深信服IPSECVPN常见问题(ppt)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
另一端发起连接,看是否稳定。
故障四 VPN已经建立,但访问不到内网资源
A、从最靠近内网资源的VPN设备上测试能否访问内网资源; (通过网关升级客户端登录到VPN设备上进行PING测试)
B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划); D、两端都检查路由设置,可以通过 tracert观察数据流走到了哪
B、PC配置同SANGFOR设备万能IP同网段的IP,使用万能IP登录设备控制台。 SANFOR AC/SG设备路由模式(网桥和旁路模式下均没有万能IP的说法)的 LAN口万能IP为128.127.125.252/28,其他SANGFOR 产品LAN口的万能IP是 10.111.222.33/30 如果不确认AC/SG设备的工作模式,可以尝试用PC连接设备的DMZ口,使用 DMZ口出厂IP(10.252.252.252/24)登录设备,很多时候客户没有使用DMZ 口,故DMZ口的IP有可能还是保留出厂配置。
VPN总部设备需要上网更新webagent地址,而分支设备 需要访问webagent地址获得总部VPN设备的公网IP地址。
B、某些运营商封堵了80端口的访问,可以尝试把VPN总 部webagent更新端口改成8080端口来更新。例如: www.sinfors.com:8080/ssl/xxx.php 的形式。
里,必须确保双向访问均能到达; 检查PC和内网资源服务器上的路由设置,看是否有错误的主
机路由。或者把PC和内网资源的网关均指向VPN设备,测试是 否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。
故障五 通过VPN某些服务器不能访问,某些可以
A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查 看不能访问的服务器IP是否被设置到了虚拟IP池);
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
C、如果使用上述两种方法都登录不了AC/SG的控制台,可以尝试使用交叉线接 电口恢复默认配置的方法恢复AC/SG的出厂配置(请谨慎使用此方法,此方 法会导致设备原有的配置丢失),恢复出厂配置后,使用出厂IP登录设备的 控制台,LAN口IP是10.251.251.251/24,DMZ口IP是10.252.252.252/24。
B、检查两端的路由设置,确认数据能到达服务器。 检查PC和服务器上的路由设置,看是否有错误的主机
路由。 C、把PC和服务器的网关均指向VPN设备,测试是否能通
信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。
故障六 觉得VPN慢或VPN隧道内数 据传输慢
A、ping对端VPN设备的公网IP和内网主机IP,比较延时 。 (可ping大包测试)
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段,如果不在同网段, 确认是否路由可达
B、如果电脑和设备是同网段或者路由可达的,尝试PING下设备的IP地址,看 是否能PING通,如果不能PING通,可以尝试电脑直接接设备的LAN口,配置 和设备LAN口同网段IP,看是否可以ping通和登录控制台,排除是否内网原因。
故障三 VPN不稳定,频繁 断开
A、尝试换传输模式(分支设备的连接管理处修改),看是否修 复。
B、修改总部VPN连接的端口,改成常用的低端口,如81等,避 免运营商对高端口做了限制。
C、如果有设置VPN的多线路策略,修改多线路策略看是否稳定 D、反向连接,把原来的VPN分支端和总部端配置互换,改成由
深信服IPSECVPN常 见问题(ppt)
优选深信服IPSECVPN常见问题
IPSEC常见问题排查 指导
IPSEC常见问题排错指导
1. VPN无法建立连接 2.Webagent无法更新成功 3. VPN不稳定,频繁断开 4. 通过VPN访问不到内网资源 5. 通过VPN访问不到部分服务器 6. 通过VPN访问服务器慢
E、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病 毒的情况)
F、判断VPN设备是否性能不足(看CPU,内存占用情况等)
其他常见问题排查指导
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
A、PC直接连SANGFOR设备的LAN口,在PC上使用Findme或者网关升级客户端 搜索SANGFOR设备的IP,通过搜索到的设备IP登录网关控制台(电脑要配置 同网段的IP地址)
故障一 VPN无法建立连接
A、查看系统日志的提示
B、检查设备的部署方式和配置;(例如排除VPN两端在 同一局域网来连VPN;设备本身被限制无法上网等原因)
C、检查VPN连接的配置(webagent、帐号等); D、测试总部的VPN端口是否能通,总部单臂模式下,如
果启用UDP传输,注意前置网络设ຫໍສະໝຸດ Baidu要做UDP4009端口的 映射;
如果电脑直接接设备,PING不通设备的IP,可以尝试电脑换其他同网段的IP 地址再试下,有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内,导致 数据包被VPN抓走。
E、检查是否两端VPN设备上是否做了端口全映射或者映 射了VPN连接的端口到内网;
F、确认两端VPN设备的版本是否匹配 G、测试两端VPN设备之间的网络是否可达(ping或收发包
测试);
H、尝试修改VPN设备接口的MTU;
故障二 Webagent无法更新成功
A、确保VPN总部设备和分支设备均能上外网(设备配置 的IP和DNS均正确,能解析到域名和访问公网)。
B、如果ping对端VPN设备公网IP的延时小于内网主机IP的 延时,则修改传输模式看是否修复。
C、修改VPN连接端口,修改成常用的端口,例如81等, 避免公网运营商对高端口进行流控限制。
