深信服IPSECVPN常見問題演示文稿

深信服IPSECVPN常見問題演示文稿現(xiàn)在是1頁\一共有17頁\編輯于星期一優(yōu)選深信服IPSECVPN常見問題現(xiàn)在是2頁\一共有17頁\編輯于星期一IPSEC常見問題排查指導(dǎo)現(xiàn)在是3頁\一共有17頁\編輯于星期一IPSEC常見問題排錯指導(dǎo)

1.VPN無法建立連接

3.VPN不穩(wěn)定，頻繁斷開

5.通過 VPN訪問不到部分服務(wù)器

4.通過VPN訪問不到內(nèi)網(wǎng)資源

2.Webagent無法更新成功

6.通過VPN訪問服務(wù)器慢現(xiàn)在是4頁\一共有17頁\編輯于星期一A、查看系統(tǒng)日志的提示B、檢查設(shè)備的部署方式和配置；（例如排除VPN兩端在同一局域網(wǎng)來連VPN；設(shè)備本身被限制無法上網(wǎng)等原因）C、檢查VPN連接的配置(webagent、帳號等)；D、測試總部的VPN端口是否能通，總部單臂模式下，如果啟用UDP傳輸，注意前置網(wǎng)絡(luò)設(shè)備要做UDP4009端口的映射；E、檢查是否兩端VPN設(shè)備上是否做了端口全映射或者映射了VPN連接的端口到內(nèi)網(wǎng)；F、確認兩端VPN設(shè)備的版本是否匹配G、測試兩端VPN設(shè)備之間的網(wǎng)絡(luò)是否可達(ping或收發(fā)包測試)；H、嘗試修改VPN設(shè)備接口的MTU；

故障一VPN無法建立連接現(xiàn)在是5頁\一共有17頁\編輯于星期一故障二Webagent無法更新成功A、確保VPN總部設(shè)備和分支設(shè)備均能上外網(wǎng)（設(shè)備配置的IP和DNS均正確，能解析到域名和訪問公網(wǎng)）。

VPN總部設(shè)備需要上網(wǎng)更新webagent地址，而分支設(shè)備需要訪問webagent地址獲得總部VPN設(shè)備的公網(wǎng)IP地址。B、某些運營商封堵了80端口的訪問，可以嘗試把VPN總部webagent更新端口改成8080端口來更新。例如：:8080/ssl/xxx.php

