系统诊断工具_深信服上网行为管理AC（35页)ppt课件

1、SANGFOR AC&SG 系统诊断工具培训内容培训目标SANGFOR AC 上网故障排除功能介绍1.了解上网故障排除功能的作用2.掌握开启数据直通的方法3. 掌握分析拒绝日志的方法SANGFOR AC 命令控制台1.掌握AC命令控制台支持的命令和操作方法SANGFOR AC 抓包工具的使用1.掌握简易抓包和高级抓包的方法SANGFOR AC 其他排错工具1.掌握全局排除地址、系统日志、控制台操作日志的用法上网缺点排除功能引见命令控制台的运用深服气公司简介其他排错工具的运用SANGFOR AC抓包工具的运用上网缺点排除功能引见上网缺点排除功能引见 开启数据直通： 开启后，AC&SG上设置的上网

2、战略将不生效，符合战略设置应该被回绝的数据包会被设备放行，同时会将符合战略设置应该被回绝数据包的情况以日志的方式显示出来 上网缺点排除功能用于查询一个数据包在经过AC&SG设备时是被哪个模块回绝，是什么缘由被回绝。当用户上网出现缺点时，便于快速定位缺点缘由，也可用来测试一些规那么能否生效 。设置拦截日志过滤条件：设置需求针对哪些IP地址，协议和端口开启拦截日志。默许开启一切的拦截日志。上网缺点排除功能引见开启实时拦截日志：将翻开回绝列表，此时设备一切的战略依然生效。符合战略设置应该回绝的数据包会被设备回绝掉，同时会将符合战略设置应该被回绝数据包的情况显示出来 设置针对哪些IP地址开启拦截日志设

3、置开启拦截日志的协议和端口胜利开启上网拦截日志上网缺点排除功能引见 开启实时拦截日志与数据直通： 开启实时拦截日志同时开启数据直通，此时设备设置的上网战略将不生效。符合战略设置应该被回绝的数据包会被设备放行，同时会将符合战略设置应该被回绝的数据包拦截情况显示出来 。勾选即开启数据直通需求开启数据直通的地址设置流控模块能否进展数据直通胜利开启拦截日志与数据直通上网缺点排除功能运用案例客户环境：客户内网部署了AC设备后，一切用户部分网页打不开，管理员想定位是AC上的战略设置问题还是公网运营商出现了缺点。上网缺点排除功能运用案例上网缺点排除功能运用步骤和思绪：设置拦截日志开启条件。 假设选择内网某一

4、台电脑做测试，可以只指定这一台电脑的IP地址。开启实时拦截日志和数据直通。在测试电脑上访问之前通讯有缺点的运用，看缺点能否恢复，假设恢复，阐明是AC设备上的战略拦截了数据包。再查看实时拦截日志普通可经过查看第一个包的日志，第一个包的拦截日志详细阐明了是AC上哪条上网战略或哪个模块丢弃了数据包。根据拦截日志的提示修正战略，再封锁直通功能，测试缺点能否恢复。上网缺点排除功能运用案例1. 设置开启条件，开启实时拦截日志并直通。为便于定位问题，在内网找一台电脑测试同时开启数据直通上网缺点排除功能运用案例开启拦截日志并直通后，测试电脑翻开网页操作，发现可以翻开网页，再到上网缺点排除中刷新实时拦截日志，如

5、以下图：经过这些日志，可发现阅读网站的恳求被URL过滤丢包了，需求检查上网权限战略中URL过滤的规那么。上网缺点排除功能运用案例3. 拦截日志提示被URL过滤规那么丢弃，检查用户运用的上网战略规那么。所测试的电脑运用的上网权限战略检查出在上网权限战略中，确实设置了全天回绝访问部分URL。上网缺点排除功能运用案例4. 删除错误的规那么，并封锁数据直通，内网电脑翻开网页看问题能否修复。上网缺点排除常见丢包源阐明AppControl: 运用控制丢包URLFilter: URL过滤丢包SSL： SSL控制丢包包括HTTPS URL 过滤FluxCtrl： 流控丢包Web authen: 用户认证丢包I

6、ngress： 准入丢包命令控制台的运用命令控制台 SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面，可用于对设备的一些简单信息进展查看，支持的命令包括： arp查看设备的arp表 mii-tool查看设备网口的衔接情况 ifconfig查看设备网口信息 ping测试主机地址的连通性 telnet测试端口连通性 ethtool查看设备网卡信息 route显示设备的路由表 traceroute跟踪数据包转发途径 在命令行页面直接输入命令回车即可 命令控制台的运用1. arp查看设备的ARP表命令控制台的运用2. mii-tool查看设备网口的衔接情况命令控制台的运用3. ifc

7、onfig查看设备网口信息命令控制台的运用4. ping测试主机地址连通命令控制台的运用5. telnet测试端口连通性命令控制台的运用6. ethtool查看设备网卡信息命令控制台的运用7. route显示设备的路由表命令控制台的运用8. traceroute跟踪数据包转发途径抓包工具的运用抓包工具的运用 SANGFOR AC&SG控制台界面的抓包工具分为简易抓包和高级抓包。 简易抓包只抓取来自内网且设备识别不了的包。假设是来自外网的，设备能识别的数据包，是不会被抓取的。普通不适用简易抓包。 高级抓包那么是用TCPDUMP的方式抓包，将抓取的数据包保管在设备的控制台界面，需求在电脑上安装Sn

8、iffer或Ethereal等抓包软件，才干翻开此数据包进展分析。高级抓包能抓取一切经过设备网卡的数据，故在排查询题的过程中运用比较广泛。 简易抓取未知流量和高级TCPDUMP抓包两者只能选其一。 抓包工具的运用1. 简易抓包的运用设置简易抓包的条件设置抓包个数抓包工具的运用2. 高级TCPDUMP抓包的运用设置抓包个数选择抓取哪个网口的数据包只抓取符合条件的数据将抓到的数据包下载到PC机本地，用Sniffer或Ethereal，Wireshark等抓包软件翻开经过抓取的数据包，分析数据的通讯能否正常能否有双向通讯的数据，源和目的IP能否正确等抓包工具的运用 本卷须知： 1. 高级TCPDUM

9、P抓包的过滤表达式运用的是Linux下的规范TCPDUMP格式 。 2. 假设对Linux命令不熟习的话，可以参照例如中的格式“host and port 53 ， 即抓取一切源IP和目的IP为，源端口和目的端口为53的数据包。常用命令举例： 抓取的ping包： host and icmp 抓取的UDP 1773的包： host and udp port 1773 抓取和之间TCP 80的交互包： host and host and tcp port 80其他排错工具其他排错工具全局排除地址启用全局排除地址，针对排除的地址，设备设置的上网战略将不生效，也不进展审计。阐明：1.排除地址可以是内网ip，或者外网IP。只需源IP或者目的IP在排除地址列表，就不做控制和审计。2.排除地址对防火墙规那么和准入监控IM聊天无效。3.排除地址支持填写域名。其他排错工具系统日志系统日志实时记录着设备一切程序的运转情况，当程序有异常时对应模块会在系统日志打出告警或者错误日志。假设觉得设备有任何异常，可以先查看系统日志进展确认！挑选日志类型挑选要显示的日志可将系统日志截图给400协助处置其他排错工具控制台操作日志经过在数据中心查看控制台操作日志，可以很明晰的看出哪一个账号在什么时间段修正/添加/删除了哪一个模块，是