[SANGFORIPSEC常见问题排查.pptVIP

IPSEC常见问题排错指导 第一种情况：不知道设备的IP地址，登录不了SANGFOR设备的网关控制台。 第一种情况：不知道设备的IP地址，登录不了SANGFOR设备的网关控制台。 一、登录不了SANGFOR设备网关控制台 A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段，如果不在同网段，确认是否路由可达 B、如果电脑和设备是同网段或者路由可达的，尝试PING下设备的IP地址，看是否能PING通，如果不能PING通，可以尝试电脑直接接设备的LAN口，配置和设备LAN口同网段IP，看是否可以ping通和登录控制台，排除是否内网原因。 如果电脑直接接设备，PING不通设备的IP，可以尝试电脑换其他同网段的IP地址再试下，有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内，导致数据包被VPN抓走。 一、登录不了SANGFOR设备网关控制台 C、如果电脑可以PING通设备的IP，但是登录不了控制台，那么从电脑上telnet设备控制台的端口（AC和加速是TCP 443，SSL控制台端口是TCP1000）看是否能通，如果不能通，telnet TCP51111(升级客户端的连接端口)端口看是否能通。 如果电脑接设备的LAN口telnet 设备控制台端口和51111端口均不通，有可能设备上做了错误的全端口映射导致，可以尝试电脑接设备的其他网口，再登录控制台试下，如果可以从其他网口登录设备控制台，检查防火墙端口映射配置，删除错误的全端口映射规则。 二、拨号常见问题排查和解决办法 如果使用SANGFOR设备拨号，发现拨号断的比较频繁，请检查拨号参数设置，ADSL拨号参数推荐设置成20，80，3，光纤拨号参数推荐设置成60，240，9 二、拨号常见问题排查和解决办法 检查设备连接modem的WAN口（WAN1对应eth2）的MAC地址是否为 00-00-00-00-00-00，如果是，重启设备，或者重启网卡，MAC地址仍然 是全0的话，则可以认为是硬件故障需要返修。 二、拨号常见问题排查和解决办法 3） Login incorrect，PAP authentication failed. 用户登录失败，不存在此用户，请检查用户名是否输入正确。 4）LCP terminated by peer（peer refused to authentication） 对端设备终止连接/拒绝连接，请重新拨号或者联系ISP 5）No response to 3 echo-requests. Serial link appears to be disconnected. 远端服务器没有相应本端的回声请求，线路可能断开，检查线路是否正常 6）拨号时出现提示“out of range”之类，很有可能是运营商绑定了拨号设备的MAC地址，此时可以通过换一台PC拨号来证实。这种情况需联系运营商重新绑定SANGFOR设备WAN口的MAC地址 7）提示出现 “ppp unit has been used”之类的，可能设备在重复拨号，可以重启下设备再拨号试下 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. IPSEC常见问题排查 指导 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 1. VPN无法建立连接 3. VPN不稳定，频繁断开 5. 通过 VPN访问不到部分服务器 4. 通过VPN访问不到内网资源 2.Webagent无法更新成功 6. 通过VPN访问服务器慢 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 故障一 VPN无法建立连接 A、查看系统日志的提示 B、检查设备的部署方式和配置；（例如排除VPN两端在同一局域网来连VPN；设备本身被限制无法上网等原因） C、检查VPN连接的配置(webagent、帐号等)； D、测试总部的VPN端口是否能通，总部单臂模式下，如果启用UDP传输，注意前置网络设备要做UDP4009端口的映射； E、检查是否两端VPN设备上是否做了端口全映射或者映射了VPN连接的端口到内网； F、确认两端VPN设备的版本是否匹配 G、测试两端VPN