深信服代理商的常见问题

3. 开启拦截日志并直通，看用户上网是否恢复，如果恢复，则通过查看拦截日 志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是 否恢复正常，如果仍然未恢复，则再开启拦截日志，跟据拦截日志修改策略， 直到故障修复。
4. 如果设备网桥部署，开启直通后，仍然无法恢复上网，一般不是设备问题。 此时可以跳过设备进一步验证。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中，应用识别是基础，应用识别为后面认证，审计和控制等 模块正常工作提供保障。如果规则库太老，无法自动更新，则会导致设备一系 列异常。
规则库更新不了该如何处理？
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
➢2.检查设备端口映射（DNAT）配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后，但是外网仍然无法访问，则进入下一步
这里“自动放通防火墙数据”要启用，如果这里是“否”，也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包，目的是看公网访问服务器的请求是否已 经到设备wan口了，以确认访问请求是否被运营商拦截

IP SEC VPN常见故障处理方法1、故障现象：无法启动虚拟网卡适配任务。

原因一：用户禁用了虚拟出来的本地连接解决方法：启用VPN程序虚拟出来的网卡连接项“本地连接2”即可。

原因二：VPN 安装过程中杀毒软件禁止了安装进程，导致没有虚拟出本地连接；常见在瑞星和360杀毒软件中。

解决方法：卸载杀毒软件，重新安装VPN CLIENT即可。

2、故障现象：L2TP配置错误或网络错。

原因：防火墙或杀毒软件的问题解决方法：关闭电脑上所有的防火墙和杀毒软件软件。

3、故障现象：IP与对方建立连接超时，IP或IPSEC配置错误或网络故障。

原因一：用户使用了代理服务器。

解决方法：关闭代理服务器选项重新设置成直接连接外网。

原因二：用户使用了路由器。

解决方法：路由器中打开5个端口：UDP的1701、500、4500、50、51或者进行IPSEC穿透防火墙。

4、故障现象：用户使用的是内部专网，例如：建设银行、平安保险、农业银行等，其财务部门不能连接外网，不能使用VPN。

解决方法：因为此类单位为要害部门，为了防止其财务部门感染病毒导致资金的流失，造成重大事故，不建议其网管部门开启端口直接上网。

建议此类公司重新申请加装一条ADSL宽带线路专门用于网络报税，这样能避免其资金受到侵害。

5、故障现象：VPN能够连接，但是连接30秒—1分钟左右就掉线。

原因：用户使用了杀毒软件，导致VPN会话的进程被关闭。

解决方法：关闭所有的杀毒软件。

6、故障现象：VPN登录时一直停留在“打开发送设备”界面，然后提示不能连接。

原因: 网络不通造成。

解决方法:（1）查看电脑能不能连接因特网，如不能连接说明不能连接外网，属于网络问题。

（2）防火墙或杀毒软件设置不正确，退出或卸载这些软件。

（3）网卡或网线问题导致网络不通，检查网卡是否被禁用。

7、故障现象：隧道保活超时。

原因：由于网络延迟太大或丢包造成解决方法：（1）、多连接几次。

（2）、网络问题，要保持网络畅通，ping VPN服务器地址延迟太大。

深信服ad智能路由常见问题排错指导培训内容培训目标智能路由不生效问题排查思路掌握智能路由的排错思路上网时快时慢dns有时解析不到问题排查思路掌握排错思路dns代理不生效问题排查思路掌握dns代理丌生效的排错思路智能路由不生效问题排查思路深信服addns代理不生效问题排查思路上网时快时慢dns有时解析不到问题排查思路智能路由不生效问题排查思路问题现象
排查方法
DNS有时解析不到问题排查
