系统诊断工具_深信服上网行为管理AC(35张)x课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2020/6/4,#,SANGFOR AC&SG,系统诊断工具,培训内容,培训目标,SANGFOR AC,上网故障排除功能介绍,1.,了解上网故障排除功能的作用,2.,掌握开启数据直通的方法,3.,掌握分析拒绝日志的方法,SANGFOR AC,命令控制台,1.,掌握,AC,命令控制台支持的命令和操作方法,SANGFOR AC,抓包工具的使用,1.,掌握简易抓包和高级抓包的方法,SANGFOR AC,其他排错工具,1.,掌握全局排除地址、系统日志、控制台操作日志的用法,上网故障排除功能介绍,命令控制台的使用,深信服公司简介,其他排错工具的使用,SANGFOR,AC,抓包工具的使用,上网故障排除功能介绍,上网故障排除功能介绍,开启数据直通：,开启后，,AC&SG,上设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来,上网故障排除功能用于查询一个数据包在通过,AC&SG,设备时是被哪个模块拒绝，是什么原因被拒绝。当用户上网出现故障时，便于快速定位故障原因，也可用来测试一些规则是否生效 。,设置拦截日志过滤条件：,设置需要针对哪些,IP,地址，协议和端口开启拦截日志。默认开启所有的拦截日志。,上网故障排除功能介绍,开启实时拦截日志：,将打开拒绝列表，此时设备所有的策略依然生效。,符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来,设置针对哪些,IP,地址开启拦截日志,设置开启拦截日志的协议和端口,成功开启上网拦截日志,上网故障排除功能介绍,开启实时拦截日志与数据直通：,开启实时拦截日志同时开启数据直通,，此时设备设置的上网策略将不生效。,符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝的数据包拦截情况显示出来 。,勾选即开启数据直通,需要开启数据直通的地址,设置流控模块是否进行数据直通,成功开启拦截日志与数据直通,上网故障排除功能使用案例,客户环境：,客户内网部署了,AC,设备后，所有用户部分网页打不开，管理员想定位是,AC,上的策略设置问题还是公网运营商出现了故障。,上网故障排除功能使用案例,上网故障排除功能使用步骤和思路：,设置拦截日志开启条件。,如果选择内网某一台电脑做测试，可以只指定这一台电脑的,IP,地址。,开启实时拦截日志和数据直通。,在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢复，说明是,AC,设备上的策略拦截了数据包。,再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的拦截日志详细说明了是,AC,上哪条上网策略或哪个模块丢弃了数据包）。,根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。,上网故障排除功能使用案例,1.,设置开启条件，开启实时拦截日志并直通。,为便于定位问题，在内网找一台电脑测试,同时开启数据直通,上网故障排除功能使用案例,开启拦截日志并直通后，测试电脑打开网页操作，发现可以打开网页，再到上网故障排除中刷新实时拦截日志，如下图：,通过这些日志，可发现浏览网站的请求被,URL,过滤丢包了，需要检查上网权限策略中,URL,过滤的规则。,上网故障排除功能使用案例,3.,拦截日志提示被,URL,过滤规则丢弃，检查用户使用的上网策略规则。,所测试的电脑使用的上网权限策略,检查出在上网权限策略中，确实设置了全天拒绝访问部分,URL,。,上网故障排除功能使用案例,4.,删除错误的规则，并关闭数据直通，内网电脑打开网页看问题是否修复。,上网故障排除常见丢包源说明,AppControl:,应用控制丢包,URLFilter: URL,过滤丢包,SSL,：,SSL,控制丢包（包括,HTTPS URL,过滤）,FluxCtrl,： 流控丢包,Web authen:,用户认证丢包,Ingress,： 准入丢包,命令控制台的使用,命令控制台,SANGFOR AC&SG,命令控制台提供一个简单的控制台命令行界面，可用于对设备的一些简单信息进行查看，支持的命令包括：,arp,（查看设备的,arp,表）,mii-tool,（查看设备网口的连接情况）,ifconfig,（查看设备网口信息）,ping,（测试主机地址的连通性）,telnet,（测试端口连通性）,ethtool,（查看设备网卡信息）,route,（显示设备的路由表）,traceroute,（跟踪数据包转发路径）,在命令行页面直接输入命令回车即可,命令控制台的使用,1. arp,（查看设备的,ARP,表）,命令控制台的使用,2. mii-tool,（查看设备网口的连接情况）,命令控制台的使用,3. ifconfig,（查看设备网口信息）,命令控制台的使用,4. ping,（测试主机地址连通）,命令控制台的使用,5. telnet,（测试端口连通性）,命令控制台的使用,6. ethtool,（查看设备网卡信息）,命令控制台的使用,7. route,（显示设备的路由表）,命令控制台的使用,8. traceroute,（跟踪数据包转发路径）,抓包工具的使用,抓包工具的使用,SANGFOR AC&SG,控制台界面的抓包工具分为,简易抓包,和,高级抓包,。