一、端口映射不生效排查
2. AC/SG设备做DNAT转换,再经过防火墙的过滤发给内网真实的服务器 3. 服务器返回客户端的数据要回应给AC/SG,通过AC/SG再转发回应给客户端 AC设备网关模式部署,WAN1口IP地址为113.16.X.230,某客户想通过端口映射发布内网的web服务器,服务器地址是172.16.2.100。配置完毕后,测试外网访问http:// 113.16.X.230无法打开页面,现在需要定位问题出在哪了? 排查思路: 1.设备上测试服务器发布的端口 2.检查设备端口映射(DNAT)配置 3.使用设备抓包工具抓包定位问题 1.设备上测试服务器发布的端口 在设备上telnet服务器172.16.2.100的80端口是否能通,如果不通则检查服务器运行状态(服务器本机测试端口是否能通 :telnet 127.0.0.1 80),以及设备到服务器的连通性。如果设备上测试正常,但是外网仍然无法访问,则进入下一步
2.检查设备端口映射(DNAT)配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》PPT。检查完配置后,但是外网仍然无法访问,则进入下一步 3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包,目的是看公网访问服务器的请求是否已经到设备wan口了,以确认访问请求是否被运营商拦截 外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包,并分析: 分析数据包,发现WAN1口能收到访问80端口的请求包,但是没有回复包,目前能说明运营商没有对80端口做限制,但是还不知到是配置问题导致没映射成功,数据包没有到服务器,还是服务器问题? 3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器172.16.2.100的80端口的数据包 外网测试访问http:// 113.16.X.230,测试后下载刚才抓取的数据包并分析: 分析数据包,发现设备LAN口也抓到了访问服务器80端口的包,说明端口映射规则设置成功了,已经把访问外网80端口的数据映射给WEB服务器的80端口。 现在可以定位问题出在服务器了,服务器没有回应我们测试发送的SYN请求包。如需进一步分析,则需要到服务器以及内网路由设备上抓包,这里不讲解。
二、规则库更新不了 AC部署在网络当中,应用识别是基础,应用识别为后面认证,审计和控制等模块正常工作提供保障。如果规则库太老,无法自动更新,则会导致设备一系列异常。 1、检察【系统配置】-【自动升级】-【升级服务有效期】是否显示“已过期”。 2、检测设备本身到更新服务器是否可能 正常连能,即设备本身是否可以正常上网。 注意:【系统配置】-【自动升级】-【最新版本】显示“获取信息失败”。 最新版本状态为“获取信息失败”,最新版本一个小时更新一次,在确保设备可以上网的前提下,等一个小时再观察状态。
三、用户断网排查 1.首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。 2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。 3.开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略,直到故障修复。 4.如果设备网桥部署,开启直通后,仍然无法恢复上网,一般不是设备问题。此时可以跳过设备进一步验证。
四、某些应用使用异常排查 如果用户断网或只有部分应用访问异常,例如QQ登录不了,登录不了网银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关系。
1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。
2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日志并直通来排除和定位问题)
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块,修改策略。
4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则重复第2,3步,直到故障修复。
五、数据中心同步失败
1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功
2.如果服务器本机没进程监听该端口,到【开始】中,找到外置数据中心安装目录,先停止数据中心所有服务,再启动数据中心所有服务。
3.如果本机测试监听端口成功,则检查AC到服务器的路由是否可达,中间是否有其他网络设备阻止了TCP810端口的访问。
4.查看系统日志,通过系统日志可以检查:外置数据中心安装软件的版本和设 备版本是否一致,外置数据中心同步账号和密码是否和设备上的一致。
5. 如果系统日志有其他告警或者错误日志,请联系400处理。
步骤1 在设备上测试连接外置数据中心服务器是否正常 AC通过同步程序向外置数据中心datacenter.exe程序发同请求,通过tcp 810端口建立连接。如果在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 127.0.0.1 810看是否成功,也可以通过查看设备的监听状态netstat –na,如下图:
服务器未监听810端口【开始】-【管理工具】-【服务】中检查服务“Sangfor Data Center”(对应datacenter.exe进程)状态是不是没有启动。 如果本机测试监听端口成功则检查AC和服务器之间是否有其他网络设备阻止了TCP810端口的访问。 步骤2 确认外置数据中心安装软件的版本和设备版本是否一致 设备和外置数据中心同步的时候会校验两者的软件版本号是否一致,当两者一致了才进行下一步的检测,否则同步失败。可以点击WebUI控制台登录界面的【查看版本】按钮见下图: 步骤3 检查外置数据中心同步账号和密码是否和设备上的一致 在AC设备的系统日志或者外置数据中心的实时日志查看到是否有用户名密码不一致的提示。若有,则根据提示修改设备和外置数据中心同步账号,使他们保持一致 步骤4 查看外置数据中心日志是否有其他告警日志或者错误日志 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-4-2 10:26
工程师2级 
