系統(tǒng)診斷工具-深信服上網(wǎng)行為管理AC

1、SANGFOR AC&SG 系統(tǒng)診斷工具培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SANGFOR AC 上網(wǎng)故障排除功能介紹1.了解上網(wǎng)故障排除功能的作用2.掌握開(kāi)啟數(shù)據(jù)直通的方法3. 掌握分析拒絕日志的方法SANGFOR AC 命令控制臺(tái)1.掌握AC命令控制臺(tái)支持的命令和操作方法SANGFOR AC 抓包工具的使用1.掌握簡(jiǎn)易抓包和高級(jí)抓包的方法SANGFOR AC 其他排錯(cuò)工具1.掌握全局排除地址、系統(tǒng)日志、控制臺(tái)操作日志的用法上網(wǎng)故障排除功能介紹命令控制臺(tái)的使用深信服公司簡(jiǎn)介其他排錯(cuò)工具的使用SANGFOR AC抓包工具的使用上網(wǎng)故障排除功能介紹上網(wǎng)故障排除功能介紹 開(kāi)啟數(shù)據(jù)直通： 開(kāi)啟后，AC&SG上設(shè)置的上網(wǎng)

2、策略將不生效，符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會(huì)被設(shè)備放行，同時(shí)會(huì)將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況以日志的方式顯示出來(lái) 上網(wǎng)故障排除功能用于查詢一個(gè)數(shù)據(jù)包在通過(guò)AC&SG設(shè)備時(shí)是被哪個(gè)模塊拒絕，是什么原因被拒絕。當(dāng)用戶上網(wǎng)出現(xiàn)故障時(shí)，便于快速定位故障原因，也可用來(lái)測(cè)試一些規(guī)則是否生效 。設(shè)置攔截日志過(guò)濾條件：設(shè)置需要針對(duì)哪些IP地址，協(xié)議和端口開(kāi)啟攔截日志。默認(rèn)開(kāi)啟所有的攔截日志。上網(wǎng)故障排除功能介紹開(kāi)啟實(shí)時(shí)攔截日志：將打開(kāi)拒絕列表，此時(shí)設(shè)備所有的策略依然生效。符合策略設(shè)置應(yīng)該拒絕的數(shù)據(jù)包會(huì)被設(shè)備拒絕掉，同時(shí)會(huì)將符合策略設(shè)置應(yīng)該被拒絕數(shù)據(jù)包的情況顯示出來(lái) 設(shè)置針對(duì)哪些IP地址開(kāi)啟攔截日志設(shè)置

3、開(kāi)啟攔截日志的協(xié)議和端口成功開(kāi)啟上網(wǎng)攔截日志上網(wǎng)故障排除功能介紹 開(kāi)啟實(shí)時(shí)攔截日志與數(shù)據(jù)直通： 開(kāi)啟實(shí)時(shí)攔截日志同時(shí)開(kāi)啟數(shù)據(jù)直通，此時(shí)設(shè)備設(shè)置的上網(wǎng)策略將不生效。符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包會(huì)被設(shè)備放行，同時(shí)會(huì)將符合策略設(shè)置應(yīng)該被拒絕的數(shù)據(jù)包攔截情況顯示出來(lái) 。勾選即開(kāi)啟數(shù)據(jù)直通需要開(kāi)啟數(shù)據(jù)直通的地址設(shè)置流控模塊是否進(jìn)行數(shù)據(jù)直通成功開(kāi)啟攔截日志與數(shù)據(jù)直通上網(wǎng)故障排除功能使用案例客戶環(huán)境：客戶內(nèi)網(wǎng)部署了AC設(shè)備后，所有用戶部分網(wǎng)頁(yè)打不開(kāi)，管理員想定位是AC上的策略設(shè)置問(wèn)題還是公網(wǎng)運(yùn)營(yíng)商出現(xiàn)了故障。上網(wǎng)故障排除功能使用案例上網(wǎng)故障排除功能使用步驟和思路：1. 設(shè)置攔截日志開(kāi)啟條件。 如果選擇內(nèi)網(wǎng)

