系統(tǒng)診斷工具深信服上網(wǎng)行為管理課件

SANGFORAC&SG

系統(tǒng)診斷工具SANGFORAC&SG系統(tǒng)診斷工具培訓(xùn)內(nèi)容培訓(xùn)目標SANGFORAC上網(wǎng)故障排除功能介紹1.了解上網(wǎng)故障排除功能的作用2.掌握開啟數(shù)據(jù)直通的方法3.掌握分析拒絕日志的方法SANGFORAC命令控制臺1.掌握AC命令控制臺支持的命令和操作方法SANGFORAC抓包工具的使用1.掌握簡易抓包和高級抓包的方法SANGFORAC其他排錯工具1.掌握全局排除地址、系統(tǒng)日志、控制臺操作日志的用法培訓(xùn)內(nèi)容培訓(xùn)目標SANGFORAC上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹命令控制臺的使用深信服公司簡介其他排錯工具的使用SANGFORAC抓包工具的使用上網(wǎng)故障排除功能介紹命令控制臺的使用深信服公司簡介其他排錯工上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹

開啟數(shù)據(jù)直通：開啟后，AC&SG上設(shè)置的上網(wǎng)策略將不生效，符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會被設(shè)備放行，同時會將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況以日志的方式顯示出來上網(wǎng)故障排除功能用于查詢一個數(shù)據(jù)包在通過AC&SG設(shè)備時是被哪個模塊拒絕，是什么原因被拒絕。當用戶上網(wǎng)出現(xiàn)故障時，便于快速定位故障原因，也可用來測試一些規(guī)則是否生效。設(shè)置攔截日志過濾條件：設(shè)置需要針對哪些IP地址，協(xié)議和端口開啟攔截日志。默認開啟所有的攔截日志。上網(wǎng)故障排除功能介紹開啟數(shù)據(jù)直通：上網(wǎng)故障排除功能上網(wǎng)故障排除功能介紹開啟實時攔截日志：將打開拒絕列表，此時設(shè)備所有的策略依然生效。符合策略設(shè)置應(yīng)該拒絕的數(shù)據(jù)包會被設(shè)備拒絕掉，同時會將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況顯示出來

設(shè)置針對哪些IP地址開啟攔截日志設(shè)置開啟攔截日志的協(xié)議和端口成功開啟上網(wǎng)攔截日志上網(wǎng)故障排除功能介紹開啟實時攔截日志：設(shè)置針對哪些IP地址開上網(wǎng)故障排除功能介紹

