|
【标准化排查】Sangfor VPN业务不通问题 一、问题现象
Sangfor VPN连接正常,业务不通问题 二、场景排查思维导图 1、判断Sangfor VPN是否连接成功 以MIG设备为例,如果当MIG设备跟对端设备进行Sangfor VPN互联后,需要在VPN运行状态处查看是否有新配置VPN用户名的VPN连接信息即可判断VPN已经互联成功,如果在VPN运行状态看不到新配置的VPN连接信息,说明VPN没有连接上。下图是VPN正常连接的截图:(PS:需要注意的是Internet IP为空,则连接异常,请切换成TCP传输模式) 从上图我们能够看到的我们关注如下信息: 【用户名】:此处显示出这个VPN连接对应的哪个用户账号的,由此判断是否已经互联起来 【Internet IP】:此处显示的是跟本设备互联的对端的设备的公网IP 【内网IP】:此处显示的是跟本设备互联的对端的设备的内网IP 【接入时间】:此处显示的是本VPN连接互联成功的时间 【传输类型】:此处显示的是本VPN连接使用的传输模式
2、确认总部分支设备的网络环境 确认总部分支设备的网络拓扑,设备部署模式,版本信息,弄清楚数据流走向,确认内网中是否包含其他的安全设备,如防火墙之类的设备。
3、确认是否为两端设备的Sangfor VPN配置问题引起 3.1、确认本端的VPN本地子网是否已经添加 确认VPN的本地子网配置是否配置正常,有无遗漏的情况。在两端设备的升级客户端中【查看路由表】查看是否已经有生成VPN路由。若没有生成路由的情况下,先尝试断开重连VPN,如果还是没有生成路由,则找400工程师寻求帮助。 3.2、确认两端设备是否有配置防火墙过滤规则、内网服务等 通过开启VPN的调试日志,可以看到日志中是否有内网服务的拦截。检查总部和分支的设备是否有配置内网服务,检查内网服务配置的策略,是否有做限制,没有放通总部和分支的相关服务,如TCP、UDP、ICMP服务。检查总部和分支设备的防火墙过滤规则是否有配置【VPN->LAN】、【LAN->VPN】方向限制策略或者有缺少放通策略。 3.3、确认两端设备是否有配置错误的隧道间路由 在总部和分支设备上确认是否有配置隧道间路由,并且配置本身是存在问题。例如,隧道间路由配置的目的路由用户选择错误,导致数据包错误的发到其他设备;例如隧道间路由源目IP地址填反,导致数据在VPN隧道形成路由环路。
4、确认是否由内网网络问题导致 4.1、总部和分支的电脑ping不通的情况 在上述步骤确认本地子网以及路由都已经生成但是两端内网电脑仍然无法ping通的情况下,特别需要注意一点的是需要查看内网网关是否有配置回包路由引流到VPN设备的LAN口来。 在VPN设备单臂模式部署或者网关模式部署内网有三层环境下,需要在电脑的网关设备上配置回包路由,即访问对方内网网段下一跳交给VPN设备的LAN口地址,保证数据包可以正常交给VPN设备通过VPN隧道转发至对方内网。 若VPN设备为单臂模式,征得客户同意后,还可以在PC上添加静态路由的方式进行测试。例如内网网段是192.168.1.0,掩码是24位,VPN设备的LAN口地址192.168.1.254,在PC上添加静态路由:route add 192.168.1.0 mask 255.255.255.0 192.168.1.254。这样测试的作用,可以让数据流绕过内网网关设备,直接把数据包交给VPN设备。如果这条静态路由加了之后,访问正常了,说明内网网络有问题,要么有拦截,要么没加路由,或者其他的问题导致。如果还是不通,找400抓包协助排查。 4.2、总部和分支的电脑能ping通,telnet不通的情况下 在总部和分支的电脑能ping通并且检查过内网服务以及防火墙过滤规则没有问题的情况下。还是telnet不通,检查下是否由于网络中存在安全设备拦截导致,如果是有我司AF/AC设备,开启直通排除尝试。如果检查不出问题,可以联系400工程师在总部和分支设备抓包分析原因。
5、其他情况 ping和telnet都通,相关业务仍然访问不了的情况下,可以联系400工程师在总部和分支设备同时抓取业务访问的数据包,然后分析访问不了的原因。
三、信息获取 设备的版本信息 相关网络拓扑
四、维护说明 如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑 | 
发表于 2018-1-3 22:17
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
