SANGFOR_AC_ALL_上网故障排除功能介绍
  

Sangfor_闪电回_朱丽 4330412人觉得有帮助

{{ttag.title}}
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位故障原因。界面如下(开启直通后,可通过刷新该页面,查看拒绝列表日志):



开启实时拦截日志:
将打开拒绝列表,此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉,同时会将符合策略设置应该被拒绝数据包的情况显示出来。

开启实时拦截日志与数据直通:
开启实时拦截日志同时开启数据直通,此时设备设置的上网策略将不生效。符合策略设置应该被拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝的数据包拦截情况显示出来 。

设置拦截日志过滤条件:
设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有的拦截日志。(在做排错时,建议有针对性地开启直通)

如果是AC/SG12.0.14及之后的版本,直通提示用户认证丢包可以在【实时状态】-【故障监控中心】-【用户认证故障排查】输入出问题的IP地址查看详细的排查建议;如果提示应用控制丢包或者URL过滤丢包,可以在【实时状态】-【故障监控中心】-【权限策略故障排查】中输入出问题的IP地址查看详细的拒绝日志,根据拒绝日志提示放通策略(如果不方便按照策略放通某个应用或者分类,也可以参考智能客服里的自定义应用或者自定义URL配置指导放通个别的IP或者URL);
全网版本13.X的界面在【全网监控】-【故障监控中心】

注:如果开直通之后仍然有访问异常或者使用异常的情况,建议确认下当前AC/SG设备的部署模式,网桥部署的情况建议看是否方便绕开设备,数据不经过AC的时候如果也不正常,建议排查网络环境问题,如果只有经过AC有问题,建议及时联系售后400协助排查。

开直通后,仍然生效的模块有nat,邮件过滤,邮件延迟审计,网关杀毒(smtp和pop3杀毒),ssl内容识别,透明代理+cache功能,显示代理+cache功能,arp欺骗防护 ,系统路由和策略路由

