深信服上网行为管理-常见问题排错指导
合集下载
深信服行为管理操作文档-11.0-最新版本
d) 查看网口是否有错误的包或者帧,如果网口有收到错误的包或者帧,检查网线 是否网线传输有问题或者两个网口之间的协商模式有问题检查网口的工作状态, 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
深信服VPN连接异常排错文档
VPN连接异常排错文档
通常定位问题方法
一:检查本地
二:测试本地与总部连接性
三:查看VPN连接日志排错
一:检查本地:
1,先检查本地上网是否正常(访问网站是否正常),保证本地上网正常后进行第二步,如上网不正常,可按照《不能上网简单排错四步曲》进行排错。
2,关闭本地防火墙
3,检查本地VPN版本是否与总部一致。
二,测试本地与总部的连接性:
1,确定总部公网IP的正确性。
2,如果总部是公网IP,则先测试本地与总部该公网IP的连通性。
例如:总部公网IP为1.1.1.1测试方法:telnet总部IP:4009端口。
如果提示连接失败,这证明本地与总部的IP地址4009端口不通,表示无法建立VPN连接。
在保证本地配置正常的情况下可咨询总部并说明该情况(看是否是由于总部线路或其他问题引起)。
如果连接正常(输入telnet1.1.1.14009后回车)出现该画面表示连接正常(即跳转到一个纯黑色界面)
三:进入网关控制台查看连接信息(sinfor VPN设备)
首先进入VPN设备网关控制台查看DLAN运行状态,如果发现问题,请点击查看日志
根据日志里的信息判断出问题所在。
日志问题分析举例:
接口IP冲突:
硬件鉴权失败:
用户名冲突:
其他错误提示不一一举例。
注:对相应错误日志进行调整后,如仍然有问题,请联系深信服工程师解决。
深信服问题排错文档
SANGFOR_IPSEC_ALL pdlan常见问题解决办法深信服科技有限公司2011年07月16pdlan常见问题解决办法PDLAN连接不上总时,首先请查看日志,根据日志提示排错,常见的日志有以下几种:1)日志显示wait_connectsuccess在移动端telnet总部的VPN监听口(默认是4009)是否是通的,若不通,a:请检查总部设备是否配置了全端口映射。
b:检查总部设备是否单臂部署,且在前置设备没有把设备的TCP/UDP4009端口成功映射出来。
c:是否运营商做了限制,尝试修改VPN监听端口.d:检查两端的WEBAGENT配置是否正确。
e、pdlan电脑是代理上网的,那pdlan也需要设置代理的,支持sock4和sock5代理的,否则会telnet端口4009是不通的f、检查pdlan所在网络的前置设备做了限制,拦截了VPN通迅。
2)日志显示wait_version_syn_ack1、检查总部和pdlan的版本是否一致,2.5x和2.5x可以连接,4.X和4.X连接,2.5X和4.X 的是不可以连接ipsecvpn的2、可以尝试把vpn端口改成低端端口3、可以尝试修改MTU3)日志提示load file error和configure init failed之类的日志1、这个是pdlan的注册表项被损坏的原因的,重装pdlan即可4)“[TcpNode] OnRead error:10053,errDsc = 您的主机中的软件中止了一个已建立的连接。
