sslvpn最基本排错办法ppt课件.ppt

SSLVPN最最基本排错 WEB资源介绍 WEB资源实现原理 WEB资源的实现是靠设备进行协议转换 将访问的协议转换成https协议 使用范围 web资源不需客户端控件支持 可以支持所有浏览器 web资源目前仅支持支持HTTP HTTPS FTP MAIL四种资源 WEB资源介绍 Web资源访问流程 客户端连接SSL设备将客户端的请求地址转换为并将请求发到服务器服务器回应请求 返回所请求的页面到SSLVPN设备SSLVPN对页面内容进行分析 把页面上所有的链接以及图片之类的链接都修改成的类型 SSL设备将修改完的页面返回给客户端 所以 http类型主要是通过修改URL来实现的 1 修改客户端请求的URL 2 修改服务器返回的页面内容的链接的URL SSL设备地址 192 200 200 235服务器地址 192 200 200 55 2 3 1 TCP资源介绍 TCP资源介绍 TCP服务功能由两部分实现 1 客户端控件proxyIE 2 服务端proxy 工作原理是建立代理机制 发出去的包都经过了设备的截取并代理 回来的包也一样 App服务 在完成配置ProxyIE后 ProxyIE开始侦听本地端口 App服务应用程序首先连接到ProxyIE ProxyIE与mod mvcon模块交互后 该连接将被转移给服务端的proxy处理 建立vpn数据通道 proxy最终与应用程序建立连接 L3VPN资源 排错工具与思路 Svpntool工具的使用方法 svpntool工具的作用svpntool工具是专门用于SANGFORSSLVPN客户端控件的查看 安装 卸载等操作 可以帮助我们对客户端安装的控件进行完全的卸载 或者是重新安装以解决某些时候客户端控件的问题 也可以帮助我们在客户端访问SSLVPN有问题的时候来作为一个判断的手段 svpntool工具获取方法1 IP字段为SSL设备的IP地址 2 通过任意一台5 0及以上版本的SSL设备客户端登录页面下载 问题处理思路 一般SSLVPN的问题可以分为三类 1 客户端PC2 设备端配置3 网络的问题 在处理问题时最重要的一点是 必须先判断出问题是出在客户端还是设备端还是网络端 然后对应问题进行解决 而不是毫无目的去查找问题和处理问题 排错指引 客户端故障定位及解决方法 1 插件是否安装2 本地防火墙杀毒软件3 浏览器缓存及设置4 代理服务器5 权限问题6 系统问题 插件是否安装 本地防火墙与杀毒软件 注 在安装控件的过程中可能会因为本地防火墙 360安全卫士 以及浏览器本身的一些安全防护作用 会弹出如上的提示框 点击允许即可 浏览器缓存及设置 1 清理浏览器缓存或恢复浏览器默认配置2 添加信任站点3 允许下载相应的Active插件 代理服务器设置 要注意所在局域网是否有使用代理 如果有使用代理 请在 工具 选项卡 Internet选项 局域网设置 在例外里排除通过VPN要访问的服务器地址 非SSLVPN登录地址 权限问题 有时 因为开机登录本机PC的windows用户权限不够 导致控件安装失败 所以建议以管理员administrator权限登录PC或运行相关程序 系统问题 如果客户PC是通过Ghost系统文件装的系统 因为电脑系统是Ghost备份出来的 备份的系统中可能安装有与客户端冲突的驱动或组件 导致客户端组件无法正常安装 解决办法 建议客户重装系统 采用 光盘或 Iso镜像 进行重装 设备端故障定位及解决方法 1 基本配置网络 路由 资源 角色 用户2 检查访问内网资源的IP和端口是否添加完整 网络问题定位及解决方法 1 端口映射2 防火墙拦截3 路由问题4 服务未启动 端口映射 如果SSL设备单臂部署 检查前端FW端口映射是否80或者443没有做映射 设备默认的443和80端口是否被做过修改等 如果SSL设备网关模式部署 则检查从内网是否可以通过SSL设备的LAN口的80和443 测试方法 用用户的PCtelnet设备的80和443端口 防火墙拦截 常见于vpn设备与服务器之间存在防火墙 检查防火墙是否拦截设备与服务器之间的应用 解决方法 1 后天测试 wget命令2 尝试将设备的内网IP配置到PC上 用PC去尝试一下看能否访问到 路由问题 1 确保用户与设备之间 设备与内网服务器之间的路由可达 2 如果访问资源是以虚拟IP作为源地址 注意添加虚拟IP的路由 服务未启动 1 服务器做了限制2 服务器未开启相应服务3 服务器相关服务故障解决思路 主要表现为设备访问不到相应服务 主要用一台PC替代设备访问资源 如果出现同样的问题 可以排除设备问题 案例分析 1 SSL登录页面无法打开 1 首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面 2 如果是所有客户端都打不开 则需要检查设备端的设置和网络设置 3 如果只有部分PC打不开登录页面 则问题出在客户端 需要具体检查PC的情况 如网络不通 本地防火墙杀毒软件的限制 本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致 2 SSL可以正常登录 但无法访问内网资源 1 首先判断是所有客户端都无法访问页面还是部分PC不能访问2 检查SSL设备本身能否访问到内网资源3 检查访问内网资源的IP和端口是否