深信服负行为管理高级认证培训12常见问题排错指导课件.ppt

1、Jan,2017SANGFOR AC常见问题排错指导培训内容培训目标端口映射不生效排查1.掌握端口映射不成功的分析和排查方法规则库更新不了1.掌握控制台内置规则库更新不了的排查方法用户断网排查1.掌握用户断网问题排查思路某些应用使用异常排查1.掌握由于某些应用使用异常的排查方法外置数据中心同步失败1.掌握查不到上网行为日志的排查方法12345端口映射不生效排查规则库更新不了用户断网排查某些应用使用异常排查外置数据中心同步失败Contents端口映射不生效排查3.服务器返回客户端的数据要回应给AC/SG，通过AC/SG再转发回应给客户端WAN-LAN端口映射整个过程分为三个部分：1.客户端访问服

2、务器的数据到达AC/SG 设备2.AC/SG设备做DNAT转换，再经过防火墙的过滤发给内网真实的服务器InternetPC服务器端口映射不生效排查AC设备网关模式部署，WAN1口IP地址为113.16.X.230，某客户想通过端口映射发布内网的web服务器，服务器地址是172.16.2.100。配置完毕后，测试外网访问http:/113.16.X.230无法打开页面，现在需要定位问题出在哪了？排查思路：1.设备上测试服务器发布的端口2.检查设备端口映射（DNAT）配置3.使用设备抓包工具抓包定位问题端口映射不生效排查1.设备上测试服务器发布的端口在设备上telnet服务器172.16.2.10

3、0的80端口是否能通，如果不通则检查服务器运行状态（服务器本机测试端口是否能通：telnet 127.0.0.1 80），以及设备到服务器的连通性。如果设备上测试正常，但是外网仍然无法访问，则进入下一步端口映射不生效排查2.检查设备端口映射（DNAT）配置注意检查配置细节和放通防火墙。具体配置说明请参考防火墙规则和路由规则PPT。检查完配置后，但是外网仍然无法访问，则进入下一步这里“自动放通防火墙数据”要启用，如果这里是“否”，也可以人为从防火墙规则中单独放通。端口映射不生效排查3.使用设备抓包工具抓包定位问题A.首先使用高级抓包在wan口抓取数据包，目的是看公网访问服务器的请求是否已经到设备

4、wan口了，以确认访问请求是否被运营商拦截外网测试访问http:/113.16.X.230，测试后下载刚才抓取的数据包，并分析：分析数据包，发现WAN1口能收到访问80端口的请求包，但是没有回复包，目前能说明运营商没有对80端口做限制，但是还不知道是配置问题还是服务器问题端口映射不生效排查3.使用设备抓包工具抓包定位问题B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包：外网测试访问http:/113.16.X.230，测试后下载刚才抓取的数据包并分析：分析数据包，发现设备LAN口也抓到了访问服务器80端口的包，说明端口映射规则设置成功了，已经把访问外网80端口的数

5、据映射给WEB服务器的80端口。现在可以定位问题出在服务器了，服务器没有回应我们测试发送的SYN请求包。如需进一步分析，则需要到服务器以及内网路由设备上抓包，这里不讲解。12345端口映射不生效排查规则库更新不了用户断网排查某些应用使用异常排查外置数据中心同步失败Contents规则库更新不了AC部署在网络中，应用识别是基础，应用识别为认证，审计和控制等模块正常工作提供保障。如果规则库太老，无法自动更新，则会导致设备一系列异常。规则库更新不了该如何处理？规则库更新不了1、检察【系统管理】-【系统配置】-【规则库升级】是否显示“已过期”。这里不能是“已过期”状态规则库更新不了2、检测设备本身到公

6、网服务器连通性是否正常，即设备本身是否可以正常上网。保证设备可以上网，访问公网服务器的80端口【规则库升级】-【自动升级】-【最新版本】如果显示“获取信息失败”。最新版本状态如果为“获取信息失败”，最新版本一个小时更新一次，在确保设备可以上网的前提下，等一个小时再观察状态。注意12345端口映射不生效排查规则库更新不了用户断网排查某些应用使用异常排查外置数据中心同步失败Contents用户断网排查1.首先从内网PC上ping下网关，测试下PC和网关的网络连通性。如果从PC上ping不通网关，则需要先检查下物理链路是否正常，有没有二层的ARP欺骗。3.开启拦截日志并直通，看用户上网是否恢复，如果

7、恢复，则通过查看拦截日志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是否恢复正常，如果仍然未恢复，则再开启拦截日志，根据拦截日志修改策略，直到故障修复。2.如果PC能ping通网关，且网关是AC/SG设备，则需要检查AC/SG设备上的代理上网配置或者路由是否正确，LAN-WAN防火墙是否放通。4.如果设备网桥部署，开启直通后，仍然无法恢复上网，一般不是设备问题。此时可以跳过设备进一步验证。12345端口映射不生效排查规则库更新不了用户断网排查某些应用使用异常排查外置数据中心同步失败Contents某些应用使用异常排查 如果用户断网或只有部分应用访问异常，例如QQ登录不了，登录

8、不了网银，某些网站打不开，那么这些现象有可能和AC/SG上设置的策略有关系。1.首先检查下用户管理的上网策略，是否有设置可能拦截数据的策略。2.设置条件，填入测试电脑的IP，开启拦截日志并直通，测试故障是否修复。（虽然也可以把测试电脑的IP地址填到设备的排除IP里，看故障是否修复，但是防火墙规则对排除IP还是生效的，所以还是建议用开启拦截日志并直通来排除和定位问题）3.如果开启拦截日志并直通后故障恢复，那么可以定位问题是由于AC/SG设备的策略引起的，通过查看拦截日志，找到被拒绝数据的模块，修改策略。4.关闭拦截日志和直通，测试应用是否访问正常，如果仍然未恢复，则重复第2，3步，直到故障修复。

9、某些应用使用异常排查12345端口映射不生效排查规则库更新不了用户断网排查某些应用使用异常排查外置数据中心同步失败Contents日志中心同步失败1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果在AC上测试连接外置数据中心失败，可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功2.如果本机测试监听端口成功，则检查AC到服务器的路由是否可达，中间是否有其他网络设备阻止了TCP810端口的访问。3.查看系统日志，通过系统日志可以检查：外置数据中心安装软件的版本和设备版本是否一致，外置数据中心同步账号和密码是否

10、和设备上的一致。4.如果系统日志有其他告警或者错误日志，请联系400处理。数据中心同步失败步骤1 在设备上测试连接外置数据中心服务器是否正常 AC通过同步程序向外置数据中心datacenter.exe程序发送请求，通过tcp 810端口建立连接。如果在AC上测试连接外置数据中心失败，可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功，也可以通过查看设备的监听状态netstat na，如下图：服务器上测试本机的810端口是否通数据中心同步失败 服务器未监听810端口【开始】-【管理工具】-【服务】中检查服务“Sangfor Data Center”（对应datacenter.exe进程）状态是不是没有启动。右键设置该服务的属性，服务”。如果本机测试监听端口成功则检查AC和服务器之间是否有其他网络设备阻止了TCP810端口的访问。深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料！访问方式：资料分类：通用资料产品介绍产品视频行业案例技术白皮书新功能介绍配置手册培训教材和视频测试指导排错指导销售专用资料销售工具案例集方案集测试集拓扑图自学工具售前培训认证考试经验分享深圳市南山区学苑大道1001号南山智园A1栋