深信服产品故障判断指引
深信服行为管理操作文档-11.0-最新版本

网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
FortiGate基本故障排错

电话: (010)62960376
查看指定网络接口的速率及双工,数据收发信息 get hardware nic port4
3.4 MAC 地址表
查看 FortiGate arp 地址表
清除 FortiGate arp 地址表
北京市海淀区北四环西路 52 号中芯大厦 12 层
电话: (010)62960376
FortiGate 基本故障排错
版本 时间 作者 支持的版本 状态
1.0 2011 年 12 月 胡丹丹(ddhu@) FortiOS v3.X,v4.X 草稿
北京市海淀区北四环西路 52 号中芯大厦 12 层
电话: (010)62960376
目录
1. 目的 .............................................................................................................................. 4 2. 故障定位及信息收集 ................................................................................................. 4 2.1 故障定位............................................................................................. 4 2.2 故障信息收集 ..................................................................................... 5 3. FortiGate 信息收集..................................................................................................... 5 3.1 系统信息............................................................................................. 6 3.2 系统资源查看 ..................................................................................... 6 3.3 网络接口速率及双工 ........................................................................... 7 3.4 MAC 地址表 ........................................................................................ 8 3.5 路由表信息 ......................................................................................... 9 3.6 查看会话信息 ..................................................................................... 9 4. 数据的抓取及 debug ............................................................................................... 12 4.1 抓取数据包 ....................................................................................... 12 4.2 数据流 debug ................................................................................... 15 4.2.1 接口的管理服务未启用,或未匹配信任主机数据包被丢弃 ........ 15 4.2.2 策略动作拒绝,或命中隐含策略, 数据包被拒绝 ....................... 16 4.2.3 反向路径检查失败,丢弃数据包 ............................................... 16 4.2.4 会话经由 session-helper 处理 ............................................... 16 5. 常见场景故障分析 ................................................................................................... 16 5.1 异步路由........................................................................................... 16 5.2 反向路径检查 ................................................................................... 17
深信服产品维保 相关政策规定及说明-to-内部及协议渠道

1.0.目的明确我司产品产品维保相关规定,包括首次采购时购买产品维保及后续续保相关政策说明2.0.产品维保政策2.1一般情况下产品维保方式一般情况下以产品list价格的5%/年进行产品维保续保(协议渠道项目可享受渠道折扣)2.2 产品维保断保后的返修及续保政策2.2.1 客户在进行产品维保续保时如之前有断保情况,需先补齐断保费用再向后延保,对此做以下说明:产品维保作为一种延续性服务,同硬件产品使用时间及寿命有关,使用时间越长,其寿命越短,正常使用的风险越高,产品维保的延续越有必要。
因此我司需要保持产品维保服务延续性,同时以最具性价比的方式为客户提供保障;在客户再次选择产品维保服务时,我们将对硬件产品进行使用时间评估,若客户设备的产品维保服务未保持其延续性,将相应收取期间的断保费用。
2.2.2 对于产品维保断保客户,进行续保的处理方式当客户进行产品维保续保时,我司会根据此设备序列号查询历史订单确定最近一次产品维保过期时间距当前欲续保时间如超过1个月以上则需要进行断保费用补齐,补齐及续费标准如下:1、如续保时,设备维保断保180天以内,按照产品list价的5%/年进行补齐及向后续保。
2、如续保时,设备维保断保超过(含)180天,按照产品list价的8%/年进行补齐,再以5%/年向后续保。
3、补齐具体到月计算(不用具体到天),如断保时间不足整月,则计算至整月即可,例如20天,可免除补齐;79天,需补齐2个月;4、协议渠道项目可享受渠道折扣2.2.3 对于产品维保断保客户,设备故障后要求返修的处理方式1、先按照2.2.2要求完成续保的设备,即可享受正常在保返修处2、如客户执意仅进行单次返修,报价为产品list价格的8%(不享受渠道协议折扣),返修后有3个月保障期2.3 产品维保或使用年限超过5年的设备处理2.3.1 原则上我司建议产品硬件有效保修期不超过5年,从两方面进行说明:1、超过5年的硬件设备因内部配件老化问题,无法承诺保障性维修(即维修后再次出现故障的几率很高,可用周期较短),从而会产生客户较高的使用风险及我司过高的维护成本。
如何检查深信服设备性能

