当前位置:文档之家 › 深信服上网行为管理-常见问题排错指导

深信服上网行为管理-常见问题排错指导

  • 格式:pdf
  • 大小:1.08 MB
  • 文档页数:26

下载文档原格式

  / 26

合集下载

深信服上网行为管理-常见问题排错指导

深信服上网行为管理-常见问题排错指导
3. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日 志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是 否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略, 直到故障修复。
4. 如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。 此时可以跳过设备进一步验证。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
规则库更新不了该如何处理?
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
➢2.检查设备端口映射(DNAT)配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后,但是外网仍然无法访问,则进入下一步
这里“自动放通防火墙数据”要启用,如果这里是“否”,也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
➢3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已 经到设备wan口了,以确认访问请求是否被运营商拦截

深信服行为管理操作文档-11.0-最新版本

深信服行为管理操作文档-11.0-最新版本
d) 查看网口是否有错误的包或者帧,如果网口有收到错误的包或者帧,检查网线 是否网线传输有问题或者两个网口之间的协商模式有问题检查网口的工作状态, 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来

深信服VPN连接异常排错文档

深信服VPN连接异常排错文档

VPN连接异常排错文档
通常定位问题方法
一:检查本地
二:测试本地与总部连接性
三:查看VPN连接日志排错
一:检查本地:
1,先检查本地上网是否正常(访问网站是否正常),保证本地上网正常后进行第二步,如上网不正常,可按照《不能上网简单排错四步曲》进行排错。

2,关闭本地防火墙
3,检查本地VPN版本是否与总部一致。

二,测试本地与总部的连接性:
1,确定总部公网IP的正确性。

2,如果总部是公网IP,则先测试本地与总部该公网IP的连通性。

例如:总部公网IP为1.1.1.1测试方法:telnet总部IP:4009端口。

如果提示连接失败,这证明本地与总部的IP地址4009端口不通,表示无法建立VPN连接。

在保证本地配置正常的情况下可咨询总部并说明该情况(看是否是由于总部线路或其他问题引起)。

如果连接正常(输入telnet1.1.1.14009后回车)出现该画面表示连接正常(即跳转到一个纯黑色界面)
三:进入网关控制台查看连接信息(sinfor VPN设备)
首先进入VPN设备网关控制台查看DLAN运行状态,如果发现问题,请点击查看日志
根据日志里的信息判断出问题所在。

日志问题分析举例:
接口IP冲突:
硬件鉴权失败:
用户名冲突:
其他错误提示不一一举例。

注:对相应错误日志进行调整后,如仍然有问题,请联系深信服工程师解决。

深信服问题排错文档

深信服问题排错文档

SANGFOR_IPSEC_ALL pdlan常见问题解决办法深信服科技有限公司2011年07月16pdlan常见问题解决办法PDLAN连接不上总时,首先请查看日志,根据日志提示排错,常见的日志有以下几种:1)日志显示wait_connectsuccess在移动端telnet总部的VPN监听口(默认是4009)是否是通的,若不通,a:请检查总部设备是否配置了全端口映射。

b:检查总部设备是否单臂部署,且在前置设备没有把设备的TCP/UDP4009端口成功映射出来。

c:是否运营商做了限制,尝试修改VPN监听端口.d:检查两端的WEBAGENT配置是否正确。

e、pdlan电脑是代理上网的,那pdlan也需要设置代理的,支持sock4和sock5代理的,否则会telnet端口4009是不通的f、检查pdlan所在网络的前置设备做了限制,拦截了VPN通迅。

2)日志显示wait_version_syn_ack1、检查总部和pdlan的版本是否一致,2.5x和2.5x可以连接,4.X和4.X连接,2.5X和4.X 的是不可以连接ipsecvpn的2、可以尝试把vpn端口改成低端端口3、可以尝试修改MTU3)日志提示load file error和configure init failed之类的日志1、这个是pdlan的注册表项被损坏的原因的,重装pdlan即可4)“[TcpNode] OnRead error:10053,errDsc = 您的主机中的软件中止了一个已建立的连接。

