深信服行為管理操作文檔-110-最新版本

1、系統(tǒng)診斷工具 培訓內容培訓目標 上網故障排除功能介紹 1.了解上網故障排除功能的作用 2.掌握開啟數據直通的方法 3. 掌握分析拒絕日志的方法 命令控制臺 1.掌握AC命令控制臺支持的命令和操作方法 抓包工具的使用 1.掌握簡易抓包和高級抓包的方法 其他排錯工具 1.掌握全局排除地址、系統(tǒng)日志、控制臺操作日志 的用法 上網故障排除功能介紹 命令控制臺的使用 深信服公司簡介 其他排錯工具的使用 SANGFOR AC 抓包工具的使用 上網故障排除功能介紹 上網故障排除功能介紹上網故障排除功能介紹 開啟數據直通： 開啟后，AC&SG上設置的上網策略將不生效，符合策略設置應該被 拒絕的數據包會被設備放

2、行，同時會將符合策略設置應該被拒絕數據 包的情況以日志的方式顯示出來 上網故障排除功能用于查詢一個數據包在通過AC&SG設備時是被哪個 模塊拒絕，是什么原因被拒絕。當用戶上網出現(xiàn)故障時，便于快速定位 故障原因，也可用來測試一些規(guī)則是否生效 。 設置攔截日志過濾條件： 設置需要針對哪些IP地址，協(xié)議和端口開啟攔截日志。默認開啟所有 的攔截日志。 上網故障排除功能介紹上網故障排除功能介紹 開啟實時攔截日志： 將打開拒絕列表，此時設備所有的策略依然生效。符合策略設置應該拒絕的 數據包會被設備拒絕掉，同時會將符合策略設置應該被拒絕數據包的情況顯 示出來 設置開啟攔截日志的協(xié)議和端口 上網故障排除功能介

3、紹上網故障排除功能介紹 開啟實時攔截日志與數據直通： 開啟實時攔截日志同時開啟數據直通，此時設備設置的上網策略將不生效。 符合策略設置應該被拒絕的數據包會被設備放行，同時會將符合策略設置應 該被拒絕的數據包攔截情況顯示出來 。 上網故障排除功能使用案例上網故障排除功能使用案例 客戶環(huán)境： 客戶內網部署了AC設備后，所有 用戶部分網頁打不開，管理員想定 位是AC上的策略設置問題還是公 網運營商出現(xiàn)了故障。 上網故障排除功能使用案例上網故障排除功能使用案例 上網故障排除功能使用步驟和思路： 1. 設置攔截日志開啟條件。 如果選擇內網某一臺電腦做測試，可以只指定這一臺電腦的IP地址。 2. 開啟實時

4、攔截日志和數據直通。 3. 在測試電腦上訪問之前通信有故障的應用，看故障是否恢復，如果恢復， 說明是AC設備上的策略攔截了數據包。 4. 再查看實時攔截日志（一般可通過查看第一個包的日志，第一個包的攔 截日志詳細說明了是AC上哪條上網策略或哪個模塊丟棄了數據包）。 5. 根據攔截日志的提示修改策略，再關閉直通功能，測試故障是否恢復。 上網故障排除功能使用案例上網故障排除功能使用案例 1. 設置開啟條件，開啟實時攔截日志并直通。 為便于定位問題， 在內網找一臺電 腦測試 同時開啟數據直通 上網故障排除功能使用案例上網故障排除功能使用案例 2. 開啟攔截日志并直通后，測試電腦打開網頁操作，發(fā)現(xiàn)可以

5、打開網頁， 再到上網故障排除中刷新實時攔截日志，如下圖： 通過這些日志，可發(fā)現(xiàn)瀏覽網站的請求被URL過濾 丟包了，需要檢查上網權限策略中應用控制中的訪 問網站的相關網站類型的配置。 上網故障排除功能使用案例上網故障排除功能使用案例 3. 攔截日志提示被URL過濾規(guī)則丟棄，檢查用戶使用的上網策略規(guī)則。 所測試的電腦使用 的上網權限策略 檢查出在上網權限策略中， 確實設置了全天拒絕訪問 網站 上網故障排除功能使用案例上網故障排除功能使用案例 4. 刪除錯誤的規(guī)則，并關閉數據直通，內網電腦打開網頁看問題是否修復。 丟包源及丟包動作（即丟包原因）從設備上不一定能看明白，文檔 “SANGFOR_AC&S

