SANGFOR_IPSEC_2016年渠道高级认证培训02_SANGFOR DLAN互联案例及常见故障排错

SANGFORDLAN互联案例及常见故障排错,1.SANGFORDLAN互联案例,3.故障二VPN已经建立，但访问不到对端服务器,4.故障三VPN使用不稳定,2.故障一无法建立VPN连接,5.故障四拨号常见问题排查和解决办法,需求：客户网络拓扑如下，深圳和北京分别有一台VPN设备，分别以网关模式和单臂模式部署到两个局域中，客户希望192.200.1.0/24的PC可以访问服务器10.0.1.25.其中，北京的网络出口是拨号的。,基本思路1.将设备部署上架2.要两端内网电脑能通讯，必须先建立VPN连接。3.选择一台VPN设备做VPN总部，另一台VPN设备做VPN分支。4.总部需要配置WEBAGENT信息与用户帐号，同时保证VPN监听端口可被分支设备访问、内网PC数据路由经过VPN。分支配置连接管理即可。(本例以北京的设备做为总部，深圳的设备做为分支进行配置。),总部VPN配置步骤：第一步：将深信服VPN设备配置成单臂模式并且上架。北京设备接口配置如下：,第二步：配置WEBAGENT，进入VPN信息设置基本设置，设置好主WEBAGENT信息，MTU和最小压缩值默认即可，监听端口采用默认值，本案例配置界面如下：,第三步：为分支建一个VPN账号，进入VPN信息设置用户管理，新增一个VPN账号，选择类型为分支，配置界面如下：,总部VPN配置步骤：,以上步骤结束，总部配置完成。,第五步：由于本端的VPN设备单臂模式部署，内网PC的网关指向防火墙，为了保证访问10.0.1.25的数据经过VPN设备，还需要在防火墙上添加静态路由，目标网络为10.0.1.0/24，下一跳地址为192.200.1.252。,第四步：在前置的防火墙把WAN口方向的TCP和UDP4009端口映射到VPN设备，各厂家配置不一样，此处不一一例举。,分支VPN配置步骤：,第一步：将深信服VPN设备配置成网关模式并且上架。深圳设备接口地址设置如下：,分支VPN配置步骤：,第二步：建立VPN连接，进入VPN信息设置连接管理，新建一个连接，填写总部设置的WEBAGNET，总部建的VPN账号，界面如下：,两台设备做VPN互联时，必须保证至少有一台设备的VPN连接端口在公网上能通。,以上配置结束后，完成总部与分支VPN连接的所有步骤，若VPN连接成功，可以通过DLAN运行状态查看连接情况，如图：,故障一无法建立VPN连接,A、要确认VPN是否能连接，最直观的方法是查看连接状态。一个正常的VPN连接状态，是有用户名、类型、实时流量、InternetIP、内网IP、接入时间、传输类型的。,总部单臂部署下有一种情况，有连接状态但是在分支设备的VPN运行状态里看不到总部设备对应的InternetIP，分支连接之后无法正常访问总部，分支使用的是UDP模式建立连接，则可能是总部单臂设备前置没有做UDP端口映射，所以无法用UDP模式传输数据。处理方法：放通UDP端口或者改成TCP传输模式。,故障一无法建立VPN连接,B、查看系统日志的提示。需要同时查看总部和分支的DLAN日志，在这里能看出错误的原因。点击系统日志日志选项，单独显示DLAN模块日志：1、比如VPN设备上不了网，一般如下报错：2、两端VPN连接不成功，报Connectionresetbypeer，一般是网络问题或者中间有安全设备拦截了VPN通讯数据，建议更换传输模式UDP或者改VPN通信端口：端口。）,故障一无法建立VPN连接,C、检查设备的部署方式和配置。,D、测试Webagent是否有效以及总部VPN连接端口是否通。VPN总部设备需要上网更新webagent地址，而分支VPN设备需要访问webagent地址获得总部VPN设备的公网IP地址。正常情况下，Webagent在总部日志是能看到更新日志的，如下图。,测试webagent的方法有：1、填写webagent的时候，有测试按钮。打绿色勾表示webagent可用，打红色叉表示不可用。,故障一无法建立VPN连接,2、在浏览器地址栏测试。