”1、是被本机的其他软件把连接给拒绝断开了5)移动用户PDLAN接入一直提示连接端口超时,但是测试总部端口是通的1、检查虚拟IP池和内网是否有冲突6)“绑定socket时发生错误,错误描述:以一种权限不允许的方式做了一个访问套接字的尝试”1、可能是pdlan的系统用户权限不够,或与其他软件有冲突,导致pdlan无法正确的绑定ip/mac地址的,保证电脑是超级管理员登陆的,或把电脑上其他的软件先退出再去连接除了查看日志外,也可根据一些现象排错,常见的有以下几种:1)ipsecvpn频繁掉线1、总部和pdlan电脑是否有ip网段冲突2、尝试切换传输模式3、尝试修改总部设备的MTU值4、尝试修改VPN监听端口5、检查上网线路本身是否正常2)pdlan连接不了总部1、测试telnet总部的4009端口是否通的,检查总部和pdlan的配置是否正确的2、查看pdlan控制台的日志信息,根据日志信息来排查3)pdlan连接上总部了,但访问不了1、被访问的服务和总部的VPN设备不在同一个网段,检查是否有配置系统路由和本地子网列表,如果是DLAN2.52,还需要配置dlan路由2、检查是否有对移动用户作VPN内网权限设置3、如果设备是单臂部署的,虚拟ip池配置的不是和vpn设备lan口同网段的,检查总部的前置设备上是否有回包路由的4、确认是否为总部内网电脑开启防火墙,可以尝试Ping其他电脑或使用telnet来测试。

深信服AD智能路由常见问题排错指导

深信服AD智能路由常见问题排错指导
深信服ad智能路由常见问题排错指导培训内容培训目标智能路由不生效问题排查思路掌握智能路由的排错思路上网时快时慢dns有时解析不到问题排查思路掌握排错思路dns代理不生效问题排查思路掌握dns代理丌生效的排错思路智能路由不生效问题排查思路深信服addns代理不生效问题排查思路上网时快时慢dns有时解析不到问题排查思路智能路由不生效问题排查思路问题现象
排查方法
DNS有时解析不到问题排查
第一步:若启用了DNS代理,调度策略选轮询或加权轮询,有可能会出现我访问 一个电信的站点,恰好调度到联通的DNS,但是这个域名联通解析不了。用DNS 前置调度策略解决。(该情况很少见)
第二步:若启用了DNS代理,查看【DNS状态】,看DNS服务器是否不停离线。 可能是DNS服务器的问题或者监视域名有问题。
4. 【系统概况】-【DNS状态】中DNS服务器是否在线.。离线的DNS服务器是不会参 与调度的。
问题思考
1.智能路由的配置是按什么规则匹配的?
深信服 AD智能路由常见问题 排错指导
培训内容
培训目标
智能路由不生效问题排查思路
掌握智能路由的排错思路
上网时快时慢,DNS有时解析不到问 题排查思路
DNS代理不生效问题排查思路
掌握排错思路 掌握DNS代理不生效的排错思路
深信服 AD
智能路由不生效问题排查思路
上网时快时慢,DNS有时 解析不到问题排查思路
第一步:判断DNS请求解析的过程是否正常。
第二步:判断上网的数据出站是否正常。
注意:如果启用了DNS代理,那么DNS请求包(UDP53端口数据)是不会走智能路 由的,会走DNS代理模块去选路解析。如果没有启用DNS代理,那么DNS请求包会 走智能路由。可以说DNS代理的优先级高于智能路由。

SANGFORSSLVPN常见问题排错指导HHW

SANGFORSSLVPN常见问题排错指导HHW

控件作用
安装时间
客户端控件管理工具,安装其他控件时会装上cscm
权限提升服务程序,在使用users权限登录系统时, 让其能够调用和安装其它控件
启用其他需要控件的功能时会强制安 装cscm控件
在安装第一个控件时也会自动安装此 控件,安装该服务必须拥有 administrators组权限
SVPN Monitor
常见问题排错指导
3. SSL可以正常登录,但无法访问内网资源(APP资源或者IP资源) 1)检查SSL设备本身能否访问到内网资源,尝试将设备的内网IP配置到 PC上,用PC去尝试一下看能否访问到,如果PC也访问不到需要检查内 网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服 务等; 2)如果使用了域名资源,需要在客户端使用ping测试一下是否解释出正 确的IP地址(不需要PING通); 3) 检查访问内网资源的IP和端口是否添加完整,可以尝试添加全IP和 全端口试下;
2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作;

app服务控件(抓取aap服务的数据包),ucp加速 控件
用户启用app服务或启用ucp加速时
ip服务客户端控件(读写虚拟网卡上数据)
用户启用ip服务,安装虚拟网卡,登 录后有该进程
ip服务虚拟网卡(添加路由,抓取访问IP资源数据) 用户启用ip服务时会安装虚拟网卡
常见问题排错指导
1. SSL登陆页面无法打开常见问题排错指导5. 第三方认证的问题
b. 与radius结合认证的问题 1)首先检查设备和radius服务器之间的连通性,检查服务器上radius 服务是否正常开启 2)确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、 采用的协议是否与服务器相同 3)检查和确认是否是标准的radius服务器