開啟實時攔截日志與數(shù)據(jù)直通：開啟實時攔截日志同時開啟數(shù)據(jù)直通，此時設(shè)備設(shè)置的上網(wǎng)策略將不生效。符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會被設(shè)備放行，同時會將符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包攔截情況顯示出來。勾選即開啟數(shù)據(jù)直通需要開啟數(shù)據(jù)直通的地址設(shè)置流控模塊是否進行數(shù)據(jù)直通成功開啟攔截日志與數(shù)據(jù)直通上網(wǎng)故障排除功能介紹開啟實時攔截日志與數(shù)據(jù)直通：勾上網(wǎng)故障排除功能使用案例客戶環(huán)境：客戶內(nèi)網(wǎng)部署了AC設(shè)備后，所有用戶部分網(wǎng)頁打不開，管理員想定位是AC上的策略設(shè)置問題還是公網(wǎng)運營商出現(xiàn)了故障。上網(wǎng)故障排除功能使用案例客戶環(huán)境：上網(wǎng)故障排除功能使用案例上網(wǎng)故障排除功能使用步驟和思路：設(shè)置攔截日志開啟條件。如果選擇內(nèi)網(wǎng)某一臺電腦做測試，可以只指定這一臺電腦的IP地址。開啟實時攔截日志和數(shù)據(jù)直通。在測試電腦上訪問之前通信有故障的應(yīng)用，看故障是否恢復(fù)，如果恢復(fù)，說明是AC設(shè)備上的策略攔截了數(shù)據(jù)包。再查看實時攔截日志（一般可通過查看第一個包的日志，第一個包的攔截日志詳細說明了是AC上哪條上網(wǎng)策略或哪個模塊丟棄了數(shù)據(jù)包）。根據(jù)攔截日志的提示修改策略，再關(guān)閉直通功能，測試故障是否恢復(fù)。上網(wǎng)故障排除功能使用案例上網(wǎng)故障排除功能使用步驟和思路：上網(wǎng)故障排除功能使用案例1.設(shè)置開啟條件，開啟實時攔截日志并直通。為便于定位問題，在內(nèi)網(wǎng)找一臺電腦測試同時開啟數(shù)據(jù)直通上網(wǎng)故障排除功能使用案例1.設(shè)置開啟條件，開啟實時攔截日志上網(wǎng)故障排除功能使用案例開啟攔截日志并直通后，測試電腦打開網(wǎng)頁操作，發(fā)現(xiàn)可以打開網(wǎng)頁，再到上網(wǎng)故障排除中刷新實時攔截日志，如下圖：通過這些日志，可發(fā)現(xiàn)瀏覽網(wǎng)站的請求被URL過濾丟包了，需要檢查上網(wǎng)權(quán)限策略中URL過濾的規(guī)則。上網(wǎng)故障排除功能使用案例開啟攔截日志并直通后，測試電腦打開網(wǎng)上網(wǎng)故障排除功能使用案例3.攔截日志提示被URL過濾規(guī)則丟棄，檢查用戶使用的上網(wǎng)策略規(guī)則。所測試的電腦使用的上網(wǎng)權(quán)限策略檢查出在上網(wǎng)權(quán)限策略中，確實設(shè)置了全天拒絕訪問部分URL。上網(wǎng)故障排除功能使用案例3.攔截日志提示被URL過濾規(guī)則丟上網(wǎng)故障排除功能使用案例4.刪除錯誤的規(guī)則，并關(guān)閉數(shù)據(jù)直通，內(nèi)網(wǎng)電腦打開網(wǎng)頁看問題是否修復(fù)。上網(wǎng)故障排除功能使用案例4.刪除錯誤的規(guī)則，并關(guān)閉數(shù)據(jù)上網(wǎng)故障排除常見丟包源說明AppControl:應(yīng)用控制丟包URLFilter:URL過濾丟包SSL：SSL控制丟包（包括HTTPSURL過濾）FluxCtrl：流控丟包Webauthen:用戶認證丟包Ingress：準入丟包上網(wǎng)故障排除常見丟包源說明AppControl:命令控制臺的使用命令控制臺的使用命令控制臺SANGFORAC&SG命令控制臺提供一個簡單的控制臺命令行界面，可用于對設(shè)備的一些簡單信息進行查看，支持的命令包括：

