深信服IPSECVPN常见问题(ppt)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
B、PC配置同SANGFOR设备万能IP同网段的IP,使用万能IP登录设备控制台。 SANFOR AC/SG设备路由模式(网桥和旁路模式下均没有万能IP的说法)的 LAN口万能IP为128.127.125.252/28,其他SANGFOR 产品LAN口的万能IP是 10.111.222.33/30 如果不确认AC/SG设备的工作模式,可以尝试用PC连接设备的DMZ口,使用 DMZ口出厂IP(10.252.252.252/24)登录设备,很多时候客户没有使用DMZ 口,故DMZ口的IP有可能还是保留出厂配置。
故障三 VPN不稳定,频繁 断开
A、尝试换传输模式(分支设备的连接管理处修改),看是否修 复。
B、修改总部VPN连接的端口,改成常用的低端口,如81等,避 免运营商对高端口做了限制。
C、如果有设置VPN的多线路策略,修改多线路策略看是否稳定 D、反向连接,把原来的VPN分支端和总部端配置互换,改成由
B、如果ping对端VPN设备公网IP的延时小于内网主机IP的 延时,则修改传输模式看是否修复。
C、修改VPN连接端口,修改成常用的端口,例如81等, 避免公网运营商对高端口进行流控限制。
D、检查VPN设备出口流量是否较大;在带宽有限的情况 下,如果公网流量较大,也会导致VPN数据传输较慢的情 况。
VPN总部设备需要上网更新webagent地址,而分支设备 需要访问webagent地址获得总部VPN设备的公网IP地址。
B、某些运营商封堵了80端口的访问,可以尝试把VPN总 部webagent更新端口改成8080端口来更新。例如: :8080/ssl/xxx.php 的形式。
E、检查是否两端VPN设备上是否做了端口全映射或者映 射了VPN连接的端口到内网;
F、确认两端VPN设备的版本是否匹配 G、测试两端VPN设备之间的网络是否可达(ping或收发包
测试);
H、尝试修改VPN设备接口的MTU;
故障二 Webagent无法更新成功
A、确保VPN总部设备和分支设备均能上外网(设备配置 的IP和DNS均正确,能解析到域名和访问公网)。
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
C、如果使用上述两种方法都登录不了AC/SG的控制台,可以尝试使用交叉线接 电口恢复默认配置的方法恢复AC/SG的出厂配置(请谨慎使用此方法,此方 法会导致设备原有的配置丢失),恢复出厂配置后,使用出厂IP登录设备的 控制台,LAN口IP是10.251.251.251/24,DMZ口IP是10.252.252.252/24。
B、检查两端的路由设置,确认数据能到达服务器。 检查PC和服务器上的路由设置,看是否有错误的主机
路由。 C、把PC和服务器的网关均指向VPN设备,测试是否能通
信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。
故障六 觉VPN设备的公网IP和内网主机IP,比较延时 。 (可ping大包测试)
深信服IPSECVPN常 见问题(ppt)
优选深信服IPSECVPN常见问题
IPSEC常见问题排查 指导
IPSEC常见问题排错指导
1. VPN无法建立连接 2.Webagent无法更新成功 3. VPN不稳定,频繁断开 4. 通过VPN访问不到内网资源 5. 通过VPN访问不到部分服务器 6. 通过VPN访问服务器慢
E、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病 毒的情况)
F、判断VPN设备是否性能不足(看CPU,内存占用情况等)
其他常见问题排查指导
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
A、PC直接连SANGFOR设备的LAN口,在PC上使用Findme或者网关升级客户端 搜索SANGFOR设备的IP,通过搜索到的设备IP登录网关控制台(电脑要配置 同网段的IP地址)
另一端发起连接,看是否稳定。
故障四 VPN已经建立,但访问不到内网资源
A、从最靠近内网资源的VPN设备上测试能否访问内网资源; (通过网关升级客户端登录到VPN设备上进行PING测试)
B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划); D、两端都检查路由设置,可以通过 tracert观察数据流走到了哪
里,必须确保双向访问均能到达; 检查PC和内网资源服务器上的路由设置,看是否有错误的主
机路由。或者把PC和内网资源的网关均指向VPN设备,测试是 否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。
故障五 通过VPN某些服务器不能访问,某些可以
A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查 看不能访问的服务器IP是否被设置到了虚拟IP池);
如果电脑直接接设备,PING不通设备的IP,可以尝试电脑换其他同网段的IP 地址再试下,有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内,导致 数据包被VPN抓走。
故障一 VPN无法建立连接
A、查看系统日志的提示
B、检查设备的部署方式和配置;(例如排除VPN两端在 同一局域网来连VPN;设备本身被限制无法上网等原因)
C、检查VPN连接的配置(webagent、帐号等); D、测试总部的VPN端口是否能通,总部单臂模式下,如
果启用UDP传输,注意前置网络设备要做UDP4009端口的 映射;