深信服上网行为管理解决方案

深信服上网行为管理解决方案深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。

在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。

据IDC 的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。

这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统,运行状况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:● IT管理员如何对企业网络效能行为进行统计、分析和评估?● IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?● IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?● IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手――SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。

在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。

随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。

尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。

深信服上网行为管理-用户认证排错指导


问题二 :密码认证失败
➢步骤1 检查设备和LDAP服务器的连通性,可以在设备外部认证服务器页面进行连 通性测试
➢步骤1 查看在线用户列表,检查用户是以临时用户身份出现,还是没有在在线用 户列表中
如果用户是以临时用户身份出现,则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址 (AC不会将内网电脑的IP地址与交换机的MAC地址绑定)。 1. 如果是通过AC设备搜索获得的OID,建议使用第三方扫描工具,在内网电脑上扫描交换机的OID, 把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。 2. 如果是手动获取OID并手动在AC设备上填写的snmp配置,则检查IP/MAC/OID/COMMUNITY 配置是否正确。
➢步骤2 检查AC设备到内网电脑的回包路由(网桥模式需要重点注意)
问题一 :电脑弹不出密码认证框
➢步骤3 检查AC是否允许用户认证成功之前能访问DNS服务
问题一 :电脑弹不出密码认证框
➢步骤4 客户端电脑检查网关和DNS设置是否正确,能否解析出域名
注意:这里之所以能解析出域名并且能ping通外网地址,是因为在AC上启 用了“未通过认证用户可以访问dns服务”及“未通过认证用户具体根组 权限(http应用除外)”
问题二 :IP/MAC绑定不生效
➢步骤3 到用户组去搜索内网电脑的IP10.10.10.100和MAC B8-70-F4-3A-42-2B, 找到被绑定的用户,并删除
通过搜索IP发现10.10.10.100和另外一个mac绑定在一起了,删除该用户
问题二 :IP/MAC绑定不生效
➢步骤4 到在线用户列表确认用户认证成功
深信服上网行为管理 用户认证排错指导
培训内容
IP/MAC绑定排错

深信服上网行为管理-常见问题排错指导


用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分:
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析:
分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射 规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。 如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
数据中心同步失败
➢步骤1 在设备上测试连接外置数据中心服务器是否正常 AC通过同步程序向外置数据中心datacenter.exe程序发同请求,通过tcp 810端口
建立连接。如果在AC上测试连接外置数据中心失败,可以到服务器上确认本机是 否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功,也可以通过查看设 备的监听状态netstat –na,如下图:某Fra bibliotek应用使用异常排查

深信服上网行为管理-策略排错指南


WAN:192.200.200.8
LAN:10.0.0.254 10.0.0.1
排查思路: 1. 检查上网权限策略是否与用户关联 2. 检查是否开启直通或者排除IP 3. 检查用户是否关联了多条上网权限策略 4. 检查应用规则库是否为最新 5. 检查是否有自定义应用 6. 检查拒绝的应用与实际识别出的应用是否对应
➢步骤4 检查应用规则库是否为最新 ➢步骤5 检查是否有自定义应用 ➢步骤6 检查流控的应用与实际识别出的应用是否对应 ➢步骤7 在迅雷客户端查看下载的速率,或者通过【实时状态】下【流量状态】中的 【流量管理状态】,观察各个流量通道内的瞬时速率和用户数等,检查流量控制是否生 效。
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
流控策略不生效
➢步骤1 检查流量管理系统是否全局启用 一定要注意开启!
➢步骤2 检查是否开启直通或者排除IP,流控通道是否有排除策略
影响到限制 迅雷下载, 需要删除
流控策略不生效
➢步骤3 检查是否有多条流控通道,注意流控通道之间的影响,是否流控通道匹配错误
上网策略不生效
➢步骤3 检查应用规则库是否已经更新到最新版本,若不是请更新
更新应用规则库前请先更新网关补丁!
上网策略不生效
➢步骤4 检查是否有自定义应用,不建议自己定义应用,容易引起应用识别异常
删除!
上网策略不生效
➢步骤5 检查“迅雷封堵”策略拒绝的应用,是否存在与迅雷下载时识别出来的应用不 一致,或者不完整的情况!
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
上网策略不生效
➢步骤1 检查用迅雷封堵的策略和用户是否已关联,该策略是否启用,是否开启直通或 者排除IP
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

