深信服上网行为管理-常见问题排错指导
深信服上网行为管理-常见问题排错指导
4. 如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。 此时可以跳过设备进一步验证。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
规则库更新不了该如何处理?
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
➢2.检查设备端口映射(DNAT)配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后,但是外网仍然无法访问,则进入下一步
这里“自动放通防火墙数据”要启用,如果这里是“否”,也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已 经到设备wan口了,以确认访问请求是否被运营商拦截
深信服行为管理操作文档-11.0-最新版本
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
深信服VPN连接异常排错文档
VPN连接异常排错文档
通常定位问题方法
一:检查本地
二:测试本地与总部连接性
三:查看VPN连接日志排错
一:检查本地:
1,先检查本地上网是否正常(访问网站是否正常),保证本地上网正常后进行第二步,如上网不正常,可按照《不能上网简单排错四步曲》进行排错。
2,关闭本地防火墙
3,检查本地VPN版本是否与总部一致。
二,测试本地与总部的连接性:
1,确定总部公网IP的正确性。
2,如果总部是公网IP,则先测试本地与总部该公网IP的连通性。
例如:总部公网IP为1.1.1.1测试方法:telnet总部IP:4009端口。
如果提示连接失败,这证明本地与总部的IP地址4009端口不通,表示无法建立VPN连接。
在保证本地配置正常的情况下可咨询总部并说明该情况(看是否是由于总部线路或其他问题引起)。
如果连接正常(输入telnet1.1.1.14009后回车)出现该画面表示连接正常(即跳转到一个纯黑色界面)
三:进入网关控制台查看连接信息(sinfor VPN设备)
首先进入VPN设备网关控制台查看DLAN运行状态,如果发现问题,请点击查看日志
根据日志里的信息判断出问题所在。
日志问题分析举例:
接口IP冲突:
硬件鉴权失败:
用户名冲突:
其他错误提示不一一举例。
注:对相应错误日志进行调整后,如仍然有问题,请联系深信服工程师解决。
深信服问题排错文档
SANGFOR_IPSEC_ALL pdlan常见问题解决办法深信服科技有限公司2011年07月16pdlan常见问题解决办法PDLAN连接不上总时,首先请查看日志,根据日志提示排错,常见的日志有以下几种:1)日志显示wait_connectsuccess在移动端telnet总部的VPN监听口(默认是4009)是否是通的,若不通,a:请检查总部设备是否配置了全端口映射。
b:检查总部设备是否单臂部署,且在前置设备没有把设备的TCP/UDP4009端口成功映射出来。
c:是否运营商做了限制,尝试修改VPN监听端口.d:检查两端的WEBAGENT配置是否正确。
e、pdlan电脑是代理上网的,那pdlan也需要设置代理的,支持sock4和sock5代理的,否则会telnet端口4009是不通的f、检查pdlan所在网络的前置设备做了限制,拦截了VPN通迅。
2)日志显示wait_version_syn_ack1、检查总部和pdlan的版本是否一致,2.5x和2.5x可以连接,4.X和4.X连接,2.5X和4.X 的是不可以连接ipsecvpn的2、可以尝试把vpn端口改成低端端口3、可以尝试修改MTU3)日志提示load file error和configure init failed之类的日志1、这个是pdlan的注册表项被损坏的原因的,重装pdlan即可4)“[TcpNode] OnRead error:10053,errDsc = 您的主机中的软件中止了一个已建立的连接。
”1、是被本机的其他软件把连接给拒绝断开了5)移动用户PDLAN接入一直提示连接端口超时,但是测试总部端口是通的1、检查虚拟IP池和内网是否有冲突6)“绑定socket时发生错误,错误描述:以一种权限不允许的方式做了一个访问套接字的尝试”1、可能是pdlan的系统用户权限不够,或与其他软件有冲突,导致pdlan无法正确的绑定ip/mac地址的,保证电脑是超级管理员登陆的,或把电脑上其他的软件先退出再去连接除了查看日志外,也可根据一些现象排错,常见的有以下几种:1)ipsecvpn频繁掉线1、总部和pdlan电脑是否有ip网段冲突2、尝试切换传输模式3、尝试修改总部设备的MTU值4、尝试修改VPN监听端口5、检查上网线路本身是否正常2)pdlan连接不了总部1、测试telnet总部的4009端口是否通的,检查总部和pdlan的配置是否正确的2、查看pdlan控制台的日志信息,根据日志信息来排查3)pdlan连接上总部了,但访问不了1、被访问的服务和总部的VPN设备不在同一个网段,检查是否有配置系统路由和本地子网列表,如果是DLAN2.52,还需要配置dlan路由2、检查是否有对移动用户作VPN内网权限设置3、如果设备是单臂部署的,虚拟ip池配置的不是和vpn设备lan口同网段的,检查总部的前置设备上是否有回包路由的4、确认是否为总部内网电脑开启防火墙,可以尝试Ping其他电脑或使用telnet来测试。
深信服AD智能路由常见问题排错指导
排查方法
DNS有时解析不到问题排查
第一步:若启用了DNS代理,调度策略选轮询或加权轮询,有可能会出现我访问 一个电信的站点,恰好调度到联通的DNS,但是这个域名联通解析不了。用DNS 前置调度策略解决。(该情况很少见)
第二步:若启用了DNS代理,查看【DNS状态】,看DNS服务器是否不停离线。 可能是DNS服务器的问题或者监视域名有问题。
4. 【系统概况】-【DNS状态】中DNS服务器是否在线.。离线的DNS服务器是不会参 与调度的。
问题思考
1.智能路由的配置是按什么规则匹配的?