6、G_v11.0_2016年度渠道初級認證培訓13_系統(tǒng)診斷工具_上網故障 排除丟包模塊及丟包原因說明.xls有詳細中文說明，更多丟包原因說明可以參考此文檔 注意 開直通后，仍然生效的模塊有nat，郵件過濾，網關殺毒(smtp和pop3殺 毒)，ssl內容識別，代理+cache，arp欺騙防護 ，系統(tǒng)路由和鏈路負載 命令控制臺的使用 命令控制臺命令控制臺 SANGFOR AC&SG命令控制臺提供一個簡單的控制臺命令行界面， 可用于對設備的一些簡單信息進行查看，支持的命令包括： arp（查看設備的arp表） mii-tool（查看設備網口的連接情況） ifconfig（查看設備網口信息） ping

7、（測試主機地址的連通性） telnet（測試端口連通性） ethtool（查看設備網卡信息） route（顯示設備的路由表） traceroute（跟蹤數據包轉發(fā)路徑） 在命令行頁面直接輸入命令回車即可 命令控制臺的使用場景及操作命令控制臺的使用場景及操作 場景一： 部署：設備單網橋部署eth0-eth2組成一組橋 FW-SG-3SW-PC 問題：內網用戶通過SG上不了網,內網PCping 網橋ip地址192.200.200.49不通，ping防火墻 內網口地址192.200.200.199也不通。 如何排查？ 命令控制臺的使用場景及操作命令控制臺的使用場景及操作 排查方法： a) 電腦單機接

8、SG設備的dmz口，用DMZ 口地址登陸設備 b) 查看設備網口接線狀況 配置 DMZ口網段地 址 10.252.252.x/24 DMZ c) 接線狀態(tài) 狀態(tài)正常，檢查設備的arp表， 是否可以獲取到上連FW和下連3SW的接口 的mac。 eth0、eth2網口如有 no link，檢查網口接 線情況 命令控制臺的使用場景及操作命令控制臺的使用場景及操作 排查方法： d) 查看網口是否有錯誤的包或者幀，如果網口有收到錯誤的包或者幀，檢查網線 是否網線傳輸有問題或者兩個網口之間的協(xié)商模式有問題檢查網口的工作狀態(tài)， 100M全雙工的or1000M全雙工的。設備與設備之間串接二層交換機測試。 網口

9、收到的錯誤的 包和錯誤的幀數 網卡的工作模式full 全雙工，100Mb 查看網口ip 命令控制臺的使用場景及操作命令控制臺的使用場景及操作 排查方法： e) 檢查設備的路由，跟蹤設備上外網的路徑，測試設備去外網的端口連通性。 抓包工具的使用 抓包工具的使用抓包工具的使用 高級抓包是用TCPDUMP的方式抓包，將抓取的數據包保存在設備的 控制臺界面，需要在電腦上安裝Sniffer或Ethereal等抓包軟件，才能 打開此數據包進行分析。高級抓包能抓取所有通過設備網卡的數據， 故在排查問題的過程中使用比較廣泛。 抓包工具的使用抓包工具的使用 （TCPDUMP）抓包的使用 將抓到的數據包下載到PC

10、 機本地，用Sniffer或Ethereal， Wireshark等抓包軟件打開 通過抓取的數據包，分析數據的通信是否正 常（是否有雙向通信的數據，源和目標IP是 否正確等） 抓包工具的使用抓包工具的使用 注意事項： 1. 高級（TCPDUMP）抓包的過濾表達式使用的是Linux下的標準TCPDUMP 格式 。 2. 如果對Linux命令不熟悉的話，可以參照示例中的格式“host 200.200.20.1 and port 53” ， 即抓取所有源IP和目標IP為200.200.20.1， 源端口和目標端口為53的數據包。常用命令舉例： 抓取192.168.1.1的ping包： host 19

11、2.168.1.1 and icmp 抓取192.168.1.1的UDP 1773的包： host 192.168.1.1 and udp port 1773 抓取192.168.1.1和192.168.1.2之間TCP 80的交互包： host 192.168.1.1 and host 192.168.1.2 and tcp port 80 其他排錯工具 其他排錯工具其他排錯工具全局排除地址全局排除地址 啟用全局排除地址，針對排除的地址，設備設置的上網策略將不生效， 也不進行審計。 說明： 1.排除地址可以是內網ip，或者外網IP。只要源IP或者 目的IP在排除地址列表，就不做控制和審計。 2.排除地址對防火墻規(guī)則和準入監(jiān)控IM聊天無效。 3.排除地址支持填寫域名。 其他排錯工具其他排錯工具系統(tǒng)日志系統(tǒng)日志 系統(tǒng)日志實時記錄著設備所有程序的運行情況，當程序有異常時對應模 塊會在系統(tǒng)日志打出告警或者錯誤日志。如果感覺