#原创分享#记第一次NGAF实施与常见问题总结
  

清风慕竹 47613人觉得有帮助

{{ttag.title}}
本帖最后由 清风慕竹 于 2019-11-12 13:02 编辑

      大家好,楼主于2017年7月份进入社会,在工作中大哥告诉我进入这一行首先要学会最基本的路由交换,因此最初3个月我都是在跟大哥学习路由交换的基础知识,10月份才刚刚开始碰深信服的产品,最早碰的产品是AC,第二个产品是下一代防火墙,现将第一次的下一代防火墙分享,希望能对大家有帮助,也希望各位大佬多多指出问题所在。
一、情景在线
       客户新购买了一台深信服的下一代防火墙,希望能够替代出口路由器,对内网的服务器能够有一定的防护,如SQL注入、XSS等,外网用户能够访问内网的服务器等,内网用户一些最基本的防护,如淘宝、视频等能够禁止。
二、配置思路
2.1、区域划分
22.png 23.png
2.2、接口地址配置
24.png 5.png
2.3、路由配置
6.png
2.4、应用控制策略配置
27.png
2.5、代理上网
26.png
2.6、服务器映射
7.png
三、后期维护
3.1、端口映射不生效
排查思路:
①开直通测试
8.png
注:测试成功,查看相关的直通日志-查看丢包标记,可能安全防护策略拦截、应用控制或内容安全测试拦截。
②测试服务器端口是否可通
9.png
注:如果不通,就是内网或服务器本身问题,建议尝试关闭服务器自身防火墙或安全软件,查看服务器与NGAF的通信是否异常。
③测试目的端口是否可通
注:如果不通,应该是运营商禁用知名端口,如80,8080等,建议修改目的端口。
④仔细检查地址转换配置
注:检查策略是否冲突,映射地址是否配置在对应的外网接口上。
⑤尝试双向地址转换
注:如果通,就是有可能是内网或服务器本身问题。
⑥视频会议/FTP/IP电话等映射
注:配置双向地址转换测试来测试;系统-系统配置-网络参数-SIP 端口和H.323留空测试;全端口映射测试等。
3.2、上架断网,网络不通
排查思路:
①物理层排错
通过更换邻接设备的网口甚至邻接设备本身来定位是否AF设备故障还是环境问题;
②链路层排错:
1、检查双工及速率,通过AF控制台页面【网络配置】-【物理接口】-【工作模式】确认;
10.png
2、根据状态是否异常进行调整;
3、若状态正常或调整后仍异常,则检查网口丢包错误包情况;
4、查看各个接口的errors/dropped后面的数字,运行多次命令,看其数值是否增加,且增加速度快;
11.png
③网络层排错
1、检查ip冲突情况,可通过检查邻接设备arp表项该ip对应的mac是否变动或者mac根本不是设备的mac;
2、查看路由表情况;
12.png
3、考虑运营商或前置设备限制情况,在设备上面ping外网定位是否受限。
4、检查DNS配置是否正确
注:网络层排错适用于设备路由模式部署或混合模式部署等要求设备路由转发的情况,虚拟网线或透明网桥等部署则可以略过此步,直接往应用层方面排错。
④应用层排错
检查各个策略设置情况来定位,通过控制台页面-【系统维护】-【数据包拦截日志与直通】功能进行定位;
开启直通后仍然无法解决,保持直通未关闭状态,对控制台页面-【系统】-【全局排除地址】填写故障网段或具体ip;
直通后正常则需定位具体拒绝模块从而调整策略配置,首先查看拦截日志,看能否定位具体策略和模块的,另外还可以通过【数据中心】日志来查看;
3.3、对接VPN不成功
排查思路:
①IPSEC VPN第三方对接不成功,一般都会有对接不成功的日志,然后根据日志进行针对性排查,例如日志里显示第一阶段不成功,先确认两端部署模式,然后按步骤检查第一阶段配置可能存在的问题,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,具体看调试日志有什么报错,根据对应的提示,检查两端相应的配置,根据提示着重查下两端共享密钥是否正确,两端验证的身份类型ID是否配置有问题。
②开直通测试,直通配置路径,如下:
(1)以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置;
(2)以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置。
③抓包分析数据包走向
④确定对端的路由设置、安全策略设置
⑤若出口是ASDL拨号的,确定是否是保留地址
13.png
3.4、控制台登录不上
排查思路:
请查看我的另外一篇分享:

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-12 14:23
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
Sangfor_闪电回_朱丽 发表于 2019-11-12 14:25
  

11.11社区也狂欢 +11 S豆 详情>

非常棒的分享,前面的实施步骤配合截图,很清楚了!后面还有维护时常见的各种问题及解决思路,是一篇不可多得的好帖子,尤其对于刚接触AF产品的小伙伴们,值得收藏!
点赞!
静态路由 发表于 2019-11-12 15:06
  
学习学习。
新手548437 发表于 2019-11-12 15:19
  
感谢分享。
王老师 发表于 2019-11-12 15:58
  

11.11社区也狂欢 +11 S豆 详情>

感谢分享!!
主动出击 发表于 2019-11-13 08:30
  
感谢分享。
新手632485 发表于 2019-11-13 08:55
  
学习学习,感谢分享!
sangfor_闪电回_小六 发表于 2019-11-14 10:04
  
厉害了,又学到了新技能!向楼主学习!
沧海 发表于 2019-11-14 14:53
  
学习一下!!!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
产品连连看
信服课堂视频
自助服务平台操作指引
新版本体验
秒懂零信任
安装部署配置
GIF动图学习
功能体验
玩转零信任
通用技术
2023技术争霸赛专题
技术晨报
社区帮助指南
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人