例如这个webagent是,不正常的测试接入如下：,以上如果确认webagent正常，那么就要测试总部的VPN连接端口是否通（VPN默认连接端口为4009，总部单臂模式下，需要在前置设备做4009的端口映射）。,故障一无法建立VPN连接,E、确认两端设备的VPN版本是否一致或许您会问，DLAN版本信息怎么确定呢，其他有DLAN模块的产品线又怎么确定版本？例如AF的VPN模块。这里就是我们要讨论的。因为我们的DLAN是2.X的版本只能和2.X的版本建立VPN，4.X和4.X及以上的版本建立VPN，所以我们只要能区分2.X版本跟4.X的版本就可以了。,方法一，当然就是看设备版本信息了，如下图：,方法二，SangforVPN有一个重要的特征，就是4.X版本的DLAN都是有【第三方对接】这个模块的。,故障一无法建立VPN连接,F、测试两个设备之间的网络是否可达（通过telnet去测试对端公网IP的VPN端口是否通）,G、尝试修改VPN设备接口的MTU。可能设备发出去的包太大导致中途被丢弃，检查双方设备接口MTU值，将MTU值适当调小,故障二VPN已经建立，但访问不到对端服务器,在排错前，我们先了解一下正常的VPN数据流走向，这里以分支PC：10.0.1.2访问总部服务器Server：192.200.1.3为例。,1、PC数据发送到分支VPN的LAN口，查自身路由表发现下一条是发送给VPN接口IP，用升级客户端查看的结果，如下图，去往192.200.1.0/24下一跳接口是vpntun，进入VPN隧道，发往总部。,1,如果遇到分支是单臂情况，且PC与分支设备是同网段，建议把PC网关直接指向分支设备的LAN口进行测试。,故障二VPN已经建立，但访问不到对端服务器,在排错前，我们先了解一下正常的VPN数据流走向，这里以分支PC：10.0.1.2访问总部服务器Server：192.200.1.3为例。,3、从总部vpntun接口出来，查路由表，数据应该从LAN口交出去。跟Server同网段，直接发给Server。,1,2、数据封装之后从分支设备WAN口发出，并到达总部设备LAN口，然后解封装。,2,3,如果总部有三层环境，请确保核心交换机有可达路由。,故障二VPN已经建立，但访问不到对端服务器,在排错前，我们先了解一下正常的VPN数据流走向，这里以分支PC：10.0.1.2访问总部服务器Server：192.200.1.3为例。,1,2,3,4、Server回应PC的请求，把回应发给自身的网关192.200.1.1.,4,5、总部网关要写回包路由，把去往目的10.0.1.0/24，下一跳是VPN的LAN口。根据这个路由，把回应数据交到VPN的LAN口。,5,如果是三层环境，请确保核心交换机有回包路由：去往分支网段10.0.1.0/24下一跳指向192.200.1.252。如果是二层环境，可以尝试临时把服务器的网关指向总部VPN的LAN口。,故障二VPN已经建立，但访问不到对端服务器,在排错前，我们先了解一下正常的VPN数据流走向，这里以分支PC：10.0.1.2访问总部服务器Server：192.200.1.3为例。,1,6,3,4,5,2,6、总部VPN接收到从LAN进来的数据，查看自身路由表，发现下一跳是发送给VPN接口IP，用升级客户端查看的结果，如下图，去往10.0.1.0/24下一跳接口是vpntun，进入VPN隧道，发往分支。,7、分支VPN设备接收到数据后解封装，发回给PC10.0.1.2。,7,故障二VPN已经建立，但访问不到对端服务器,1,6,3,4,5,2,7,排错步骤：,A、从分支PC测试VPN是否连通。分支PC上通过ping总部VPN设备LAN口，即测试图中的连通性。也可trace跟踪路由，从PC出发，第一跳是分支VPN的LAN口10.0.1.1，第二跳是总部VPN的VPN接口IP：52.51.18.11。PS：查看配置本VPN接口IP操作如下：,故障二VPN已经建立，但访问不到对端服务器,1,6,3,4,5,2,7,排错步骤：,B、从服务器端的VPN设备上PING服务器看是否通。