系統(tǒng)診斷工具-深信服上網(wǎng)行為管理AC

1、SANGFOR AC&SG 系統(tǒng)診斷工具培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SANGFOR AC 上網(wǎng)故障排除功能介紹1.了解上網(wǎng)故障排除功能的作用2.掌握開啟數(shù)據(jù)直通的方法3. 掌握分析拒絕日志的方法SANGFOR AC 命令控制臺1.掌握AC命令控制臺支持的命令和操作方法SANGFOR AC 抓包工具的使用1.掌握簡易抓包和高級抓包的方法SANGFOR AC 其他排錯工具1.掌握全局排除地址、系統(tǒng)日志、控制臺操作日志的用法上網(wǎng)故障排除功能介紹命令控制臺的使用深信服公司簡介其他排錯工具的使用SANGFOR AC抓包工具的使用上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹 開啟數(shù)據(jù)直通： 開啟后，AC&

2、SG上設(shè)置的上網(wǎng)策略將不生效，符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會被設(shè)備放行，同時會將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況以日志的方式顯示出來 上網(wǎng)故障排除功能用于查詢一個數(shù)據(jù)包在通過AC&SG設(shè)備時是被哪個模塊拒絕，是什么原因被拒絕。當(dāng)用戶上網(wǎng)出現(xiàn)故障時，便于快速定位故障原因，也可用來測試一些規(guī)則是否生效 。設(shè)置攔截日志過濾條件：設(shè)置需要針對哪些IP地址，協(xié)議和端口開啟攔截日志。默認(rèn)開啟所有的攔截日志。上網(wǎng)故障排除功能介紹開啟實(shí)時攔截日志：將打開拒絕列表，此時設(shè)備所有的策略依然生效。符合策略設(shè)置應(yīng)該拒絕的數(shù)據(jù)包會被設(shè)備拒絕掉，同時會將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況顯示出來 設(shè)置針對哪些

3、IP地址開啟攔截日志設(shè)置開啟攔截日志的協(xié)議和端口成功開啟上網(wǎng)攔截日志上網(wǎng)故障排除功能介紹 開啟實(shí)時攔截日志與數(shù)據(jù)直通： 開啟實(shí)時攔截日志同時開啟數(shù)據(jù)直通，此時設(shè)備設(shè)置的上網(wǎng)策略將不生效。符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會被設(shè)備放行，同時會將符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包攔截情況顯示出來 。勾選即開啟數(shù)據(jù)直通需要開啟數(shù)據(jù)直通的地址設(shè)置流控模塊是否進(jìn)行數(shù)據(jù)直通成功開啟攔截日志與數(shù)據(jù)直通上網(wǎng)故障排除功能使用案例客戶環(huán)境：客戶內(nèi)網(wǎng)部署了AC設(shè)備后，所有用戶部分網(wǎng)頁打不開，管理員想定位是AC上的策略設(shè)置問題還是公網(wǎng)運(yùn)營商出現(xiàn)了故障。上網(wǎng)故障排除功能使用案例上網(wǎng)故障排除功能使用步驟和思路：1. 設(shè)置攔截日志

4、開啟條件。 如果選擇內(nèi)網(wǎng)某一臺電腦做測試，可以只指定這一臺電腦的IP地址。2. 開啟實(shí)時攔截日志和數(shù)據(jù)直通。3. 在測試電腦上訪問之前通信有故障的應(yīng)用，看故障是否恢復(fù)，如果恢復(fù)，說明是AC設(shè)備上的策略攔截了數(shù)據(jù)包。4. 再查看實(shí)時攔截日志（一般可通過查看第一個包的日志，第一個包的攔截日志詳細(xì)說明了是AC上哪條上網(wǎng)策略或哪個模塊丟棄了數(shù)據(jù)包）。5. 根據(jù)攔截日志的提示修改策略，再關(guān)閉直通功能，測試故障是否恢復(fù)。上網(wǎng)故障排除功能使用案例1. 設(shè)置開啟條件，開啟實(shí)時攔截日志并直通。為便于定位問題，在內(nèi)網(wǎng)找一臺電腦測試同時開啟數(shù)據(jù)直通上網(wǎng)故障排除功能使用案例2.開啟攔截日志并直通后，測試電腦打開網(wǎng)頁操

5、作，發(fā)現(xiàn)可以打開網(wǎng)頁，再到上網(wǎng)故障排除中刷新實(shí)時攔截日志，如下圖：通過這些日志，可發(fā)現(xiàn)瀏覽網(wǎng)站的請求被URL過濾丟包了，需要檢查上網(wǎng)權(quán)限策略中URL過濾的規(guī)則。上網(wǎng)故障排除功能使用案例3. 攔截日志提示被URL過濾規(guī)則丟棄，檢查用戶使用的上網(wǎng)策略規(guī)則。所測試的電腦使用的上網(wǎng)權(quán)限策略檢查出在上網(wǎng)權(quán)限策略中，確實(shí)設(shè)置了全天拒絕訪問部分URL。上網(wǎng)故障排除功能使用案例4. 刪除錯誤的規(guī)則，并關(guān)閉數(shù)據(jù)直通，內(nèi)網(wǎng)電腦打開網(wǎng)頁看問題是否修復(fù)。上網(wǎng)故障排除常見丟包源說明AppControl: 應(yīng)用控制丟包URLFilter: URL過濾丟包SSL： SSL控制丟包（包括HTTPS URL 過濾）FluxCt