第一步：若启用了DNS代理，调度策略选轮询或加权轮询，有可能会出现我访问 一个电信的站点，恰好调度到联通的DNS，但是这个域名联通解析不了。用DNS 前置调度策略解决。(该情况很少见)
第二步：若启用了DNS代理，查看【DNS状态】，看DNS服务器是否不停离线。 可能是DNS服务器的问题或者监视域名有问题。
4. 【系统概况】-【DNS状态】中DNS服务器是否在线.。离线的DNS服务器是不会参 与调度的。
问题思考
1.智能路由的配置是按什么规则匹配的？
深信服 AD智能路由常见问题 排错指导
培训内容
培训目标
智能路由不生效问题排查思路
掌握智能路由的排错思路
上网时快时慢，DNS有时解析不到问 题排查思路
DNS代理不生效问题排查思路
掌握排错思路 掌握DNS代理不生效的排错思路
深信服 AD
智能路由不生效问题排查思路
上网时快时慢，DNS有时 解析不到问题排查思路
第一步：判断DNS请求解析的过程是否正常。
第二步：判断上网的数据出站是否正常。
注意：如果启用了DNS代理，那么DNS请求包（UDP53端口数据）是不会走智能路 由的，会走DNS代理模块去选路解析。如果没有启用DNS代理，那么DNS请求包会 走智能路由。可以说DNS代理的优先级高于智能路由。

控件作用
安装时间
客户端控件管理工具，安装其他控件时会装上cscm
权限提升服务程序，在使用users权限登录系统时， 让其能够调用和安装其它控件
启用其他需要控件的功能时会强制安 装cscm控件
在安装第一个控件时也会自动安装此 控件，安装该服务必须拥有 administrators组权限
SVPN Monitor
常见问题排错指导
3. SSL可以正常登录，但无法访问内网资源（APP资源或者IP资源） 1）检查SSL设备本身能否访问到内网资源，尝试将设备的内网IP配置到 PC上，用PC去尝试一下看能否访问到，如果PC也访问不到需要检查内 网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服 务等； 2）如果使用了域名资源，需要在客户端使用ping测试一下是否解释出正 确的IP地址（不需要PING通）； 3） 检查访问内网资源的IP和端口是否添加完整，可以尝试添加全IP和 全端口试下；
2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作；

app服务控件（抓取aap服务的数据包），ucp加速 控件
用户启用app服务或启用ucp加速时
ip服务客户端控件（读写虚拟网卡上数据）
用户启用ip服务，安装虚拟网卡，登 录后有该进程
ip服务虚拟网卡（添加路由，抓取访问IP资源数据） 用户启用ip服务时会安装虚拟网卡
常见问题排错指导
1. SSL登陆页面无法打开常见问题排错指导5. 第三方认证的问题
b. 与radius结合认证的问题 1）首先检查设备和radius服务器之间的连通性，检查服务器上radius 服务是否正常开启 2）确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、 采用的协议是否与服务器相同 3）检查和确认是否是标准的radius服务器

深信服代理商常见问题深信服（Sangfor）是一家提供网络安全和网络优化解决方案的知名企业，其产品和服务广泛应用于各行各业。

作为深信服的代理商，代理商经常会面临一些常见问题。

本文将介绍一些深信服代理商常见问题，并提供相应解答。

1. 如何成为深信服的代理商？要成为深信服的代理商，首先需要联系深信服的销售团队或渠道合作伙伴部门，提出代理申请。

申请审核通过后，代理商需要签订代理合作协议，并根据深信服的要求完成相应的培训和认证。

2. 代理商可以销售哪些深信服的产品？深信服代理商可以销售包括网络安全产品、网络优化产品和网络管理产品在内的多种产品。

具体可销售的产品包括但不限于以下几个方面：•安全网关产品：包括NGAF、WAN优化、VPN等；•无线局域网产品：包括AC、AP等；•云安全产品：包括云WAF、DDoS防护等；•云服务产品：包括云堡垒机、云监控等。