使用SANGFOR设备排除网络故障的方法如果贵公司的网络环境出现异常,请您先按照下面步骤排查:一、测试从内网PC到sangfor设备内网口(LAN口)延迟是否正常:测试方法1:从PC上ping设备lan口地址观察延迟是否大于10ms。
如下图:如果ping设备lan口延迟比较大,或者有丢包,请先检查内网是否有攻击行为,检查内网交换机是否正常工作,或者尝试更换PC接交换机的网线和交换机接sangfor设备lan口的网线。
测试方法2:从内网PC到公网延迟和丢包是否正常,如下图:测试方法3:从sangfor设备上ping公网测试是否有延迟和丢包,可以通过网关升级客户端登陆sangfor设备上,ping公网地址,观察延迟和丢包情况。
网关升级客户端下载地址:/download/product/other/SinforUpdate.v4.0.exe安装成功后,打开网关升级客户端:开始菜单—所有程序—《Sangfor Gateway Findme Client》—《网关升级与备份系统》,打开界面如下:登录升级客户端,点击『系统』—『直接连接』,在网关IP处输入设备IP地址,登录密码默认为:dlanrecover,登录后如下图所示:下面从设备上ping公网测试,以ping202.96.137.75为例,点击『工具』—ping,输入目标IP地址,点击开始,结果如下图所示:注意:通过网关升级客户端每次只能ping一个包,可以多次测试,对比从设备上ping公网和内网ping公网的差别。
二、检查设备是否有错误帧或丢包问题通过网关升级客户端,查看接口信息,检测接口是否有错误帧或丢包情况来判断问题:登录网关升级客户端,方法请参考步骤一,登录后点击『工具』—『查看网络配置』,观察设备使用网口是否有错误帧或丢包,如下图所示:Sangfor设备网口对应关系:eth0<>LAN口,eth1<>DMZ口,eth2<>WAN1口,eth3<>WAN2口,以此类推。
深信服产品故障判断指引

Adesk产品故障判断指引
序号
1
2 3 4
故障现象
使用过程中,频繁死机或宕机
设备无法正常升级或则升级异 常 使用过程中,总是无故重启 adesk启动时,系统卡死无法 正常启动
处理办法
1.确认下是否有外设导致宕机或死机,可以尝试拔掉其他外 设再进一步确认。 2.确认客户处供电情况是否稳定; 3.确认软件版本,建议升级到4.5或更高版本; 4.是否通过瘦客户机观看高清视频; 5.确认瘦客户机是否温度过高; 6.如排除以上情况后,请联系深信服客服中心处理。
ห้องสมุดไป่ตู้口故障问题处理方法
网口灯不亮,首先使用交叉线对接同一台设备的非BYPASS口(AC设备接千兆交换机或PC,防止 恢复默认配置),看设备的网口灯是否有亮。同时需要注意,万兆网口,一定不能使用千兆模块, 如果出现误用,需要重启设备,重启设备仍无法解决,请联系深信服客服中心处理。
如果是千兆网口,网口灯数据灯和传输灯都为一样颜色的则正常,如果一个橙色一个绿色,则说 明主板没有正常加载,需要联系深信服客服中心处理;如果是百兆网口的数据灯和传输灯颜色不 一致则为正常。
8 显示很暗,或则有水波纹,变 1.检查VGA线与VGA接口是否松动;
色等
2.确认VGA线长度是否过长(一般不要超过8M)
3.将显示器模式调整为自适应(auto)模式;
4.如排除以上情况后,请联系深信服客服中心处理。
Adesk产品故障判断指引
序号
故障现象
9 各IO接口使用问题(如USB、 COM口等)
第二种现象: 条件①:已知对端设备是百兆交换机且锁定了全/半双工工作模式; 条件②:深信服设备也是百兆口。
深信服设备排除策略使用说明

查看拒绝列表查看拒绝列表使用说明:当内网的数据被设备拦截,且无法判断改数据是被AC哪个功能模块所拦截时,开启拒绝列表。
开启拒绝列表后可以通过该列表来确定,数据被设备什么模块拦截的。
此功能多用于排错,不熟悉网络者请联系深信服客服人员来处理。
一、开启拒绝列表的方法:网关日志与故障排除—策略故障排除中,选择开启拒绝列表,或者开启拒绝列表并直通。
两者的区别是后者开启后,所有经过AC的数据都将被放通,以检查数据被拦截是否与深信服设备有关。
1.开启拒绝列表:如下图,点击开启拒绝列表(标注1),便可以看见开启成功的消息(标注2)2.开启拒绝列表并直通:如下图,点击开启拒绝列表并直通(标注1),便可以看见开启直通成功的消息(标注2)注意:1.开启拒绝列表并直通后,设备将所有通过的数据都放行,而在拒绝列表中显示的是数据流将在哪些模块被设备拦截。
2.若以非管理员身份登陆,则看不见“开启拒绝列表并直通”这个选项。
二、查看拒绝列表的方法:在网关日志与故障排除-策略故障排除-拒绝列表-点击查看,弹出网页即为拒绝列表,如下图: 若弹出的页面被拦截,可以输入地址http://设备LAN口IP/droplist.htm以手动查看。
拒绝列表的Action的解释说明详见附表。
三、定义拒绝列表开启条件:在默认情况下,在拒绝列表中查看到的是被设备所拦截的所有条目,数据量很大。
但是只有第一个被设备拒绝丢弃的包才会记录被哪个模块所丢弃的,为了保证重要的信息条目不被冲掉,此时可以通过设置开启条件来过滤掉某些无关的条目,达到针对性查看指定的数据。
配置方法:1.开启条件设置:勾选设置开启条件,随之该条目上会显示出如下图的大红框。
2.配置开启条件:可根据数据的源IP、目标IP、数据协议类型来定义开启条件。
其中数据源、目标IP可以为所有IP,也可以为指定的IP地址。
而协议类型除可以选择所有协议外,还可以选择这四种情况的一种:TCP协议、UDP协议、ICMP协议以及其他协议。
深信服全系列产品手册