”1、是被本机的其他软件把连接给拒绝断开了5)移动用户PDLAN接入一直提示连接端口超时,但是测试总部端口是通的1、检查虚拟IP池和内网是否有冲突6)“绑定socket时发生错误,错误描述:以一种权限不允许的方式做了一个访问套接字的尝试”1、可能是pdlan的系统用户权限不够,或与其他软件有冲突,导致pdlan无法正确的绑定ip/mac地址的,保证电脑是超级管理员登陆的,或把电脑上其他的软件先退出再去连接除了查看日志外,也可根据一些现象排错,常见的有以下几种:1)ipsecvpn频繁掉线1、总部和pdlan电脑是否有ip网段冲突2、尝试切换传输模式3、尝试修改总部设备的MTU值4、尝试修改VPN监听端口5、检查上网线路本身是否正常2)pdlan连接不了总部1、测试telnet总部的4009端口是否通的,检查总部和pdlan的配置是否正确的2、查看pdlan控制台的日志信息,根据日志信息来排查3)pdlan连接上总部了,但访问不了1、被访问的服务和总部的VPN设备不在同一个网段,检查是否有配置系统路由和本地子网列表,如果是DLAN2.52,还需要配置dlan路由2、检查是否有对移动用户作VPN内网权限设置3、如果设备是单臂部署的,虚拟ip池配置的不是和vpn设备lan口同网段的,检查总部的前置设备上是否有回包路由的4、确认是否为总部内网电脑开启防火墙,可以尝试Ping其他电脑或使用telnet来测试。
深信服AD智能路由常见问题排错指导
深信服ad智能路由常见问题排错指导培训内容培训目标智能路由不生效问题排查思路掌握智能路由的排错思路上网时快时慢dns有时解析不到问题排查思路掌握排错思路dns代理不生效问题排查思路掌握dns代理丌生效的排错思路智能路由不生效问题排查思路深信服addns代理不生效问题排查思路上网时快时慢dns有时解析不到问题排查思路智能路由不生效问题排查思路问题现象
排查方法
DNS有时解析不到问题排查
第一步:若启用了DNS代理,调度策略选轮询或加权轮询,有可能会出现我访问 一个电信的站点,恰好调度到联通的DNS,但是这个域名联通解析不了。用DNS 前置调度策略解决。(该情况很少见)
第二步:若启用了DNS代理,查看【DNS状态】,看DNS服务器是否不停离线。 可能是DNS服务器的问题或者监视域名有问题。
4. 【系统概况】-【DNS状态】中DNS服务器是否在线.。离线的DNS服务器是不会参 与调度的。
问题思考
1.智能路由的配置是按什么规则匹配的?
深信服 AD智能路由常见问题 排错指导
培训内容
培训目标
智能路由不生效问题排查思路
掌握智能路由的排错思路
上网时快时慢,DNS有时解析不到问 题排查思路
DNS代理不生效问题排查思路
掌握排错思路 掌握DNS代理不生效的排错思路
深信服 AD
智能路由不生效问题排查思路
上网时快时慢,DNS有时 解析不到问题排查思路
第一步:判断DNS请求解析的过程是否正常。
第二步:判断上网的数据出站是否正常。
注意:如果启用了DNS代理,那么DNS请求包(UDP53端口数据)是不会走智能路 由的,会走DNS代理模块去选路解析。如果没有启用DNS代理,那么DNS请求包会 走智能路由。可以说DNS代理的优先级高于智能路由。
排查方法
DNS有时解析不到问题排查
第一步:若启用了DNS代理,调度策略选轮询或加权轮询,有可能会出现我访问 一个电信的站点,恰好调度到联通的DNS,但是这个域名联通解析不了。用DNS 前置调度策略解决。(该情况很少见)
第二步:若启用了DNS代理,查看【DNS状态】,看DNS服务器是否不停离线。 可能是DNS服务器的问题或者监视域名有问题。
4. 【系统概况】-【DNS状态】中DNS服务器是否在线.。离线的DNS服务器是不会参 与调度的。
问题思考
1.智能路由的配置是按什么规则匹配的?
