SANGFOR_AC_v11.0_2016年度渠道初级认证培训13_系统诊断工具

系统诊断工具,上网故障排除功能介绍,命令控制台的使用,深信服公司简介,其他排错工具的使用,SANGFORAC,抓包工具的使用,上网故障排除功能介绍,上网故障排除功能介绍,开启数据直通：开启后，AC&SG上设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来,上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个模块拒绝，是什么原因被拒绝。当用户上网出现故障时，便于快速定位故障原因，也可用来测试一些规则是否生效。,设置拦截日志过滤条件：设置需要针对哪些IP地址，协议和端口开启拦截日志。默认开启所有的拦截日志。,上网故障排除功能介绍,开启实时拦截日志：将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来,设置开启拦截日志的协议和端口,上网故障排除功能介绍,开启实时拦截日志与数据直通：开启实时拦截日志同时开启数据直通，此时设备设置的上网策略将不生效。符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝的数据包拦截情况显示出来。,上网故障排除功能使用案例,客户环境：客户内网部署了AC设备后，所有用户部分网页打不开，管理员想定位是AC上的策略设置问题还是公网运营商出现了故障。,上网故障排除功能使用案例,上网故障排除功能使用步骤和思路：设置拦截日志开启条件。如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。开启实时拦截日志和数据直通。在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢复，说明是AC设备上的策略拦截了数据包。再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。,上网故障排除功能使用案例,1.设置开启条件，开启实时拦截日志并直通。,为便于定位问题，在内网找一台电脑测试,同时开启数据直通,上网故障排除功能使用案例,开启拦截日志并直通后，测试电脑打开网页操作，发现可以打开网页，再到上网故障排除中刷新实时拦截日志，如下图：,通过这些日志，可发现浏览网站的请求被URL过滤丢包了，需要检查上网权限策略中应用控制中的访问网站的相关网站类型的配置。,上网故障排除功能使用案例,3.拦截日志提示被URL过滤规则丢弃，检查用户使用的上网策略规则。,所测试的电脑使用的上网权限策略,检查出在上网权限策略中，确实设置了全天拒绝访问网站,上网故障排除功能使用案例,4.删除错误的规则，并关闭数据直通，内网电脑打开网页看问题是否修复。,丢包源及丢包动作（即丢包原因）从设备上不一定能看明白，文档“SANGFOR_AC&SG_v11.0_2016年度渠道初级认证培训13_系统诊断工具_上网故障排除丢包模块及丢包原因说明.xls有详细中文说明，更多丢包原因说明可以参考此文档,注意,开直通后，仍然生效的模块有nat，邮件过滤，网关杀毒(smtp和pop3杀毒)，ssl内容识别，代理+cache，arp欺骗防护，系统路由和链路负载,命令控制台的使用,命令控制台,SANGFORAC&SG命令控制台提供一个简单的控制台命令行界面，可用于对设备的一些简单信息进行查看，支持的命令包括：arp（查看设备的arp表）mii-tool（查看设备网口的连接情况）ifconfig（查看设备网口信息）ping（测试主机地址的连通性）telnet（测试端口连通性）ethtool（查看设备网卡信息）route（显示设备的路由表）traceroute（跟踪数据包转发路径）在命令行页面直接输入命令回车即可,命令控制台的使用场景及操作,场景一：部署：设备单网桥部署eth0-eth2组成一组桥FW-SG-3SW-PC问题：内网用户通过SG上不了网,内网PCping网桥ip地址192.200.200.49不通，ping防火墙内网口地址192.200.200.199也不通。,如何排查？,命令控制台的使用场景及操作,排查方法：a)电脑单机接SG设备的dmz口，用DMZ口地址登陆设备b)查看设备网口接线状况,配置DMZ口网段地址10.252.252.x/24,DMZ,c)接线状态状态正常，检查设备的arp表，是否可以获取到上连FW和下连3SW的接口的mac。,eth0、eth2网口如有nolink，检查网口接线情况,命令控制台的使用场景及操作,排查方法：d)查看网口是否有错误的包或者帧，如果网口有收到错误的包或者帧，检查网线是否网线传输有问题或者两个网口之间的协商模式有问题检查网口的工作状态，100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。,网口收到的错误的包和错误的帧数,网卡的工作模式full全双工，100Mb,查看网口ip,命令控制台的使用场景及操作,排查方法：e)检查设备的路由，跟踪设备上外网的路径，测试设备去外网的端口连通性。,抓包工具的使用,抓包工具的使用,高级抓包是用TCPDUMP的方式抓包，将抓取的数据包保存在设备的控制台界面，需要在电脑上安装Sniffer或Ethereal等抓包软件，才能打开此数据包进行分析。高级抓包能抓取所有通过设备网卡的数据，故在排查问题的过程中使用比较广泛。,抓包工具的使用,（TCPDUMP）抓包的使用,将抓到的数据包下载到PC机本地，用Sniffer或Ethereal，Wireshark等抓包软件打开,通过抓取的数据包，分析数据的通信是否正常（是否有双向通信的数据，源和目标IP是否正确等）,抓包工具的使用,注意事项：1.高级（TCPDUMP）抓包的过滤表达式使用的是Linux下的标准TCPDUMP格式。2.如果对Linux命令不熟悉的话，可以参照示例中的格式“host200.200.20.1andport53”，即抓取所有源IP和目标IP为200.200.20.1，源端口和目标端口为53的数据包。常用命令举例：抓取192.168.1.1的ping包：host192.168.1.1andicmp抓取192.168.1.1的UDP1773的包：host192.168.1.1andudpport1773抓取192.168.1.1和192.168.1.2之间TCP80的交互包：host192.168.1.1andhost192.168.1.2andtcpport80,其他排错工具,其他排错工具全局排除地址,启用全局排除地址，针对排除的地址，设备设置的上网策略将不生效，也不进行审计。,说明：1.排除地址可以是内网ip，或者外网IP。只要源IP或者目的IP在排除地址列表，就不做控制和审计。2.排除地址对防火墙规则和准入监控IM聊天无效。3.排除地址支持填写域名。,其他排错工具系统日志,系统日志实时记录着设备所有程序的运行情况，当程序有异常时对应模块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常，可以先查看系统