1.ACE流量无法限制排查思路

故障排查我们首先一定要自己理出一个思路,计划好第一步排查什么,第二步排查那一点,根据排查得出结论,缩小故障点范围.排错故障一定要从最基本的问题开始排查,从物理层开始,到应用层.

以ACE流控不生效排查为列

1)确认ACE的内外网接口是否有接错,ACE是有分内网接口的,内网接口接核心交换机,外网接口接出口路由器,不要出现接反的情况.ACE是否被硬件bypass了,通过命令sys bypass查看.

2)桥是否有接错,或者配错,ACE是基本桥来做配置,如果你把线接在桥3,却在桥1上配置策略,那么桥三上都没有策略,让它怎么生效呢.

3)ACE的license有没有过期,有没有导入license.license过期或者是没有license ACE是一堆废铁,这个种情况还能限速吗?该怎么办你懂的.

4)DPI识别功能是否有开启,在report/APM软件上看应用是否有被识别.必须要先识别再控制.

5)策略是否配置的有问题,通道大小是否配置和用户要求的一致,策略是从向上向下匹配和ACL一样,匹配到一条就无法再匹配下一条了.

6)是否有开启了与SAM联动功能,但是还没有联动成功.

7)还有就是看流量时,默认看的是双向的流量,所以你会发现我限速是2M怎么用户有3M了啊,请选择只看下行,或上行.

8)在一些应用限制不住,需要查看一下特征库是否已经是最新了,如果不是你下载最新的特征库.

2.ip对象配置过多导致保存配置断网

1).下发策略数据的算法

在ACE的配置界面上我们配置的是一条策略，但是ACE下发可能得下发10000条，甚至几万，导致ACE CPU超过负载，整网断网。ACE在可以在策略不超过15000条时下发正常。

底层策略策略数算法：（用户组中的对象数)*(协议中的应用数）=（策略数），因次我们的优化方向是汇总用户对象也就是说把多个用户对象变成一个用户对象和策略组优化，

一般来说主要是汇总对象。

2).理解对象：

张三　　10.10.10.10/32

锐捷　10.0.0.0/8

这两个对象虽然一个网段一个主机，但是在下发策略都是同等的，只算一个对象，所以对象在尽量的汇总。

3).计算实例

如用户建立了200个IP对象，组成一个RSC用户组，建立了一个协议对象组（game）内面包含了150个游戏对象。

那么底层应该下发多少策略呢？根所下发策略数的算法　200（IP对象数）*150（协议对象数）=30000。

30000条已经远远超过了ACE下载策略的性能15000条，那么就这一条策略，当保存配置就会导致ACE CPU 100%,并全网段断网2-3分钟，策略超多断网时间会越长。

4).优化方法　

所有的用户都需对game做了限制，因次可以将做成一条源为any，协议为game的策略，策略数变化为：1*150（协议数）=150。

3.ACE与SAM联动，流控策略不生效

1.在使用双桥做认证时，一定要配置虚拟桥，不使用虚拟桥ACE只能在一个桥上开启认证，所以当有两个桥存在时只有一个桥的认证策略是生效的。

2.用户的电脑还有ipv6上网，只禁止了ipv4地址上网，没有针对ipv6地址做禁止，所以导致还是能通过ipv6上网,通过ping域名可以看出解析出来的是ipv6地址。

4.ACE在流控策略中调用重定向对象后每次打开网页都是打开重定向的网站

当重定向的目标网站在ACE的内网时（网站在ACE INT接口内）此时重定向会出现问题，内网的用户每次打开网站都会弹出重定向页面。

此为软件限制，目前无法解决，目前只能支持重向的网站在ACE的外网。

原因是：当PC和重定URL的交互报文不经过ACE，ACE不知道已经重定向过了 ,所以会一直发重定报文给PC，这是解决360等也使用http端口更新，导致无法重定向的解决方案。

5.IE6在ACE web界面无法开启rmon功能

ACE不支持IE6配置,建议使用IE8或以上版本浏览器；

6.一个共享VC是否可以关联多个不同pipe的VC

可以支持，配置如下:

7.ACE3000 v5.0高级策略与普通策略的二级策略顺序不对应

直接看高级策略的顺序，以高级策略的顺序为准

8.ACE3000 v5.0配置策略时的移动组，和移动有什么区别,默认vc是否可以移动

移动组是移动VC之间的位置；移动是同一个VC内的策略位置的移动，默认vc也可以移动；

9.ACE v5.0新建应用组时，点击保存会提示“提交失败”

此为没有导入对应软件版本的特征库造成，需要重新导入对应软件版本的特征库，并重启ACE设备解决；

10.ACE3000 v5.0新建地址对象时，点击保存会提示“提交失败”

登录设备发现startup-config里面的snmp配置存在如下问题：

只读和读写属性的团体字都被改成ruijie，如果这两个地方配置一样的话，设置只有读权限，无写的权限，所以导致之前添加对象的时候提示“提交失败”。当客户端启动的是这个startup-config 肯定会导致配置写不进去的，也就有了之前保存配置提交重启配置丢失的问题。

解决办法：

show snmp：收集snmp配置信息

如果SNMP参数不是默认参数，必须通过snmp-server 相关命令进行修改，V4.0.02版本已不支持web上进行修改；

ruijie(config)# snmp-server community public read-only ---->修改SNMP自读属性的团体字

ruijie(config)# snmp-server community private read-write ---->修改SNMP读写属性的团体字

ruijie(config)# snmp-server contact root@matrix ---->修改SNMP的contacet配置

ruijie(config)# snmp-server location matrix ---->修改SNMP的location配置

备注：

snmp有什么权限，主要是看read-only和read-write的属性，这个属性相当于密码，当我们设备传进去一个密码时，我们发现这地方两个密码是一样的，read-only的权限要高些，所以只能有read-only的权限，read-write的权限就没有了。这是其一，而且apm取数据也是通过snmp方式取的，这地方如果修改了，就会导致apm取不到数据，所以SNMP参数最好不要去修改。

11.ACE5.0 限制每IP带宽为2M后，内网用户无法ping通外网了

故障原因是把“最大带宽”配置成了2M，导致整个通道拥塞了；

正确认配置方法如下：最大带宽（Per）才是每个IP的带宽；

12.ACE配置了每IP限速为2M，但在出口设备上看到下载速度仍大于2M

这个问题与ACE的工作原理有关，ACE进行限速时，必须保证流量先经过ACE。

在出口设备观察用户流量时，由于下载的流量还没有经过ACE，因此看到的下载速率会超过配置的速率；但上传的速率由于已经被ACE限制，因此不会超过配置的值。