1、深信服上網行為管理常見問題排錯指導培訓內容培訓目標端口映射不生效排查1.掌握端口映射不成功的分析和排查方法規則庫更新不了1. 掌握控制臺內置規則庫更新不了的排查方法用戶斷網排查1.掌握用戶斷網問題排查思路某些應用使用異常排查1.掌握由于某些應用使用異常的排查方法外置數據中心同步失敗 掌握查不到上網行為日志的排查方法端口映射不生效排查端口映射不生效排查3. 服務器返回客戶端的數據要回應給AC/SG，通過AC/SG再轉發回應給客戶端WAN-LAN端口映射整個過程分為三個部分：1. 客戶端訪問服務器的數據到達AC/SG 設備2. AC/SG設備做DNAT轉換，再經過防火墻的過濾發給內網真實的服務器I

2、nternetPC服務器端口映射不生效排查AC設備網關模式部署，WAN1口IP地址為113.16.X.230，某客戶想通過端口映射發布內網的web服務器，服務器地址是00。配置完畢后，測試外網訪問http:/ 113.16.X.230無法打開頁面，現在需要定位問題出在哪了？排查思路：1.設備上測試服務器發布的端口2.檢查設備端口映射（DNAT）配置3.使用設備抓包工具抓包定位問題端口映射不生效排查1.設備上測試服務器發布的端口在設備上telnet服務器00的80端口是否能通，如果不通則檢查服務器運行狀態（服務器本機測試端口是否能通 ：telnet 80），以及設備到服務器的連通性。如果設備上測

3、試正常，但是外網仍然無法訪問，則進入下一步端口映射不生效排查2.檢查設備端口映射（DNAT）配置注意檢查配置細節和放通防火墻。具體配置說明請參考防火墻規則和路由規則PPT。檢查完配置后，但是外網仍然無法訪問，則進入下一步這里“自動放通防火墻數據”要啟用，如果這里是“否”，也可以人為從防火墻規則中單獨放通。端口映射不生效排查3.使用設備抓包工具抓包定位問題A.首先使用高級抓包在wan口抓取數據包，目的是看公網訪問服務器的請求是否已經到設備wan口了，以確認訪問請求是否被運營商攔截外網測試訪問http:/ 113.16.X.230，測試后下載剛才抓取的數據包，并分析：分析數據包，發現WAN1口能收

4、到訪問80端口的請求包，但是沒有回復包，目前能說明運營商沒有對80端口做限制，但是還不知到是配置問題導致沒映射成功，數據包沒有到服務器，還是服務器問題？端口映射不生效排查3.使用設備抓包工具抓包定位問題B.接著到LAN口去抓到WEB服務器00的80端口的數據包：外網測試訪問http:/ 113.16.X.230，測試后下載剛才抓取的數據包并分析：分析數據包，發現設備LAN口也抓到了訪問服務器80端口的包，說明端口映射規則設置成功了，已經把訪問外網80端口的數據映射給WEB服務器的80端口。現在可以定位問題出在服務器了，服務器沒有回應我們測試發送的SYN請求包。如需進一步分析，則需要到服務器以及

5、內網路由設備上抓包，這里不講解。規則庫更新不了規則庫更新不了AC部署在網絡當中，應用識別是基礎，應用識別為后面認證，審計和控制等模塊正常工作提供保障。如果規則庫太老，無法自動更新，則會導致設備一系列異常。規則庫更新不了該如何處理？規則庫更新不了1、檢察【系統配置】-【自動升級】-【升級服務有效期】是否顯示“已過期”。申請有效的序列號修改規則庫更新不了2、檢測設備本身到更新服務器是否可能 正常連能，即設備本身是否可以正常上網。保證設備可以上網，訪問公網服務器的80端口【系統配置】-【自動升級】-【最新版本】顯示“獲取信息失敗”。最新版本狀態為“獲取信息失敗”，最新版本一個小時更新一次，在確保設備