arp（查看設(shè)備的arp表）

mii-tool（查看設(shè)備網(wǎng)口的連接情況）

ifconfig（查看設(shè)備網(wǎng)口信息）

ping（測試主機地址的連通性）

telnet（測試端口連通性）

ethtool（查看設(shè)備網(wǎng)卡信息）

route（顯示設(shè)備的路由表）

traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑）在命令行頁面直接輸入命令回車即可命令控制臺SANGFORAC&SG命令控制臺提供命令控制臺的使用1.arp（查看設(shè)備的ARP表）命令控制臺的使用1.arp（查看設(shè)備的ARP表）命令控制臺的使用2.mii-tool（查看設(shè)備網(wǎng)口的連接情況）命令控制臺的使用2.mii-tool（查看設(shè)備網(wǎng)口的連接情命令控制臺的使用3.ifconfig（查看設(shè)備網(wǎng)口信息）命令控制臺的使用3.ifconfig（查看設(shè)備網(wǎng)口信息）命令控制臺的使用4.ping（測試主機地址連通）命令控制臺的使用4.ping（測試主機地址連通）命令控制臺的使用5.telnet（測試端口連通性）命令控制臺的使用5.telnet（測試端口連通性）命令控制臺的使用6.ethtool（查看設(shè)備網(wǎng)卡信息）命令控制臺的使用6.ethtool（查看設(shè)備網(wǎng)卡信息）命令控制臺的使用7.route（顯示設(shè)備的路由表）命令控制臺的使用7.route（顯示設(shè)備的路由表）命令控制臺的使用8.traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑）命令控制臺的使用8.traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路抓包工具的使用抓包工具的使用抓包工具的使用SANGFORAC&SG控制臺界面的抓包工具分為簡易抓包和高級抓包。簡易抓包只抓取來自內(nèi)網(wǎng)且設(shè)備識別不了的包。如果是來自外網(wǎng)的，設(shè)備能識別的數(shù)據(jù)包，是不會被抓取的。一般不適用簡易抓包。高級抓包則是用TCPDUMP的方式抓包，將抓取的數(shù)據(jù)包保存在設(shè)備的控制臺界面，需要在電腦上安裝Sniffer或Ethereal等抓包軟件，才能打開此數(shù)據(jù)包進行分析。高級抓包能抓取所有通過設(shè)備網(wǎng)卡的數(shù)據(jù)，故在排查問題的過程中使用比較廣泛。簡易（抓取未知流量）和高級（TCPDUMP）抓包兩者只能選其一。抓包工具的使用SANGFORAC&SG控制臺界面抓包工具的使用1.簡易抓包的使用設(shè)置簡易抓包的條件設(shè)置抓包個數(shù)抓包工具的使用1.簡易抓包的使用設(shè)置簡易抓包的條件設(shè)置抓包抓包工具的使用2.高級（TCPDUMP）抓包的使用設(shè)置抓包個數(shù)選擇抓取哪個網(wǎng)口的數(shù)據(jù)包只抓取符合條件的數(shù)據(jù)將抓到的數(shù)據(jù)包下載到PC機本地，用Sniffer或Ethereal，Wireshark等抓包軟件打開通過抓取的數(shù)據(jù)包，分析數(shù)據(jù)的通信是否正常（是否有雙向通信的數(shù)據(jù)，源和目標IP是否正確等）抓包工具的使用2.高級（TCPDUMP）抓包的使用設(shè)置抓包抓包工具的使用

注意事項：

1.高級（TCPDUMP）抓包的過濾表達式使用的是Linux下的標準TCPDUMP格式。

2.如果對Linux命令不熟悉的話，可以參照示例中的格式“hostandport53”，即抓取所有源IP和目標IP為，源端口和目標端口為53的數(shù)據(jù)包。常用命令舉例：

