SCSP_7 3_移动接入故障分析与排查_Ver2 0

深信服智安全认证-SCSP 1 2 Contents 故障分析排查方法 域名资源无法访问排查 深信服智安全认证-SCSP 实验排错讲解一 用户访问打不开SSL VPN的 客户端登陆网页? 深信服智安全认证-SCSP “五步法”解决思路 问题现象 网络环境 可能原因 排查定位 解决验证 深信服智安全认证-SCSP 实验排错讲解一 深圳总部 长沙分公司 00 ETH2: Br0: ETH0:54 HTTP Server(Linux) 00 0 8 6 LAN: 0 WAN:9 ETH3 2.254 远程应用服务器 50 1 ETH1 3.254 Windows AD域 00 远程访问IP远程访问IP远程访问IP WOC Internet 域： 深信服智安全认证-SCSP “五步法”解决思路 问题现象 网络环境 可能原因 验证排查 问题解决 参照“五步法”来排查这个问题 用户访问打不开SSL VPN的客户端登陆网页 明确具体现象、故障范围 如上图，SSL VPN单臂部署在内网，出口配置端口映射 服务端问题？网络原因？客户端原因？ 逐个针对可能原因进行排查验证是否为故障点 不同类型故障有不同排查方式和测试工具 验证问题解决，做好必要记录、保存配置等 深信服智安全认证-SCSP 实验排错讲解一 可能原因 排查定位 服务端问题？网络原因？客户端原因？ 服务端我问题如何验证排查？ 网络原因如何验证排查？ 客户端原因如何验证排查？ 假设法 深信服智安全认证-SCSP 无法登录案例一 问题描述 SSL VPN客户端登录页面无法打开，仅个别电脑的问题，其他电脑正常 深信服智安全认证-SCSP 无法登录案例一 处理过程 1、其他电脑正常说明SSL VPN服务正常，该问题属于客户端问题， telnet测试SSL VPN的端口，确认网络是否有问题，telnet测试端口是 通的，说明网络没有问题 深信服智安全认证-SCSP 无法登录案例一 处理过程 2、检查IE浏览器设置，打开【工具】-【Internet选项】-【高级】选 项卡查看SSL协议仅设置了SSL2.0和SSL3.0，SSL2.0和SSL3.0属于 不安全的SSL协议，目前https网站大多不再支持SSL2.0和SSL3.0, 客 户端与SSL协议握手失败就会出现页面打不开的情况 深信服智安全认证-SCSP 无法登录案例一 处理过程 3、将SSL协议启用所有后，则SSL VPN登录页面可以正常打开 深信服智安全认证-SCSP 资源异常案例一 根因 客户端电脑浏览器的SSL协议设置错误，导致客户端访问SSL VPN登 录页面是SSL协议握手失败从而出现登录页面打不开的情况 解决方案 在【工具】-【Internet选项】-【高级】设置好SSL协议即可，可以全 部选择，也可以排列组合，比如只选择SSL3.0和TLS1.0 深信服智安全认证-SCSP 实验排错讲解二 用户登录SSL VPN后，访问不到发 布的IP资源？ 深信服智安全认证-SCSP 实验排错讲解二 深圳总部 长沙分公司 00 ETH2: Br0: ETH0:54 HTTP Server(Linux) 00 0 8 6 LAN: 0 WAN:9 ETH3 2.254 远程应用服务器 50 1 ETH1 3.254 Windows AD域 00 WOC Internet 域： 深信服智安全认证-SCSP “五步法”解决思路 问题现象 网络环境 可能原因 排查定位 解决验证 深信服智安全认证-SCSP “五步法”解决思路 问题现象 网络环境 可能原因 验证排查 问题解决 按照“五步法”来排查这个问题 登陆正常，但是资源访问不到 明确具体现象、故障范围等 如上图，SSL VPN单臂部署在内网，服务器在内网不同网段 服务端问题？网络原因？客户端原因？ 逐个针对可能原因进行排查验证是否为故障点 不同类型故障有不同排查方式和测试工具 验证问题解决，做好必要记录、保存配置等 深信服智安全认证-SCSP 实验排错讲解 可能原因 排查定位 服务端问题？网络原因？客户端原因？ 服务端我问题如何验证排查？ 网络原因如何验证排查？ 客户端原因如何验证排查？ 假设法 深信服智安全认证-SCSP 资源异常案例一 问题描述 用户登录SSLVPN之后无法打开一个新建的TCP资源。 深信服智安全认证-SCSP 资源异常案例一 处理过程 检查VPN设备配置，角色和资源配置正常，用户也已经绑定了对应的 角色，用户登录之后可以正常看到该资源。（如下左图）而且VPN设 备上只配置了这一个TCP类型的资源。 该资源使用内网电脑打开没有问题。（如下右图） 深信服智安全认证-SCSP 资源异常案例一 在设备控制台检查系统设置-SSLVPN设置-系统选项-资源服务选项- TCP应用的资源访问模式选择的是“使用分配的虚拟IP地址作为源地址 ”。 与客户沟通之后，确认内网没有虚拟IP的路由，与客户沟通之后，将 其改为“使用设备的IP地址为源地址”，测试访问正常。 深信服智安全认证-SCSP 资源异常案例一 根因 内网没有添加虚拟IP的路由。 