6、rl： 流控丟包Web authen: 用戶認(rèn)證丟包Ingress： 準(zhǔn)入丟包命令控制臺的使用命令控制臺 SANGFOR AC&SG命令控制臺提供一個簡單的控制臺命令行界面，可用于對設(shè)備的一些簡單信息進(jìn)行查看，支持的命令包括： arp（查看設(shè)備的arp表） mii-tool（查看設(shè)備網(wǎng)口的連接情況） ifconfig（查看設(shè)備網(wǎng)口信息） ping（測試主機(jī)地址的連通性） telnet（測試端口連通性） ethtool（查看設(shè)備網(wǎng)卡信息） route（顯示設(shè)備的路由表） traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑） 在命令行頁面直接輸入命令回車即可 命令控制臺的使用1. arp（查看設(shè)備的

7、ARP表）命令控制臺的使用2. mii-tool（查看設(shè)備網(wǎng)口的連接情況）命令控制臺的使用3. ifconfig（查看設(shè)備網(wǎng)口信息）命令控制臺的使用4. ping（測試主機(jī)地址連通）命令控制臺的使用5. telnet（測試端口連通性）命令控制臺的使用6. ethtool（查看設(shè)備網(wǎng)卡信息）命令控制臺的使用7. route（顯示設(shè)備的路由表）命令控制臺的使用8. traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑）抓包工具的使用抓包工具的使用 SANGFOR AC&SG控制臺界面的抓包工具分為簡易抓包和高級抓包。 簡易抓包只抓取來自內(nèi)網(wǎng)且設(shè)備識別不了的包。如果是來自外網(wǎng)的，設(shè)備能識別的數(shù)據(jù)包，是不

8、會被抓取的。一般不適用簡易抓包。 高級抓包則是用TCPDUMP的方式抓包，將抓取的數(shù)據(jù)包保存在設(shè)備的控制臺界面，需要在電腦上安裝Sniffer或Ethereal等抓包軟件，才能打開此數(shù)據(jù)包進(jìn)行分析。高級抓包能抓取所有通過設(shè)備網(wǎng)卡的數(shù)據(jù)，故在排查問題的過程中使用比較廣泛。 簡易（抓取未知流量）和高級（TCPDUMP）抓包兩者只能選其一。 抓包工具的使用1. 簡易抓包的使用設(shè)置簡易抓包的條件設(shè)置抓包個數(shù)抓包工具的使用2. 高級（TCPDUMP）抓包的使用設(shè)置抓包個數(shù)選擇抓取哪個網(wǎng)口的數(shù)據(jù)包只抓取符合條件的數(shù)據(jù)將抓到的數(shù)據(jù)包下載到PC機(jī)本地，用Sniffer或Ethereal，Wireshark等抓

9、包軟件打開通過抓取的數(shù)據(jù)包，分析數(shù)據(jù)的通信是否正常（是否有雙向通信的數(shù)據(jù)，源和目標(biāo)IP是否正確等）抓包工具的使用 注意事項(xiàng)： 1. 高級（TCPDUMP）抓包的過濾表達(dá)式使用的是Linux下的標(biāo)準(zhǔn)TCPDUMP格式 。 2. 如果對Linux命令不熟悉的話，可以參照示例中的格式“host and port 53” ， 即抓取所有源IP和目標(biāo)IP為，源端口和目標(biāo)端口為53的數(shù)據(jù)包。常用命令舉例： 抓取的ping包： host and icmp 抓取的UDP 1773的包： hos

10、t and udp port 1773 抓取和之間TCP 80的交互包： host and host and tcp port 80其他排錯工具其他排錯工具全局排除地址啟用全局排除地址，針對排除的地址，設(shè)備設(shè)置的上網(wǎng)策略將不生效，也不進(jìn)行審計(jì)。說明：1.排除地址可以是內(nèi)網(wǎng)ip，或者外網(wǎng)IP。只要源IP或者目的IP在排除地址列表，就不做控制和審計(jì)。2.排除地址對防火墻規(guī)則和準(zhǔn)入監(jiān)控IM聊天無效。3.排除地址支持填寫域名。其他排錯工具系統(tǒng)日志系統(tǒng)日志實(shí)時記錄著設(shè)備所有程序的運(yùn)行情況，當(dāng)程序有異常時對應(yīng)模塊會在系統(tǒng)日志打出告警或者錯誤日志。如果感覺設(shè)備有任何異常，可以先查看系統(tǒng)日志進(jìn)行確認(rèn)！篩選日志類型篩選要顯示的日志可將系統(tǒng)日志截圖給400協(xié)助處理其他排錯工具控制臺操作日志通過在數(shù)據(jù)中心查看控制臺操作日志，可以很清晰的看出哪一個賬號在什么時間段