深信服 AD智能路由常见问题 排错指导
培训内容
培训目标
智能路由不生效问题排查思路
掌握智能路由的排错思路
上网时快时慢,DNS有时解析不到问 题排查思路
DNS代理不生效问题排查思路
掌握排错思路 掌握DNS代理不生效的排错思路
深信服 AD
智能路由不生效问题排查思路
上网时快时慢,DNS有时 解析不到问题排查思路
第一步:判断DNS请求解析的过程是否正常。
第二步:判断上网的数据出站是否正常。
注意:如果启用了DNS代理,那么DNS请求包(UDP53端口数据)是不会走智能路 由的,会走DNS代理模块去选路解析。如果没有启用DNS代理,那么DNS请求包会 走智能路由。可以说DNS代理的优先级高于智能路由。
SANGFORSSLVPN常见问题排错指导HHW
控件作用
安装时间
客户端控件管理工具,安装其他控件时会装上cscm
权限提升服务程序,在使用users权限登录系统时, 让其能够调用和安装其它控件
启用其他需要控件的功能时会强制安 装cscm控件
在安装第一个控件时也会自动安装此 控件,安装该服务必须拥有 administrators组权限
SVPN Monitor
常见问题排错指导
3. SSL可以正常登录,但无法访问内网资源(APP资源或者IP资源) 1)检查SSL设备本身能否访问到内网资源,尝试将设备的内网IP配置到 PC上,用PC去尝试一下看能否访问到,如果PC也访问不到需要检查内 网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服 务等; 2)如果使用了域名资源,需要在客户端使用ping测试一下是否解释出正 确的IP地址(不需要PING通); 3) 检查访问内网资源的IP和端口是否添加完整,可以尝试添加全IP和 全端口试下;
2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作;
app服务控件(抓取aap服务的数据包),ucp加速 控件
用户启用app服务或启用ucp加速时
ip服务客户端控件(读写虚拟网卡上数据)
用户启用ip服务,安装虚拟网卡,登 录后有该进程
ip服务虚拟网卡(添加路由,抓取访问IP资源数据) 用户启用ip服务时会安装虚拟网卡
常见问题排错指导
1. SSL登陆页面无法打开常见问题排错指导5. 第三方认证的问题
b. 与radius结合认证的问题 1)首先检查设备和radius服务器之间的连通性,检查服务器上radius 服务是否正常开启 2)确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、 采用的协议是否与服务器相同 3)检查和确认是否是标准的radius服务器
深信服上网行为管理-用户认证排错指导
问题二 :密码认证失败
➢步骤1 检查设备和LDAP服务器的连通性,可以在设备外部认证服务器页面进行连 通性测试
➢步骤1 查看在线用户列表,检查用户是以临时用户身份出现,还是没有在在线用 户列表中
如果用户是以临时用户身份出现,则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址 (AC不会将内网电脑的IP地址与交换机的MAC地址绑定)。 1. 如果是通过AC设备搜索获得的OID,建议使用第三方扫描工具,在内网电脑上扫描交换机的OID, 把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。 2. 如果是手动获取OID并手动在AC设备上填写的snmp配置,则检查IP/MAC/OID/COMMUNITY 配置是否正确。
➢步骤2 检查AC设备到内网电脑的回包路由(网桥模式需要重点注意)
问题一 :电脑弹不出密码认证框
➢步骤3 检查AC是否允许用户认证成功之前能访问DNS服务
问题一 :电脑弹不出密码认证框
➢步骤4 客户端电脑检查网关和DNS设置是否正确,能否解析出域名
注意:这里之所以能解析出域名并且能ping通外网地址,是因为在AC上启 用了“未通过认证用户可以访问dns服务”及“未通过认证用户具体根组 权限(http应用除外)”
问题二 :IP/MAC绑定不生效
➢步骤3 到用户组去搜索内网电脑的IP10.10.10.100和MAC B8-70-F4-3A-42-2B, 找到被绑定的用户,并删除
通过搜索IP发现10.10.10.100和另外一个mac绑定在一起了,删除该用户
问题二 :IP/MAC绑定不生效
➢步骤4 到在线用户列表确认用户认证成功
深信服上网行为管理 用户认证排错指导
培训内容
IP/MAC绑定排错
深信服上网行为管理-常见问题排错指导
用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分:
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析:
分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射 规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。 如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
数据中心同步失败
➢步骤1 在设备上测试连接外置数据中心服务器是否正常 AC通过同步程序向外置数据中心datacenter.exe程序发同请求,通过tcp 810端口
建立连接。如果在AC上测试连接外置数据中心失败,可以到服务器上确认本机是 否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功,也可以通过查看设 备的监听状态netstat –na,如下图:某Fra bibliotek应用使用异常排查
深信服上网行为管理-策略排错指南
WAN:192.200.200.8
LAN:10.0.0.254 10.0.0.1
排查思路: 1. 检查上网权限策略是否与用户关联 2. 检查是否开启直通或者排除IP 3. 检查用户是否关联了多条上网权限策略 4. 检查应用规则库是否为最新 5. 检查是否有自定义应用 6. 检查拒绝的应用与实际识别出的应用是否对应
➢步骤4 检查应用规则库是否为最新 ➢步骤5 检查是否有自定义应用 ➢步骤6 检查流控的应用与实际识别出的应用是否对应 ➢步骤7 在迅雷客户端查看下载的速率,或者通过【实时状态】下【流量状态】中的 【流量管理状态】,观察各个流量通道内的瞬时速率和用户数等,检查流量控制是否生 效。
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
流控策略不生效
➢步骤1 检查流量管理系统是否全局启用 一定要注意开启!
