SANGFOR IPSEC渠道高级认证培训02 SANGFOR DLAN互联案例及常见故障排错.pptx

SANGFOR DLAN 互联案例及常见故障排错培训内容培训目标SANGFOR DLAN互联案例及常见故障排错1.了解常见问题2.掌握一般的排错手段Contents12345SANGFOR DLAN互连案例故障一 无法建立VPN连接故障二 VPN已经建立，但访问不到对端服务器故障三 VPN使用不稳定故障四 拨号常见问题排查和解决办法需求：客户网络拓扑如下，深圳和北京分别有一台VPN设备，分别以网关模式和单臂模式部署到两个局域中，客户希望/24的PC可以访问服务器5.其中，北京的网络出口是拨号的。基本思路1.将设备部署上架2.要两端内网电脑能通讯，必须先建立VPN连接。3.选择一台VPN设备做VPN总部，另一台VPN设备做VPN分支。4.总部需要配置WEBAGENT信息与用户帐号，同时保证VPN监听端口可被分支设备访问、内网PC数据路由经过VPN。分支配置连接管理即可。(本例以北京的设备做为总部，深圳的设备做为分支进行配置。)总部VPN配置步骤：第一步：将深信服VPN设备配置成单臂模式并且上架。北京设备接口配置如下：第二步：配置WEBAGENT，进入『VPN信息设置』→『基本设置』，设置好主 WEBAGENT信息，MTU和最小压缩值默认即可，监听端口采用默认值，本案例配置界面如下：第三步：为分支建一个VPN账号，进入『VPN信息设置』→『用户管理』，新增一个VPN账号，选择类型为分支，配置界面如下：总部VPN配置步骤：第四步：在前置的防火墙把WAN口方向的TCP和UDP 4009端口映射到VPN设备，各厂家配置不一样，此处不一一例举。第五步：由于本端的VPN设备单臂模式部署，内网PC的网关指向防火墙，为了保证访问5的数据经过VPN设备，还需要在防火墙上添加静态路由，目标网络为/24，下一跳地址为52。以上步骤结束，总部配置完成。分支VPN配置步骤：第一步：将深信服VPN设备配置成网关模式并且上架。深圳设备接口地址设置如下：分支VPN配置步骤：第二步：建立VPN连接，进入『VPN信息设置』→『连接管理』，新建一个连接，填写总部设置的WEBAGNET，总部建的VPN账号，界面如下：以上配置结束后，完成总部与分支VPN连接的所有步骤，若VPN连接成功，可以通过DLAN运行状态查看连接情况，如图：两台设备做VPN互联时，必须保证至少有一台设备的VPN连接端口在公网上能通。Contents12345SANGFOR DLAN互连案例故障一 无法建立VPN连接故障二 VPN已经建立，但访问不到对端服务器故障三 VPN使用不稳定故障四 拨号常见问题排查和解决办法故障一 无法建立VPN连接A、要确认VPN是否能连接，最直观的方法是查看连接状态。一个正常的VPN连接状态，是有用户名、类型、实时流量、Internet IP、内网IP、接入时间、传输类型的。总部单臂部署下有一种情况，有连接状态但是在分支设备的VPN运行状态里看不到总部设备对应的Internet IP，分支连接之后无法正常访问总部，分支使用的是UDP模式建立连接，则可能是总部单臂设备前置没有做UDP端口映射，所以无法用UDP模式传输数据。处理方法：放通UDP端口或者改成TCP传输模式。故障一 无法建立VPN连接B、查看系统日志的提示。需要同时查看总部和分支的DLAN日志，在这里能看出错误的原因。点击系统日志—日志选项，单独显示DLAN模块日志：1、比如VPN端口不通，一般如下报错：2、两端VPN连接不成功，报Connection reset by peer（一般建议替换传输模式UDP或者改VPN通信端口，或者重新建立一个账号用户，重新加入VPN测试。）故障一 无法建立VPN连接C、检查设备的部署方式和配置。D、测试Webagent是否有效以及总部VPN连接端口是否通。VPN总部设备需要上网更新webagent地址，而分支VPN设备需要访问webagent地址获得总部VPN设备的公网IP地址。正常情况下，Webagent在总部日志是能看到更新日志的，如下图。测试webagent的方法有：1、填写webagent的时候，有测试按钮。打绿色勾表示webagent可用，打红色叉表示不可用。故障一 无法建立VPN连接2、 在浏览器地址栏测试。例如这个webagent是/webagent/utm/test.php。那么把后缀的【.php】改为【.txt】，既输入/webagent/utm/test.txt。正常的测试接入如下，”12-12-19#10:27:29”表示的是最新的更新时间：不正常的测试接入如下：以上如果确认webagent正常，那么就要测试总部的VPN连接端口是否通（VPN默认连接端口为4009，总部单臂模式