目前很多组织都面临 着这样的挑战。
25 29 33 37
IPSec VPN
由于某些行业的特殊性,需要一种非常安 全的方式达到异地网络的互联, IPSec VPN 正是基于这样的需要而出现,可实 现异地机构快速组网、大型专网中数据安 全 加 密 、 行 业 专 网 的V P N延 伸 、 专 网 单 一 链路的稳定备份等多重价值。
通过部署AD产品,最高人民法院的门户网站实现了内外网用户的流量分担及服务器的智能负载均衡, 这不仅提升了 海量用户的访问速度和稳定性,还最大程度上改善了服务器的利用效率,提高了IT投资回报。
深信服公司
市场咨询免费热线:800 830 9565 深圳市南山区科技园科发路8号金融基地2栋4楼
邮 编:518052
电 话:0755-26581949 传 真:0755-26581959
邮 箱:market@
技术支持免费热线:800 830 6430 科技中二路深圳软件园十二栋501室 邮 编:518052 传 真:0755-86336514 邮 箱:support@
上网优化 SG
海量的互联网资源与组织有限的网络带 宽之间的矛盾由来已久,尤其近年互联 网的高速发展使得内网用户渴望快速上 网的诉求与日俱增,上网优化网关这一 概念也应运而生。
流量管理 BM
信息化建设的深入以及信息系统的普 及,使得组织机构网络所承载的数据与 内容变得复杂与多元化,同时组织业务 发展对网络质量的要求与网络应用日益 丰富导致的带宽瓶颈问题之间的矛盾日 趋严峻。
商业智能分析
A D产 品 可 统 计 访 问 用 户 的 时 间 、 地 域 分 布 特 性 以 及 用 户 的 应 用 访 问 偏 好 , 为 企 业 业 务 运 营 挖 掘 更 多 的 用 户 特 征信息,以支撑商业决策。
深信服上网行为管理-常见问题排错指导

服务器上测试本机的 810端口是否通
数据中心同步失败
服务器未监听810端口【开始】-【管理工具】-【服务】中检查服务“Sangfor Data Center”(对应datacenter.exe进程)状态是不是没有启动。
右键设置该服 务的属性,服 务”。
如果本机测试监听端口成功则检查AC和服务器之间是否有其他网络设备阻止了 TCP810端口的访问。
虽然也可以把测试电脑的ip地址填到设备的排除ip里看故障是否修复但是防火墙觃则对排除ip还是生效的所以还是建议用开启拦截日志并直通来排除和定位问题如果开启拦截日志并直通后故障恢复那么可以定位问题是由于acsg设备的策略引起的通过查看拦截日志找到被拒绝数据的模块修改策略
深信服上网行为管理 常见问题排错指导
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
服务器播出故障判断与排除

服务器播出故障判断与排除服务器故障是指服务器在运行过程中出现异常情况,无法正常提供服务的状态。
故障可能包括硬件故障、软件故障、网络故障等。
判断和排除服务器故障是系统管理员的重要工作之一,下面将介绍几种常见的服务器故障判断和排除方法。
1.判断:当服务器出现硬件故障时,通常会发出响声、闪灯、错误信息等明显的信号。
系统管理员可以通过检查服务器前面板的指示灯、硬盘灯和风扇工作状态,以及使用硬件故障监测软件等方式来判断硬件故障的具体原因。
2.排除:针对不同的硬件故障,有不同的排除方法。
例如,如果服务器无法启动,可能是由于电源故障,可以检查电源线是否连接正常,电源开关是否打开,尝试更换电源等。
如果服务器噪音较大,可能是由于风扇故障,可以检查风扇是否堵塞、磨损,或尝试更换风扇。
1.判断:软件故障通常会导致服务器运行缓慢、程序崩溃、系统死机等现象。
系统管理员可以通过检查系统日志、错误报告、服务器监控工具等方式来判断软件故障的具体原因。
2.排除:针对不同的软件故障,有不同的排除方法。
例如,如果服务器程序崩溃,可能是由于软件版本不兼容或配置错误,可以尝试更新软件版本、重新配置程序参数等。
如果系统死机,可能是由于内存泄漏或磁盘空间不足,可以使用内存检测工具、磁盘清理工具等来排除故障。
1. 判断:网络故障通常会导致服务器无法连接、网络延迟、数据丢失等问题。
系统管理员可以通过使用ping命令、traceroute命令等来判断网络故障的具体原因。
综上所述,服务器故障的判断和排除需要系统管理员根据具体情况进行分析和处理。
通过判断服务器的硬件、软件和网络状态,以及采用相应的排除方法,可以有效解决服务器故障,确保服务器正常运行。
同时,定期维护和监控服务器,提高服务器的可靠性和稳定性也是重要的工作。
深信服AC--设备简单的--故障排查--方法