代理商可以根据自身的业务需求和市场需求，选择适合的产品进行销售。

3. 代理商如何获取深信服产品的技术支持和售后服务？深信服为代理商提供全面的技术支持和售后服务。

代理商可以通过以下途径获取支持和服务：•技术支持热线：代理商可以通过拨打深信服的技术支持热线获取技术支持和解决问题；•在线技术支持：深信服为代理商提供了在线技术支持平台，代理商可以通过该平台提交技术问题，并获得专业的技术支持；•售后服务合作伙伴：深信服有一支专业的售后服务团队，代理商可以与售后服务合作伙伴联系，获得售后服务支持。

4. 代理商如何开展市场推广和销售活动？代理商可以通过多种方式进行市场推广和销售活动，包括但不限于以下几个方面：•参加行业展会和会议：代理商可以参加行业展会和会议，在展会上展示深信服产品，并与潜在客户进行交流和洽谈；•举办研讨会和培训班：代理商可以举办针对深信服产品的研讨会和培训班，吸引潜在客户参与，并提升产品知名度；•开展网络推广：代理商可以通过互联网渠道，如建设官方网站、社交媒体宣传等方式，扩大产品的曝光度；•与合作伙伴联合销售：代理商可以与其他相关企业合作，进行联合销售和推广，共同开拓市场。

用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关，测试下PC和网关的网络连通性。 如果从PC上 ping不通网关，则需要先检查下物理链路是否正常，有没有二层的ARP欺骗。
2. 如果PC能ping通网关，且网关是AC/SG设备，则需要检查AC/SG设备上的代 理上网配置或者路由是否正确，LAN-WAN防火墙是否放通。
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分：
外网测试访问http:// 113.16.X.230，测试后下载刚才抓取的数据包并分析：
分析数据包，发现设备LAN口也抓到了访问服务器80端口的包，说明端口映射 规则设置成功了，已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了，服务器没有回应我们测试发送的SYN请求包。 如需进一步分析，则需要到服务器以及内网路由设备上抓包，这里不讲解。
数据中心同步失败
➢步骤1 在设备上测试连接外置数据中心服务器是否正常 AC通过同步程序向外置数据中心datacenter.exe程序发同请求，通过tcp 810端口
建立连接。如果在AC上测试连接外置数据中心失败，可以到服务器上确认本机是 否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功，也可以通过查看设 备的监听状态netstat –na，如下图：某Fra bibliotek应用使用异常排查

标准IPSEC还包括X.509证书认证，一般很少人用。
主模式
野蛮模式
IPV4_ADDR
IPV4_ADDR
FQDN
USER_FQDN
注意：主模式下默认采用IPV4_ADDR认证标识，野蛮模式下DLAN5.0才开始支持 IPV4_ADDR认证标识。
IPV4_ADDR格式：IP地址格式，例如：123.123.123.123 FQDN格式：一般要求一个完整的域名，例如：
一串字符串也可以。 USER_FQDN格式：电子邮件格式，例如：sangfor@
注意： 某些厂商是通过@符号前是否有字符串来区分是FQDN还是USER_FQDN，在对端设备配置 页面直接输入会自动在前方加入@符号。 例如：@ 认为是FQDN格式
使用了PFS，则第二阶段要重新通过DH算法协商一个新的加密密钥，从而提高了数据的 安全性。
Phase I DH1 DH2 DH5
Phase II DH1 DH2 DH5
结论： PFS主要是用来加强数据传输的安全性； 要启用PFS，则连接双方都要启用PFS，否则无法进行第二阶段的DH交换，从而协商 不出新的加密密钥； 启用PFS会比较消耗设备性能。
DLAN 互联网案例及常见故障排错
1. 为什么感觉我们的VPN容易断而标准IPSEC比较稳定？ 2. 为什么设备上连接还在，但是访问不到对端，重启服务之后就可以？ 3. 什么是DPD？为什么要启用DPD？ 4. 身份类型（ID）中的FQDN、USER_FQDN、IPV4_ADDR都是什么？ 5. 什么是GRE封装的标准IPSEC？有什么用？ 6. 启用PFS与不启用PFS的区别？ 7. 什么是SPI？SPI不对有什么后果？ 8. 第三方对接能用多线路么？
DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来