➢步骤2 检查是否开启直通或者排除IP,流控通道是否有排除策略
影响到限制 迅雷下载, 需要删除
流控策略不生效
➢步骤3 检查是否有多条流控通道,注意流控通道之间的影响,是否流控通道匹配错误
上网策略不生效
➢步骤3 检查应用规则库是否已经更新到最新版本,若不是请更新
更新应用规则库前请先更新网关补丁!
上网策略不生效
➢步骤4 检查是否有自定义应用,不建议自己定义应用,容易引起应用识别异常
删除!
上网策略不生效
➢步骤5 检查“迅雷封堵”策略拒绝的应用,是否存在与迅雷下载时识别出来的应用不 一致,或者不完整的情况!
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
上网策略不生效
➢步骤1 检查用迅雷封堵的策略和用户是否已关联,该策略是否启用,是否开启直通或 者排除IP
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求概述...................................................................... 错误!未定义书签。
背景介绍...................................................................... 错误!未定义书签。
需求分析...................................................................... 错误!未定义书签。
带宽效率风险.................................................... 错误!未定义书签。
工作效率风险.................................................... 错误!未定义书签。
泄密风险............................................................ 错误!未定义书签。
法律风险............................................................ 错误!未定义书签。
安全风险............................................................ 错误!未定义书签。
客户具体需求分析...................................................... 错误!未定义书签。
客户网络现状分析...................................................... 错误!未定义书签。
第2章上网行为管理标准...................................................... 错误!未定义书签。
深信服上网行为管理-用户认证排错指导
OID以1.3.6.1开头,填这前4位即可
问题一 :设备无法通地SNMP搜索三层交换机的arp表
➢步骤4 工具成功连接交换机后,需要过滤获取的结果,找到需要的OID。只需要 VALUE这一列值是MAC地址的OID即可,取OID值的前10位,填入设备snmp配置中
建议:添加服务器 的MAC地址时请使 用设备上arp表上显 示的交换机接口的 mac地址
10.20.20.200 GW:10.20.20.254
新组件单点登录不生效
➢步骤1 检查基本配置 /read.php?tid-7797.html ➢步骤2 检查PC是否执行了logon.exe脚本。 如果PC运行logon.exe成功后,在PC 本地的C盘用户目录( C:\Documents and Settings\Administrator\Application Data\.logon)生成login.log日志文件。
问题一 :电脑弹不出密码认证框
➢步骤5 重新访问外网测试用户认证框能否正常弹出
问题二 :密码认证失败
现在用户做密码认证可以弹出密码认证框了,但是输入域账号user3和密码的时候提 示用户名密码不正确,跟域管理员确认过账号的用户名和密码没有问题。怎么排查?
