系统诊断工具深信服上网行为管理课件

SANGFORAC&SG

系统诊断工具SANGFORAC&SG系统诊断工具培训内容培训目标SANGFORAC上网故障排除功能介绍1.了解上网故障排除功能的作用2.掌握开启数据直通的方法3.掌握分析拒绝日志的方法SANGFORAC命令控制台1.掌握AC命令控制台支持的命令和操作方法SANGFORAC抓包工具的使用1.掌握简易抓包和高级抓包的方法SANGFORAC其他排错工具1.掌握全局排除地址、系统日志、控制台操作日志的用法培训内容培训目标SANGFORAC上网故障排除功能介绍上网故障排除功能介绍命令控制台的使用深信服公司简介其他排错工具的使用SANGFORAC抓包工具的使用上网故障排除功能介绍命令控制台的使用深信服公司简介其他排错工上网故障排除功能介绍上网故障排除功能介绍上网故障排除功能介绍

开启数据直通：开启后，AC&SG上设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个模块拒绝，是什么原因被拒绝。当用户上网出现故障时，便于快速定位故障原因，也可用来测试一些规则是否生效。设置拦截日志过滤条件：设置需要针对哪些IP地址，协议和端口开启拦截日志。默认开启所有的拦截日志。上网故障排除功能介绍开启数据直通：上网故障排除功能上网故障排除功能介绍开启实时拦截日志：将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来

设置针对哪些IP地址开启拦截日志设置开启拦截日志的协议和端口成功开启上网拦截日志上网故障排除功能介绍开启实时拦截日志：设置针对哪些IP地址开上网故障排除功能介绍

开启实时拦截日志与数据直通：开启实时拦截日志同时开启数据直通，此时设备设置的上网策略将不生效。符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝的数据包拦截情况显示出来。勾选即开启数据直通需要开启数据直通的地址设置流控模块是否进行数据直通成功开启拦截日志与数据直通上网故障排除功能介绍开启实时拦截日志与数据直通：勾上网故障排除功能使用案例客户环境：客户内网部署了AC设备后，所有用户部分网页打不开，管理员想定位是AC上的策略设置问题还是公网运营商出现了故障。上网故障排除功能使用案例客户环境：上网故障排除功能使用案例上网故障排除功能使用步骤和思路：设置拦截日志开启条件。如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。开启实时拦截日志和数据直通。在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢复，说明是AC设备上的策略拦截了数据包。再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。上网故障排除功能使用案例上网故障排除功能使用步骤和思路：上网故障排除功能使用案例1.设置开启条件，开启实时拦截日志并直通。为便于定位问题，在内网找一台电脑测试同时开启数据直通上网故障排除功能使用案例1.设置开启条件，开启实时拦截日志上网故障排除功能使用案例开启拦截日志并直通后，测试电脑打开网页操作，发现可以打开网页，再到上网故障排除中刷新实时拦截日志，如下图：通过这些日志，可发现浏览网站的请求被URL过滤丢包了，需要检查上网权限策略中URL过滤的规则。上网故障排除功能使用案例开启拦截日志并直通后，测试电脑打开网上网故障排除功能使用案例3.拦截日志提示被URL过滤规则丢弃，检查用户使用的上网策略规则。所测试的电脑使用的上网权限策略检查出在上网权限策略中，确实设置了全天拒绝访问部分URL。上网故障排除功能使用案例3.拦截日志提示被URL过滤规则丢上网故障排除功能使用案例4.删除错误的规则，并关闭数据直通，内网电脑打开网页看问题是否修复。上网故障排除功能使用案例4.删除错误的规则，并关闭数据上网故障排除常见丢包源说明AppControl:应用控制丢包URLFilter:URL过滤丢包SSL：SSL控制丢包（包括HTTPSURL过滤）FluxCtrl：流控丢包Webauthen:用户认证丢包Ingress：准入丢包上网故障排除常见丢包源说明AppControl:命令控制台的使用命令控制台的使用命令控制台SANGFORAC&SG命令控制台提供一个简单的控制台命令行界面，可用于对设备的一些简单信息进行查看，支持的命令包括：