2020{营销经销公关}深信服代理商常见问题一．AC/SG /NAC/BM问题 21.SG上网加速告警：系统压力过大通知驱动bypass 22.占用带宽排行榜为空？ 23.设备做网桥，丢包很多，跳过设备正常24.SKYPE4.0版本的现在能监控了么？ 35.是否能封QQ2020的S P1最新版本？36.AC/SG是否能针对某个QQ号进行控制 37. 如何禁止代理上网？ 38.AC/SG设备的磁盘空间大小有具体的规定大小？ 39.NAC管理的PC，如果下班后员工把电脑带回家收发邮件，我们是否能审计到 410. Ac/SG能不能在Web邮箱登陆之后，禁止用户发送web邮件． 411. AC/SG能不能禁止用户在论坛上回、发含有指定关键字的内容？ 412.AC/SG里，带的VPN，是多少版本的？ 413. 请问SG3.0beta版有升级包吗？ 414. 有一台设备，被之前测试的客户限制了登陆IP，还跟LAN口是非直连网段，现在登陆不进去。

515. AC/SG外置数据中心默认密码不对 516. AC/SG的WAN口MAC地址能改动吗？517. AC/SG能不能对论坛之类的，上传的文件做类型于邮件的延迟审计？ 518. AC/SG内置数据中心提示：行为记录超过10000条，无法查询519. 拒绝列表上，拒绝的flag对应是什么模块。

620. 请问M5600设备的WAN口可以配置多个公网地址吗 6二．SSL问题 61.SSLVNP 关联全网资源后，用户无法访问内网所有网段资源 62.SSLVPN 单臂多线路智能选路，需要开通多个WAN口授权吗？73. SSLVPN设置第一次登陆，强制更改密码74. 深信服的设备怎么设置SNMP啊 75. SSLVPN流缓存，有没有针对应用加速8三．IPSECVPN问题81.IpsecVPN,总部单臂，分支网关。

如果DLAN显示已经跟总部连接上了，但是总部访问不到分支DLAN设备的LAN口IP。

SANGFOR设备拨号常见问题和解决办法1.AC拨号容易断线问题检查发现拨号参数是5,7,3,修改参数为后续版本默认的20,80,3后就比较稳定了。

如有AC拨号容易掉线的问题,可以首先检查下拨号参数。

ADSL拨号的推荐设置参数是20,80,3，光纤拨号的推荐设置参数是60,240,92.设备拨号拨不上号，但用电脑可以拨上已知的我们S5100的网口都不支持自动翻转(Auto MDI/MDIX)。

如果客户使用不支持线序自动翻转的modem(如华为MT800),并且使用直连线连接,就会出现拨号拨不上的问题。

解决办法是更换网线为交叉线,或者中间夹一个交换机,或者更换支持自动翻转的modem。

3.无法拨号上网,一直处于拨号等待中检查下WAN网口(eth2)的MAC地址是否为00-00-00-00-00-00。

如果是，重启设备,或者重启网卡后还是一样的话,可以确认为硬件故障需返修。

4.互联星空3.2下的拨号解决方案电信限制了只能使用互联星空3.2拨号才能拨上去,其他软件或者设备均无法拨号,原因是电信给的拨号账户和密码是不正确的,正确的账户和密码是经过互联星空3.2加密之后发送到电信端,所以如果把电信给的用户名和密码填到设备上,均无法正常拨号。

