SANGFOR IPSEC渠道高级认证培训02 SANGFOR DLAN互联案例及常见故障排错.ppt

备注： 1、查看分支的日志，查找“[SinforIKE] 建立主隧道,主动连接对端(IP: XX.XX.XX.XX,Port:XXX)!”这个日志，看IP是否总部的IP；查看总部的日志，看当分支连接总部时，总部日志是否有更新。如果没有，则查找是IP不通还是端口不通。 2、UDP模式下vpn日志提示建立成功，但是隧道很快断开，日志提示超时。（协商过程中停了，对端显示超时），则一般是UDP端口被前置防火墙挡了或没有UDP的端口映射，也有可能是MTU问题，VPN的命令帧长度有可能达1500Byte。也有可能是内网冲突。 * 备注： 1、查看分支的日志，查找“[SinforIKE] 建立主隧道,主动连接对端(IP: XX.XX.XX.XX,Port:XXX)!”这个日志，看IP是否总部的IP；查看总部的日志，看当分支连接总部时，总部日志是否有更新。如果没有，则查找是IP不通还是端口不通。 2、UDP模式下vpn日志提示建立成功，但是隧道很快断开，日志提示超时。（协商过程中停了，对端显示超时），则一般是UDP端口被前置防火墙挡了或没有UDP的端口映射，也有可能是MTU问题，VPN的命令帧长度有可能达1500Byte。也有可能是内网冲突。 3、ping大包，是因为有时候线路不稳定时可能默认的32 bytes的包不会丢包，这时就要ping大点的包察看是否丢包，丢的话线路还是有问题的。 * 备注： 1、查看分支的日志，查找“[SinforIKE] 建立主隧道,主动连接对端(IP: XX.XX.XX.XX,Port:XXX)!”这个日志，看IP是否总部的IP；查看总部的日志，看当分支连接总部时，总部日志是否有更新。如果没有，则查找是IP不通还是端口不通。 2、UDP模式下vpn日志提示建立成功，但是隧道很快断开，日志提示超时。（协商过程中停了，对端显示超时），则一般是UDP端口被前置防火墙挡了或没有UDP的端口映射，也有可能是MTU问题，VPN的命令帧长度有可能达1500Byte。也有可能是内网冲突。 3、ping大包，是因为有时候线路不稳定时可能默认的32 bytes的包不会丢包，这时就要ping大点的包察看是否丢包，丢的话线路还是有问题的。 * SANGFOR DLAN互联案例及常见故障排错 培训内容 培训目标 SANGFOR DLAN互联案例及常见故障排错 1.了解常见问题 2.掌握一般的排错手段 1. SANGFOR DLAN互连案例 3.故障二 VPN已经建立，但访问不到对端服务器 4.故障三 VPN使用不稳定 2.故障一 无法建立VPN连接 5.故障四 拨号常见问题排查和解决办法 需求： 客户网络拓扑如下，深圳和北京分别有一台VPN设备，分别以网关模式和单臂模式部署到两个局域中，客户希望/24的PC可以访问服务器5.其中，北京的网络出口是拨号的。 基本思路 1.将设备部署上架 2.要两端内网电脑能通讯，必须先建立VPN连接。 3.选择一台VPN设备做VPN总部，另一台VPN设备做VPN分支。 4.总部需要配置WEBAGENT信息与用户帐号，同时保证VPN监听端口可被分支设备访问、内网PC数据路由经过VPN。分支配置连接管理即可。 (本例以北京的设备做为总部，深圳的设备做为分支进行配置。) 总部VPN配置步骤： 第一步：将深信服VPN设备配置成单臂模式并且上架。北京设备接口配置如下： 第二步：配置WEBAGENT，进入『VPN信息设置』→『基本设置』，设置好主 WEBAGENT信息，MTU和最小压缩值默认即可，监听端口采用默认值，本案例配置界面如下： 第三步：为分支建一个VPN账号，进入『VPN信息设置』→『用户管理』，新增一个VPN账号，选择类型为分支，配置界面如下： 总部VPN配置步骤： 以上步骤结束，总部配置完成。 第五步：由于本端的VPN设备单臂模式部署，内网PC的网关指向防火墙，为了保证访问5的数据经过VPN设备，还需要在防火墙上添加静态路由，目标网络为/24，下一跳地址为52。 第四步：在前置的防火墙把WAN口方向的TCP和UDP 4009端口映射到VPN设备，各厂家配置不一样，此处不一一例举。 分支VPN配置步骤： 第一步：将深信服VPN设备配置成网关模式并且上架。深圳设备接口地址设置如下： 分支VPN配置步骤： 第二步：建立VPN连接，进入『VPN信息设置』→『连接管理』，新建一个连接，填写总部设置的WEBAGNET，总部建的VPN账号，界面如下： 两台设备做VPN互联时，必须保证至少有一台设备的VPN连接端口在公网上能通。 以上配置结束后，完成总部与分支VPN连接的所有步骤，若VPN连接成功，可以通过DLAN运行状态查看连接情况，如图： 故障一