4、某一臺(tái)電腦做測(cè)試，可以只指定這一臺(tái)電腦的IP地址。2. 開(kāi)啟實(shí)時(shí)攔截日志和數(shù)據(jù)直通。3. 在測(cè)試電腦上訪問(wèn)之前通信有故障的應(yīng)用，看故障是否恢復(fù)，如果恢復(fù)，說(shuō)明是AC設(shè)備上的策略攔截了數(shù)據(jù)包。4. 再查看實(shí)時(shí)攔截日志（一般可通過(guò)查看第一個(gè)包的日志，第一個(gè)包的攔截日志詳細(xì)說(shuō)明了是AC上哪條上網(wǎng)策略或哪個(gè)模塊丟棄了數(shù)據(jù)包）。5. 根據(jù)攔截日志的提示修改策略，再關(guān)閉直通功能，測(cè)試故障是否恢復(fù)。上網(wǎng)故障排除功能使用案例1. 設(shè)置開(kāi)啟條件，開(kāi)啟實(shí)時(shí)攔截日志并直通。為便于定位問(wèn)題，在內(nèi)網(wǎng)找一臺(tái)電腦測(cè)試同時(shí)開(kāi)啟數(shù)據(jù)直通上網(wǎng)故障排除功能使用案例2.開(kāi)啟攔截日志并直通后，測(cè)試電腦打開(kāi)網(wǎng)頁(yè)操作，發(fā)現(xiàn)可以打開(kāi)網(wǎng)頁(yè)，再

5、到上網(wǎng)故障排除中刷新實(shí)時(shí)攔截日志，如下圖：通過(guò)這些日志，可發(fā)現(xiàn)瀏覽網(wǎng)站的請(qǐng)求被URL過(guò)濾丟包了，需要檢查上網(wǎng)權(quán)限策略中URL過(guò)濾的規(guī)則。上網(wǎng)故障排除功能使用案例3. 攔截日志提示被URL過(guò)濾規(guī)則丟棄，檢查用戶使用的上網(wǎng)策略規(guī)則。所測(cè)試的電腦使用的上網(wǎng)權(quán)限策略檢查出在上網(wǎng)權(quán)限策略中，確實(shí)設(shè)置了全天拒絕訪問(wèn)部分URL。上網(wǎng)故障排除功能使用案例4. 刪除錯(cuò)誤的規(guī)則，并關(guān)閉數(shù)據(jù)直通，內(nèi)網(wǎng)電腦打開(kāi)網(wǎng)頁(yè)看問(wèn)題是否修復(fù)。上網(wǎng)故障排除常見(jiàn)丟包源說(shuō)明AppControl: 應(yīng)用控制丟包URLFilter: URL過(guò)濾丟包SSL： SSL控制丟包（包括HTTPS URL 過(guò)濾）FluxCtrl： 流控丟包Web

6、authen: 用戶認(rèn)證丟包Ingress： 準(zhǔn)入丟包命令控制臺(tái)的使用命令控制臺(tái) SANGFOR AC&SG命令控制臺(tái)提供一個(gè)簡(jiǎn)單的控制臺(tái)命令行界面，可用于對(duì)設(shè)備的一些簡(jiǎn)單信息進(jìn)行查看，支持的命令包括： arp（查看設(shè)備的arp表） mii-tool（查看設(shè)備網(wǎng)口的連接情況） ifconfig（查看設(shè)備網(wǎng)口信息） ping（測(cè)試主機(jī)地址的連通性） telnet（測(cè)試端口連通性） ethtool（查看設(shè)備網(wǎng)卡信息） route（顯示設(shè)備的路由表） traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑） 在命令行頁(yè)面直接輸入命令回車即可 命令控制臺(tái)的使用1. arp（查看設(shè)備的ARP表）命令控制臺(tái)的使用2.