解决办法是找到正确的互联星空3.2拨号账户和密码。

可以通过在PC机上运行这个软件,然后拨号,就可以找到正确的用户名和密码,之后把正确的用户名和密码填入设备即可。

(如果有杀软报有病毒,请予以放行!!)P.S:互联星空3.2对密码进行了加密处理,以前查看系统日志方式现在只能获取到拨号用户名,但是看不到密码。

如果担心软件有病毒不敢用,那么则只能通过内存查看软件,根据拨号用户名在内存地址里找到对应的密码。

5.拨号时日志出现提示“out of range”之类,很有可能是运营商绑定了拨号设备的mac地址,此时可以通过修改电脑的mac为设备mac后再拨号进行证实。

解决办法是修改我们设备wan口的mac(除mig产品之外的其他产品均需要重开序列号)或者让运营商解除mac地址绑定。

c:\iknow\docshare\data\cur_work\xxxx\一．AC/SG/NAC/BM问题1.SG上网加速告警：系统压力过大通知驱动bypass日志提示：上网加速告警21:19:38 w1:work_server.cpp:745 系统压力下降，通知驱动继续转发上网加速告警21:19:22 w1:work_server.cpp:724 系统压力过大，通知驱动bypass可能原因：设备的cpu（或者内存）使用率持续偏高，如cpu持续达到95%并且持续达到10S就会进入加速bypass。

相关问题：加速bypass不影响其它策略流控等，只是没有加速效果而已。

经常出现这种提示，比较大可能是设备性能不足，导致bypass，停用上网加速模块，就不会提醒bypass了2.占用带宽排行榜为空？【问题】网关运行状态里的流量图是空的，什么数据都是没有可能原因：1：不同版本之间因为控制台控件问题导致无法显示流量。

可以通过在控制台手动下载控件重新安装解决2：检查是否在高级配置--排除IP地址与域名中添加了内网网段3：是否设备接线接反3.设备做网桥，丢包很多，跳过设备正常可能原因：1.内网到设备线路有问题或者兼容性问题。

2.设备到前置设备线路有问题或者兼容性问题。

排查方法：（1）.ping设备是否丢包，如果丢包说明内网到设备有问题。

（2）.使用升级客户端登录设备，ping设备前置的防火墙，如果丢包说明设备到前置设备有问题（3）.查看一下升级工具中的查看网络配置，看各个网口是否有错误包之类的。

如果有，说明设置存在兼容性问题。

（4）.在设备与前置设备之类洄上一个小交换机，看能否正常，如果正常确认是兼容性问题，可以通过升级客户端修改网口工作模式试试，或者直接使用交换机。

相关问题：如果是测试设备，购买新设备的时候，下单要注意把测试设备的SN码带小，让发货的时候，发一个与现在测试设备不同平台的设备，解决兼容性的问题。

Байду номын сангаас
命令控制台
日常排错必备方法二：命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面， 可用于对设备的一些简单信息进行查看，支持的命令包括： cls（清屏） arp（查看设备的arp表）
mii-tool（查看设备网口的连接情况）
ifconfig（查看设备网口信息） ping（测试主机地址的连通性） telnet（测试端口连通性） ethtool（查看设备网卡信息）
不了，请问如何排查？

1. 设置拦截日志开启条件。 如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。 2. 开启实时拦截日志和数据直通。 3. 在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢
复，说明是AC设备上的策略拦截了数据包。
4. 再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的 拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据 包）。 5. 根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。
其他排错工具
其他排错工具：
1、全局排除地址
2、系统日志 3、控制台操作日志 温馨提示：如果出现设备异常宕机需要分析设备黑匣子的，可以拔打 客户服务电话4006306430需求技术支撑
思考题
1、AC设备新上架，现在出现部分网站无法访问，请简述如何排查？ 2、某客户使用我们的AC产品网桥模式部署，发现AC的应用识别库升级
SANGFOR AC 日常排错文档
设备状态检查
1、检查设备的加电是否正常，电源灯是否正常。 2、alarm告警灯是否常亮。 3、网口指示灯是否正常（包括检查协商速率、丢包等状态） 4、设备性能是否不足等（主要通过系统运 行状态查看cpu、内存