D、检查VPN设备出口流量是否较大;在带宽有限的情况 下,如果公网流量较大,也会导致VPN数据传输较慢的情 况。
故障四 VPN已经建立,但访问不到内网资源
A、从最靠近内网资源的VPN设备上测试能否访问内网资源; (通过网关升级客户端登录到VPN设备上进行PING测试)
B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划); D、两端都检查路由设置,可以通过 tracert观察数据流走到了哪
B、PC配置同SANGFOR设备万能IP同网段的IP,使用万能IP登录设备控制台。 SANFOR AC/SG设备路由模式(网桥和旁路模式下均没有万能IP的说法)的 LAN口万能IP为128.127.125.252/28,其他SANGFOR 产品LAN口的万能IP是 10.111.222.33/30 如果不确认AC/SG设备的工作模式,可以尝试用PC连接设备的DMZ口,使用 DMZ口出厂IP(10.252.252.252/24)登录设备,很多时候客户没有使用DMZ 口,故DMZ口的IP有可能还是保留出厂配置。
VPN总部设备需要上网更新webagent地址,而分支设备 需要访问webagent地址获得总部VPN设备的公网IP地址。
B、某些运营商封堵了80端口的访问,可以尝试把VPN总 部webagent更新端口改成8080端口来更新。例如: www.sinfors.com:8080/ssl/xxx.php 的形式。
里,必须确保双向访问均能到达; 检查PC和内网资源服务器上的路由设置,看是否有错误的主
机路由。或者把PC和内网资源的网关均指向VPN设备,测试是 否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。
故障五 通过VPN某些服务器不能访问,某些可以
A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查 看不能访问的服务器IP是否被设置到了虚拟IP池);
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
C、如果使用上述两种方法都登录不了AC/SG的控制台,可以尝试使用交叉线接 电口恢复默认配置的方法恢复AC/SG的出厂配置(请谨慎使用此方法,此方 法会导致设备原有的配置丢失),恢复出厂配置后,使用出厂IP登录设备的 控制台,LAN口IP是10.251.251.251/24,DMZ口IP是10.252.252.252/24。
B、检查两端的路由设置,确认数据能到达服务器。 检查PC和服务器上的路由设置,看是否有错误的主机
路由。 C、把PC和服务器的网关均指向VPN设备,测试是否能通
信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。
故障六 觉得VPN慢或VPN隧道内数 据传输慢
A、ping对端VPN设备的公网IP和内网主机IP,比较延时 。 (可ping大包测试)
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段,如果不在同网段, 确认是否路由可达
B、如果电脑和设备是同网段或者路由可达的,尝试PING下设备的IP地址,看 是否能PING通,如果不能PING通,可以尝试电脑直接接设备的LAN口,配置 和设备LAN口同网段IP,看是否可以ping通和登录控制台,排除是否内网原因。
故障三 VPN不稳定,频繁 断开
A、尝试换传输模式(分支设备的连接管理处修改),看是否修 复。
B、修改总部VPN连接的端口,改成常用的低端口,如81等,避 免运营商对高端口做了限制。
C、如果有设置VPN的多线路策略,修改多线路策略看是否稳定 D、反向连接,把原来的VPN分支端和总部端配置互换,改成由
深信服IPSECVPN常 见问题(ppt)
优选深信服IPSECVPN常见问题
IPSEC常见问题排查 指导
IPSEC常见问题排错指导
1. VPN无法建立连接 2.Webagent无法更新成功 3. VPN不稳定,频繁断开 4. 通过VPN访问不到内网资源 5. 通过VPN访问不到部分服务器 6. 通过VPN访问服务器慢
E、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病 毒的情况)
F、判断VPN设备是否性能不足(看CPU,内存占用情况等)
其他常见问题排查指导
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
A、PC直接连SANGFOR设备的LAN口,在PC上使用Findme或者网关升级客户端 搜索SANGFOR设备的IP,通过搜索到的设备IP登录网关控制台(电脑要配置 同网段的IP地址)
故障一 VPN无法建立连接
A、查看系统日志的提示
B、检查设备的部署方式和配置;(例如排除VPN两端在 同一局域网来连VPN;设备本身被限制无法上网等原因)
C、检查VPN连接的配置(webagent、帐号等); D、测试总部的VPN端口是否能通,总部单臂模式下,如
果启用UDP传输,注意前置网络设ຫໍສະໝຸດ Baidu要做UDP4009端口的 映射;
如果电脑直接接设备,PING不通设备的IP,可以尝试电脑换其他同网段的IP 地址再试下,有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内,导致 数据包被VPN抓走。
E、检查是否两端VPN设备上是否做了端口全映射或者映 射了VPN连接的端口到内网;
F、确认两端VPN设备的版本是否匹配 G、测试两端VPN设备之间的网络是否可达(ping或收发包
测试);
H、尝试修改VPN设备接口的MTU;
故障二 Webagent无法更新成功
A、确保VPN总部设备和分支设备均能上外网(设备配置 的IP和DNS均正确,能解析到域名和访问公网)。
B、如果ping对端VPN设备公网IP的延时小于内网主机IP的 延时,则修改传输模式看是否修复。
C、修改VPN连接端口,修改成常用的端口,例如81等, 避免公网运营商对高端口进行流控限制。
D、检查VPN设备出口流量是否较大;在带宽有限的情况 下,如果公网流量较大,也会导致VPN数据传输较慢的情 况。