首先网络中遇见问题,我们需要向办法先确认下问题大概是出在哪台设备上。
首先查看设备的接口灯是否正常(电口左边的灯会闪,右边的灯长亮)右上角的红色的警告灯是否长亮-------长亮则不正常,闪是正常的。
AC网桥部署网关部署排查方法都一样
在设备控制台----系统诊断-----上网故障排除------点击开启
拦截日志过滤条件中添加0.0.0.0-255.255.255.255
勾选上同时开启数据直通填写有问题的那台电脑的IP 地址
开启好,再测试下,不能访问的网站应用等的网络问题有没有解决
1.可以访问了,则说明该网络中的问题就是我们设备的策略等因素导致的问题,可以选择
给我们打电话联系我们帮你们处理。
具体方法后续跟进说明。
2.如果还是不能访问则说明和我们设备没关系,可以选择找其他设备的问题。
对于情况一问题排查方法
案例:我自己做了一个策略禁止百度所有相关的网站。
现在我不能访问百度等相关的网站。
这个时候查看下我自己PC 的地址为
然后进入设备的控制台开启上网故障排查,测试!
测试结果为我可以访问百度类的网站了
这个时候确认问题出在我们设备上。
这个时候进入设备的数据中心,同时让该用户多访问几次不能访问的应用这样就更便于查找到具体被什么策略挡住了。
填写好我们需要查找的用户只需要查找被拒绝的就好了。
这样我们会查到很多的内容
就可以看到用户被什么策略挡住了,然后进行相应的修改就好了。
深信服使用手册

深信服使用手册摘要:1.深信服使用手册概述2.手册的内容和结构3.如何使用深信服4.常见问题与解决方案5.结论正文:【深信服使用手册概述】深信服科技(深圳市深信服科技股份有限公司)是一家专注于网络安全与大数据领域的高新技术企业。
本手册旨在帮助用户更好地了解和使用深信服科技的相关产品与服务。
本文将详细介绍深信服的使用方法和注意事项,帮助用户解决在使用过程中遇到的问题。
【手册的内容和结构】本手册共分为五个部分,分别为:1.深信服使用手册概述:介绍深信服科技及其相关产品与服务,以及本手册的目的和结构。
2.如何使用深信服:详细介绍深信服产品的安装、配置和使用方法。
3.常见问题与解决方案:针对用户在使用深信服过程中可能遇到的问题,提供相应的解决方法和技巧。
4.深信服服务与支持:介绍深信服科技为客户提供的技术支持和服务。
5.结论:总结本手册的主要内容,对用户提出一些建议和期望。
【如何使用深信服】在使用深信服产品之前,请确保您已仔细阅读本手册。
以下是一些建议和步骤,以帮助您更好地使用深信服:1.安装深信服产品:根据产品说明书中的指导完成产品的安装。
2.配置深信服产品:按照手册中的配置指南进行产品配置。
3.使用深信服产品:在完成安装和配置后,您可以开始使用深信服产品。
如有需要,请随时参考手册中的操作指南。
【常见问题与解决方案】在使用深信服产品的过程中,您可能会遇到一些问题。
以下是一些常见问题及其解决方法:1.深信服产品无法正常启动:请检查硬件设备是否正常运行,以及网络连接是否稳定。
2.深信服产品无法识别网络环境:请确保您已正确配置深信服产品的网络参数。
3.深信服产品出现异常报警:请根据报警信息,参考手册中的故障排除指南进行处理。
【深信服服务与支持】深信服科技为客户提供以下服务与支持:1.技术支持:为客户提供专业的技术支持,解答用户在使用过程中遇到的问题。
2.售后服务:为客户提供完善的售后服务,确保产品正常运行。
深信服网络设备AC硬件故障排查文档

深信服网络设备AC硬件故障排查文档硬件故障排查文档一:前期准备二:根据现象判断一、前期准备知识万能IP,M5x00(-S)系列、S5100、P5100的万能IP均为10.111.222.33/252即电脑本机只能配置IP地址10.111.222.34/255.255.255.252,才可以正常连接设备,M5x00-AC系列的万能IP地址是128.127.125.252/255.255.255.248,即电脑本机配置,128.127.125.253/255.255.255.248即可。
(万能IP只适用于设备LAN口)二、设备故障判断标准(1)设备接上电源没有反应(任何指示灯都不亮),更换电源线后现象依旧。
(2)报警灯(Alarm灯)长亮,ping不通设备IP,取不到设备的MAC地址。
1 .使用万能IP测试,根据设备型号,配置好本机电脑IP(根据前期知识配置)如设备为M5x00(-S)系列、S5100、P5100配置为以下IP地址并确定如设备为AC设备,则配置为以下IP地址并确定配置好万能IP以后,进行测试(以AC设备为例如下,其他设备ping 10.111.222.33)这时看是否能ping通设备(开始---运行-----输入cmd----回车----出现DOS命令对话框----输入ping 128.127.125.252 如下图)看是否能取到设备MAC地址(在DOS命令行下输入arp -a 查看)如仍不能ping通或取到MAC地址,请进行第二步,如能ping通或可以取到设备MAC地址,则设备硬件故障可能性很低。
2.关机30分钟,开启设备后用笔记本电脑直接连接设备LAN口(使用交叉线连接)重新进行第一步。
如能ping通或能取到设备MAC地址,则设备硬件故障可能性很低。
如仍不能ping通或取不到MAC地址。
请直接联系深信服工程师进行设备返修确认。
注:如按照上述步骤排查仍然不能定位问题,请直接联系深信服工程师解决。
深信服云计算产品解决方案及服务手册