的形式?，F(xiàn)在是6頁\一共有17頁\編輯于星期一故障三VPN不穩(wěn)定，頻繁斷開A、嘗試換傳輸模式（分支設(shè)備的連接管理處修改），看是否修復(fù)。B、修改總部VPN連接的端口，改成常用的低端口，如81等，避免運營商對高端口做了限制。C、如果有設(shè)置VPN的多線路策略，修改多線路策略看是否穩(wěn)定D、反向連接，把原來的VPN分支端和總部端配置互換，改成由另一端發(fā)起連接，看是否穩(wěn)定?，F(xiàn)在是7頁\一共有17頁\編輯于星期一A、從最靠近內(nèi)網(wǎng)資源的VPN設(shè)備上測試能否訪問內(nèi)網(wǎng)資源；（通過網(wǎng)關(guān)升級客戶端登錄到VPN設(shè)備上進行PING測試）B、PING對端設(shè)備的LAN口地址看是否能ping通C、檢查配置(內(nèi)網(wǎng)權(quán)限、VPN-LAN規(guī)則、時間計劃)；D、兩端都檢查路由設(shè)置，可以通過tracert觀察數(shù)據(jù)流走到了哪里，必須確保雙向訪問均能到達；檢查PC和內(nèi)網(wǎng)資源服務(wù)器上的路由設(shè)置，看是否有錯誤的主機路由。或者把PC和內(nèi)網(wǎng)資源的網(wǎng)關(guān)均指向VPN設(shè)備，測試是否能通信。E、關(guān)閉內(nèi)網(wǎng)資源服務(wù)器上的殺毒軟件和防火墻再測試一下。故障四VPN已經(jīng)建立，但訪問不到內(nèi)網(wǎng)資源現(xiàn)在是8頁\一共有17頁\編輯于星期一A、檢查VPN設(shè)備上的配置(內(nèi)網(wǎng)權(quán)限、VPN-LAN規(guī)則、查看不能訪問的服務(wù)器IP是否被設(shè)置到了虛擬IP池)；B、檢查兩端的路由設(shè)置，確認數(shù)據(jù)能到達服務(wù)器。檢查PC和服務(wù)器上的路由設(shè)置，看是否有錯誤的主機路由。C、把PC和服務(wù)器的網(wǎng)關(guān)均指向VPN設(shè)備，測試是否能通信。D、檢查服務(wù)器或PC上的殺毒軟件和FW是否有限制。故障五通過VPN某些服務(wù)器不能訪問，某些可以現(xiàn)在是9頁\一共有17頁\編輯于星期一A、ping對端VPN設(shè)備的公網(wǎng)IP和內(nèi)網(wǎng)主機IP，比較延時。(可ping大包測試)B、如果ping對端VPN設(shè)備公網(wǎng)IP的延時小于內(nèi)網(wǎng)主機IP的延時，則修改傳輸模式看是否修復(fù)。C、修改VPN連接端口，修改成常用的端口，例如81等，避免公網(wǎng)運營商對高端口進行流控限制。D、檢查VPN設(shè)備出口流量是否較大；在帶寬有限的情況下，如果公網(wǎng)流量較大，也會導(dǎo)致VPN數(shù)據(jù)傳輸較慢的情況。E、檢查內(nèi)網(wǎng)通訊是否正常(內(nèi)網(wǎng)是否有arp欺騙，電腦中病毒的情況)F、判斷VPN設(shè)備是否性能不足(看CPU，內(nèi)存占用情況等)故障六覺得VPN慢或VPN隧道內(nèi)數(shù)據(jù)傳輸慢現(xiàn)在是10頁\一共有17頁\編輯于星期一其他常見問題排查指導(dǎo)現(xiàn)在是11頁\一共有17頁\編輯于星期一

第一種情況：不知道設(shè)備的IP地址，登錄不了SANGFOR設(shè)備的網(wǎng)關(guān)控制臺。一、登錄不了SANGFOR設(shè)備網(wǎng)關(guān)控制臺A、PC直接連SANGFOR設(shè)備的LAN口，在PC上使用Findme或者網(wǎng)關(guān)升級客戶端搜索SANGFOR設(shè)備的IP，通過搜索到的設(shè)備IP登錄網(wǎng)關(guān)控制臺（電腦要配置同網(wǎng)段的IP地址）B、PC配置同SANGFOR設(shè)備萬能IP同網(wǎng)段的IP，使用萬能IP登錄設(shè)備控制臺。SANFORAC/SG設(shè)備路由模式(網(wǎng)橋和旁路模式下均沒有萬能IP的說法)的LAN口萬能IP為，其他SANGFOR產(chǎn)品LAN口的萬能IP是

如果不確認AC/SG設(shè)備的工作模式，可以嘗試用PC連接設(shè)備的DMZ口，使用DMZ口出廠IP（）登錄設(shè)備，很多時候客戶沒有使用DMZ口，故DMZ口的IP有可能還是保留出廠配置?，F(xiàn)在是12頁\一共有17頁\編輯于星期一

