|
AF规则库升级常见排查步骤
一、AF规则库概述
对应规则库设备能正常访问外网
序列号必须有效
最新版本比当前版本新
时间在凌晨1:00 - 5:00之间
为了避免所有设备在同一时通过规则库服务器更新,不同的型号自动更新的时间不一样,但都会在规则库发布后的一周内更新完成,如果时间允许,建议观察一周看是否能自动更新
二、出现不能升级时排查步骤:
1.检测序列号有效性
2. 测试AF设备与升级服务器的联通性
点测试服务器,如某个不通,可更换服务器测试
3. 测试服务器联通性
常见更新服务器:
update1.sangfor.net
update2.sangfor.net
update3.sangfor.net
Ping 升级服务器对应域名
Telnet 测试服务器对应的端口
服务器都联通不上,需要检查服务器是否能正常上网:路由、DNS、前置设备放通AF IP。
4.当前版本日期低于最新版本日期:
最新版本显示不出来:常见于跟升级服务器连接失败
最新版本与当前版本一样,但版本低于官网发布的规则库版本(规则库每月会有更新):如显示2014之类
可先选择对应规则库,禁用、回滚(回滚到上一个版本)、启用、立即更新
5.规则库无法更新:
下载日志详情
分析日志详情文件
A 如pvs规则库更新不了,手动点立即更新也更新不了:
1. 下载日志详情ips_feature.showlog,用软件notepad++打开
2. 通过日志文件分析,是从服务器下载到本地的规则库文件跟服务器上的规则库文件md5不匹配,说明下载到本地的规则库文件不对;
3. 在本地电脑上使用下载链接地址下载对应文件,用md5校验软件校验,发现md5跟设备下载到本地的库md5是一样的,跟标识的正常md5是不匹配。
4. 这种情况就怀疑服务器规则库文件不对或网络原因导致下载到本地的库文件不对;可更换服务器重新更新,如还是一样;需检查AF前的网络环境,最后发现客户出口有缓存设备,取消缓存对AF IP的限制,再更新就正常了。
5. 如本地电脑下载的规则库文件正常,但是AF就是更新不了,需要抓包排查:
设置好抓包规则:对应网口,IP地址(AF的地址),端口为80
选择对应的规则库,点立即更新
抓下包后,下载到本地用wirehark打开,找到对应的更新URL地址,进行数据包分析(此处不进行具体分析了)
B.如某个规则库更新不了,手动点立即更新后又更新正常了:
下载日志详情ips_feature.showlog,用软件notepad++打开
同样方式分析对应日志
一般常见也是包md5 not match,此情况一般是网络原因导致。
| 
发表于 2017-3-5 22:15
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-3-6 11:56