深信服 AD智能路由常见问题 排错指导
培训内容
培训目标
智能路由不生效问题排查思路
掌握智能路由的排错思路
上网时快时慢,DNS有时解析不到问 题排查思路
DNS代理不生效问题排查思路
掌握排错思路 掌握DNS代理不生效的排错思路
深信服 AD
智能路由不生效问题排查思路
上网时快时慢,DNS有时 解析不到问题排查思路
第一步:判断DNS请求解析的过程是否正常。
第二步:判断上网的数据出站是否正常。
注意:如果启用了DNS代理,那么DNS请求包(UDP53端口数据)是不会走智能路 由的,会走DNS代理模块去选路解析。如果没有启用DNS代理,那么DNS请求包会 走智能路由。可以说DNS代理的优先级高于智能路由。
SANGFORSSLVPN常见问题排错指导HHW
控件作用
安装时间
客户端控件管理工具,安装其他控件时会装上cscm
权限提升服务程序,在使用users权限登录系统时, 让其能够调用和安装其它控件
启用其他需要控件的功能时会强制安 装cscm控件
在安装第一个控件时也会自动安装此 控件,安装该服务必须拥有 administrators组权限
SVPN Monitor
常见问题排错指导
3. SSL可以正常登录,但无法访问内网资源(APP资源或者IP资源) 1)检查SSL设备本身能否访问到内网资源,尝试将设备的内网IP配置到 PC上,用PC去尝试一下看能否访问到,如果PC也访问不到需要检查内 网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服 务等; 2)如果使用了域名资源,需要在客户端使用ping测试一下是否解释出正 确的IP地址(不需要PING通); 3) 检查访问内网资源的IP和端口是否添加完整,可以尝试添加全IP和 全端口试下;
2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作;
app服务控件(抓取aap服务的数据包),ucp加速 控件
用户启用app服务或启用ucp加速时
ip服务客户端控件(读写虚拟网卡上数据)
用户启用ip服务,安装虚拟网卡,登 录后有该进程
ip服务虚拟网卡(添加路由,抓取访问IP资源数据) 用户启用ip服务时会安装虚拟网卡
常见问题排错指导
1. SSL登陆页面无法打开常见问题排错指导5. 第三方认证的问题
b. 与radius结合认证的问题 1)首先检查设备和radius服务器之间的连通性,检查服务器上radius 服务是否正常开启 2)确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、 采用的协议是否与服务器相同 3)检查和确认是否是标准的radius服务器
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC 的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:● IT管理员如何对企业网络效能行为进行统计、分析和评估?● IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?● IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?● IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手――SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。
尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
深信服上网行为管理-用户认证排错指导
问题二 :密码认证失败
➢步骤1 检查设备和LDAP服务器的连通性,可以在设备外部认证服务器页面进行连 通性测试
➢步骤1 查看在线用户列表,检查用户是以临时用户身份出现,还是没有在在线用 户列表中
如果用户是以临时用户身份出现,则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址 (AC不会将内网电脑的IP地址与交换机的MAC地址绑定)。 1. 如果是通过AC设备搜索获得的OID,建议使用第三方扫描工具,在内网电脑上扫描交换机的OID, 把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。 2. 如果是手动获取OID并手动在AC设备上填写的snmp配置,则检查IP/MAC/OID/COMMUNITY 配置是否正确。
➢步骤2 检查AC设备到内网电脑的回包路由(网桥模式需要重点注意)
问题一 :电脑弹不出密码认证框
➢步骤3 检查AC是否允许用户认证成功之前能访问DNS服务
问题一 :电脑弹不出密码认证框
➢步骤4 客户端电脑检查网关和DNS设置是否正确,能否解析出域名
注意:这里之所以能解析出域名并且能ping通外网地址,是因为在AC上启 用了“未通过认证用户可以访问dns服务”及“未通过认证用户具体根组 权限(http应用除外)”
问题二 :IP/MAC绑定不生效
➢步骤3 到用户组去搜索内网电脑的IP10.10.10.100和MAC B8-70-F4-3A-42-2B, 找到被绑定的用户,并删除
通过搜索IP发现10.10.10.100和另外一个mac绑定在一起了,删除该用户
问题二 :IP/MAC绑定不生效
➢步骤4 到在线用户列表确认用户认证成功
深信服上网行为管理 用户认证排错指导
培训内容
IP/MAC绑定排错
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
端口映射不生效排查
AC设备网关模式部署,WAN1口IP地址为113.16.X.230,某客户想通过 端口映射发布内网的web服务器,服务器地址是172.16.2.100。配置完毕 后,测试外网访问http:// 113.16.X.230无法打开页面,现在需要定位问 题出在哪了?