排查思路: 1. 检查AC设备和服务器的连通性 2. 检查AC设备组织结构是否存在相同用户名 的本地账号 3. 检查域账号是否同步到AC设备上来,或者 认证策略是否启用新用户认证
新组件单点登录不生效
如果PC是离线登录域的情况下,或者PC登录域之前有发往外网的连接,会导致PC无法获 取到域服务器的组策略,从而引起单点登录不成功。这种情况下,只要之前PC有一次正常登 录到域并获取到了域服务器的组策略,PC成功执行过logon.exe,同样的是可以单点登录成 功的。 单点登录logon.exe,程序运行时会自动拷贝到启windows启动目录。
问题一 :设备无法通地SNMP搜索三层交换机的arp表
➢步骤4 工具成功连接交换机后,需要过滤获取的结果,找到需要的OID。只需要 VALUE这一列值是MAC地址的OID即可,取OID值的前10位,填入设备snmp配置中
建议:添加服务器 的MAC地址时请使 用设备上arp表上显 示的交换机接口的 mac地址
10.20.20.200 GW:10.20.20.254
新组件单点登录不生效
➢步骤1 检查基本配置 /read.php?tid-7797.html ➢步骤2 检查PC是否执行了logon.exe脚本。 如果PC运行logon.exe成功后,在PC 本地的C盘用户目录( C:\Documents and Settings\Administrator\Application Data\.logon)生成login.log日志文件。
问题一 :电脑弹不出密码认证框
➢步骤5 重新访问外网测试用户认证框能否正常弹出
问题二 :密码认证失败
现在用户做密码认证可以弹出密码认证框了,但是输入域账号user3和密码的时候提 示用户名密码不正确,跟域管理员确认过账号的用户名和密码没有问题。怎么排查?
排查思路: 1. 检查AC设备和服务器的连通性 2. 检查AC设备组织结构是否存在相同用户名 的本地账号 3. 检查域账号是否同步到AC设备上来,或者 认证策略是否启用新用户认证
新组件单点登录不生效
如果PC是离线登录域的情况下,或者PC登录域之前有发往外网的连接,会导致PC无法获 取到域服务器的组策略,从而引起单点登录不成功。这种情况下,只要之前PC有一次正常登 录到域并获取到了域服务器的组策略,PC成功执行过logon.exe,同样的是可以单点登录成 功的。 单点登录logon.exe,程序运行时会自动拷贝到启windows启动目录。
深信服上网行为管理-基本操作介绍
•如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情况下,提 供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为 128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用 交叉线连接电脑和设备eth0口,通过https://128.127.125.252登录 设备网关控制台。
SANGFOR AC&SG
初识设备 如何登录设备 如何恢复出厂配置 如何恢复控制台admin帐号和密码 SANGFOR设备升级系统使用介绍
初识设备:设备外观介绍 前面板 后面板
初识设备:设备外观介绍
注意:设备加电开机时,alarm灯常亮,设备启动完毕,alarm灯熄灭, 所以可以通过alarm灯状态观察设备启动状态。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2
•如何登录设备控制台
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
首次拿到AC/SG设备时,可以通过以下方法登录设备控制台
深信服负行为管理高级认证培训13_用户认证排错指导
新组件单点登录不生效
终端电脑启动项中没有logon脚本时排查 如果电脑%appdata%/.logon目录下没有生成login.log,则说明脚本没有下发到电 脑,需要检查PC和域,此时和AC无关,则检查以下几点: A. 确认C盘用户目录是否有写权限,可以在该目录下手动创建一个文件测试 B. 确认用户是否正常获取到组策略,可以在运行下执行:rsop.msc
WAN:192.200.200.8
LAN:10.0.0.254 10.0.0.1
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
10.20.20.200 GW:10.20.20.254
新组件单点登录不生效
步骤1 检查基本配置,参考“SANGFOR_AC__v11.0_脚本方式单点登录测试指导 书.doc” 步骤2 手动运行logon.exe,观察单点登录是否成功。域上配置好组策略,终端 电脑登录域后,logon会下发至电脑启动菜单,如下图,手动运行启动项中的 logon,观察单点登录是否成功
Contents
1 2
IP/MAC绑定排错
密码认证排错
问题一 :设备无法通过SNMP搜索三层 交换机的arp表
如图,AC路由部署在公网出口,内网有一台三层交换机,启用了SNMP。内网用户通 过AC上网,需要通过AC的认证。客户使用IP/MAC认证,在设备上配置snmp服务器时, 输入交换机的接口地址,提示获取失败?如何排查?