分布式虚拟交换机 全网流量可视
虚拟路由器 一键故障检测
业务逻辑拓扑“ 所 画 即 所 得 ”
06
深信服云计算产品解决方案及服务
安全虚拟化 aSEC
深信服 aSEC 是深信服安全与虚拟化深度融合的产物,基于 NFV 网络功能虚拟化的思想,使深信服安全功能不再依赖专用 硬件,通过创新的所画即所得方式以及虚拟化技术,资源可以充分灵活共享,实现业务安全的快速部署,并基于实际业务 进行弹性伸缩、故障隔离等。
Contents
目录
业务概述 品牌成绩 产品介绍
服务器虚拟化 超融合软件 超融合一体机 云管平台
云计算服务
托管云服务
解决方案
超融合解决方案
关键业务承载解决方案 云数据中心建设解决方案 数据中心容灾备份解决方案 涉密虚拟化场景解决方案
云计算解决方案
私有云建设解决方案 分支云建设解决方案 容器云建设解决方案 托管专属云解决方案 同架构混合云解决方案
产品
服务器虚拟化 超融合软件
超融合一体机 云管平台
深信服云计算业务图谱
服务
托管云
解决方案
超融合解决方案
关键业务承载解决方案 超 融合数据中心建设解决方案
超融合容灾备份解决方案 涉密虚拟化场景解决方案
云计算解决方案
私有云建设解决方案 分支云建设解决方案 容器云建设解决方案 托管专属云解决方案 同架构混合云解决方案
01
品牌成绩
IDC 发布的《中国超融合市场跟踪研究报告,2018》排行榜中,超融合软件市场占有率深信服排名第二,超融 合软硬件整体市场占有率深信服稳居前三。数据来源:《IDCChina HCI Market Key Vendor Analysis,2018》 入围 Gartner 2016 年《X86 服务器虚拟化基础架构魔力象限》,国内仅两家入围 首 批获得 2017 年可信云《云计算超融合架构可信认证》,国内首家通过 首批通过 CSA 云安全成熟度模型 CSA-CMMI5认证 成为业界具备权威影响力的开放数据中心委员会(ODCC)白金会员 广东省智能云计算工程技术研究中心 荣获 2018 年 Cloud500 卓越云基础设施提供商 荣获 Cloud China 2017 年云帆奖“云计算最具影响力企业奖” 年增长 1000+ 云计算案例,累计帮助超过近万家用户实现业务云化,承载用户关键业务的比例超过 60%,成为 中华人民共和国农业部、华侨城集团、武汉大学、上海联合产权交易所等众多用户首选的云计算品牌
深信服产品维保相关特定情况补充说明

1.0.目的深信服科技产品维保相关规定,包括首次采购时购买产品维保及后续续保相关政策说明2.0.产品维保政策2.1 产品维保断保后的返修及续保政策2.1.1 用户在进行产品维保续保时如之前有断保情况,需先补齐断保费用再向后延保,对此做以下说明:产品维保作为一种延续性服务,同硬件产品使用时间及寿命有关,使用时间越长,其寿命越短,正常使用的风险越高,产品维保的延续越有必要。
因此我司建议用户对其所用深信服产品保持产品维保的服务延续性;我司将以最具性价比的方式为客户提供保障,此时在用户再次选择产品维保服务时,我司将对产品硬件进行使用时间评估,若用户设备的产品维保服务未保持其延续性,将相应收取期间的断保费用。
2.1.2 对于产品维保断保客户,进行续保的处理方式当用户进行产品维保续保时,我司会根据设备记录进行评估,如确定最近一次产品维保过期时间距当前续保时间如超过1个月及以上则视为断保,此时需按照高于标准价格支付产品维保的补齐费用(具体计算到月),补齐之后再根据正常收费标准向后延保。
2.1.3 对于产品维保断保客户,设备故障后要求返修的处理方式1、先按照2.1.2要求完成续保的设备,即可享受正常在保返修处理2、如选择单次返修,则按单次返修标准支付费用,返修后有3个月保障期2.3 产品维保或使用年限超过5年的设备处理2.3.1 原则上我司建议产品硬件有效保修期不超过5年:超过5年的硬件设备因内部配件老化问题,无法承诺保障性维修(即维修后再次出现故障的几率很高,可用周期较短),从而会产生用户较高的使用风险及维护成本2.3.2 判定设备维保年限达到5年的标准,分为以下三类(符合任意一种即定义为超过5年设备):1、单次产品销售(渠道项目)订单含有超过5年的产品维保服务2、产品维保续费订单所购买维保期限加产品历史采购维保年限总和超过5年3、产品维保续费订单所购买维保期限加产品已使用年限总和超过5年2.3.3 产品维保超过5年设备的处理方法1、建议以旧换新,或直接采购新设备:一般情况我们从客户产品使用稳定性角度出发,建议客户在产品使用达到5年后如产品当时处于正常使用状态可进行以旧换新,若老产品已故障无法使用则可考虑采购新设备;2、如用户暂不考虑以旧换新或新采购设备,仍希望续保:从第6年起将收取高于标准续保的价格进行产品维保续费;我司保障设备维修或更换可用深信服科技有限公司客户服务部2013年05月24日。
深信服上网行为管理-系统诊断工具介绍