第一種情況：不知道設(shè)備的IP地址，登錄不了SANGFOR設(shè)備的網(wǎng)關(guān)控制臺。一、登錄不了SANGFOR設(shè)備網(wǎng)關(guān)控制臺C、如果使用上述兩種方法都登錄不了AC/SG的控制臺，可以嘗試使用交叉線接電口恢復(fù)默認配置的方法恢復(fù)AC/SG的出廠配置（請謹慎使用此方法，此方法會導(dǎo)致設(shè)備原有的配置丟失），恢復(fù)出廠配置后，使用出廠IP登錄設(shè)備的控制臺，LAN口IP是，DMZ口IP是?，F(xiàn)在是13頁\一共有17頁\編輯于星期一A、首先確認登錄設(shè)備控制臺的電腦IP是否和設(shè)備的IP同網(wǎng)段，如果不在同網(wǎng)段，確認是否路由可達B、如果電腦和設(shè)備是同網(wǎng)段或者路由可達的，嘗試PING下設(shè)備的IP地址，看是否能PING通，如果不能PING通，可以嘗試電腦直接接設(shè)備的LAN口，配置和設(shè)備LAN口同網(wǎng)段IP，看是否可以ping通和登錄控制臺，排除是否內(nèi)網(wǎng)原因。如果電腦直接接設(shè)備，PING不通設(shè)備的IP，可以嘗試電腦換其他同網(wǎng)段的IP地址再試下，有可能是因為電腦的IP被包含在設(shè)備設(shè)置的虛擬IP池范圍內(nèi)，導(dǎo)致數(shù)據(jù)包被VPN抓走。一、登錄不了SANGFOR設(shè)備網(wǎng)關(guān)控制臺第二種情況：確認設(shè)備的IP地址是正確的，但是登錄不了控制臺現(xiàn)在是14頁\一共有17頁\編輯于星期一C、如果電腦可以PING通設(shè)備的IP，但是登錄不了控制臺，那么從電腦上telnet設(shè)備控制臺的端口（AC和加速是TCP443，SSL控制臺端口是TCP1000）看是否能通，如果不能通，telnetTCP51111(升級客戶端的連接端口)端口看是否能通。

如果電腦接設(shè)備的LAN口telnet設(shè)備控制臺端口和51111端口均不通，有可能設(shè)備上做了錯誤的全端口映射導(dǎo)致，可以嘗試電腦接設(shè)備的其他網(wǎng)口，再登錄控制臺試下，如果可以從其他網(wǎng)口登錄設(shè)備控制臺，檢查防火墻端口映射配置，刪除錯誤的全端口映射規(guī)則。一、登錄不了SANGFOR設(shè)備網(wǎng)關(guān)控制臺

第二種情況：確認設(shè)備的IP地址是正確的，但是登錄不了控制臺現(xiàn)在是15頁\一共有17頁\編輯于星期一

如果使用SANGFOR設(shè)備撥號，發(fā)現(xiàn)撥號斷的比較頻繁，請檢查撥號參數(shù)設(shè)置，ADSL撥號參數(shù)推薦設(shè)置成20，80，3，光纖撥號參數(shù)推薦設(shè)置成60，240，9二、撥號常見問題排查和解決辦法

1.通過SANGFOR設(shè)備撥號經(jīng)常斷

2.通過SANGFOR設(shè)備撥不上號，電腦可以撥上

SANGFORS5100的網(wǎng)口不支持自動翻轉(zhuǎn)，如果客戶使用的是不支持線序自動翻轉(zhuǎn)的modem（如華為MT800），并使用直通線連接設(shè)備和modem，則會出現(xiàn)設(shè)備撥不上號的情況。解決辦法是更換交叉線連接設(shè)備和modem，或者在設(shè)備和modem之間加個小交換機?，F(xiàn)在是16頁\一共有17頁\編輯于星期一檢查設(shè)備連接modem的WAN口（WAN1對應(yīng)eth2）的MAC地址是否為00-00-00-00-00-00，如果是，重啟設(shè)備，或者重啟網(wǎng)卡，MAC地址仍然是全0的話，則可以認為是硬件故障需要返修。二、撥號常見問題排查和解決辦法

3.一直處于等待