SANGFOR_AC&SG_V4.0_2012年度渠道高级认证培训10_常见问题排错指导_20120524.ppt
《SANGFOR_AC&SG_V4.0_2012年度渠道高级认证培训10_常见问题排错指导_20120524.ppt》由会员分享,可在线阅读,更多相关《SANGFOR_AC&SG_V4.0_2012年度渠道高级认证培训10_常见问题排错指导_20120524.ppt(39页珍藏版)》请在三一文库上搜索。
1、SANGFOR AC&SG常见问题排错指导,常见问题排错指导,1. 所有用户上网断网,3. 端口映射不成功,5. 域新组件模式单点登录不成功,4. 内网收发邮件异常,2.上网策略导致访问异常,6. 查不到上网行为日志,7.外置数据中心无法建立索引,所有用户上网断网,所有用户上网断网,首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。,4. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是否恢复正常,如果仍然未恢复
2、,则再开启拦截日志,跟据拦截日志修改策略,直到故障修复。,3. 如果PC与AC/SG设备之间跨三层设备,需要检查AC/SG设备上的防DOS攻击设置,是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连,没有跨越任何的三层交换设备”(三层环境下不能勾选),DOS防御的参数是否设置过低导致的断网。,2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。,上网策略导致访问异常,上网策略导致访问异常,如果用户只有部分应用访问异常,例如MSN登录不了,登录不了网银,某些网站打不开,那么这些现象有可能和AC/S
3、G上设置的策略有关系。 1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。 2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日志并直通来排除和定位问题),上网策略导致访问异常,3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块,修改策略。 4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则重复第2,3步,直到故障修复。,端口映射不成
4、功,WAN-LAN 端口映射不成功,3. 服务器返回客户端的数据要回应给AC/SG,通过AC/SG再转发回应给客户端,WAN-LAN端口映射整个过程分为三个部分:,1. 客户端访问服务器的数据到达AC/SG 设备,2. AC/SG设备做DNAT转换,再经过防火墙的过滤发给内网真实的服务器,Internet,PC,服务器,WAN-LAN 端口映射不成功,一般情况下,只要PC能访问公网,AC/SG设备本身设置了公网IP地址,PC访问设备上的公网IP地址,这个请求是能到达设备上的。设备 WAN口接光纤,有多个IP地址的情况下,可能出现某个IP不可用的情况,这种情况就会导致第一个阶段失败,端口映射不成
5、功,或者服务器的访问端口被运营商封堵了的情况,也同样会导致访问数据到不了设备。,WAN-LAN端口映射不成功过程分析和排查思路:,我们根据端口映射整个过程分三个阶段来分析:,第一个阶段,客户端的访问数据到达AC/SG设备。,WAN-LAN 端口映射不成功,判断客户端访问的数据是否到达了AC/SG设备,最直接和最好的方法就是使用设备控制台上的抓包工具,使用高级抓包抓取WAN口的数据,过滤条件填写客户端的公网IP和访问的应用服务器的端口。 分析抓包结果,如果没有数据包过来,可以尝试换下应用服务器的端口,或者用另外一个公网IP试下,判断是公网IP不可用还是端口的问题。,WAN-LAN端口映射不成功过
