常用问题排错指导-深信服上网行为管理AC.pptVIP

培训内容 培训目标 所有用户上网断网 1.掌握所有用户断网情况下的问题排查思路 上网策略导致访问异常 1.掌握由于上网策略不正确导致访问异常的排查方法 内网收发邮件异常 1. 掌握内网用户收发邮件异常情况下的排查方法 外置数据中心数据库连接失败 掌握外置数据中心数据库连接失败的排查方法 外置数据中心无法建立索引 1.掌握数据中心无法建立 索引时的排查步骤 查不到上网行为日志 掌握查不到上网行为日志的排查方法 外置数据中心同步失败 掌握外置数据中心同步失败的排查方法 所有用户上网断网 所有用户上网断网 首先从内网PC上ping下网关，测试下PC和网关的网络连通性。 如果从PC上ping不通网关，则需要先检查下物理链路是否正常，有没有二层的ARP欺骗。 4. 开启拦截日志并直通，看用户上网是否恢复，如果恢复，则通过查看拦截日志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是否恢复正常，如果仍然未恢复，则再开启拦截日志，跟据拦截日志修改策略，直到故障修复。 3. 如果PC与AC/SG设备之间跨三层设备，需要检查AC/SG设备上的防DOS攻击设置，是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连，没有跨越任何的三层交换设备”（三层环境下不能勾选），DOS防御的参数是否设置过低导致的断网。 2. 如果PC能ping通网关，且网关是AC/SG设备，则需要检查AC/SG设备上的代理上网配置或者路由是否正确，LAN-WAN防火墙是否放通。 上网策略导致访问异常 上网策略导致访问异常 如果用户只有部分应用访问异常，例如MSN登录不了，登录不了网银，某些网站打不开，那么这些现象有可能和AC/SG上设置的策略有关系。 1. 首先检查下用户管理的上网策略，是否有设置可能拦截数据的策略。 2. 设置条件，填入测试电脑的IP，开启拦截日志并直通，测试故障是否修复。 （虽然也可以把测试电脑的IP地址填到设备的排除IP里，看故障是否修复，但是防火墙规则对排除IP还是生效的，所以还是建议用开启拦截日志并直通来排除和定位问题） 上网策略导致访问异常 3. 如果开启拦截日志并直通后故障恢复，那么可以定位问题是由于AC/SG设备的策略引起的，通过查看拦截日志，找到被拒绝数据的模块，修改策略。 4. 关闭拦截日志和直通，测试应用是否访问正常，如果仍然未恢复，则重复第2，3步，直到故障修复。 内网收发邮件不正常 内网收发邮件异常 如果邮件服务器在外网，客户端通过AC/SG收发邮件异常的话，需要进行以下步骤的排查： 3. 如果AC/SG本身能上外网，只要开启邮件过滤，客户端收发邮件就不正常，关闭邮件过滤又能恢复，需要检查下AC/SG设备的系统日志，看是否有程序异常的日志。 2. 如果关闭邮件过滤功能，客户端收发邮件正常，需要检查下AC/SG设备本身是否可以上外网，AC/SG网桥模式部署，网桥IP必须正确配置能上外网的IP和网关。 1. 检查邮件过滤功能是否有开启，如果有开启邮件过滤功能，检查是否有不恰当的邮件过滤选项，可以关闭邮件过滤功能，看收发邮件功能是否恢复。 内网收发邮件异常 4. 如果邮件过滤功能本身没有开启，但是客户端通过AC/SG收发邮件异常的话，还需要检查下是否开启了网关杀毒中的SMTP和POP3杀毒。 6. 如果AC/SG本身能上外网，只要开启SMTP和POP3杀毒，客户端收发邮件就不正常，关闭SMTP和POP3杀毒又能恢复，需要检查下AC/SG设备的系统日志，看是否有网关杀毒模块异常的告警日志。 5. 如果开启了SMTP和POP3杀毒，则关闭SMTP和POP3杀毒，再检查客户端收发邮件是否恢复正常。 如果关闭SMTP和POP3杀毒，客户端收发邮件就恢复正常的话，需要检查下AC/SG设备本身是否可以上外网，AC/SG网桥模式部署，网桥IP必须正确配置能上外网的IP和网关。 查不到上网行为日志 查不到上网行为日志 具体的测试方法：以打开网页的行为来测试，查看AC/SG设备的实时连接，查询测试机的IP，看AC/SG上面对于打开网页的行为识别成何种应用。 正常情况下应该识别为HTTP，如果识别为其他的应用，说明设备上曾经被自定义过应用识别规则，导致识别错误。 需要到“对象定义”—“应用特征识别库”，禁用或者删除自定义的应用识别规则，然后再观察AC/SG设备是否能正确识别到应用。 对于查不到用户的上网行为日志的现象，需要进行的排查步骤如下： 先检查用户关联的上网策略，是否有开启相应的上网行为审计选项。 2. 如果开启了上网行为审计选项，仍然记录不到上网日志，需要测试下AC/SG