正常登陆域并且获取 到组策略
新组件单点登录不生效
没有正常获取到组策略的情况如下
新组件单点登录不生效
正常获取到组策略的情况如下
组策略结果集会显示上一次logon脚本运 行的时间,对照时间就可以判断logon脚 本是否有自动执行,如果最近一次登录没 有执行,这时候需要检查windows的事件 查看器,通过事件日志来分析没有执行的 原因。
深信服上网行为管理-系统诊断工具介绍
命令控制台的使用场景及操作
排查方法:
d) 查看网口是否有错误的包或者帧,如果网口有收到错误的包或者帧,检查网线 是否网线传输有问题或者两个网口之前的协商模式有问题检查网口的工作状态, 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网口收到的错误的 包和错误的帧数
网卡的工作模式full 全双工,100Mb
eth0、eth2网口有no link,检查网口接线 情况
排查方法:
a) 电脑单机接SG设备的dmz口,用DMZ
口地址登陆设备
DMZ
b) 查看设备网口接线状况
c) 接线状态 状态正常,检查设备的arp表, 是否可以获取到上连FW和下连3SW的接口 的mac。
配置 DMZ口网段地 址 10.252.252.25X/24
查看网口ip
命令控制台的使用场景及操作
排查方法:
e) 检查设备的路由,跟踪设备上外网的路径,测试设备去外网的端口连通性。
成功开启拦截日志与数据直通
勾选即开启 数据直通 设置需流要控开模启块数是据 否进直行通数的据地直址通
上网故障排除功能使用案例
客户环境: 客户内网部署了AC设备后,所有 用户部分网页打不开,管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3
IP : 192.168.5.3
设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。
开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
常用问题排错指导-深信服上网行为管理AC
如果邮件服务器在外网,客户端通过AC/SG收发邮件异常的话,需要进行以下 步骤的排查: 1. 检查邮件过滤功能是否有开启,如果有开启邮件过滤功能,检查是否有不恰 当的邮件过滤选项,可以关闭邮件过滤功能,看收发邮件功能是否恢复。 2. 如果关闭邮件过滤功能,客户端收发邮件正常,需要检查下AC/SG设备本身 是否可以上外网,AC/SG网桥模式部署,网桥IP必须正确配置能上外网的IP和 网关。 3. 如果AC/SG本身能上外网,只要开启邮件过滤,客户端收发邮件就不正常, 关闭邮件过滤又能恢复,需要检查下AC/SG设备的系统日志,看是否有程序异常 的日志。
5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来(对应mysqld-nt.exe进
程),可以尝试手动启动该服务。需要注意的是,引起SangforMySql服务无法启 动的原因较多,下面总结常见的会引起SangforMySql服务无法启动的情况: 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上,他们可以不在一个磁盘分区 。(但是支持RAID磁盘阵列)。 2. 服务器上已安装了其他数据库(比如SQL SEREVER) 建议服务器上不要安装其他数据库,以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤
5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来(对应mysqld-nt.exe进
程),可以尝试手动启动该服务。需要注意的是,引起SangforMySql服务无法启 动的原因较多,下面总结常见的会引起SangforMySql服务无法启动的情况: 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上,他们可以不在一个磁盘分区 。(但是支持RAID磁盘阵列)。 2. 服务器上已安装了其他数据库(比如SQL SEREVER) 建议服务器上不要安装其他数据库,以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤
深信服上网行为管理-系统诊断工具介绍
其他排错工具——系统日志
系统日志实时记录着设备所有程序的运行情况,当程序有异常时对应模 块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常,可 以先查看系统日志进行确认!