6、程分析和排查思路:,WAN-LAN 端口映射不成功,如果端口映射规则设置错误,或者防火墙WAN-LAN规则没有放通,那么端口映射也是不成功的。 这一步可以通过检查AC/SG设备上的端口映射规则是否有勾选“防火墙自动放行数据”和是否手动配置防火墙过滤规则来排查。,WAN-LAN端口映射不成功过程分析和排查思路:,第二个阶段,AC/SG设备按照设置的端口映射规则进行DNAT转换,通过防火墙过滤后,数据再转发到服务器上。,WAN-LAN 端口映射不成功,第二阶段也可以通过设备控制台的抓包工具(高级抓包)来进行判断。需要抓取设备WAN口和LAN口的数据,查看客户端访问服务器的数据的目标IP和端口。如果
7、抓到数据包的目标IP是公网IP,并未根据端口映射规则设置的转换成服务器的内网IP地址,则要检查防火墙规则设置,因为WAN-LAN防火墙没放通的情况下,不会进行DNAT转换的。 抓取LAN口的数据,是验证客户端访问服务器的数据,是否被AC/SG设备转发到内网服务器,如果目标IP和端口均与服务器匹配,且LAN有转发数据,那么说明第二个阶段也是没有问题的。,WAN-LAN端口映射不成功过程分析和排查思路:,WAN-LAN 端口映射不成功,如果内网有其他的网络出口,应用服务器的网关不是指向AC/SG,服务器回应客户端的数据从另外的公网出口发给客户端,这样会导致客户端不接收数据,端口映射不成功。 如果第
8、二个阶段判断客户端访问应用服务器的数据,由AC/SG设备的LAN口转发到了内网,但是没有收到服务器的回应的数据,说明服务器的网关不是指向AC/SG设备,或者缺省路由是通过其他出口转发了数据。 这样的情况下,需要修改应用服务器上的网关或者缺省路由,让服务器上网的数据通过AC/SG设备。,WAN-LAN端口映射不成功过程分析和排查思路:,第三个阶段,服务器返回客户端的数据要回给AC/SG。,LAN-LAN端口映射不成功,1. 客户端通过AC/SG公网IP访问内网应用服务器的数据由设备LAN口进入设备,LAN-LAN端口映射整个过程分为四个部分:,2. AC/SG设备做DNAT和SNAT转换,通过L
9、AN-LAN防火墙过滤后,再从LAN口转发数据到内网服务器,3. 服务器将回应的数据转发给AC/SG设备,4. AC/SG设备将服务器将回应的数据返回给客户端,LAN-LAN端口映射不成功,LAN-LAN端口映射过程,由于客户端和应用服务器都在内网,端口映射不成功,基本上均是因为AC/SG设备上的端口映射规则和防火墙规则设置不恰当引起的。,LAN-LAN环境下的端口映射规则有两种方式实现: 1)手动添加LAN-LAN端口映射,SNAT和防火墙规则。 2)在WAN-LAN端口映射高级规则里,勾选“发布服务器”自动创建。(该方式仅限于AC/SG 3.0及之后的版本,且3.0及之后的版本推荐通过此方
10、法实现LAN-LAN端口映射),LAN-LAN端口映射不成功,1. LAN-LAN端口映射规则: LAN-LAN环境下的端口映射规则和WAN-LAN环境下的端口映射规则,只有一个地方不同,那就是外网接口。 WAN-LAN环境下的端口映射规则,外网接口选择的是WAN口(如WAN1或WAN2),是因为客户端访问应用服务器的数据是从公网通过WAN口进入到设备的。 LAN-LAN环境下的端口映射规则,外网接口要选择LAN或者DMZ口,因为客户端在内网,访问数据是通过LAN或者DMZ口进入到设备。,手动添加的LAN-LAN端口映射,SNAT和防火墙规则,端口映射不成功过程分析和排查思路:,LAN-LAN
11、端口映射不成功,SNAT规则,即代理上网设置: LAN-LAN端口映射环境下,需要设置代理上网,是为了进行源IP地址的转换。当客户端访问服务器时,将客户端的IP转换成AC/SG设备LAN口的IP地址,再转发给服务器。 这样做的目的是为了让服务器回给客户端的数据包时,先回给AC/SG设备。如果不做这样的转换,服务器直接通过内网回包给客户端,数据包会被内网客户端丢弃,导致端口映射不成功。 所有LAN-LAN环境下的代理上网规则,源IP地址要转换为设备LAN口的IP地址。(代理上公网的环境下,源IP地址要转换成设备的WAN口公网地址),LAN-LAN端口映射不成功,LAN-LAN防火墙规则: LAN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SANGFOR_AC ampSG_V4 _2012 年度 渠道 高级 认证 培训 10 常见问题 指导 _20120524
链接地址:https://www.31doc.com/p-2999699.html