arp（查看设备的arp表）

mii-tool（查看设备网口的连接情况）

ifconfig（查看设备网口信息）

ping（测试主机地址的连通性）

telnet（测试端口连通性）

ethtool（查看设备网卡信息）

route（显示设备的路由表）

traceroute（跟踪数据包转发路径）在命令行页面直接输入命令回车即可命令控制台SANGFORAC&SG命令控制台提供命令控制台的使用1.arp（查看设备的ARP表）命令控制台的使用1.arp（查看设备的ARP表）命令控制台的使用2.mii-tool（查看设备网口的连接情况）命令控制台的使用2.mii-tool（查看设备网口的连接情命令控制台的使用3.ifconfig（查看设备网口信息）命令控制台的使用3.ifconfig（查看设备网口信息）命令控制台的使用4.ping（测试主机地址连通）命令控制台的使用4.ping（测试主机地址连通）命令控制台的使用5.telnet（测试端口连通性）命令控制台的使用5.telnet（测试端口连通性）命令控制台的使用6.ethtool（查看设备网卡信息）命令控制台的使用6.ethtool（查看设备网卡信息）命令控制台的使用7.route（显示设备的路由表）命令控制台的使用7.route（显示设备的路由表）命令控制台的使用8.traceroute（跟踪数据包转发路径）命令控制台的使用8.traceroute（跟踪数据包转发路抓包工具的使用抓包工具的使用抓包工具的使用SANGFORAC&SG控制台界面的抓包工具分为简易抓包和高级抓包。简易抓包只抓取来自内网且设备识别不了的包。如果是来自外网的，设备能识别的数据包，是不会被抓取的。一般不适用简易抓包。高级抓包则是用TCPDUMP的方式抓包，将抓取的数据包保存在设备的控制台界面，需要在电脑上安装Sniffer或Ethereal等抓包软件，才能打开此数据包进行分析。高级抓包能抓取所有通过设备网卡的数据，故在排查问题的过程中使用比较广泛。简易（抓取未知流量）和高级（TCPDUMP）抓包两者只能选其一。抓包工具的使用SANGFORAC&SG控制台界面抓包工具的使用1.简易抓包的使用设置简易抓包的条件设置抓包个数抓包工具的使用1.简易抓包的使用设置简易抓包的条件设置抓包抓包工具的使用2.高级（TCPDUMP）抓包的使用设置抓包个数选择抓取哪个网口的数据包只抓取符合条件的数据将抓到的数据包下载到PC机本地，用Sniffer或Ethereal，Wireshark等抓包软件打开通过抓取的数据包，分析数据的通信是否正常（是否有双向通信的数据，源和目标IP是否正确等）抓包工具的使用2.高级（TCPDUMP）抓包的使用设置抓包抓包工具的使用

注意事项：

1.高级（TCPDUMP）抓包的过滤表达式使用的是Linux下的标准TCPDUMP格式。

2.如果对Linux命令不熟悉的话，可以参照示例中的格式“hostandport53”，即抓取所有源IP和目标IP为，源端口和目标端口为53的数据包。常用命令举例：

