sonicwall防火墙中文教程.ppt

必须在WAN口设置进出的带宽参数，否则在防火墙的规则里不会出现带宽管理的界面 故障诊断 点到点VPN 隧道故障建立，一、二阶段协商参数 PRO4060 VPN Policy TZ150W VPN Policy，故意设置与对端不同 NO_PROPOSAL_CHOSEN 是指参数不匹配 NO_PROPOSAL_CHOSEN 是指参数不匹配 PRO4060 Shared Secret PRO4060 Log PAYLOAD_MALFORMED 表示共享密钥不匹配，网络故障导致VPN隧道 断开，如果隧道两端VPN设备采用的DPD不是 一个标准，重新协商时也可能出现此错误 TCP 超时时间的设置，TCP Setting和防火墙规则设置 此参数只影响新创建的防火墙规则，修改此参数之前 创建的规则的TCP 超时参数不受此参数影响。 有些应用如Oracle客户端，ERP系统等通过VPN隧道访问服务器，默认的TCP超时时间一定要修改，否则这些系统可能会产生问题，如有的ERP系统在有中间设备断开TCP连接后，会延迟30分钟才允许客户端再次建立连接 有些应用如Oracle客户端，ERP系统等通过VPN隧道访问服务器，默认的TCP超时时间一定要修改，否则这些系统可能会产生问题，如有的ERP系统在有中间设备断开TCP连接后，会延迟30分钟才允许客户端再次建立连接 GVC NAT 穿越, 何时需要分配IP地址 当服务器的默认网关指向另外一个路由器，通过专线联接互联网， 而不指向SonicWALL防火墙设备时，一定要分配IP地址给GVC，以免除路由问题。 由于各个网络设备厂家的NAT设备在对IPSec VPN的支持不尽相同，有些支持IPSec Pass Through, 有些不支持。经过不支持IPSec Pass Through的NAT设备建立IPSec VPN隧道，必须采用NAT穿越技术。SonicWALL GVC自动检测沿途设备是否支持IPSec， 如果需要，自动启动NAT穿越，但是有些设备的IPSec pass throug不稳定，有些支持IPSec的NAT设备反而不能正确处理NAT穿越数据，需要在SonicWALL GVC上禁止NAT穿越参数。 有些支持IPSec的NAT设备不能正确处理NAT穿越数据，需要在SonicWALL GVC上禁止NAT穿越参数，常见的问题是客户端不能从防火墙通过DHCP获取IP地址，GVC LOG 提示信号灯超时(semaphore Timeout),修改此参数大部分情况可解决问题。 防火墙不能升级签名的诊断步骤 1. 确认LAN PC能通过防火墙WAN口访问互联网 2. 确认防火墙System-Diagnostics里的DNS解析能解析 3. 防火墙通过HTTPS直接访问 ，不能经过代理服务器. 4. 确认没有防火墙规则禁止LAN Primary IP访问Internet. 5. 确认防护墙里的系统时间正确。如果系统时间不正确，可导致访问Licensemanager超时. 6. 如果还有问题，可以在WAN口上抓包，以帮助诊断问题。 * * SonicWALL 典型配置和问题诊断 目的： 熟悉典型客户网络环境下防火墙的配置方法 分析LOG及借助工具软件诊断并解决问题的方法 参加培训的要求： 掌握SonicWALL标准版和增强版的基本配置 熟悉TCP/IP协议及基本网络通信协议 通过此次培训，使参加培训的工程师能够掌握典型客户的 防护墙配置，并在发生问题时及时解决问题。 典型配置案例: 1、PRO5060 在高校的应用，双WAN和策略路由 2、标准版和增强版的透明模式 3、静态ARP的应用，第二个网段 4、带宽管理，TCP Session数管理 故障诊断: 点到点VPN 隧道故障建立，一、二阶段协商参数 VPN隧道 TCP 超时时间的设置 GVC NAT 穿越, 何时需要分配IP地址 防火墙不能升级签名的诊断步骤 ARP 表更新，IP和MAC绑定，上游路由器ARP表不刷新问题 Ethereal 软件的使用，诊断问题。 7. ViewPoint配置及绑定到其它的网卡地址时如何更正 PRO5060 双WAN链路应用和策略路由 PRO5060 在高校的典型应用，双WAN链路+策略路由 如条件允许，还可以配置OSPF路由两个校园出口互为备份 学校一共有两个校区，东校区通过一台防火墙经电信出口上 Internet，南校区有两个出口，一个是经电信出口接入Internet， 另一个出口接入教育网。两个校区之间由专线把两个三层交换机连通，如果在三层交换和两台防火墙上启动OSPF路由协议，两台防火墙设备可以互为对方的备份，一台防火墙宕机，所有到互联网的出口流量可以经过专线由另外一