深信服行为管理操作文档-11.0-最新版本.ppt

培训内容 培训目标 上网故障排除功能介绍 1.了解上网故障排除功能的作用 2.掌握开启数据直通的方法 3. 掌握分析拒绝日志的方法 命令控制台 1.掌握AC命令控制台支持的命令和操作方法 抓包工具的使用 1.掌握简易抓包和高级抓包的方法 其他排错工具 1.掌握全局排除地址、系统日志、控制台操作日志的用法 上网故障排除功能介绍 命令控制台的使用 深信服公司简介 其他排错工具的使用 SANGFOR AC 抓包工具的使用 上网故障排除功能介绍 上网故障排除功能介绍 开启数据直通： 开启后，ACSG上设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来 上网故障排除功能用于查询一个数据包在通过ACSG设备时是被哪个模块拒绝，是什么原因被拒绝。当用户上网出现故障时，便于快速定位故障原因，也可用来测试一些规则是否生效 。 设置拦截日志过滤条件： 设置需要针对哪些IP地址，协议和端口开启拦截日志。默认开启所有的拦截日志。 上网故障排除功能介绍 开启实时拦截日志： 将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来 设置开启拦截日志的协议和端口 上网故障排除功能介绍 开启实时拦截日志与数据直通： 开启实时拦截日志同时开启数据直通，此时设备设置的上网策略将不生效。符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝的数据包拦截情况显示出来 。 上网故障排除功能使用案例 客户环境： 客户内网部署了AC设备后，所有用户部分网页打不开，管理员想定位是AC上的策略设置问题还是公网运营商出现了故障。 上网故障排除功能使用案例 上网故障排除功能使用步骤和思路： 设置拦截日志开启条件。 如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。 开启实时拦截日志和数据直通。 在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢复，说明是AC设备上的策略拦截了数据包。 再查看实时拦截日志（一般可通过查看第一个包的日志，第一个包的拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。 根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。 上网故障排除功能使用案例 1. 设置开启条件，开启实时拦截日志并直通。 为便于定位问题，在内网找一台电脑测试 同时开启数据直通 上网故障排除功能使用案例 开启拦截日志并直通后，测试电脑打开网页操作，发现可以打开网页，再到上网故障排除中刷新实时拦截日志，如下图： 通过这些日志，可发现浏览网站的请求被URL过滤丢包了，需要检查上网权限策略中应用控制中的访问网站的相关网站类型的配置。 上网故障排除功能使用案例 3. 拦截日志提示被URL过滤规则丢弃，检查用户使用的上网策略规则。 所测试的电脑使用的上网权限策略 检查出在上网权限策略中，确实设置了全天拒绝访问网站 上网故障排除功能使用案例 4. 删除错误的规则，并关闭数据直通，内网电脑打开网页看问题是否修复。 丢包源及丢包动作（即丢包原因）从设备上不一定能看明白，文档“SANGFOR_ACSG_v11.0_2016年度渠道初级认证培训13_系统诊断工具_上网故障排除丢包模块及丢包原因说明.xls有详细中文说明，更多丢包原因说明可以参考此文档 注意 开直通后，仍然生效的模块有nat，邮件过滤，网关杀毒(smtp和pop3杀毒)，ssl内容识别，代理+cache，arp欺骗防护 ，系统路由和链路负载 命令控制台的使用 命令控制台 SANGFOR ACSG命令控制台提供一个简单的控制台命令行界面，可用于对设备的一些简单信息进行查看，支持的命令包括： arp（查看设备的arp表） mii-tool（查看设备网口的连接情况） ifconfig（查看设备网口信息） ping（测试主机地址的连通性） telnet（测试端口连通性） ethtool（查看设备网卡信息） route（显示设备的路由表） traceroute（跟踪数据包转发路径） 在命令行页面直接输入命令回车即可 命令控制台的使用场景及操作 场景一： 部署：设备单网桥部署eth0-eth2组成一组桥 FW-SG-3SW-PC 问题：内网用户通过SG上不了网,内网PCping 网桥ip地址192.200.200.49不通，ping防火墙 内网口地址192.200.200.199也不通。 如何排查？ 命令控制台的使