如果邮件服务器在外网，客户端通过AC/SG收发邮件异常的话，需要进行以下 步骤的排查： 1. 检查邮件过滤功能是否有开启，如果有开启邮件过滤功能，检查是否有不恰 当的邮件过滤选项，可以关闭邮件过滤功能，看收发邮件功能是否恢复。 2. 如果关闭邮件过滤功能，客户端收发邮件正常，需要检查下AC/SG设备本身 是否可以上外网，AC/SG网桥模式部署，网桥IP必须正确配置能上外网的IP和 网关。 3. 如果AC/SG本身能上外网，只要开启邮件过滤，客户端收发邮件就不正常， 关闭邮件过滤又能恢复，需要检查下AC/SG设备的系统日志，看是否有程序异常 的日志。
5. 如果系统日志有其他告警或者错误日志，请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来（对应mysqld-nt.exe进
程），可以尝试手动启动该服务。需要注意的是，引起SangforMySql服务无法启 动的原因较多，下面总结常见的会引起SangforMySql服务无法启动的情况： 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上，他们可以不在一个磁盘分区 。（但是支持RAID磁盘阵列）。 2. 服务器上已安装了其他数据库（比如SQL SEREVER） 建议服务器上不要安装其他数据库，以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤

加速连接建立不了
5）从加速客户端设备上测试到加速服务端设备LAN口的加速连接端口（默认是 5400端口）是否能通。 a. 首先确认网络是否可达。
b. 其次测试加速连接端口的连通性，不仅要测试TCP5400，UDP5400端口在
HTP传输模式时也需要用到。
加速连接建立不了
6）查看日志
PPT 模板 加速没效果或不明显
加速没效果/加速不明显
启用加速后无法访问某些主机或应用 深信服公司简介
PPT 模板 加速连接建立不了
1. 加速连接建立不了
1） 检查一下两端设备的版本是否一致。(WOC7.5开始能兼容更高版本进行加速)
2） 检查加速客户端和服务端的配置是否正确。 3） 检查加速状态，加速是否是启用状态。 4）如果采用vpn+加速，查看VPN状态是否正常
启用了加速后无法访问某些主机
8）检测WOC是否有错误和告警日志

1）VPN+加速部署，停止加速，仅开 启VPN看是否正常
2）如果是网桥模式，禁止加 速后，看应用是否正常。
3）单臂模式需要先检查WOC的网关上的PBR路由是否生效，是否 有路由环路产生。单臂模式，建议优先采用单臂VPN+加速模式取 代单臂纯加速部署。单臂纯加速容易导致环路，需要检测WCCP或 CDP+PBR或NQA+PBR是否正确。
加速没效果或不明显
15)如果是网络邻居应用，视频应用，exchange应用，建议参考 《渠道认证高级PPT-常见加速案例》 16)抓包测试，分析该应用小包比率太大，交互过多。——详细参 考《渠道认证培训高级PPT-数据包分析案例》
PPT 模板 启用了加速后无法访问 某些主机
启用了加速后无法访问某些主机

深信服技术服务⾯试题及答案⾯试可能会遇到的系列问题【名词解释】互联⽹+&互联⽹思维防⽕墙⽹络安全?服务器计算机病毒SSL 安全套接层，为⽹络通信提供安全以及数据完整性的⼀种安全协议。

在传输层对⽹络进⾏加密。

VPN局域⽹与⼴域⽹交换机路由器对称加密与⾮对称加密云计算物联⽹【计算机基础】1.计算机⽹络的七层协议都是什么。

详细阐述7、6、5、4层）定义了应⽤程序的功能，下⾯3层（即3、2、1层）主要⾯向通过⽹络的端到2.计算机⽹络分成哪⼏种类型? 试⽐较不同类型⽹络的特点（1）从⽹络结点分布来看，可分为局域⽹（Local Area Network，LAN）、⼴域⽹（Wide Area Network，WAN）和城域⽹（Metropolitan Area Network，MAN）。

按交换⽅式可分为线路交换⽹络（Circurt Switching）、报⽂交换⽹络（Message Switching）3.计算机⽹络的主要功能是什么? 根据你的兴趣和需求，举出⼏种应⽤实例。