抓取的ping包：hostandicmp抓取的UDP1773的包：hostandudpport1773抓取和之間TCP80的交互包：hostandhostandtcpport80抓包工具的使用注意事項：其他排錯工具其他排錯工具其他排錯工具——全局排除地址啟用全局排除地址，針對排除的地址，設(shè)備設(shè)置的上網(wǎng)策略將不生效，也不進行審計。說明：1.排除地址可以是內(nèi)網(wǎng)ip，或者外網(wǎng)IP。只要源IP或者目的IP在排除地址列表，就不做控制和審計。2.排除地址對防火墻規(guī)則和準入監(jiān)控IM聊天無效。3.排除地址支持填寫域名。其他排錯工具——全局排除地址啟用全局排除地址，針對排除的地址其他排錯工具——系統(tǒng)日志系統(tǒng)日志實時記錄著設(shè)備所有程序的運行情況，當程序有異常時對應(yīng)模塊會在系統(tǒng)日志打出告警或者錯誤日志。如果感覺設(shè)備有任何異常，可以先查看系統(tǒng)日志進行確認！篩選日志類型篩選要顯示的日志可將系統(tǒng)日志截圖給400協(xié)助處理其他排錯工具——系統(tǒng)日志系統(tǒng)日志實時記錄著設(shè)備所有程序的運行其他排錯工具——控制臺操作日志通過在數(shù)據(jù)中心查看控制臺操作日志，可以很清晰的看出哪一個賬號在什么時間段修改/增加/刪除了哪一個模塊，是查看是否有人為更改配置的依據(jù)。其他排錯工具——控制臺操作日志通過在數(shù)據(jù)中心查看控制臺操作日問題思考1.某客戶使用我們的AC產(chǎn)品，客戶反饋昨天還能上QQ，今天早上就上不去了，但是能打開網(wǎng)頁，請問有什么方法可以快速定位該問題原因？2.某客戶使用我們的AC產(chǎn)品網(wǎng)橋模式部署，發(fā)現(xiàn)AC的應(yīng)用識別庫升級不了，請問如何排查？3.AC里面的簡易抓包和高級抓包有什么區(qū)別？問題思考1.某客戶使用我們的AC產(chǎn)品，客戶反饋昨天還能上QQ系統(tǒng)診斷工具深信服上網(wǎng)行為管理SANGFORAC&SG

系統(tǒng)診斷工具SANGFORAC&SG系統(tǒng)診斷工具培訓(xùn)內(nèi)容培訓(xùn)目標SANGFORAC上網(wǎng)故障排除功能介紹1.了解上網(wǎng)故障排除功能的作用2.掌握開啟數(shù)據(jù)直通的方法3.掌握分析拒絕日志的方法SANGFORAC命令控制臺1.掌握AC命令控制臺支持的命令和操作方法SANGFORAC抓包工具的使用1.掌握簡易抓包和高級抓包的方法SANGFORAC其他排錯工具1.掌握全局排除地址、系統(tǒng)日志、控制臺操作日志的用法培訓(xùn)內(nèi)容培訓(xùn)目標SANGFORAC上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹命令控制臺的使用深信服公司簡介其他排錯工具的使用SANGFORAC抓包工具的使用上網(wǎng)故障排除功能介紹命令控制臺的使用深信服公司簡介其他排錯工上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹

開啟數(shù)據(jù)直通：開啟后，AC&SG上設(shè)置的上網(wǎng)策略將不生效，符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會被設(shè)備放行，同時會將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況以日志的方式顯示出來上網(wǎng)故障排除功能用于查詢一個數(shù)據(jù)包在通過AC&SG設(shè)備時是被哪個模塊拒絕，是什么原因被拒絕。當用戶上網(wǎng)出現(xiàn)故障時，便于快速定位故障原因，也可用來測試一些規(guī)則是否生效。設(shè)置攔截日志過濾條件：設(shè)置需要針對哪些IP地址，協(xié)議和端口開啟攔截日志。默認開啟所有的攔截日志。上網(wǎng)故障排除功能介紹開啟數(shù)據(jù)直通：上網(wǎng)故障排除功能上網(wǎng)故障排除功能介紹開啟實時攔截日志：將打開拒絕列表，此時設(shè)備所有的策略依然生效。符合策略設(shè)置應(yīng)該拒絕的數(shù)據(jù)包會被設(shè)備拒絕掉，同時會將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況顯示出來

設(shè)置針對哪些IP地址開啟攔截日志設(shè)置開啟攔截日志的協(xié)議和端口成功開啟上網(wǎng)攔截日志上網(wǎng)故障排除功能介紹開啟實時攔截日志：設(shè)置針對哪些IP地址開上網(wǎng)故障排除功能介紹