端口映射不生效排查
AC设备网关模式部署,WAN1口IP地址为113.16.X.230,某客户想通过 端口映射发布内网的web服务器,服务器地址是172.16.2.100。配置完毕 后,测试外网访问http:// 113.16.X.230无法打开页面,现在需要定位问 题出在哪了?
排查思路: 1.设备上测试服务器发布的端口 2.检查设备端口映射(DNAT)配置 3.使用设备抓包工具抓包定位问题
端口映射不生效排查
端口映射不生效排查
Internet
PC
服务器
WAN-LAN端口映射整个过程分为 三个部分:
1. 客户端访问服务器的数据到达 AC/SG 设备
2. AC/SG设备做DNAT转换,再经过 防火墙的过滤发给内网真实的服务器
3. 服务器返回客户端的数据要回应 给AC/SG,通过AC/SG再转发回应 给客户端
1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果 在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810 端口。可以telnet 127.0.0.1 810看是否成功 2.如果服务器本机没进程监听该端口,到【开始】中,找到外置数据中心安装目录, 先停止数据中心所有服务,再启动数据中心所有服务。 3.如果本机测试监听端口成功,则检查AC到服务器的路由是否可达,中间是否有其 他网络设备阻止了TCP810端口的访问。 4.查看系统日志,通过系统日志可以检查:外置数据中心安装软件的版本和设 备版本是否一致,外置数据中心同步账号和密码是否和设备上的一致。 5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析:
分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射 规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。 如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
某些应用使用异常排查
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于 AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块, 修改策略。
4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则 重复第2,3步,直到故障修复。
数据中心同步失败
数据中心同步失败
端口映射不生效排查节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》 PPT。检查完配置后,但是外网仍然无法访问,则进入下一步
这里“自动放通防火墙数据”要启用,如果这里是“否”,也可以人为从防火 墙规则中单独放通。
端口映射不生效排查
3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已 经到设备wan口了,以确认访问请求是否被运营商拦截
3. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日 志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是 否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略, 直到故障修复。
4. 如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。 此时可以跳过设备进一步验证。
用户断网排查
用户断网排查
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。
某些应用使用异常排查
某些应用使用异常排查
如果用户断网或只有部分应用访问异常,例如QQ登录不了,登录不了网 银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关 系。
1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。
2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否 修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修 复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日 志并直通来排除和定位问题)
外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包,并分析:
分析数据包,发现WAN1口能收到访问80端口的请求包,但是没有回复包,目前能 说明运营商没有对80端口做限制,但是还不知到是配置问题导致没映射成功,数据 包没有到服务器,还是服务器问题?
端口映射不生效排查
3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包:
规则库更新不了
2、检测设备本身到更新服务器是否可能 正常连能,即设备本身是否可以正常上网。
保证设备可以上 网,访问公网服 务器的80端口
注意
【系统配置】-【自动升级】-【最新版本】显示“获取信息失败”。
最新版本状态为“获取信息失败”,最新版本一个小时更新一次,在确保设备 可以上网的前提下,等一个小时再观察状态。
深信服上网行为管理 常见问题排错指导
培训内容
端口映射不生效排查 规则库更新不了 用户断网排查 某些应用使用异常排查 外置数据中心同步失败
培训目标
1.掌握端口映射不成功的分析和排查方法 1. 掌握控制台内置规则库更新不了的排查方法 1.掌握用户断网问题排查思路 1.掌握由于某些应用使用异常的排查方法 1. 掌握查不到上网行为日志的排查方法
规则库更新不了
规则库更新不了
AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等 模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系 列异常。
规则库更新不了该如何处理?
规则库更新不了
1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。
申请有效的序列号修 改
端口映射不生效排查
1.设备上测试服务器发布的端口 在设备上telnet服务器172.16.2.100的80端口是否能通,如果不通则检查服务器 运行状态(服务器本机测试端口是否能通 :telnet 127.0.0.1 80),以及设备到 服务器的连通性。如果设备上测试正常,但是外网仍然无法访问,则进入下一步