sangfor ac v1102016年度渠道高級認證培訓(xùn)常見問題排錯指導(dǎo)

常見問題排錯指導(dǎo)培訓(xùn)內(nèi)容培訓(xùn)目標端口映射不生效排查1.掌握端口映射不成功的分析和排查方法規(guī)則庫更新不了1.掌握控制臺內(nèi)置規(guī)則庫更新不了的排查方法用戶斷網(wǎng)排查1.掌握用戶斷網(wǎng)問題排查思路某些應(yīng)用使用異常排查1.掌握由于某些應(yīng)用使用異常的排查方法外置數(shù)據(jù)中心同步失敗掌握查不到上網(wǎng)行為日志的排查方法端口映射不生效排查端口映射不生效排查3.服務(wù)器返回客戶端的數(shù)據(jù)要回應(yīng)給AC/SG，通過AC/SG再轉(zhuǎn)發(fā)回應(yīng)給客戶端WAN-LAN端口映射整個過程分為三個部分：1.客戶端訪問服務(wù)器的數(shù)據(jù)到達AC/SG設(shè)備2.AC/SG設(shè)備做DNAT轉(zhuǎn)換，再經(jīng)過防火墻的過濾發(fā)給內(nèi)網(wǎng)真實的服務(wù)器InternetPC服務(wù)器端口映射不生效排查AC設(shè)備網(wǎng)關(guān)模式部署，WAN1口IP地址為113.16.X.230，某客戶想通過端口映射發(fā)布內(nèi)網(wǎng)的web服務(wù)器，服務(wù)器地址是00。配置完畢后，測試外網(wǎng)訪問http://113.16.X.230無法打開頁面，現(xiàn)在需要定位問題出在哪了？排查思路：1.設(shè)備上測試服務(wù)器發(fā)布的端口2.檢查設(shè)備端口映射（DNAT）配置3.使用設(shè)備抓包工具抓包定位問題端口映射不生效排查1.設(shè)備上測試服務(wù)器發(fā)布的端口在設(shè)備上telnet服務(wù)器00的80端口是否能通，如果不通則檢查服務(wù)器運行狀態(tài)（服務(wù)器本機測試端口是否能通：telnet80），以及設(shè)備到服務(wù)器的連通性。如果設(shè)備上測試正常，但是外網(wǎng)仍然無法訪問，則進入下一步端口映射不生效排查2.檢查設(shè)備端口映射（DNAT）配置注意檢查配置細節(jié)和放通防火墻。具體配置說明請參考《防火墻規(guī)則和路由規(guī)則》PPT。檢查完配置后，但是外網(wǎng)仍然無法訪問，則進入下一步這里“自動放通防火墻數(shù)據(jù)”要啟用，如果這里是“否”，也可以人為從防火墻規(guī)則中單獨放通。端口映射不生效排查3.使用設(shè)備抓包工具抓包定位問題A.首先使用高級抓包在wan口抓取數(shù)據(jù)包，目的是看公網(wǎng)訪問服務(wù)器的請求是否已經(jīng)到設(shè)備wan口了，以確認訪問請求是否被運營商攔截外網(wǎng)測試訪問http://113.16.X.230，測試后下載剛才抓取的數(shù)據(jù)包，并分析：分析數(shù)據(jù)包，發(fā)現(xiàn)WAN1口能收到訪問80端口的請求包，但是沒有回復(fù)包，目前能說明運營商沒有對80端口做限制，但是還不知道是配置問題還是服務(wù)器問題端口映射不生效排查3.使用設(shè)備抓包工具抓包定位問題B.接著到LAN口去抓到WEB服務(wù)器00的80端口的數(shù)據(jù)包：外網(wǎng)測試訪問http://113.16.X.230，測試后下載剛才抓取的數(shù)據(jù)包并分析：分析數(shù)據(jù)包，發(fā)現(xiàn)設(shè)備LAN口也抓到了訪問服務(wù)器80端口的包，說明端口映射規(guī)則設(shè)置成功了，已經(jīng)把訪問外網(wǎng)80端口的數(shù)據(jù)映射給WEB服務(wù)器的80端口。