開啟實時攔截日志與數(shù)據(jù)直通：開啟實時攔截日志同時開啟數(shù)據(jù)直通，此時設(shè)備設(shè)置的上網(wǎng)策略將不生效。符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會被設(shè)備放行，同時會將符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包攔截情況顯示出來。勾選即開啟數(shù)據(jù)直通需要開啟數(shù)據(jù)直通的地址設(shè)置流控模塊是否進行數(shù)據(jù)直通成功開啟攔截日志與數(shù)據(jù)直通上網(wǎng)故障排除功能介紹開啟實時攔截日志與數(shù)據(jù)直通：勾上網(wǎng)故障排除功能使用案例客戶環(huán)境：客戶內(nèi)網(wǎng)部署了AC設(shè)備后，所有用戶部分網(wǎng)頁打不開，管理員想定位是AC上的策略設(shè)置問題還是公網(wǎng)運營商出現(xiàn)了故障。上網(wǎng)故障排除功能使用案例客戶環(huán)境：上網(wǎng)故障排除功能使用案例上網(wǎng)故障排除功能使用步驟和思路：設(shè)置攔截日志開啟條件。如果選擇內(nèi)網(wǎng)某一臺電腦做測試，可以只指定這一臺電腦的IP地址。開啟實時攔截日志和數(shù)據(jù)直通。在測試電腦上訪問之前通信有故障的應(yīng)用，看故障是否恢復(fù)，如果恢復(fù)，說明是AC設(shè)備上的策略攔截了數(shù)據(jù)包。再查看實時攔截日志（一般可通過查看第一個包的日志，第一個包的攔截日志詳細說明了是AC上哪條上網(wǎng)策略或哪個模塊丟棄了數(shù)據(jù)包）。根據(jù)攔截日志的提示修改策略，再關(guān)閉直通功能，測試故障是否恢復(fù)。上網(wǎng)故障排除功能使用案例上網(wǎng)故障排除功能使用步驟和思路：上網(wǎng)故障排除功能使用案例1.設(shè)置開啟條件，開啟實時攔截日志并直通。為便于定位問題，在內(nèi)網(wǎng)找一臺電腦測試同時開啟數(shù)據(jù)直通上網(wǎng)故障排除功能使用案例1.設(shè)置開啟條件，開啟實時攔截日志上網(wǎng)故障排除功能使用案例開啟攔截日志并直通后，測試電腦打開網(wǎng)頁操作，發(fā)現(xiàn)可以打開網(wǎng)頁，再到上網(wǎng)故障排除中刷新實時攔截日志，如下圖：通過這些日志，可發(fā)現(xiàn)瀏覽網(wǎng)站的請求被URL過濾丟包了，需要檢查上網(wǎng)權(quán)限策略中URL過濾的規(guī)則。上網(wǎng)故障排除功能使用案例開啟攔截日志并直通后，測試電腦打開網(wǎng)上網(wǎng)故障排除功能使用案例3.攔截日志提示被URL過濾規(guī)則丟棄，檢查用戶使用的上網(wǎng)策略規(guī)則。所測試的電腦使用的上網(wǎng)權(quán)限策略檢查出在上網(wǎng)權(quán)限策略中，確實設(shè)置了全天拒絕訪問部分URL。上網(wǎng)故障排除功能使用案例3.攔截日志提示被URL過濾規(guī)則丟上網(wǎng)故障排除功能使用案例4.刪除錯誤的規(guī)則，并關(guān)閉數(shù)據(jù)直通，內(nèi)網(wǎng)電腦打開網(wǎng)頁看問題是否修復(fù)。上網(wǎng)故障排除功能使用案例4.刪除錯誤的規(guī)則，并關(guān)閉數(shù)據(jù)上網(wǎng)故障排除常見丟包源說明AppControl:應(yīng)用控制丟包URLFilter:URL過濾丟包SSL：SSL控制丟包（包括HTTPSURL過濾）FluxCtrl：流控丟包Webauthen:用戶認證丟包Ingress：準入丟包上網(wǎng)故障排除常見丟包源說明AppControl:命令控制臺的使用命令控制臺的使用命令控制臺SANGFORAC&SG命令控制臺提供一個簡單的控制臺命令行界面，可用于對設(shè)備的一些簡單信息進行查看，支持的命令包括：