,简易抓包只抓取来自内网且设备识别不了的包。如果是来自外网的，设备能识别的数据包，是不会被抓取的。,一般不适用简易抓包,。,高级抓包则是用,TCPDUMP,的方式抓包，将抓取的数据包保存在设备的控制台界面，需要在电脑上安装,Sniffer,或,Ethereal,等抓包软件，才能打开此数据包进行分析。,高级抓包能抓取所有通过设备网卡的数据，故在排查问题的过程中使用比较广泛。,简易（抓取未知流量）和高级（,TCPDUMP,）抓包两者只能选其一。,抓包工具的使用,1.,简易抓包的使用,设置简易抓包的条件,设置抓包个数,抓包工具的使用,2.,高级（,TCPDUMP,）抓包的使用,设置抓包个数,选择抓取哪个网口的数据包,只抓取符合条件的数据,将抓到的数据包下载到,PC,机本地，用,Sniffer,或,Ethereal,，,Wireshark,等抓包软件打开,通过抓取的数据包，分析数据的通信是否正常（是否有双向通信的数据，源和目标,IP,是否正确等）,抓包工具的使用,注意事项：,1.,高级（,TCPDUMP,）抓包的过滤表达式使用的是,Linux,下的标准,TCPDUMP,格式 。,2.,如果对,Linux,命令不熟悉的话，可以参照示例中的格式“,host 200.200.20.1 and port 53”,， 即抓取所有源,IP,和目标,IP,为,200.200.20.1,，源端口和目标端口为,53,的数据包。常用命令举例：,抓取,192.168.1.1,的,ping,包：,host 192.168.1.1 and icmp,抓取,192.168.1.1,的,UDP 1773,的包：,host 192.168.1.1 and udp port 1773,抓取,192.168.1.1,和,192.168.1.2,之间,TCP 80,的交互包：,host 192.168.1.1 and host 192.168.1.2 and tcp port 80,其他排错工具,其他排错工具,全局排除地址,启用全局排除地址，针对排除的地址，设备设置的上网策略将不生效，,也不进行审计。,说明：,1.,排除地址可以是内网,ip,，或者外网,IP,。只要源,IP,或者目的,IP,在排除地址列表，就不做控制和审计。,2.,排除地址对防火墙规则和准入监控,IM,聊天无效。,3.,排除地址支持填写域名。,其他排错工具,系统日志,系统日志实时记录着设备所有程序的运行情况，当程序有异常时对应模,块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常，可,以先查看系统日志进行确认！,筛选日志类型,筛选要显示的日志,可将系统日志截图给,400,协助处理,其他排错工具,控制台操作日志,通过在,数据中心,查看控制台操作日志，可以很清晰的看出哪一个账号在,什么时间段修改,/,增加,/,删除了哪一个模块，是查看是否有人为更改配置的,依据。,问题思考,1.,某客户使用我们的,AC,产品，客户反馈昨天还能上,QQ,，今天早上就上不去了，但是能打开网页，请问有什么方法可以快速定位该问题原因？,2.,某客户使用我们的,AC,产品网桥模式部署，发现,AC,的应用识别库升级不了，请问如何排查？,3.AC,里面的简易抓包和高级抓包有什么区别？,9,、,春去春又回，新桃换旧符。在那桃花盛开的地方，在这醉人芬芳的季节，愿你生活像春天一样阳光，心情像桃花一样美丽，日子像桃子一样甜蜜,。,10月-24,10月-24,Friday, October 4, 2024,10,、,人的志向通常和他们的能力成正比例,。,22:04:59,22:04:59,22:04,10/4/2024 10:04:59 PM,11,、,夫学须志也，才须学也，非学无以广才，非志无以成学,。,10月-24,22:04:59,22:04,Oct-24,04-Oct-24,12,、越是无能的人，越喜欢挑剔别人的错儿。,22:04:59,22:04:59,22:04,Friday, October 4, 2024,13,、,志不立，天下无可成之事,。,10月-24,10月-24,22:04:59,22:04:59,October 4, 2024,14,、,Thank you very much for taking me with you on that splendid outing to London. It was the first time that I had seen the Tower or any of the other famous sights. If Id gone alone, I couldnt have seen nearly as much, because I wouldnt have known my way about.,。,04 十月 2024,10:04:59 下午,22:04:59,10月-24,15,、,会当凌绝顶，一览众山小,。,十月 24,10:04 下午,10月-24,22:04,October 4, 2024,16,、,如果一个人不知道他要驶向哪头，那么任何风都不是顺风,。,2024/10/4 22:04:59,22:04:59,04 October 2024,17,、,一个人如果不到最高峰，他就没有片刻的安宁，他也就不会感到生命的恬静和光荣,。,10:04:59 下午,10:04 下午,22:04:59,10月-24,谢谢观看,THE END,