6、可以上網的前提下，等一個小時再觀察狀態。注意用戶斷網排查用戶斷網排查首先從內網PC上ping下網關，測試下PC和網關的網絡連通性。 如果從PC上ping不通網關，則需要先檢查下物理鏈路是否正常，有沒有二層的ARP欺騙。3. 開啟攔截日志并直通，看用戶上網是否恢復，如果恢復，則通過查看攔截日志，找到被拒絕數據的模塊，修改策略。關閉攔截日志和直通，測試上網是否恢復正常，如果仍然未恢復，則再開啟攔截日志，跟據攔截日志修改策略，直到故障修復。2. 如果PC能ping通網關，且網關是AC/SG設備，則需要檢查AC/SG設備上的代理上網配置或者路由是否正確，LAN-WAN防火墻是否放通。4. 如果設備網橋

7、部署，開啟直通后，仍然無法恢復上網，一般不是設備問題。此時可以跳過設備進一步驗證。某些應用使用異常排查某些應用使用異常排查 如果用戶斷網或只有部分應用訪問異常，例如QQ登錄不了，登錄不了網銀，某些網站打不開，那么這些現象有可能和AC/SG上設置的策略有關系。 1. 首先檢查下用戶管理的上網策略，是否有設置可能攔截數據的策略。 2. 設置條件，填入測試電腦的IP，開啟攔截日志并直通，測試故障是否修復。 （雖然也可以把測試電腦的IP地址填到設備的排除IP里，看故障是否修復，但是防火墻規則對排除IP還是生效的，所以還是建議用開啟攔截日志并直通來排除和定位問題） 3. 如果開啟攔截日志并直通后故障恢復

8、，那么可以定位問題是由于AC/SG設備的策略引起的，通過查看攔截日志，找到被拒絕數據的模塊，修改策略。 4. 關閉攔截日志和直通，測試應用是否訪問正常，如果仍然未恢復，則重復第2，3步，直到故障修復。某些應用使用異常排查數據中心同步失敗數據中心同步失敗1.在設備上測試連接外置數據中心服務器是否正常。同步端口使用的是TCP810,如果在AC上測試連接外置數據中心失敗，可以到服務器上確認本機是否正常監聽TCP810端口。可以telnet 810看是否成功2.如果服務器本機沒進程監聽該端口，到【開始】中，找到外置數據中心安裝目錄，先停止數據中心所有服務，再啟動數據中心所有服務。3.如果本機測試監聽端

9、口成功，則檢查AC到服務器的路由是否可達，中間是否有其他網絡設備阻止了TCP810端口的訪問。4.查看系統日志，通過系統日志可以檢查：外置數據中心安裝軟件的版本和設備版本是否一致，外置數據中心同步賬號和密碼是否和設備上的一致。5. 如果系統日志有其他告警或者錯誤日志，請聯系400處理。數據中心同步失敗步驟1 在設備上測試連接外置數據中心服務器是否正常 AC通過同步程序向外置數據中心datacenter.exe程序發同請求，通過tcp 810端口建立連接。如果在AC上測試連接外置數據中心失敗，可以到服務器上確認本機是否正常監聽TCP810端口。可以telnet 810看是否成功，也可以通過查看設備的監聽狀態netstat na，如下圖：服務器上測試本機的810端口是否通數據中心同步失敗 服務器未監聽810端口【開始】-【管理工具】-【服務】中檢查服務“Sangfor Data Center”（對應datacenter.exe進程）狀態是不是沒有啟動。右鍵設置該服務的屬性，服務”。 如果本機測試監聽端口成功則檢查AC和服務器之間是否有其他網絡設備阻止了TCP810端口的訪問。數據中心同步失敗步驟2 確認外置數據中心安裝軟件的版本和設備版本是否一致 設備和外置數據中心同步的時候會校驗兩者的軟件版本號是否一致，當兩者一致了才進行下一步的檢測，否則同步失敗。可以點擊WebUI