深信服上网行为管理-系统诊断工具介绍

SANGFOR AC
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排深错信工服具公的司使简用介
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝，是什么原因被拒绝。当用户上网出现故障时，便于快速定位 故障原因，也可用来测试一些规则是否生效 。
MASK:255.255.255.0 MASK:255.255.255.0
上网故障排除功能使用案例
上网故障排除功能使用步骤和思路： 1. 设置拦截日志开启条件。
如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。 2. 开启实时拦截日志和数据直通。 3. 在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢
深信服上网行为管理 系统诊断工具
培训内容
上网故障排除功能介绍 命令控制台
培训目标
1.了解上网故障排除功能的作用 2.掌握开启数据直通的方法 3. 掌握分析拒绝日志的方法 1.掌握AC命令控制台支持的命令和操作方法
抓包工具的使用 其他排错工具
1.掌握简易抓包和高级抓包的方法
1.掌握全局排除地址、系统日志、控制台操作日志 的用法
如上图，丢包源及丢包动作（即丢包原因）从设备上不一定能看明白，文档 “SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训13_系统诊断工具_ 上网故障排除丢包模块及丢包原因说明.xls"有详细中文说明，更多丢包原因 说明可以参考此文档
注意
开直通后，仍然生效的模块有nat，邮件过滤，邮件延迟审计，网关杀毒 (smtp和pop3杀毒)，ssl内容识别，透明代理+cache功能，显示代理 +cache功能，arp欺骗防护 ，系统路由和策略路由
将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会 被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来
成功开设启置上针对哪些IP地 网拦截址日开志启拦截日志
设置开启拦截日志的协议和端口
上网故障排除功能介绍
开启实时拦截日志与数据直通： 开启实时拦截日志同时开启数据直通，此时设备设置的上网策略将不生效。符合策 略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝的数 据包拦截情况显示出来 。
命令控制台的使用场景及操作
排查方法：
d) 查看网口是否有错误的包或者帧，如果网口有收到错误的包或者帧，检查网线 是否网线传输有问题或者两个网口之前的协商模式有问题检查网口的工作状态， 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网口收到的错误的 包和错误的帧数
网卡的工作模式full 全Fra Baidu bibliotek工，100Mb
查看网口ip
命令控制台的使用场景及操作
排查方法：
e) 检查设备的路由，跟踪设备上外网的路径，测试设备去外网的端口连通性。
成功开启拦截日志与数据直通
勾选即开启 数据直通 设置需流要控开模启块数是据 否进直行通数的据地直址通
上网故障排除功能使用案例
客户环境： 客户内网部署了AC设备后，所有 用户部分网页打不开，管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3
IP : 192.168.5.3
命令控制台的使用场景及操作
场景一： 部署：设备单网桥部署eth0-eth2组成一组桥
FW-SG-3SW-PC
问题：内网用户通过SG上不了网,内网PCping
网桥ip地址192.200.200.49不通，ping防火墙 内网口地址192.200.200.199也不通。
如何排查？
命令控制台的使用场景及操作
为便于定位问题， 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后，测试电脑打开网页操作，发现可以打开网页，再到 上网故障排除中刷新实时拦截日志，如下图：
通过这些日志，可发现浏览网站的请求被URL过滤 丢包了，需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能使用案例
3. 拦截日志提示被URL过滤规则丢弃，检查用户使用的上网策略规则。
所测试的电脑使用 检查出在上的网上权网限权策限略策中略， 确实设置了全天拒绝访问 网站
上网故障排除功能使用案例
4. 删除错误的规则，并关闭数据直通，内网电脑打开网页看问题是否修 复。
上网故障排除丢包原因说明
命令控制台的使用
命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面， 可用于对设备的一些简单信息进行查看，支持的命令包括：
arp（查看设备的arp表） mii-tool（查看设备网口的连接情况） ifconfig（查看设备网口信息） ping（测试主机地址的连通性） telnet（测试端口连通性） ethtool（查看设备网卡信息） route（显示设备的路由表） traceroute（跟踪数据包转发路径） 在命令行页面直接输入命令回车即可
eth0、eth2网口有no link，检查网口接线 情况
排查方法：
a) 电脑单机接SG设备的dmz口，用DMZ
口地址登陆设备
DMZ
b) 查看设备网口接线状况
c) 接线状态 状态正常，检查设备的arp表， 是否可以获取到上连FW和下连3SW的接口 的mac。
配置 DMZ口网段地 址 10.252.252.25X/24
设置拦截日志过滤条件： 设置需要针对哪些IP地址，协议和端口开启拦截日志。默认开启所有 的拦截日志。
开启数据直通： 开启后，AC&SG上设置的上网策略将不生效，符合策略设置应该被 拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
上网故障排除功能介绍
开启实时拦截日志：
复，说明是AC设备上的策略拦截了数据包。 4. 再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的
拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据 包）。 5. 根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。
上网故障排除功能使用案例
1. 设置开启条件，开启实时拦截日志并直通。