7、mii-tool（查看設(shè)備網(wǎng)口的連接情況）命令控制臺(tái)的使用3. ifconfig（查看設(shè)備網(wǎng)口信息）命令控制臺(tái)的使用4. ping（測(cè)試主機(jī)地址連通）命令控制臺(tái)的使用5. telnet（測(cè)試端口連通性）命令控制臺(tái)的使用6. ethtool（查看設(shè)備網(wǎng)卡信息）命令控制臺(tái)的使用7. route（顯示設(shè)備的路由表）命令控制臺(tái)的使用8. traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑）抓包工具的使用抓包工具的使用 SANGFOR AC&SG控制臺(tái)界面的抓包工具分為簡(jiǎn)易抓包和高級(jí)抓包。 簡(jiǎn)易抓包只抓取來(lái)自內(nèi)網(wǎng)且設(shè)備識(shí)別不了的包。如果是來(lái)自外網(wǎng)的，設(shè)備能識(shí)別的數(shù)據(jù)包，是不會(huì)被抓取的。一般不適用簡(jiǎn)易抓包。 高級(jí)抓

8、包則是用TCPDUMP的方式抓包，將抓取的數(shù)據(jù)包保存在設(shè)備的控制臺(tái)界面，需要在電腦上安裝Sniffer或Ethereal等抓包軟件，才能打開(kāi)此數(shù)據(jù)包進(jìn)行分析。高級(jí)抓包能抓取所有通過(guò)設(shè)備網(wǎng)卡的數(shù)據(jù)，故在排查問(wèn)題的過(guò)程中使用比較廣泛。 簡(jiǎn)易（抓取未知流量）和高級(jí)（TCPDUMP）抓包兩者只能選其一。 抓包工具的使用1. 簡(jiǎn)易抓包的使用設(shè)置簡(jiǎn)易抓包的條件設(shè)置抓包個(gè)數(shù)抓包工具的使用2. 高級(jí)（TCPDUMP）抓包的使用設(shè)置抓包個(gè)數(shù)選擇抓取哪個(gè)網(wǎng)口的數(shù)據(jù)包只抓取符合條件的數(shù)據(jù)將抓到的數(shù)據(jù)包下載到PC機(jī)本地，用Sniffer或Ethereal，Wireshark等抓包軟件打開(kāi)通過(guò)抓取的數(shù)據(jù)包，分析數(shù)據(jù)的通

9、信是否正常（是否有雙向通信的數(shù)據(jù)，源和目標(biāo)IP是否正確等）抓包工具的使用 注意事項(xiàng)： 1. 高級(jí)（TCPDUMP）抓包的過(guò)濾表達(dá)式使用的是Linux下的標(biāo)準(zhǔn)TCPDUMP格式 。 2. 如果對(duì)Linux命令不熟悉的話，可以參照示例中的格式“host and port 53” ， 即抓取所有源IP和目標(biāo)IP為，源端口和目標(biāo)端口為53的數(shù)據(jù)包。常用命令舉例： 抓取的ping包： host and icmp 抓取的UDP 1773的包： host and ud

10、p port 1773 抓取和之間TCP 80的交互包： host and host and tcp port 80其他排錯(cuò)工具其他排錯(cuò)工具全局排除地址啟用全局排除地址，針對(duì)排除的地址，設(shè)備設(shè)置的上網(wǎng)策略將不生效，也不進(jìn)行審計(jì)。說(shuō)明：1.排除地址可以是內(nèi)網(wǎng)ip，或者外網(wǎng)IP。只要源IP或者目的IP在排除地址列表，就不做控制和審計(jì)。2.排除地址對(duì)防火墻規(guī)則和準(zhǔn)入監(jiān)控IM聊天無(wú)效。3.排除地址支持填寫域名。其他排錯(cuò)工具系統(tǒng)日志系統(tǒng)日志實(shí)時(shí)記錄著設(shè)備所有程序的運(yùn)行情況，當(dāng)程序有異常時(shí)對(duì)應(yīng)模塊會(huì)在系統(tǒng)日志打出告警或者錯(cuò)誤日志。如果感覺(jué)設(shè)備有任何異常，可以先查看系統(tǒng)日志進(jìn)行確認(rèn)！篩選日志類型篩選要顯示的日志可將系統(tǒng)日志截圖給400協(xié)助處理其他排錯(cuò)工具控制臺(tái)操作日志通過(guò)在數(shù)據(jù)中心查看控制臺(tái)操作日志，可以很清晰的看出哪一個(gè)賬號(hào)在什么時(shí)間段修