenance-Service information-Packet capture,从右边的界面中点击Start capture来开始抓包,stop capture来停止抓包。Download可以将所抓的包下载到本地使用wireshark工具进行分析。注意SG抓包最多能存100MB的包。如果通过SG的流量过大,可采用capture filter来进行抓包过滤,bluecoat的抓包filter的写法遵循TCPDump。https:/10.32.81.67:8082(http:/10.32.81.67:8081)https:/10.32.81.82:8082https:/10.32.81.83:8082https:/10.82.81.75:8082
浙ICP备2021020529号-1 | 浙B2-20240490 