通过网关升级客户端登录到服务器端的VPN设备上进行PING测试，即测试图中的连通性。,C、检查两端设备是否做了内网权限限制。,D、关闭服务器上的杀毒软件和防火墙再测试一下。,故障三VPN使用不稳定,A、检查是否公网本身不稳定的原因。,SangforVPN使用不稳定，包括了延时大、丢包高或者是频繁断开。,2、可能是公网链路对于使用TCP/UDP高端口传输的数据做了限制或者双方本身是跨运营商链路。可以尝试修改VPN传输协议或者修改VPN传输端口或者开启跨运营商序列号。需要注意，修改VPN传输端口时，要避开设备本身其他服务已经使用的端口如UDP53、UDP500、UDP4500、TCP443、TCP80等。,1、可能是本端或远端线路带宽被占满，检查双方的出口链路上下行带宽，可尝试对VPN流量做带宽保障。,3、ping对端VPN设备的公网IP和内网主机IP，比较延时。可ping大包测试（ping大包的参数是lsize如ping8.8.8.8l1470，ping大包，是因为线路不稳定时默认的32bytes的包可能不会丢包，这时就要ping大点的包察看是否丢包，丢的话线路还是有问题的。另外如果ping对端VPN设备公网IP的延时小于内网主机IP的延时，则修改传输模式看是否修复。,故障三VPN使用不稳定,B、可能是VPN流量超过了一方设备的处理性能，检查双方设备的CPU利用率及了解设备的实际性能参数。,C、检查内网通讯是否正常(内网是否有arp欺骗，电脑中病毒的情况),D、如果有设置VPN的多线路策略，修改多线路策略看是否稳定。,E、反向连接。把原来的VPN分支端和总部端配置互换，改成由另一端发起连接，看是否稳定，或者将直连改成非直连试下。,故障四拨号常见问题排查和解决办法,如果使用SANGFOR设备拨号，发现拨号断得比较频繁，请检查拨号参数设置，ADSL拨号参数推荐设置成20，80，3，光纤拨号参数推荐设置成60，240，9,1.通过SANGFOR设备拨号经常断,2.通过SANGFOR设备拨不上号，电脑可以拨上,SANGFORS5100的网口不支持自动翻转，如果客户使用的是不支持线序自动翻转的modem（如华为MT800），并使用直通线连接设备和modem，则会出现设备拨不上号的情况。解决办法是更换交叉线连接设备和modem，或者在设备和modem之间加个小交换机。,故障四拨号常见问题排查和解决办法,检查设备连接modem的WAN口（WAN1对应eth2）的MAC地址是否为00-00-00-00-00-00，如果是，重启设备，或者重启网卡，MAC地址仍然是全0的话，则可以认为是硬件故障需要返修。,3.一直处于等待中，无法拨号成功,4.其他拨号不成功的原因，请详细参照拨号日志提示,1）Authenticationfailure.PAPauthenticationfailed.PAP用户认证失败，请确保填写的是正确的用户名和密码。2）CHAPauthenticationfailed.CHAP用户认证失败，请确保填写的是正确的用户名和密码。,故障四拨号常见问题排查和解决办法,3）Loginincorrect，PAPauthenticationfailed.用户登录失败，不存在此用户，请检查用户名是否输入正确。4）LCPterminatedbypeer（peerrefusedtoauthentication）对端设备终止连接/拒绝连接，请重新拨号或者联系ISP5）Noresponseto3echo-requests.Seriallinkappearstobedisconnected.远端服务器没有相应本端的回声请求，线路可能断开，检查线路是否正常6）拨号时出现提示“outofrange”之类，很有可能是运营商绑定了拨号设备的MAC地址，此时可以通过换一台PC拨号来证实。这种情况需联系运营商重新绑定SANGFOR设备WAN口的MAC地址7）提示出现“pppunithasbeenused”之类的，可能设备在重复拨号，可以重启下设备再拨号试下,故障四拨号常见问题排查和解决办法,8）Modemhangup