深信服上网行为管理-常见问题排错指导

端口映射不生效排查
1.设备上测试服务器发布的端口 在设备上telnet服务器172.16.2.100的80端口是否能通，如果不通则检查服务器 运行状态（服务器本机测试端口是否能通 ：telnet 127.0.0.1 80），以及设备到 服务器的连通性。如果设备上测试正常，但是外网仍然无法访问，则进入下一步
1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果 在AC上测试连接外置数据中心失败，可以到服务器上确认本机是否正常监听TCP810 端口。可以telnet 127.0.0.1 810看是否成功 2.如果服务器本机没进程监听该端口，到【开始】中，找到外置数据中心安装目录， 先停止数据中心所有服务，再启动数据中心所有服务。 3.如果本机测试监听端口成功，则检查AC到服务器的路由是否可达，中间是否有其 他网络设备阻止了TCP810端口的访问。 4.查看系统日志，通过系统日志可以检查：外置数据中心安装软件的版本和设 备版本是否一致，外置数据中心同步账号和密码是否和设备上的一致。 5. 如果系统日志有其他告警或者错误日志，请联系400处理。
3. 开启拦截日志并直通，看用户上网是否恢复，如果恢复，则通过查看拦截日 志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是 否恢复正常，如果仍然未恢复，则再开启拦截日志，跟据拦截日志修改策略， 直到故障修复。
4. 如果设备网桥部署，开启直通后，仍然无法恢复上网，一般不是设备问题。 此时可以跳过设备进一步验证。
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分：
1. 客户端访问服务器的数据到达 AC/SG 设备
2. AC/SG设备做DNAT转换，再经过 防火墙的过滤发给内网真实的服务器
3. 服务器返回客户端的数据要回应 给AC/SG，通过AC/SG再转发回应 给客户端
规则库更新不了
2、检测设备本身到更新服务器是否可能 正常连能，即设备本Leabharlann Baidu是否可以正常上网。
保证设备可以上 网，访问公网服 务器的80端口
注意
【系统配置】-【自动升级】-【最新版本】显示“获取信息失败”。
最新版本状态为“获取信息失败”，最新版本一个小时更新一次，在确保设备 可以上网的前提下，等一个小时再观察状态。
某些应用使用异常排查
某些应用使用异常排查
如果用户断网或只有部分应用访问异常，例如QQ登录不了，登录不了网 银，某些网站打不开，那么这些现象有可能和AC/SG上设置的策略有关 系。
1. 首先检查下用户管理的上网策略，是否有设置可能拦截数据的策略。
2. 设置条件，填入测试电脑的IP，开启拦截日志并直通，测试故障是否 修复。 （虽然也可以把测试电脑的IP地址填到设备的排除IP里，看故障是否修 复，但是防火墙规则对排除IP还是生效的，所以还是建议用开启拦截日 志并直通来排除和定位问题）
规则库更新不了
规则库更新不了
AC部署在网络当中，应用识别是基础，应用识别为后面认证，审计和控制等 模块正常工作提供保障。如果规则库太老，无法自动更新，则会导致设备一系 列异常。
规则库更新不了该如何处理？
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
外网测试访问http:// 113.16.X.230，测试后下载刚才抓取的数据包，并分析：
分析数据包，发现WAN1口能收到访问80端口的请求包，但是没有回复包，目前能 说明运营商没有对80端口做限制，但是还不知到是配置问题导致没映射成功，数据 包没有到服务器，还是服务器问题？
端口映射不生效排查
3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包：
外网测试访问http:// 113.16.X.230，测试后下载刚才抓取的数据包并分析：
分析数据包，发现设备LAN口也抓到了访问服务器80端口的包，说明端口映射 规则设置成功了，已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了，服务器没有回应我们测试发送的SYN请求包。 如需进一步分析，则需要到服务器以及内网路由设备上抓包，这里不讲解。
用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关，测试下PC和网关的网络连通性。 如果从PC上 ping不通网关，则需要先检查下物理链路是否正常，有没有二层的ARP欺骗。
2. 如果PC能ping通网关，且网关是AC/SG设备，则需要检查AC/SG设备上的代 理上网配置或者路由是否正确，LAN-WAN防火墙是否放通。
端口映射不生效排查
AC设备网关模式部署，WAN1口IP地址为113.16.X.230，某客户想通过 端口映射发布内网的web服务器，服务器地址是172.16.2.100。配置完毕 后，测试外网访问http:// 113.16.X.230无法打开页面，现在需要定位问 题出在哪了？
排查思路： 1.设备上测试服务器发布的端口 2.检查设备端口映射（DNAT）配置 3.使用设备抓包工具抓包定位问题
端口映射不生效排查
2.检查设备端口映射（DNAT）配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后，但是外网仍然无法访问，则进入下一步
这里“自动放通防火墙数据”要启用，如果这里是“否”，也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包，目的是看公网访问服务器的请求是否已 经到设备wan口了，以确认访问请求是否被运营商拦截
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
某些应用使用异常排查
3. 如果开启拦截日志并直通后故障恢复，那么可以定位问题是由于 AC/SG设备的策略引起的，通过查看拦截日志，找到被拒绝数据的模块， 修改策略。
4. 关闭拦截日志和直通，测试应用是否访问正常，如果仍然未恢复，则 重复第2，3步，直到故障修复。
数据中心同步失败
数据中心同步失败