抓取的ping包：hostandicmp抓取的UDP1773的包：hostandudpport1773抓取和之间TCP80的交互包：hostandhostandtcpport80抓包工具的使用注意事项：其他排错工具其他排错工具其他排错工具——全局排除地址启用全局排除地址，针对排除的地址，设备设置的上网策略将不生效，也不进行审计。说明：1.排除地址可以是内网ip，或者外网IP。只要源IP或者目的IP在排除地址列表，就不做控制和审计。2.排除地址对防火墙规则和准入监控IM聊天无效。3.排除地址支持填写域名。其他排错工具——全局排除地址启用全局排除地址，针对排除的地址其他排错工具——系统日志系统日志实时记录着设备所有程序的运行情况，当程序有异常时对应模块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常，可以先查看系统日志进行确认！筛选日志类型筛选要显示的日志可将系统日志截图给400协助处理其他排错工具——系统日志系统日志实时记录着设备所有程序的运行其他排错工具——控制台操作日志通过在数据中心查看控制台操作日志，可以很清晰的看出哪一个账号在什么时间段修改/增加/删除了哪一个模块，是查看是否有人为更改配置的依据。其他排错工具——控制台操作日志通过在数据中心查看控制台操作日问题思考1.某客户使用我们的AC产品，客户反馈昨天还能上QQ，今天早上就上不去了，但是能打开网页，请问有什么方法可以快速定位该问题原因？2.某客户使用我们的AC产品网桥模式部署，发现AC的应用识别库升级不了，请问如何排查？3.AC里面的简易抓包和高级抓包有什么区别？问题思考1.某客户使用我们的AC产品，客户反馈昨天还能上QQ系统诊断工具深信服上网行为管理SANGFORAC&SG

系统诊断工具SANGFORAC&SG系统诊断工具培训内容培训目标SANGFORAC上网故障排除功能介绍1.了解上网故障排除功能的作用2.掌握开启数据直通的方法3.掌握分析拒绝日志的方法SANGFORAC命令控制台1.掌握AC命令控制台支持的命令和操作方法SANGFORAC抓包工具的使用1.掌握简易抓包和高级抓包的方法SANGFORAC其他排错工具1.掌握全局排除地址、系统日志、控制台操作日志的用法培训内容培训目标SANGFORAC上网故障排除功能介绍上网故障排除功能介绍命令控制台的使用深信服公司简介其他排错工具的使用SANGFORAC抓包工具的使用上网故障排除功能介绍命令控制台的使用深信服公司简介其他排错工上网故障排除功能介绍上网故障排除功能介绍上网故障排除功能介绍

开启数据直通：开启后，AC&SG上设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个模块拒绝，是什么原因被拒绝。当用户上网出现故障时，便于快速定位故障原因，也可用来测试一些规则是否生效。设置拦截日志过滤条件：设置需要针对哪些IP地址，协议和端口开启拦截日志。默认开启所有的拦截日志。上网故障排除功能介绍开启数据直通：上网故障排除功能上网故障排除功能介绍开启实时拦截日志：将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来

设置针对哪些IP地址开启拦截日志设置开启拦截日志的协议和端口成功开启上网拦截日志上网故障排除功能介绍开启实时拦截日志：设置针对哪些IP地址开上网故障排除功能介绍

开启实时拦截日志与数据直通：开启实时拦截日志同时开启数据直通，此时设备设置的上网策略将不生效。符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝的数据包拦截情况显示出来。勾选即开启数据直通需要开启数据直通的地址设置流控模块是否进行数据直通成功开启拦截日志与数据直通上网故障排除功能介绍开启实时拦截日志与数据直通：勾上网故障排除功能使用案例客户环境：客户内网部署了AC设备后，所有用户部分网页打不开，管理员想定位是AC上的策略设置问题还是公网运营商出现了故障。上网故障排除功能使用案例客户环境：上网故障排除功能使用案例上网故障排除功能使用步骤和思路：设置拦截日志开启条件。如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。开启实时拦截日志和数据直通。在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢复，说明是AC设备上的策略拦截了数据包。再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。上网故障排除功能使用案例上网故障排除功能使用步骤和思路：上网故障排除功能使用案例1.设置开启条件，开启实时拦截日志并直通。为便于定位问题，在内网找一台电脑测试同时开启数据直通上网故障排除功能使用案例1.设置开启条件，开启实时拦截日志上网故障排除功能使用案例开启拦截日志并直通后，测试电脑打开网页操作，发现可以打开网页，再到上网故障排除中刷新实时拦截日志，如下图：通过这些日志，可发现浏览网站的请求被URL过滤丢包了，需要检查上网权限策略中URL过滤的规则。上网故障排除功能使用案例开启拦截日志并直通后，测试电脑打开网上网故障排除功能使用案例3.拦截日志提示被URL过滤规则丢弃，检查用户使用的上网策略规则。所测试的电脑使用的上网权限策略检查出在上网权限策略中，确实设置了全天拒绝访问部分URL。上网故障排除功能使用案例3.拦截日志提示被URL过滤规则丢上网故障排除功能使用案例4.删除错误的规则，并关闭数据直通，内网电脑打开网页看问题是否修复。上网故障排除功能使用案例4.删除错误的规则，并关闭数据上网故障排除常见丢包源说明AppControl:应用控制丢包URLFilter:URL过滤丢包SSL：SSL控制丢包（包括HTTPSURL过滤）FluxCtrl：流控丢包Webauthen:用户认证丢包Ingress：准入丢包上网故障排除常见丢包源说明AppControl:命令控制台的使用命令控制台的使用命令控制台SANGFORAC&SG命令控制台提供一个简单的控制台命令行界面，可用于对设备的一些简单信息进行查看，支持的命令包括：

arp（查看设备的arp表）

mii-tool（查看设备网口的连接情况）

ifconfig（查看设备网口信息）

ping（测试主机地址的连通性）

telnet（测试端口连通性）

ethtool（查看设备网卡信息）

route（显示设备的路由表）

traceroute（跟踪数据包转发路径）在命令行页面直接输入命令回车即可命令控制台SANGFORAC&SG命令控制台提供命令控制台的使用1.arp（查看设备的ARP表）命令控制台的使用1.arp（查看设备的ARP表）命令控制台的使用2.mii-tool（查看设备网口的连接情况）命令控制台的使用2.mii-tool（查看设备网口的连接情命令控制台的使用3.ifconfig（查看设备网口信息）命令控制台的使用3.ifconfig（查看设备网口信息）命令控制台的使用4.ping（测试主机地址连通）命令控制台的使用4.ping（测试主机地址连通）命令控制台的使用5.telnet（测试端口连通性）命令控制台的使用5.telnet（测试端口连通性）命令控制台的使用6.ethtool（查看设备网卡信息）命令控制台的使用6.ethtool（查看设备网卡信息）命令控制台的使用7.route（显示设备的路由表）命令控制台的使用7.route（显示设备的路由表）命令控制台的使用8.traceroute（跟踪数据包转发路径）命令控制台的使用8.traceroute（跟踪数据包转发路抓包工具的使用抓包工具的使用抓包工具的使用SANGFORAC&SG控制台界面的抓包工具分为简易抓包和高级抓包。简易抓包只抓取来自内网且设备识别不了的包。如果是来自外网的，设备能识别的数据包，是不会被抓取的。一般不适用简易抓包。高级抓包则是用TCPDUMP的方式抓包，将抓取的数据包保存在设备的控制台界面，需要在电脑上安装Sniffer或Ethereal等抓包软件，才能打开此数据包进行分析。高级抓包能抓取所有通过设备网卡的数据，故在排查问题的过程中使用比较广泛。简易（抓取未知流量）和高级（TCPDUMP）抓包两者只能选其一。抓包工具的使用SANGFORAC&SG控制台界面抓包工具的使用1.简易抓包的使用设置简易抓包的条件设置抓包个数抓包工具的使用1.简易抓包的使用设置简易抓包的条件设置抓包抓包工具的使用2.高级（TCPDUMP）抓包的使用设置抓包个数选择抓取哪个网口的数据包只抓取符合条件的数据将抓到的数据包下载到PC机本地，用Sniffer或Ethereal，Wireshark等抓包软件打开通过抓取的数据包，分析数据的通信是否正常（是否有双向通信的数据，源和目标IP是否正确等）抓包工具的使用2.高级（TCPDUMP）抓包的使用设置抓包抓包工具的使用

注意事项：

1.高级（TCPDUMP）抓包的过滤表达式使用的是Linux下的标准TCPDUMP格式。

2.如果对Linux命令不熟悉的话，可以参照示例中的格式“