現(xiàn)在可以定位問題出在服務(wù)器了，服務(wù)器沒有回應(yīng)我們測試發(fā)送的SYN請求包。如需進一步分析，則需要到服務(wù)器以及內(nèi)網(wǎng)路由設(shè)備上抓包，這里不講解。規(guī)則庫更新不了規(guī)則庫更新不了AC部署在網(wǎng)絡(luò)中，應(yīng)用識別是基礎(chǔ)，應(yīng)用識別為認證，審計和控制等模塊正常工作提供保障。如果規(guī)則庫太老，無法自動更新，則會導(dǎo)致設(shè)備一系列異常。規(guī)則庫更新不了該如何處理？規(guī)則庫更新不了1、檢察【系統(tǒng)管理】-【系統(tǒng)配置】-【規(guī)則庫升級】是否顯示“已過期”。這里不能是“已過期”狀態(tài)規(guī)則庫更新不了2、檢測設(shè)備本身到公網(wǎng)服務(wù)器連通性是否正常，即設(shè)備本身是否可以正常上網(wǎng)。保證設(shè)備可以上網(wǎng)，訪問公網(wǎng)服務(wù)器的80端口【規(guī)則庫升級】-【自動升級】-【最新版本】如果顯示“獲取信息失敗”。最新版本狀態(tài)如果為“獲取信息失敗“；由于最新版本一個小時更新一次，所以在確保設(shè)備可以上網(wǎng)的前提下，等一個小時再觀察狀態(tài)。注意用戶斷網(wǎng)排查用戶斷網(wǎng)排查首先從內(nèi)網(wǎng)PC上ping下網(wǎng)關(guān)，測試下PC和網(wǎng)關(guān)的網(wǎng)絡(luò)連通性。如果從PC上ping不通網(wǎng)關(guān)，則需要先檢查下物理鏈路是否正常，有沒有二層的ARP欺騙。3.開啟攔截日志并直通，看用戶上網(wǎng)是否恢復(fù)，如果恢復(fù)，則通過查看攔截日志，找到被拒絕數(shù)據(jù)的模塊，修改策略。關(guān)閉攔截日志和直通，測試上網(wǎng)是否恢復(fù)正常，如果仍然未恢復(fù)，則再開啟攔截日志，根據(jù)攔截日志修改策略，直到故障修復(fù)。2.如果PC能ping通網(wǎng)關(guān)，且網(wǎng)關(guān)是AC/SG設(shè)備，則需要檢查AC/SG設(shè)備上的代理上網(wǎng)配置或者路由是否正確，LAN-WAN防火墻是否放通。4.如果設(shè)備網(wǎng)橋部署，開啟直通后，仍然無法恢復(fù)上網(wǎng)，一般不是設(shè)備問題。此時可以跳過設(shè)備進一步驗證。某些應(yīng)用使用異常排查某些應(yīng)用使用異常排查

如果用戶斷網(wǎng)或只有部分應(yīng)用訪問異常，例如QQ登錄不了，登錄不了網(wǎng)銀，某些網(wǎng)站打不開，那么這些現(xiàn)象有可能和AC/SG上設(shè)置的策略有關(guān)系。

1.首先檢查下用戶管理的上網(wǎng)策略，是否有設(shè)置可能攔截數(shù)據(jù)的策略。

2.設(shè)置條件，填入測試電腦的IP，開啟攔截日志并直通，測試故障是否修復(fù)。

（雖然也可以把測試電腦的IP地址填到設(shè)備的排除IP里，看故障是否修復(fù)，但是防火墻規(guī)則對排除IP還是生效的，所以還是建議用開啟攔截日志并直通來排除和定位問題）

3.如果開啟攔截日志并直通后故障恢復(fù)，那么可以定位問題是由于AC/SG設(shè)備的策略引起的，通過查看攔截日志，找到被拒絕數(shù)據(jù)的模塊，修改策略。

4.關(guān)閉攔截日志和直通，測試應(yīng)用是否訪問正常，如果仍然未恢復(fù)，則重復(fù)第2，3步，直到故障修復(fù)。某些應(yīng)用使用異常排查日志中心同步失敗日志中心同步失敗1.在設(shè)備上測試連接外置數(shù)據(jù)中心服務(wù)器是否正常。同步端口使用的是TCP810,如果在AC上測試連接外置數(shù)據(jù)中心失敗，可以到服務(wù)器上確認本機是否正常監(jiān)聽TCP810端口。可以telnet810看是否成功。2.如果本機測試監(jiān)聽端口成功，則檢查AC到服務(wù)器的路由是否可達，中間是否有其他網(wǎng)絡(luò)設(shè)備阻止了TCP810端口的訪問，此處尤其注意外置服務(wù)器上是否安裝了某些安全軟件或防火墻做了阻止，建議測試時可以先關(guān)閉服務(wù)器上防火墻或安全軟件再測試。3.查看系統(tǒng)日志，通過系統(tǒng)日志可以檢查：外置數(shù)據(jù)中心安裝軟件的版本和設(shè)備版本是否一致，外置數(shù)據(jù)中心同步賬號和密碼是否和設(shè)備上的一致。4.如果系統(tǒng)日志有其他告警或者錯誤日志，請聯(lián)系400處理。數(shù)據(jù)中心同步失敗步驟1

在設(shè)備上測試連接外置數(shù)據(jù)中心服務(wù)器是否正常

AC通過同步程序向外置數(shù)據(jù)中心datacenter.exe程序發(fā)送請求，通過tcp810端口建立連接。如果在AC上測試連接外置數(shù)據(jù)中心失敗，可以到服務(wù)器上確認本機是否正常監(jiān)聽TCP810端口?？梢詔elnet810看是否成功，也可以通過查看設(shè)備的監(jiān)聽狀態(tài)netstat–na，如下圖：服務(wù)器上測試本機的810端口是否通數(shù)據(jù)中心同步失敗服