命令控制台的使用场景及操作
排查方法:
d) 查看网口是否有错误的包或者帧,如果网口有收到错误的包或者帧,检查网线 是否网线传输有问题或者两个网口之前的协商模式有问题检查网口的工作状态, 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网口收到的错误的 包和错误的帧数
网卡的工作模式full 全双工,100Mb
eth0、eth2网口有no link,检查网口接线 情况
排查方法:
a) 电脑单机接SG设备的dmz口,用DMZ
口地址登陆设备
DMZ
b) 查看设备网口接线状况
c) 接线状态 状态正常,检查设备的arp表, 是否可以获取到上连FW和下连3SW的接口 的mac。
配置 DMZ口网段地 址 10.252.252.25X/24
查看网口ip
命令控制台的使用场景及操作
排查方法:
e) 检查设备的路由,跟踪设备上外网的路径,测试设备去外网的端口连通性。
成功开启拦截日志与数据直通
勾选即开启 数据直通 设置需流要控开模启块数是据 否进直行通数的据地直址通
上网故障排除功能使用案例
客户环境: 客户内网部署了AC设备后,所有 用户部分网页打不开,管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3
IP : 192.168.5.3
设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。
开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
深信服AC排错讲解

命令控制台
日常排错必备方法二:命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面, 可用于对设备的一些简单信息进行查看,支持的命令包括: cls(清屏) arp(查看设备的arp表)
mii-tool(查看设备网口的连接情况)
ifconfig(查看设备网口信息) ping(测试主机地址的连通性) telnet(测试端口连通性) ethtool(查看设备网卡信息)
不了,请问如何排查?
1. 设置拦截日志开启条件。 如果选择内网某一台电脑做测试,可以只指定这一台电脑的IP地址。 2. 开启实时拦截日志和数据直通。 3. 在测试电脑上访问之前通信有故障的应用,看故障是否恢复,如果恢
复,说明是AC设备上的策略拦截了数据包。
4. 再查看实时拦截日志(一般可通过查看第一个包的日志,第一个包的 拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据 包)。 5. 根据拦截日志的提示修改策略,再关闭直通功能,测试故障是否恢复。
其他排错工具
其他排错工具:
1、全局排除地址
2、系统日志 3、控制台操作日志 温馨提示:如果出现设备异常宕机需要分析设备黑匣子的,可以拔打 客户服务电话4006306430需求技术支撑
思考题
1、AC设备新上架,现在出现部分网站无法访问,请简述如何排查? 2、某客户使用我们的AC产品网桥模式部署,发现AC的应用识别库升级
SANGFOR AC 日常排错文档
设备状态检查
1、检查设备的加电是否正常,电源灯是否正常。 2、alarm告警灯是否常亮。 3、网口指示灯是否正常(包括检查协商速率、丢包等状态) 4、设备性能是否不足等(主要通过系统运 行状态查看cpu、内存
常用问题排错指导-深信服上网行为管理AC

5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来(对应mysqld-nt.exe进
程),可以尝试手动启动该服务。需要注意的是,引起SangforMySql服务无法启 动的原因较多,下面总结常见的会引起SangforMySql服务无法启动的情况: 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上,他们可以不在一个磁盘分区 。(但是支持RAID磁盘阵列)。 2. 服务器上已安装了其他数据库(比如SQL SEREVER) 建议服务器上不要安装其他数据库,以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤
深信服VPN连接异常排错文档