arp（查看設(shè)備的arp表）

mii-tool（查看設(shè)備網(wǎng)口的連接情況）

ifconfig（查看設(shè)備網(wǎng)口信息）

ping（測試主機地址的連通性）

telnet（測試端口連通性）

ethtool（查看設(shè)備網(wǎng)卡信息）

route（顯示設(shè)備的路由表）

traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑）在命令行頁面直接輸入命令回車即可命令控制臺SANGFORAC&SG命令控制臺提供命令控制臺的使用1.arp（查看設(shè)備的ARP表）命令控制臺的使用1.arp（查看設(shè)備的ARP表）命令控制臺的使用2.mii-tool（查看設(shè)備網(wǎng)口的連接情況）命令控制臺的使用2.mii-tool（查看設(shè)備網(wǎng)口的連接情命令控制臺的使用3.ifconfig（查看設(shè)備網(wǎng)口信息）命令控制臺的使用3.ifconfig（查看設(shè)備網(wǎng)口信息）命令控制臺的使用4.ping（測試主機地址連通）命令控制臺的使用4.ping（測試主機地址連通）命令控制臺的使用5.telnet（測試端口連通性）命令控制臺的使用5.telnet（測試端口連通性）命令控制臺的使用6.ethtool（查看設(shè)備網(wǎng)卡信息）命令控制臺的使用6.ethtool（查看設(shè)備網(wǎng)卡信息）命令控制臺的使用7.route（顯示設(shè)備的路由表）命令控制臺的使用7.route（顯示設(shè)備的路由表）命令控制臺的使用8.traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑）命令控制臺的使用8.traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路抓包工具的使用抓包工具的使用抓包工具的使用SANGFORAC&SG控制臺界面的抓包工具分為簡易抓包和高級抓包。簡易抓包只抓取來自內(nèi)網(wǎng)且設(shè)備識別不了的包。如果是來自外網(wǎng)的，設(shè)備能識別的數(shù)據(jù)包，是不會被抓取的。一般不適用簡易抓包。高級抓包則是用TCPDUMP的方式抓包，將抓取的數(shù)據(jù)包保存在設(shè)備的控制臺界面，需要在電腦上安裝Sniffer或Ethereal等抓包軟件，才能打開此數(shù)據(jù)包進行分析。高級抓包能抓取所有通過設(shè)備網(wǎng)卡的數(shù)據(jù)，故在排查問題的過程中使用比較廣泛。簡易（抓取未知流量）和高級（TCPDUMP）抓包兩者只能選其一。抓包工具的使用SANGFORAC&SG控制臺界面抓包工具的使用1.簡易抓包的使用設(shè)置簡易抓包的條件設(shè)置抓包個數(shù)抓包工具的使用1.簡易抓包的使用設(shè)置簡易抓包的條件設(shè)置抓包抓包工具的使用2.高級（TCPDUMP）抓包的使用設(shè)置抓包個數(shù)選擇抓取哪個網(wǎng)口的數(shù)據(jù)包只抓取符合條件的數(shù)據(jù)將抓到的數(shù)據(jù)包下載到PC機本地，用Sniffer或Ethereal，Wireshark等抓包軟件打開通過抓取的數(shù)據(jù)包，分析數(shù)據(jù)的通信是否正常（是否有雙向通信的數(shù)據(jù)，源和目標IP是否正確等）抓包工具的使用2.高級（TCPDUMP）抓包的使用設(shè)置抓包抓包工具的使用

注意事項：

1.高級（TCPDUMP）抓包的過濾表達式使用的是Linux下的標準TCPDUMP格式。

2.如果對Linux命令不熟悉的話，可以參照示例中的格式“