1.数据通信2.计算机系统的资源共享3.进⾏数据信息的集中和综合处理4.均衡负载,相互协作5.提⾼了系统的可靠性和可⽤性6.进⾏分布式处理计算机⽹络的应⽤:1.⽅便的信息检索2.现代化的通信⽅式3.办公⾃动化4.电⼦商务与电⼦政务5.企业的信息化6.远程教育与E-learning7.丰富的娱乐和消遣8.军事指挥⾃动化4.计算机⽹络由哪些部分组成?5.试举例说明信息、数据、信号和通信之间的关系。

在计算机⽹络中，信息、数据和信号三者是紧密相关的。

信息是数据的具体内容或解释，⽐如“计算机⽹络是计算机技术和通信技术相结合的产物。

”这段⽂字就是信息；数据是传递（携带）信息的实体，⽐如：上段⽂字在计算机中是利⽤汉字编码进⾏保存和传输的，它们是⼀串⼆进制数字；信号是数据在传输过程中电信号的表⽰形式，即数据是以信号的形式传播，⽐如：要想在计算机⽹络上传输上段⽂字，就必须将其编码利⽤电信号或光信号在信道上传输。

如果其他网口也无法搜索到LAN口IP，则可能网口损坏，请参考《网口故障问题处理方法》进 行处理。
Adesk产品故障判断指引
序号
1
2 3 4
故障现象
使用过程中，频繁死机或宕机
设备无法正常升级或则升级异 常 使用过程中，总是无故重启 adesk启动时，系统卡死无法 正常启动
处理办法
1.确认下是否有外设导致宕机或死机，可以尝试拔掉其他外 设再进一步确认。 2.确认客户处供电情况是否稳定； 3.确认软件版本，建议升级到4.5或更高版本； 4.是否通过瘦客户机观看高清视频； 5.确认瘦客户机是否温度过高； 6.如排除以上情况后，请联系深信服客服中心处理。
ห้องสมุดไป่ตู้口故障问题处理方法
网口灯不亮，首先使用交叉线对接同一台设备的非BYPASS口（AC设备接千兆交换机或PC,防止 恢复默认配置），看设备的网口灯是否有亮。同时需要注意，万兆网口，一定不能使用千兆模块， 如果出现误用，需要重启设备，重启设备仍无法解决，请联系深信服客服中心处理。
如果是千兆网口，网口灯数据灯和传输灯都为一样颜色的则正常，如果一个橙色一个绿色，则说 明主板没有正常加载，需要联系深信服客服中心处理；如果是百兆网口的数据灯和传输灯颜色不 一致则为正常。
8 显示很暗，或则有水波纹，变 1.检查VGA线与VGA接口是否松动；
色等
2.确认VGA线长度是否过长（一般不要超过8M）
3.将显示器模式调整为自适应(auto)模式；
4.如排除以上情况后，请联系深信服客服中心处理。
Adesk产品故障判断指引
序号
故障现象
9 各IO接口使用问题(如USB、 COM口等)
第二种现象： 条件①：已知对端设备是百兆交换机且锁定了全/半双工工作模式； 条件②：深信服设备也是百兆口。

SANGFOR_IPSEC_ALL pdlan常见问题解决办法深信服科技有限公司2011年07月16pdlan常见问题解决办法PDLAN连接不上总时，首先请查看日志，根据日志提示排错，常见的日志有以下几种：1)日志显示wait_connectsuccess在移动端telnet总部的VPN监听口（默认是4009）是否是通的，若不通，a：请检查总部设备是否配置了全端口映射。

b:检查总部设备是否单臂部署，且在前置设备没有把设备的TCP/UDP4009端口成功映射出来。

c:是否运营商做了限制，尝试修改VPN监听端口.d:检查两端的WEBAGENT配置是否正确。

e、pdlan电脑是代理上网的，那pdlan也需要设置代理的，支持sock4和sock5代理的，否则会telnet端口4009是不通的f、检查pdlan所在网络的前置设备做了限制，拦截了VPN通迅。