排查思路: 1.设备上测试服务器发布的端口 2.检查设备端口映射(DNAT)配置 3.使用设备抓包工具抓包定位问题
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分:
1. 客户端访问服务器的数据到达 AC/SG 设备
2. AC/SG设备做DNAT转换,再经过 防火墙的过滤发给内网真实的服务器
3. 服务器返回客户端的数据要回应 给AC/SG,通过AC/SG再转发回应 给客户端
1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果 在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810 端口。可以telnet 127.0.0.1 810看是否成功 2.如果服务器本机没进程监听该端口,到【开始】中,找到外置数据中心安装目录, 先停止数据中心所有服务,再启动数据中心所有服务。 3.如果本机测试监听端口成功,则检查AC到服务器的路由是否可达,中间是否有其 他网络设备阻止了TCP810端口的访问。 4.查看系统日志,通过系统日志可以检查:外置数据中心安装软件的版本和设 备版本是否一致,外置数据中心同步账号和密码是否和设备上的一致。 5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析:
分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射 规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。 如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
某些应用使用异常排查
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于 AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块, 修改策略。
4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则 重复第2,3步,直到故障修复。
数据中心同步失败
数据中心同步失败
端口映射不生效排查节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后,但是外网仍然无法访问,则进入下一步
这里“自动放通防火墙数据”要启用,如果这里是“否”,也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已 经到设备wan口了,以确认访问请求是否被运营商拦截
3. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日 志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是 否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略, 直到故障修复。
4. 如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。 此时可以跳过设备进一步验证。
用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。
某些应用使用异常排查
某些应用使用异常排查
如果用户断网或只有部分应用访问异常,例如QQ登录不了,登录不了网 银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关 系。
1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。
2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否 修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修 复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日 志并直通来排除和定位问题)
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包,并分析:
分析数据包,发现WAN1口能收到访问80端口的请求包,但是没有回复包,目前能 说明运营商没有对80端口做限制,但是还不知到是配置问题导致没映射成功,数据 包没有到服务器,还是服务器问题?
端口映射不生效排查
3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包:
规则库更新不了
2、检测设备本身到更新服务器是否可能 正常连能,即设备本身是否可以正常上网。
保证设备可以上 网,访问公网服 务器的80端口
注意
【系统配置】-【自动升级】-【最新版本】显示“获取信息失败”。
最新版本状态为“获取信息失败”,最新版本一个小时更新一次,在确保设备 可以上网的前提下,等一个小时再观察状态。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
规则库更新不了该如何处理?
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
1.设备上测试服务器发布的端口 在设备上telnet服务器172.16.2.100的80端口是否能通,如果不通则检查服务器 运行状态(服务器本机测试端口是否能通 :telnet 127.0.0.1 80),以及设备到 服务器的连通性。如果设备上测试正常,但是外网仍然无法访问,则进入下一步