解决方案 将资源访问模式改为“使用设备的IP地址为源地址”。 建议与总结 如果需要使用“使用分配的虚拟IP地址作为源地址”，而且VPN设备是 单臂部署的情况下，需要在内网添加虚拟IP的路由。 深信服智安全认证-SCSP 资源异常案例二 问题描述 登录SSL VPN后发现客户端没有分配虚拟IP址 深信服智安全认证-SCSP 发现该用户所关联的资源都是type=“1”的资源，都是TCP资源 ps: type=0代表WEB资源 type=1代表TCP资源或远程应用资源 type=2代表L3VPN资源 资源异常案例二 处理过程 检查该用户所关联的资源类型，将资源列表的URL改成 https:/ip:port/por/rclist.csp的格式，如图 注意：只能使用IE内核浏览器才能打开rclist页面 深信服智安全认证-SCSP 资源异常案例二 根因 用户没有关联L3VPN资源，只有关联L3VPN资源的用户登录SSL VPN后才会分配虚拟IP 解决方案 方法一：若只需要访问TCP资源，本身是不会分配虚拟IP的，正常现象， 可不用关注 方法二：若必须客户端能够看到虚拟IP，则给用户关联L3VPN资源即可 深信服智安全认证-SCSP 认证失败案例一 问题描述 部分AD域用户登录SSL提示密码错误 深信服智安全认证-SCSP 认证失败案例一 处理过程 1、检查用户所属OU是否在SSLVPN设备上配置的搜索入口范围内， 不在范围内会导致认证失败，对比左图的跟右图用户李文轲属于搜索 入口范围 2、检查用户过滤条件是否配置了相关过滤条件，若用户不在过滤范围会导致认 证失败，左图所示使用默认值未配置过滤 深信服智安全认证-SCSP 认证失败案例一 3、在SSLVPN设备上抓取该用户认证时,SSLVPN设备与AD域服务器 之间的交互包保存下来，本例的AD域服务器IP地址为 webconsole的抓包命令如下 tcpdump -i eth0 host -s0 -w 深信服智安全认证-SCSP 认证失败案例一 4、使用wireshark打开抓取的数据包找到liwenke认证交互包如下 查看data 部分，是AD域服务器返回的错误码 531 深信服智安全认证-SCSP 认证失败案例一 网上搜索AD域相关错误码含义，结果如下： 深信服智安全认证-SCSP 认证失败案例一 代码531说明此AD域账号绑定了计算机名（如下图所示，绑定了计算 机名liwenke），而SSLVPN认证过程不会收集客户端PC的计算机名 信息提交给AD域服务器，导致认证失败 根因 AD域账号绑定了计算机名，而SSLVPN认证过程不会收集客户端PC的计算机 名信息提交给AD域服务器，导致认证失败 解决方案 在AD域服务器上修改此用户不绑定计算机名解决（上图“所有计算机”） 深信服智安全认证-SCSP 1 2 Contents 故障分析排查方法 域名资源无法访问排查 深信服智安全认证-SCSP 标准化排查 用户端域名资源访问不到 标准化排查思路 深信服智安全认证-SCSP 问题回顾 回顾我们曾遇到的这类问题 是怎么解决的？ 深信服智安全认证-SCSP 排查思路 深信服智安全认证-SCSP 域名解析原理 1. 通过域名方式添加资源实现时，数据流走向如下： 1.添加域名资源时，设备使用优先内网域名解析规则配置的DNS解析域名 将解析结果缓存，如果内网DNS规则设置的域名无法解析则使用网络接 口配置的DNS解析域名并将结果缓存 2.用户登录SSL过程设备将域名解析规则下发到本地电脑的域名控件 3.用户访问域名资源时，本地电脑的域名控件将解析结果返回给客户端应 用程序，客户端根据获取的IP地址发起连接 深信服智安全认证-SCSP 域名解析原理 1. 通过域名方式添加资源实现时，数据流走向如下： 客户端PC Web服务器 DNS服务器 添加TCP应用 访问 数据被控件抓走 域名控件域名控件 域名控件域名控件 深信服智安全认证-SCSP 域名解析原理 2. 通过IP方式添加资源实现时，数据流走向如下： 1.勾选“接入计算机使用此DNS服务器作为首选的DNS服务器”：直接修改 客户端电脑的首选DNS，同时在客户端电脑生成下发的DNS的路由指向 L3VPN隧道，客户端直接发送DNS请求给DNS服务器 2.配置“内网域名解析规则”：客户端发起DNS请求，被域名解析控件抓取 ，然后由SSL设备代理，SSL设备主动向DNS服务器请求域名，将请求结 果返回给SSLVPN客户端电脑 深信服智安全认证-SCSP 域名解析原理 2. 通过IP方式添加资源实现时，数据流走向如下： Web服务器 DNS服务器 域名控件域名控件 域名控件域名控件 添加DNS规则 访问 数据被控件抓走 深信服智安全认证-SCSP 域名资源异常案例 问题描述 用户登录VPN之后，打开一个内网的域名资源页面，提示访问出错。 深信服智安全认证-SCSP 域名资源异常案例 处理过程 1.测试使用IP的方式发布资源，然后通过IP访问正常。 深信服智安全认证-SCSP 根因 【系统设置】-【网络配置】-【h