筛选日 志类型 筛选要显 示的日志
可将系统日志截图给 400协助处理
其他排错工具——控制台操作日志
通过在数据中心查看控制台操作日志,可以很清晰的看出哪一个账号在 什么时间段修改/增加/删除了哪一个模块,是查看是否有人为更改配置的 依据。
将打开拒绝列表,此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会 被设备拒绝掉,同时会将符合策略设置应该被拒绝数据包的情况显示出来
成功开设启置上针对哪些IP地 网拦截址日开志启拦截日志
设置开启拦截日志的协议和端口
上网故障排除功能介绍
开启实时拦截日志与数据直通: 开启实时拦截日志同时开启数据直通,此时设备设置的上网策略将不生效。符合策 略设置应该被拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝的数 据包拦截情况显示出来 。
eth0、eth2网口有no link,检查网口接线 情况
排查方法:
a) 电脑单机接SG设备的dmz口,用DMZ
口地址登陆设备
DMZ
b) 查看设备网口接线状况
c) 接线状态 状态正常,检查设备的arp表, 是否可以获取到上连FW和下连3SW的接口 的mac。
配置 DMZ口网段地 址 10.252.252.25X/24
命令控制台的使用
命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面, 可用于对设备的一些简单信息进行查看,支持的命令包括:
arp(查看设备的arp表) mii-tool(查看设备网口的连接情况) ifconfig(查看设备网口信息) ping(测试主机地址的连通性) telnet(测试端口连通性) ethtool(查看设备网卡信息) route(显示设备的路由表) traceroute(跟踪数据包转发路径) 在命令行页面直接输入命令回车即可
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日 志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是 否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略, 直到故障修复。
4. 如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。 此时可以跳过设备进一步验证。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
规则库更新不了该如何处理?
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
➢2.检查设备端口映射(DNAT)配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后,但是外网仍然无法访问,则进入下一步
这里“自动放通防火墙数据”要启用,如果这里是“否”,也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已 经到设备wan口了,以确认访问请求是否被运营商拦截
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析:
分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射 规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。 如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。
规则库更新不了
2、检测设备本身到更新服务器是否可能 正常连能,即设备本身是否可以正常上网。
保证设备可以上 网,访问公网服 务器的80端口
注意
➢【系统配置】-【自动升级】-【最新版本】显示“获取信息失败”。
最新版本状态为“获取信ห้องสมุดไป่ตู้失败”,最新版本一个小时更新一次,在确保设备 可以上网的前提下,等一个小时再观察状态。
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分:
1. 客户端访问服务器的数据到达 AC/SG 设备
2. AC/SG设备做DNAT转换,再经过 防火墙的过滤发给内网真实的服务器
3. 服务器返回客户端的数据要回应 给AC/SG,通过AC/SG再转发回应 给客户端
某些应用使用异常排查
某些应用使用异常排查
如果用户断网或只有部分应用访问异常,例如QQ登录不了,登录不了网 银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关 系。
1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。
2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否 修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修 复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日 志并直通来排除和定位问题)
某些应用使用异常排查
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于 AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块, 修改策略。
4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则 重复第2,3步,直到故障修复。
数据中心同步失败
数据中心同步失败
端口映射不生效排查
➢1.设备上测试服务器发布的端口 在设备上telnet服务器172.16.2.100的80端口是否能通,如果不通则检查服务器 运行状态(服务器本机测试端口是否能通 :telnet 127.0.0.1 80),以及设备到 服务器的连通性。如果设备上测试正常,但是外网仍然无法访问,则进入下一步
1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果 在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810 端口。可以telnet 127.0.0.1 810看是否成功 2.如果服务器本机没进程监听该端口,到【开始】中,找到外置数据中心安装目录, 先停止数据中心所有服务,再启动数据中心所有服务。 3.如果本机测试监听端口成功,则检查AC到服务器的路由是否可达,中间是否有其 他网络设备阻止了TCP810端口的访问。 4.查看系统日志,通过系统日志可以检查:外置数据中心安装软件的版本和设 备版本是否一致,外置数据中心同步账号和密码是否和设备上的一致。 5. 如果系统日志有其他告警或者错误日志,请联系400处理。
端口映射不生效排查
AC设备网关模式部署,WAN1口IP地址为113.16.X.230,某客户想通过 端口映射发布内网的web服务器,服务器地址是172.16.2.100。配置完毕 后,测试外网访问http:// 113.16.X.230无法打开页面,现在需要定位问 题出在哪了?
