深信服负行为管理高级认证培训12_常见问题排错指导课件

Jan,2017,SANGFOR AC,常见问题排错指导,Jan,2017SANGFOR AC,深信服负行为管理高级认证培训12_常见问题排错指导课件,1,2,3,4,5,端口映射不生效排查,规则库更新不了,用户断网排查,某些应用使用异常排查,外置数据中心同步失败,Contents,1端口映射不生效排查规则库更新不了用户断网排查某些应用使用异,端口映射不生效排查,3.,服务器返回客户端的数据要回应给,AC/SG,，通过,AC/SG,再转发回应给客户端,WAN-LAN,端口映射整个过程分为三个部分：,1.,客户端访问服务器的数据到达,AC/SG,设备,2.AC/SG,设备做,DNAT,转换，再经过防火墙的过滤发给内网真实的服务器,Internet,PC,服务器,端口映射不生效排查3.服务器返回客户端的数据要回应给AC/,端口映射不生效排查,AC,设备网关模式部署，,WAN1,口,IP,地址为,113.16.X.230,，某客户想通过端口映射发布内网的,web,服务器，服务器地址是,172.16.2.100,。配置完毕后，测试外网访问,http:/113.16.X.230,无法打开页面，现在需要定位问题出在哪了？,排查思路：,1.,设备上测试服务器发布的端口,2.,检查设备端口映射（,DNAT,）配置,3.,使用设备抓包工具抓包定位问题,端口映射不生效排查AC设备网关模式部署，WAN1口IP地址为,端口映射不生效排查,1.,设备上测试服务器发布的端口,在设备上,telnet,服务器,172.16.2.100,的,80,端口是否能通，如果不通则检查服务器运行状态（服务器本机测试端口是否能通：,telnet 127.0.0.1 80,），以及设备到服务器的连通性。如果设备上测试正常，但是外网仍然无法访问，则进入下一步,端口映射不生效排查1.设备上测试服务器发布的端口,端口映射不生效排查,2.,检查设备端口映射（,DNAT,）配置,注意检查配置细节和放通防火墙。具体配置说明请参考,防火墙规则和路由规则,PPT,。检查完配置后，但是外网仍然无法访问，则进入下一步,这里“自动放通防火墙数据”要启用，如果这里是“否”，也可以人为从防火墙规则中单独放通。,端口映射不生效排查2.检查设备端口映射（DNAT）配置这里“,端口映射不生效排查,3.,使用设备抓包工具抓包定位问题,A.,首先使用高级抓包在,wan,口,抓取数据包，目的是看公网访问服务器的请求是否已经到设备,wan,口了，以确认访问请求是否被运营商拦截,外网测试访问,http:/113.16.X.230,，测试后下载刚才抓取的数据包，并分析：,分析数据包，发现,WAN1,口能收到访问,80,端口的请求包，但是没有回复包，目前能说明运营商没有对,80,端口做限制，但是还不知道是配置问题还是服务器问题,端口映射不生效排查3.使用设备抓包工具抓包定位问题外网测试访,端口映射不生效排查,3.,使用设备抓包工具抓包定位问题,B.,接着到,LAN,口去抓到,WEB,服务器,172.16.2.100,的,80,端口的数据包：,外网测试访问,http:/113.16.X.230,，测试后下载刚才抓取的数据包并分析：,分析数据包，发现设备,LAN,口也抓到了访问服务器,80,端口的包，说明端口映射规则设置成功了，已经把访问外网,80,端口的数据映射给,WEB,服务器的,80,端口。,现在可以定位问题出在服务器了，服务器没有回应我们测试发送的,SYN,请求包。如需进一步分析，则需要到服务器以及内网路由设备上抓包，这里不讲解。,端口映射不生效排查3.使用设备抓包工具抓包定位问题外网测试访,1,2,3,4,5,端口映射不生效排查,规则库更新不了,用户断网排查,某些应用使用异常排查,外置数据中心同步失败,Contents,1端口映射不生效排查规则库更新不了用户断网排查某些应用使用异,规则库更新不了,AC,部署在网络中，应用识别是基础，应用识别为认证，审计和控制等模块正常工作提供保障。如果规则库太老，无法自动更新，则会导致设备一系列异常。,规则库更新不了该如何处理？,规则库更新不了AC部署在网络中，应用识别是基础，应用识别为认,规则库更新不了,1、检察【系统管理】-【系统配置】-【规则库升级】是否显示“已过期”。,这里不能是“已过期”状态,规则库更新不了1、检察【系统管理】-【系统配置】-【规则库升,规则库更新不了,2、检测设备本身到公网服务器连通性是否正常，即设备本身是否可以正常上网,。,保证设备可以上网，访问公网服务器的80端口,规则库更新不了2、检测设备本身到公网服务器连通性是否正常，即,【,规则库升级,】-【自动升级】-【最新版本】,如果,显示“获取信息失败”。,最新版本状态如果为“获取信息失败”，最新版本一个小时更新一次，在确保设备可以上网的前提下，等一个小时再观察状态。