文档介绍:SANGFOR AC&SG常见问题排错指导
培训内容
培训目标
所有用户上网断网
上网策略导致访问异常
端口映射不成功
内网收发邮件异常
1. 掌握内网用户收发邮件异常情况下的排查方法
域新组件模式下单点登录不成功
了解域新组件单点登录的各个环节
掌握域新组件单点登录不成功的排查方法
查不到上网行为日志
掌握查不到上网行为日志的排查方法
外置数据中心无法建立索引
常见问题排错指导
1. 所有用户上网断网
3. 端口映射不成功
5. 域新组件模式单点登录不成功
4. 内网收发邮件异常
6. 查不到上网行为日志
所有用户上网断网
所有用户上网断网
首先从内网PC上ping下网关,测试下PC和网关的网络连通性。如果从PC上ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。
4. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略,直到故障修复。
3. 如果PC与AC/SG设备之间跨三层设备,需要检查AC/SG设备上的防DOS攻击设置,是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连,没有跨越任何的三层交换设备”(三层环境下不能勾选),DOS防御的参数是否设置过低导致的断网。
2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的***配置或者路由是否正确,LAN-WAN防火墙是否放通。
上网策略导致访问异常
上网策略导致访问异常
如果用户只有部分应用访问异常,例如MSN登录不了,登录不了网银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关系。
1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。
2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否修复。
(虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日志并直通来排除和定位问题)
上网策略导致访问异常
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块,修改策略。
4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则重复第2,3步,直到故障修复。
端口映射不成功
WAN-LAN 端口映射不成功
3. 服务器返回客户端的数据要回应给AC/SG,通过AC/SG再转发回应给客户端
WAN-LAN端口映射整个过程分为三个部分:
1. 客户端访问服务器的数据到达AC/SG 设备
2. AC/SG设备做DNAT转换,再经过防火墙的过滤发给内网真实的服务器
PC
服务器