排查思路: 1.设备上测试服务器发布的端口 2.检查设备端口映射(DNAT)配置 3.使用设备抓包工具抓包定位问题
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包,并分析:
分析数据包,发现WAN1口能收到访问80端口的请求包,但是没有回复包,目前能 说明运营商没有对80端口做限制,但是还不知到是配置问题导致没映射成功,数据 包没有到服务器,还是服务器问题?
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包:
4. 如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。 此时可以跳过设备进一步验证。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
规则库更新不了该如何处理?
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
➢2.检查设备端口映射(DNAT)配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后,但是外网仍然无法访问,则进入下一步
这里“自动放通防火墙数据”要启用,如果这里是“否”,也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已 经到设备wan口了,以确认访问请求是否被运营商拦截
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析:
分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射 规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。 如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。
规则库更新不了
2、检测设备本身到更新服务器是否可能 正常连能,即设备本身是否可以正常上网。
保证设备可以上 网,访问公网服 务器的80端口
注意
➢【系统配置】-【自动升级】-【最新版本】显示“获取信息失败”。
最新版本状态为“获取信ห้องสมุดไป่ตู้失败”,最新版本一个小时更新一次,在确保设备 可以上网的前提下,等一个小时再观察状态。
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分:
1. 客户端访问服务器的数据到达 AC/SG 设备
2. AC/SG设备做DNAT转换,再经过 防火墙的过滤发给内网真实的服务器
3. 服务器返回客户端的数据要回应 给AC/SG,通过AC/SG再转发回应 给客户端
某些应用使用异常排查
某些应用使用异常排查
如果用户断网或只有部分应用访问异常,例如QQ登录不了,登录不了网 银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关 系。
1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。
2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否 修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修 复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日 志并直通来排除和定位问题)
某些应用使用异常排查
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于 AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块, 修改策略。
4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则 重复第2,3步,直到故障修复。
数据中心同步失败
数据中心同步失败
端口映射不生效排查
➢1.设备上测试服务器发布的端口 在设备上telnet服务器172.16.2.100的80端口是否能通,如果不通则检查服务器 运行状态(服务器本机测试端口是否能通 :telnet 127.0.0.1 80),以及设备到 服务器的连通性。如果设备上测试正常,但是外网仍然无法访问,则进入下一步
1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果 在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810 端口。可以telnet 127.0.0.1 810看是否成功 2.如果服务器本机没进程监听该端口,到【开始】中,找到外置数据中心安装目录, 先停止数据中心所有服务,再启动数据中心所有服务。 3.如果本机测试监听端口成功,则检查AC到服务器的路由是否可达,中间是否有其 他网络设备阻止了TCP810端口的访问。 4.查看系统日志,通过系统日志可以检查:外置数据中心安装软件的版本和设 备版本是否一致,外置数据中心同步账号和密码是否和设备上的一致。 5. 如果系统日志有其他告警或者错误日志,请联系400处理。
端口映射不生效排查
AC设备网关模式部署,WAN1口IP地址为113.16.X.230,某客户想通过 端口映射发布内网的web服务器,服务器地址是172.16.2.100。配置完毕 后,测试外网访问http:// 113.16.X.230无法打开页面,现在需要定位问 题出在哪了?
排查思路: 1.设备上测试服务器发布的端口 2.检查设备端口映射(DNAT)配置 3.使用设备抓包工具抓包定位问题
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包,并分析:
分析数据包,发现WAN1口能收到访问80端口的请求包,但是没有回复包,目前能 说明运营商没有对80端口做限制,但是还不知到是配置问题导致没映射成功,数据 包没有到服务器,还是服务器问题?
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包: