化交付通用场景a10-ssl运维手册

修订历编修订内容简修订日修订版本修订版本修订批准12■本文中出现的任何文字叙述、文档格式、插图、、方法、过程等内容，除另有特别注明，版第1章前 第2章运维工具列 第3章设备日常例行检 日常注意事 设备cpu运行检 设备 第4章设备和配置恢 U盘恢复 交叉线恢复 第5章辅助工具使 第6章常见问题排 登 后不到特定业务系 服务控件异 Alarm灯不亮，设备无法通 Alarm长亮，无法登录设 第8章技术支 1本手册用于讲解SSL日常注意事项，为管理员例行设备以及简单故障排除提供2维工具列序工具名工具说1WindowsWindows7以上操作系统PC一台，需确保电脑能管理SSL备2深信服升级客户端，可登陆设备做网络调试操作，地址.cn/download/product/tools/SA3/download/TeamViewer_Setu3备日常例行检为了保证设备的稳定运行，设备管理员需要定期对设备进行检查，以确保提前发现设备运行风险，例行检查的项目如下：日 注意事事说2台上。保证安装工作台足够牢固，足以承担设备及电缆的10cm4、在机器上架安装过程中，注意同一机柜中其它设备，避免在安装过程中碰掉其他设备的电源，网线接口等1、布放走道线缆时，必须绑扎。绑扎后的线缆应互相紧密靠拢，外观平直整齐，线扣间距均匀，松紧适度。布放槽道线缆2、信号电缆、尾纤、电源线的布放尽量避开，不要靠得太近，更不能绑扎在一起。线缆在机柜中捆扎后，应平直、捆扎整齐，不得有线缆缆缠绕、弯曲等现象。3线缆必须贴注1、电源线：内容为电缆对端位置信息，填写所在电缆2、信号线：两面内容分别标识电缆两端所连端口的位3、粘贴之前先在整版纸上填写或打印好内容，设备硬件状态检设备状态灯的检SANGFORSSL系列件设备正常工作时POWER灯常亮，备的ALARM灯只在设备启动时因系统加载会长亮（1～5常使用请按照如下步骤进行操作：接口指示灯的检link（百兆链路，如果是千兆链路，该灯会成橙色）且长亮，网口ACT灯在有数据通过的时候会呈橙色且会不停闪烁，如果link或者actcpu运行检查看『运行状态』-『SSL开启设备防DOS模块『』-『防DOS，检查设备是否到了DOS，防DOS日志，可在『』-『日志查看』中查看。（需联系深信服技术支持工程师确认设备异常状况检检查设备硬件是否有异常（风扇，硬盘是否有异常声响作，备用机，请立即将系统切换到备用机；并及时联系深信服技术支持工程师以确认故障并返修设备。设备配置信息检模拟登SSL测测试是否能够正常打开登陆页面，是否能够正常显示资源页面，如果无法正常显示登陆页面请检查：是否能够正常通设备内网从内网是否能net通设备80、443端切换后再试是否可以正常登如经过上述步骤仍无法登陆设备速司技术支设备SSL服务运行状态检查看『运行状态』-『SSL运行状态』-『系统状态』界面上“SSL服务”状态如显示“运行中，则设备SSL运行正常（方法：控制台上『』-『重启/重启服务/关机』页面点击“重启所有服务，重启后仍如重启网关后服务依然无法启动，请速司技术支持集群状态SSL设备的用户分配是否合理方法：登录设备控制台，查看『系统设置』-『SSL选项』-『集群部署』-『集群部署设备配置为了保证网络的稳定运行，建议客户每个月进行一次配置的备份，以防止SSL方法：登陆SSL控制台，点击『』-『配置备份/恢复，分别在『全局配置备份』『SSL配置备份』选项卡下，点击“当前配置”配置并妥善保存即可设备安全检控制台账号安全性控制台管理员是否为默认的admin或123456之类的简单。如果是默认或简单，请立即修改控制台管理员一个月内有没有修改过如果控制台管理员一个月内都没有修改过，请立即修改并妥善保存控制台检备被人员从WAN口接入设备。设备日志信息检通过『』-『日志查看』-『系统日志，可以看到设备各模块运行状态日志，可通过如果系统日志中出现大量错误日志和告警日志，请及时联系深信服技术支持工程师，确认是否设备程序运行故障。第4章设备恢U盘恢复适用场由于admin丢失，也没有其它帐号可以使用，导致无法登录控制台及，设备有USB接操作步确认UFAT32在U盘 将UUSBUreset-password.log，若恢复成功在该文件中记录恢复后的控制台交叉线恢复适用场由于admin丢失，也没有其它帐号可以使用，导致无法登录控制台及，USB恢复操作步手动重启设备，重启过程中，两个电口ACT灯同时闪烁，等待3-5分钟后，通过默认的控制台帐号admin/admin登录设备即可。如果第2步无法根据网口灯状态判断恢复是否成功，你可以一直等待，等待5到10分admin/admin5助工具使升级客户升级客户端是深信服开发的用于调试深信服设备的一个客户端工具，集成了设备升级、设备配置备份以及一些常用的网络命令等功能，当出现设备web登录控制台时，可使用该工具进行一些常见的网络命令测试，地址：.cn/download/product/tools/SANGFOR_Updater6.0.zipTCP51111SANGFOR_Updater6.0完成后，解压即可使用，在解压缩的文件内找到“SANGFORFirmwareUpdater.exe”双击运行，即可打开升级客户端接入程序。PC。输入设备IP地址和管理员，即可连接设备按键盘『F10『命令』模块下，可使用包括、查看路由表、查看ARP表、查看网络配置、网卡操作、注：设置网卡工作模式和交换网卡物理位置请在技术支持工程师的指导下操作，设备健康状态检查请向技术支持工程师索取。 快速修专家调专家调试功能可以打开SSL控件调试修复工具，通过该工具可以查看当前客户端控件安装LSPdebugview在“查看已安装的SSL 32/64LSPLSPSSL相LSP是否正常加载。在“启动debugview”页面，可以启动windowsdebugview工具，该工具需要对windows系统以及SSL 6见问题排无法登陆SSL控制是否能够正常通设备内网从内网是否能net通设 端Tracert设备内网口地址，看数据包是否能够到达SSL设备内网尝试用一台电脑通过交叉线接到LAN口（缺省为eth0口），将电脑的IP配成4/30，测试LAN口的隐藏IP3（设备LAN口隐藏地址，不会随配置SSL登录页面打不检查从内网SSL登录页面是否正用户认证失在SSL控制台重置用户后再次登陆测试登录后不到特定业务系检查是否有正常添加该资源，并在角色中有关联给相关用户检查是个别用户不了，还是所有用户都不了，不了的用户在资源列表中能否看到该资源l3资源看是否获取到虚拟ip，退出安全软件，本地，卸载控件，修复lsp重启，ie缓存清除手动安装控件重新连接通过发布的资源，在客户端使用检查一下是否能够正常解析，如果无法正常解析，DNShosts。升级客户端登录SSL设备，使用升级客户端携带的工具，检查业务系统连通性登录SSL后客户端无 ， 上网环境，目前SSL暂不支持检查L3服务获取的虚拟IP网段是否和客户端本地IP如果只是无法，检查是否开启了智能递推功能，并且白全*，因此所有网页都控件相关问客户端控件反复安已经安装了客户端控件，再次登录时，页面仍然提示“安装浏览器控件（1）InternetCSCMCSCMIECSCM提示用户是否关闭这个加载项，用户如果误操作就会设置加载项禁用，这就会导致页面登陆时我CSCML3服务控件异cmdipconfigSangforSSLIP检查当前虚拟网卡的路由表是否正确。使用高权限运行命令行，输入routeprint，可interfaceIP使用s tool工具查看当前系统安装的所有客户端控件，确定L3服务虚拟网卡是否（3）打开虚拟网卡安装（32位系统windows在C:\ProgramFiles\Sangfor\Sangfor\SSL\CS\VNIC，64位系统在C:\ProgramFiles\VNIC，（4）打开任务管理器，查看列表中是否存在加载L3的服务程序SANGFORSERVICE.exe,在管理器权限下只会运行一个以当前用户运行的服务程序，在非管理员权限下（VISTA）会运行两个服务程序，一个以当前用户运行，另一个以SYSTEM权限运行。登录，在启动服务的过程中，查看是否有杀毒软件弹出提示。关闭杀毒，再重新登录，看是否可以启动成功。如果确定是杀毒软件，尝试将被的程序放到白中。使用 SSL，登录过程中注意是否有安全软件提示TCP服务控件异登录成功后，无法TCP服务类型资源。用stool工具查看当前系统安装的所有客户端控件，确定TCP服务控件是否在TCPstoolLSP，TCPLSP层。如果未发现TCP服务的LSP，那么说明TCP服务安装失败。如果TCP服务的LSP未在最上层，需要进一步确定是不是针对用户系统做了定制。否则说明与其他的LSP。登录，在启动服务的过程中，查看是否有杀毒软件弹出提示。关闭杀毒，再重新登录，看是否可以启动成功。如果确定是杀毒软件，尝试将被的程序放到白中。使用 SSL，登录过程中注意是否有安全软件提示页面一直处于初始化状使用浏览器登录后，进入到服务页面，发现服