VPN连接异常排错文档
通常定位问题方法
一:检查本地
二:测试本地与总部连接性
三:查看VPN连接日志排错
一:检查本地:
1,先检查本地上网是否正常(访问网站是否正常),保证本地上网正常后进行第二步,如上网不正常,可按照《不能上网简单排错四步曲》进行排错。
2,关闭本地防火墙
3,检查本地VPN版本是否与总部一致。
二,测试本地与总部的连接性:
1,确定总部公网IP的正确性。
2,如果总部是公网IP,则先测试本地与总部该公网IP的连通性。
例如:总部公网IP为1.1.1.1测试方法:telnet总部IP:4009端口。
如果提示连接失败,这证明本地与总部的IP地址4009端口不通,表示无法建立VPN连接。
在保证本地配置正常的情况下可咨询总部并说明该情况(看是否是由于总部线路或其他问题引起)。
如果连接正常(输入telnet1.1.1.14009后回车)出现该画面表示连接正常(即跳转到一个纯黑色界面)
三:进入网关控制台查看连接信息(sinfor VPN设备)
首先进入VPN设备网关控制台查看DLAN运行状态,如果发现问题,请点击查看日志
根据日志里的信息判断出问题所在。
日志问题分析举例:
接口IP冲突:
硬件鉴权失败:
用户名冲突:
其他错误提示不一一举例。
注:对相应错误日志进行调整后,如仍然有问题,请联系深信服工程师解决。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
指引说明
故障现象及判断方法 故障判断常见问题
内容简介
指引说明
故障现象及判断方法 故障判断常见问题
深信服产品故障判断指引覆盖目前市场销售产品的故障判断 方法,通过指引能够有效的判断产品是否出现硬件故障需要 返厂维修。 覆盖产品包括:AC、AF、SSL VPN、IPSEC VPN、WOC、 AD、adesk 覆盖故障现象包括:无法通电、告警灯常亮无法登录系统、
告警灯常亮,或 无法登录设备
请直接联系深信服客服中心并说明情况
联系深信服 客服中心
是
通过交叉线短接设备 任意两个网口(AC设备 接千兆交换机或PC,防 止恢复默认配置)
否 能否接 显示器 否 尝试加交换机解 决兼容性问题
Байду номын сангаас
网口ACT 和LINK灯 是否都亮
是
通过manage口、 子接口或findme工 具尝试是否能正常 登录 是
Adesk产品故障判断指引
序号
11
故障现象
使用adesk按电源键无法开机
处理办法
1.确认客户处供电情况是否稳定; 2.确认产品标配电源线是否正常,可尝试更换标配电源线测 试; 3.如排除以上情况后,请联系深信服客服中心处理。 1.确认客户显示器是否存在问题,可尝试更换显示器测试; 2.如排除以上情况后,请联系深信服客服中心处理。 1.尝试拔掉电源,等待1分钟后再插上电源并开机,确认是否 正常; 2. 如排除以上情况后,请联系深信服客服中心处理。 1.出现问题后尝试重启adesk确认是否可以解决; 2.如排除以上情况后,请联系深信服客服中心处理。
高端设备出现ALARM灯长亮时,可以通过看STATUS灯进一步确认:
如果STATUS橙色灯长亮或者狂闪的时候,此时可能为硬盘自检,则需要等待设备自检完成, 此时不要直接断电再重启设备,这样容易损伤设备硬盘,建议外接显示器或者通过PC的超 级终端接设备console口,联系深信服客服中心做进一步判定。 如果ALARM灯长亮同时STATUS灯不亮,这个说明是还没有进系统,设备可能卡在BIOS自 检或者将要进系统处,建议外接显示器或者通过PC的超级终端接设备console口,联系深信 服客服中心做进一步判定。
方法二:通过reset进入Recovery界面,然后选择reset initial system rom,重新安装一次rom后,再测试。(4.3R1后添加的功能,只有当 rom文件存在且未损坏时有效),如下图:
Thank you!
12 13
adesk VGA显示偏色严重等 adesk 断电后再来电无法启动
14
升级后出现sdcard只读
Adesk产品故障判断指引
序号
15
故障现象
系统异常,白屏、黑屏,或是卡在 Sangfor Logo界面,无法进行配置 等现象
处理办法
方法一: 通过reset进入Recovery界面,然后选择wipe data/factory reset->Yes ---- delete all user data,格式化用户数据分区的数据, 然后重启测试,如下图:
如果满足如上3个条件,此时需要确认,此网线是否为直通(平行)网线。(个别平台设备在锁定百兆工作模式后,
不支持线序反转功能) 解决办法:如果是直通(平行)网线,则需要更改成交叉网线或者中间加交换机解决。如仍无法解决,则联系深 信服客服中心处理。
网口兼容性问题判断方法 当出现设备网口丢包、网口错误帧不停增加等疑似网口兼容性问题时,请按照如下方法判断:
Adesk产品故障判断指引
序号
1
故障现象
使用过程中,频繁死机或宕机
处理办法
1.确认下是否有外设导致宕机或死机,可以尝试拔掉其他外 设再进一步确认。 2.确认客户处供电情况是否稳定; 3.确认软件版本,建议升级到4.5或更高版本; 4.是否通过瘦客户机观看高清视频; 5.确认瘦客户机是否温度过高; 6.如排除以上情况后,请联系深信服客服中心处理。
网口兼容性问题判断方法 当出现设备网口丢包、网口错误帧不停增加等疑似网口兼容性问题时,请按照如下方法判断:
第一种现象: 条件①:已知对端设备是百兆交换机且锁定了全/半双工工作模式;
条件②:深信服设备为千兆口,自动协商(auto)时,协商成半双工工作模式,且PING时会有丢包,但如果
把深信服设备网口锁定成全/半双工时,我端设备网口灯熄灭,无法连接; 条件③:中间增加交换机可以正常工作。
网口故障、网口兼容性等问题。
产品无法通电
设备无法通电
拔掉电源4-5秒,更换
电源插排,做以下操作
是否两个
电源开关
是
先按下硬开关,再按下 软开关(弹性开关),再 开机
否
故障返修
否
设备加电, 确认是否 正常启动
是
问题解决
告警灯(alarm)常亮,或无法登录设备情况基础排查
【注意】如因导入配置后导致的故障,
2
设备无法正常升级或则升级异 常
使用过程中,总是无故重启 adesk启动时,系统卡死无法 正常启动
1.确认是否网络问题导致; 2.确认是否配置错误导致无法升级; 3.如排除以上情况后,请联系深信服客服中心处理。
1.确认客户处供电情况是否稳定; 2.如排除以上情况后,请联系深信服客服中心处理。 请联系深信服客服中心处理。
LAN口无法登录的处理方法
LAN口IP被配置成了10.111.222.34/30,导致无法用10.111.222.33地址登录,需要尝试接 DMZ口或者WAN口登录。
如果通过Findme搜索不到LAN口IP,则可能LAN口被交换到其他网口(尤其是有光口的设
备),所以接线的口不是正确的LAN口,需要尝试换其他网口接线测试。 如果其他网口也无法搜索到LAN口IP,则可能网口损坏,请参考《网口故障问题处理方法》进 行处理。
是否登 录设备 是
否
故障返修
联系深信服 客服中心
是否manage口 地址在其他网 口测通 是
否
问题解决
联系深信服 客服中心
告警灯(alarm)常亮,或无法登录设备—IPSEC VPN小硬件
无法登录设备 (IPSEC VPN小硬件)
1、重启一次设备; 2、PC单机接设备LAN口,配与LAN口同 网段IP,通过ping和findme方式测试; 3、ping和telnet DMZ或WAN口的 1981端口,获取webserver监听端口, 再通过监控端口尝试web控制台登录; (在DMZ或WAN口有固定IP的情况下测 试,目的是防止配置错误web端口导致无 法登录)
第二种现象: 条件①:已知对端设备是百兆交换机且锁定了全/半双工工作模式;
条件②:深信服设备也是百兆口。
如果满足以上两个条件,接上设备,我端设备锁定工作模式和速率后,也无法协商,需要和客户确认连接网线是 否为直通(平行)网线。
解决办法:如果是平行网线,请先更换成交叉网线后确认是否可以解决。如仍无法解决,则联系深信服客服中心
7
使用过程中,经常掉线
8
显示很暗,或则有水波纹,变 色等
Adesk产品故障判断指引
序号
9 10
故障现象
各IO接口使用问题(如USB、 COM口等) 设备开机能上电,但是显示器 没有显示
处理办法
1.确认线缆、连接是否正常; 2.如排除以上情况后,请联系深信服客服中心处理。 1.确认显示器本身是否故障; 2.确认显示器与VGA线之间连接是否正常; 3.如果瘦客户机有IP地址,则尝试ping 其IP测试是否通,如 果能ping通,则可能与显示器存在兼容问题,请联系深信服 客服中心处理; 4.确认显示器是否有背光,如果有,请进入Recovery界面重 装ROM,有两种处理方法: 方法一:通过reset进入Recovery界面,然后选择wipe data/factory reset->Yes ---- delete all user data,格式 化用户数据分区的数据。 方法二:reset进入Recovery界面,然后选择reset initial system rom,重新安装一次rom后,再测试。(4.3R1后添加 的功能,只有当rom文件存在且未损坏时有效) 5.如排除以上情况后,请联系深信服客服中心处理。
是否登 录设备 否
是
问题解决
是
1、换网线 2、换PC直连 3、增加交换机解决兼容性问题 是否登 录设备 否
是
开机10分 钟能否正 常登录 否
故障返修
高端设备告警灯(alarm)常亮故障判断方法
2个BYPASS 指示灯
Status灯
alarm灯
power灯
LOGO灯
高端设备告警灯(alarm)常亮故障判断方法
否
参照各产品线无法 登录的排查方法进 行处理是否可以正 常登录 是
否
故障返修
故障返修
问题解决
告警灯(alarm)常亮,或无法登录设备—AC/SSL VPN/WOC/AF产品线排查
无法登录设备 (AC/SSLVPN/WOC)
能否接显示器或 console口(波特 率115200) 是
否
步骤1: 重启两次设备,再通过PC分别直连 设备LAN、DMZ或manage口,配 与网口同网段IP,登录web控制条, 或分别尝试telnet443、51111、 22345端口
是否登 录设备 否
是
联系深信服 客服中心
联系深信服 客服中心
开机等待1小时, 再重复步骤1,是 否正常登录设备
是
问题解决
否
故障返修
告警灯(alarm)常亮,或无法登录设备—AD产品线排查
无法登录设备(Ad)
能否接显示器
否
是
1、开机等待10分钟,如问题依旧, 则重启一次设备,再通过PC分别直 连其他网及manage口,配置与网 口同网段IP进行ping测试; 2、如问题依旧,将PC配置与 manage口同网段IP,再分别直连其 他网口进行ping测试(目的确认管理 口是否有交换到其他网口)