,注意,【规则库升级】-【自动升级】-【最新版本】如果显示“获取信息,1,2,3,4,5,端口映射不生效排查,规则库更新不了,用户断网排查,某些应用使用异常排查,外置数据中心同步失败,Contents,1端口映射不生效排查规则库更新不了用户断网排查某些应用使用异,用户断网排查,首先从内网,PC,上,ping,下网关，测试下,PC,和网关的网络连通性。如果从,PC,上,ping,不通网关，则需要先检查下物理链路是否正常，有没有二层的,ARP,欺骗。,3,.,开启拦截日志并直通，看用户上网是否恢复，如果恢复，则通过查看拦截日志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是否恢复正常，如果仍然未恢复，则再开启拦截日志，根据拦截日志修改策略，直到故障修复。,2.,如果,PC,能,ping,通网关，且网关是,AC/SG,设备，则需要检查,AC/SG,设备上的代理上网配置或者路由是否正确，,LAN-WAN,防火墙是否放通。,4,.,如果设备网桥部署，开启直通后，仍然无法恢复上网，一般不是设备问题。此时可以跳过设备进一步验证。,用户断网排查首先从内网PC上ping下网关，测试下PC和网关,1,2,3,4,5,端口映射不生效排查,规则库更新不了,用户断网排查,某些应用使用异常排查,外置数据中心同步失败,Contents,1端口映射不生效排查规则库更新不了用户断网排查某些应用使用异,某些应用使用异常排查,如果用户断网或只有部分应用访问异常，例如QQ登录不了，登录不了网银，某些网站打不开，那么这些现象有可能和,AC/SG,上设置的策略有关系。,1.,首先检查下用户管理的上网策略，是否有设置可能拦截数据的策略。,2.,设置条件，填入测试电脑的,IP,，开启拦截日志并直通，测试故障是否修复。,（虽然也可以把测试电脑的,IP,地址填到设备的排除,IP,里，看故障是否修复，但是防火墙规则对排除,IP,还是生效的，所以还是建议用开启拦截日志并直通来排除和定位问题）,某些应用使用异常排查 如果用户断网或只有部分应用访问,3.,如果开启拦截日志并直通后故障恢复，那么可以定位问题是由于,AC/SG,设备的策略引起的，通过查看拦截日志，找到被拒绝数据的模块，修改策略。,4.,关闭拦截日志和直通，测试应用是否访问正常，如果仍然未恢复，则重复第,2,，,3,步，直到故障修复。,某些应用使用异常排查,3.如果开启拦截日志并直通后故障恢复，那么可,1,2,3,4,5,端口映射不生效排查,规则库更新不了,用户断网排查,某些应用使用异常排查,外置数据中心同步失败,Contents,1端口映射不生效排查规则库更新不了用户断网排查某些应用使用异,日志,中心同步失败,1.,在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是,TCP810,如果在,AC,上测试连接外置数据中心失败，可以到服务器上确认本机是否正常监听,TCP810,端口。可以,telnet 127.0.0.1 810,看是否成功,2.,如果本机测试监听端口成功，则检查,AC,到服务器的路由是否可达，中间是否有其他网络设备阻止了,TCP810,端口的访问。,3.,查看系统日志，通过系统日志可以检查：外置数据中心安装软件的版本和设,备版本是否一致，外置数据中心同步账号和密码是否和设备上的一致。,4.,如果系统日志有其他告警或者错误日志，请联系,400,处理。,日志中心同步失败1.在设备上测试连接外置数据中心服务器是否正,数据中心同步失败,步骤1,在设备上测试连接外置数据中心服务器是否正常,AC通过同步程序向外置数据中心datacenter.exe程序发送请求，通过tcp 810端口建立连接。如果在AC上测试连接外置数据中心失败，可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功，也可以通过查看设备的监听状态netstat na，如下图：,服务器上测试本机的810端口是否通,数据中心同步失败步骤1 在设备上测试连接外置数据中心服务器,数据中心同步失败,服务器未监听810端口【开始】-【管理工具】-【服务】中检查服务“Sangfor Data Center”（对应datacenter.exe进程）状态是不是没有启动。,右键设置该服务的属性，服务”。,如果本机测试监听端口成功则检查AC和服务器之间是否有其他网络设备阻止了TCP810端口的访问。,数据中心同步失败 服务器未监听810端口【开始】-【管,深信服社区资料库,社区资料库旨在为用户提供最新、最全的产品资料！,访问方式：,资料分类：,通用资料,产品介绍,产品视频,行业案例,技术白皮书,新功能介绍,配置手册,培训教材和视频,测试指导,排错指导,销售专用资料,销售工具,案例集,方案集,测试集,拓扑图,自学工具,售前培训,认证考试,经验分享,深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料,深圳市南山区学苑大道,1001,号南山智园,A1,栋,深圳市南山区学苑大道1001号南山智园A1栋markets,