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段,如果不在同网段, 确认是否路由可达
B、如果电脑和设备是同网段或者路由可达的,尝试PING下设备的IP地址,看 是否能PING通,如果不能PING通,可以尝试电脑直接接设备的LAN口,配置 和设备LAN口同网段IP,看是否可以ping通和登录控制台,排除是否内网原因。
故障三 VPN不稳定,频繁 断开
A、尝试换传输模式(分支设备的连接管理处修改),看是否修 复。
B、修改总部VPN连接的端口,改成常用的低端口,如81等,避 免运营商对高端口做了限制。
C、如果有设置VPN的多线路策略,修改多线路策略看是否稳定 D、反向连接,把原来的VPN分支端和总部端配置互换,改成由
B、如果ping对端VPN设备公网IP的延时小于内网主机IP的 延时,则修改传输模式看是否修复。
C、修改VPN连接端口,修改成常用的端口,例如81等, 避免公网运营商对高端口进行流控限制。
D、检查VPN设备出口流量是否较大;在带宽有限的情况 下,如果公网流量较大,也会导致VPN数据传输较慢的情 况。
VPN总部设备需要上网更新webagent地址,而分支设备 需要访问webagent地址获得总部VPN设备的公网IP地址。
B、某些运营商封堵了80端口的访问,可以尝试把VPN总 部webagent更新端口改成8080端口来更新。例如: :8080/ssl/xxx.php 的形式。
E、检查是否两端VPN设备上是否做了端口全映射或者映 射了VPN连接的端口到内网;
F、确认两端VPN设备的版本是否匹配 G、测试两端VPN设备之间的网络是否可达(ping或收发包
测试);
H、尝试修改VPN设备接口的MTU;
故障二 Webagent无法更新成功
A、确保VPN总部设备和分支设备均能上外网(设备配置 的IP和DNS均正确,能解析到域名和访问公网)。
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
C、如果使用上述两种方法都登录不了AC/SG的控制台,可以尝试使用交叉线接 电口恢复默认配置的方法恢复AC/SG的出厂配置(请谨慎使用此方法,此方 法会导致设备原有的配置丢失),恢复出厂配置后,使用出厂IP登录设备的 控制台,LAN口IP是10.251.251.251/24,DMZ口IP是10.252.252.252/24。
B、检查两端的路由设置,确认数据能到达服务器。 检查PC和服务器上的路由设置,看是否有错误的主机
路由。 C、把PC和服务器的网关均指向VPN设备,测试是否能通
信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。
故障六 觉VPN设备的公网IP和内网主机IP,比较延时 。 (可ping大包测试)
深信服IPSECVPN常 见问题(ppt)
优选深信服IPSECVPN常见问题
IPSEC常见问题排查 指导
IPSEC常见问题排错指导
1. VPN无法建立连接 2.Webagent无法更新成功 3. VPN不稳定,频繁断开 4. 通过VPN访问不到内网资源 5. 通过VPN访问不到部分服务器 6. 通过VPN访问服务器慢
E、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病 毒的情况)
F、判断VPN设备是否性能不足(看CPU,内存占用情况等)
其他常见问题排查指导
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
A、PC直接连SANGFOR设备的LAN口,在PC上使用Findme或者网关升级客户端 搜索SANGFOR设备的IP,通过搜索到的设备IP登录网关控制台(电脑要配置 同网段的IP地址)
另一端发起连接,看是否稳定。
故障四 VPN已经建立,但访问不到内网资源
A、从最靠近内网资源的VPN设备上测试能否访问内网资源; (通过网关升级客户端登录到VPN设备上进行PING测试)
B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划); D、两端都检查路由设置,可以通过 tracert观察数据流走到了哪
里,必须确保双向访问均能到达; 检查PC和内网资源服务器上的路由设置,看是否有错误的主
机路由。或者把PC和内网资源的网关均指向VPN设备,测试是 否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。
故障五 通过VPN某些服务器不能访问,某些可以
A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查 看不能访问的服务器IP是否被设置到了虚拟IP池);
如果电脑直接接设备,PING不通设备的IP,可以尝试电脑换其他同网段的IP 地址再试下,有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内,导致 数据包被VPN抓走。
故障一 VPN无法建立连接
A、查看系统日志的提示
B、检查设备的部署方式和配置;(例如排除VPN两端在 同一局域网来连VPN;设备本身被限制无法上网等原因)
C、检查VPN连接的配置(webagent、帐号等); D、测试总部的VPN端口是否能通,总部单臂模式下,如
果启用UDP传输,注意前置网络设备要做UDP4009端口的 映射;
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段,如果不在同网段, 确认是否路由可达
B、如果电脑和设备是同网段或者路由可达的,尝试PING下设备的IP地址,看 是否能PING通,如果不能PING通,可以尝试电脑直接接设备的LAN口,配置 和设备LAN口同网段IP,看是否可以ping通和登录控制台,排除是否内网原因。