2)日志显示wait_version_syn_ack1、检查总部和pdlan的版本是否一致，2.5x和2.5x可以连接，4.X和4.X连接，2.5X和4.X 的是不可以连接ipsecvpn的2、可以尝试把vpn端口改成低端端口3、可以尝试修改MTU3)日志提示load file error和configure init failed之类的日志1、这个是pdlan的注册表项被损坏的原因的，重装pdlan即可4）“[TcpNode] OnRead error:10053,errDsc = 您的主机中的软件中止了一个已建立的连接。

”1、是被本机的其他软件把连接给拒绝断开了5）移动用户PDLAN接入一直提示连接端口超时,但是测试总部端口是通的1、检查虚拟IP池和内网是否有冲突6）“绑定socket时发生错误，错误描述:以一种权限不允许的方式做了一个访问套接字的尝试”1、可能是pdlan的系统用户权限不够，或与其他软件有冲突，导致pdlan无法正确的绑定ip/mac地址的，保证电脑是超级管理员登陆的，或把电脑上其他的软件先退出再去连接除了查看日志外，也可根据一些现象排错，常见的有以下几种：1）ipsecvpn频繁掉线1、总部和pdlan电脑是否有ip网段冲突2、尝试切换传输模式3、尝试修改总部设备的MTU值4、尝试修改VPN监听端口5、检查上网线路本身是否正常2）pdlan连接不了总部1、测试telnet总部的4009端口是否通的，检查总部和pdlan的配置是否正确的2、查看pdlan控制台的日志信息，根据日志信息来排查3）pdlan连接上总部了，但访问不了1、被访问的服务和总部的VPN设备不在同一个网段，检查是否有配置系统路由和本地子网列表，如果是DLAN2.52，还需要配置dlan路由2、检查是否有对移动用户作VPN内网权限设置3、如果设备是单臂部署的，虚拟ip池配置的不是和vpn设备lan口同网段的，检查总部的前置设备上是否有回包路由的4、确认是否为总部内网电脑开启防火墙，可以尝试Ping其他电脑或使用telnet来测试。

SANGFORDLAN及防火墙常见错误日志和解决办法SANGFOR DLAN及防火墙常见错误日志和解决办法1.DLAN总部信息16:17:00"Udp数据收发模块绑定端口失败,返回错误码99!"此日志说明本机的VPN监听端口被占用,可以修改本机的VPN监听端口或者查看哪个程序占用了VPN监听端口,关掉这个程序。

2.防DoS攻击错误16:18:00err0751:open(/dev/sinfor/dosck):No such device dosck.o驱动没有正常挂载到系统中，请联系深信服科技技术人员。

3.DLAN总部告警14:20:07[TcpNode]OnRead error:104,errDsc=Connection reset by peer这个错误很正常,当读数据的时候发现连接已经被对端关闭之后就会出现这个日志。

对端为什么会关？可能是网络原因也可能是设备故障。

4.DLAN总部错误09:14:11[VpnKernel]StartIPMoniThread failed!有可能后台缺少一个目录或者目录下缺失文件，出现这个报错请联系深信服技术支持。

5.DLAN总部告警15:30:48[SinforIKE]与对端(IP:0.0.0.0Port:0)交互超时!当前状态为:Wait__CmdLineAuth_R!这个是在建立多线路的时候对端没有响应或者响应超时。

7.DLAN总部告警16:49:57"同博爱医院之间存在多重身份矛盾连接。

一般是A将B设置成了总部,B又将A设置成了总部。

(错误号2090)"如果确认了配置没有双向连VPN,那么看一下这些冲突的设备的网关序号是否一样。

如果网关序号是一样的,有可能出现这种问题,只能找储运部重新刷mac,然后重新开序列号。

8.DLAN总部错误15:51:07[VpnKernel]PartManager Init failed!DLAN总部错误15:51:07Part:TunPart Init error.DLAN总部错误15:51:07Open/dev/net/tun failed,errno=19,strerror=No such device虚拟网卡的驱动程序没有正常挂载到系统当中,可以在VPN虚拟接口的页面点一下确定。