上网故障排除日志中的丢包模块及丢包原因说明:
编号丢包信息丢包模块丢包原因
1trace filter, drop this session应用审计SMTP发送邮件过滤或者网页内容关键字过滤导致丢包,请检查上网策略中是否配置了邮件过滤或者网页内容关键字过滤规则。
2scap, this session must be droped应用审计SMTP发送邮件过滤或者网页内容关键字过滤导致丢包,请检查上网策略中是否配置了邮件过滤或者网页内容关键字过滤规则。
3drop all packet send to local:8000-8007 in pre-routing上网加速该数据包发往本设备的保留端口8000-8007,将被丢弃。(此连接使用的端口被系统占用)
4session have been sign MUST_DROP, need drop用户认证数据包被丢弃,请检查组织结构中该IP对应的用户是否被禁用或过期了,或者被加入了冻结列表,或者在认证策略中对IP地址配置了密码认证或不允许新用户认证或IP(MAC)被其他用户双向绑定了。
5session user had been freezed, need drop用户认证该用户已被冻结,不允许访问网络
6estabish packet, user had been freezed用户认证该用户已被冻结,不允许访问网络
7new packet, check bind mac error:0x%08x%04x"用户认证检查数据包的MAC地址(xx-xx-xx-xx-xx-xx)时发现错误,请检查是否已经有其他用户双向绑定了该MAC地址
8session has been signed as MUST_DROP in StampContrackFlags, drop用户认证数据包被丢弃,请检查组织结构中该IP对应的用户是否被禁用或过期了,或者被加入了冻结列表,或者在认证策略中对IP地址配置了密码认证或不允许新用户认证或IP(MAC)被其他用户双向绑定了。
9new packet, user had been freezed用户认证该用户已被冻结,不允许访问网络
10estabish packet, user had been freezed用户认证该用户已被冻结,不允许访问网络
11need web authen, not allow dns, drop用户认证该用户尚未认证,不允许访问DNS服务,请检查认证选项中的其他认证选项是否开启了“用户未通过认证前,允许访问DNS服务”
12new udp packet, need web authen, drop用户认证该用户尚未认证,不允许访问基于UDP协议的服务
13new packet,tcp but not 80 port packet, need web authen, drop用户认证该用户尚未认证,不允许访问基于tcp协议的服务,请检查认证选项中的其他认证选项是否开启了“未通过认证用户可以访问基本服务(根组权限,HTTP除外)”
14new unknow prot packet, need web authen, drop用户认证该用户尚未认证,不允许访问除基于TCP、UDP和ICMP协议以外的协议的服务
15estabish packet, check bind mac error用户认证检查数据包的MAC地址(xx-xx-xx-xx-xx-xx)时发现错误,请检查是否已经有其他用户双向绑定了该MAC地址
16session has been signed as MUST_DROP in StampContrackFlags, drop用户认证数据包被丢弃,请检查组织结构中该IP对应的用户是否被禁用或过期了,或者被加入了冻结列表,或者在认证策略中对IP地址配置了密码认证或不允许新用户认证或IP(MAC)被其他用户双向绑定了。
17estabish packet, user had been freezed用户认证该用户已被冻结,不允许访问网络
18estabish packet, user had been freezed用户认证该用户已被冻结,不允许访问网络
19estabish packet, not tcp, need web authen用户认证该用户尚未认证,不允许访问基于tcp协议的服务,请检查认证选项中的其他认证选项是否开启了“未通过认证用户可以访问基本服务(根组权限,HTTP除外)”
20estabish packet, not http, need web authen用户认证该用户尚未认证,不允许访问基于http协议的服务
21estabish packet, http, nDataLen=0用户认证该用户尚未认证,不允许访问基于http协议的服务
22insert new user, have no user node用户认证该用户尚未认证,但系统内存不足,认证失败
23time is too short to redirect用户认证该用户尚未认证,但刷新页面频率太快,不返回认证页面,直接丢包
24redirect to login page用户认证该用户属于密码认证用户并且尚未认证,返回认证页面
250, NULL, NULL, skb, "FluxCtrl"流控不能正确匹配到流量通道的数据包过多,丢弃一部分
260, NULL, NULL, skb, "FluxCtrl" 流控流控中缓存的数据包过多,并且不能通过丢弃之前缓存的数据包来提供足够的空间保存新的数据包,所以丢新来数据包
27 NULL, NULL, skb, "FluxCtrl"流控网卡发包失败,重新进入流控的数据包过多,丢弃一部分
280, NULL, NULL, skb, "FluxCtrl"流控流控通道缓存数据包过多,或者是流控预测缓存数据包过多,需要丢弃一部分
290, NULL, NULL, skb, "FluxCtrl"流控内存不足或者是长度大于1600的数据包太多
300, NULL, NULL, skb_drop, "FluxCtrl流控开启了单用户上限并且某个用户缓存的数据包过多,需要丢弃一部分之前缓存的数据包来提供足够空间存新包
310, NULL, NULL, skb, "FluxCtrl"流控开启了单用户上限并且某个用户缓存的数据包过多,需要丢弃一部分之前缓存的数据包来提供足够空间存新包,所以丢新来数据包
320, NULL, NULL, skb, "FluxCtrl", "sch_ucfq, qlen: %u B, backlog skb may be too much",流控流控根据预测结果判断是否用户是否缓存数据包过多, 而需要丢弃当前数据包
33NF_IP_FORWARD, 0, 0, skb, "netsafe", "plugin valid"插件过滤被禁止的插件
34NF_IP_FORWARD, 0, 0, skb, "netsafe", "plugin valid"插件过滤在黑名单关键字列表中
35hook, indev, outdev, skb, "netsafe", "netsafe_hook_func插件过滤与脚本过滤路由模式,此连接打上被拦截标志,后续流程进来时直接DROP
36hook, indev, outdev, skb, "netsafe", "netsafe_hook_func_retcheck插件过滤与脚本过滤路由模式,此连接打上被拦截标志,第一次判断出来了
37NF_IP_FORWARD, 0, 0, skb, "netsafe", "bypass_hook插件过滤与脚本过滤网桥模式,此连接打上被拦截标志,后续流程进来时直接DROP
38NF_IP_FORWARD, 0, 0, skb, "netsafe", "bypass_hook-retcheck"插件过滤与脚本过滤网桥模式,此连接打上被拦截标志,第一次判断出来了
39NF_IP_FORWARD, 0, 0, skb, "netsafe", "plugin last packet插件过滤插件重发的最后一人上数据包,在重组后发现应该DROP
40NF_IP_FORWARD, 0, 0, skb, "netsafe", "plugin last packet"插件过滤插件重发的最后一人上数据包,在重组后发现应该DROP
41NF_IP_FORWARD, 0, 0, skb, "netsafe", "script risk packet"脚本过滤脚本重发的最后一人上数据包,在重组后发现应该DROP
42"port_scan_detect(mail spam)", "droped by port scan detector for mail spam"危险行为异常邮件阻断
43"port_scan_detect", "droped by port scan detector"危险行为检测到端口扫描
44"port_scan_detect", "droped by port scan detector"危险行为检测到端口扫描
45"risk detect", "http post"危险行为HTTP post协议异常
46 "risk detect", "http response"危险行为HTTP Response协议异常
47"risk detect", "http get"危险行为HTTP GET协议异常
48hooknum, in, out, skb, 危险行为HTTP user-agent异常
49"risk detect", "http advanced post"危险行为高级POST异常
50"risk detect", "http advanced post"危险行为高级POST异常
51"risk detect", "smtp xmailer and msgid"危险行为SMTP XMAILER或MSGID异常
52"RISK DETECT", "NOT HTTP"危险行为非标准HTTP协议异常
53"RISK DETECT", "NOT SMTP"危险行为非标准SMTP协议异常
54"RISK DETECT", "NOT FTP"危险行为非标准FTP协议异常
55"RISK DETECT", "NOT POP3"危险行为非标准POP3协议异常
56"RISK DETECT", "NOT SSL"危险行为非标准SSL协议异常
57"risk detect", "risk_detect_hook"危险行为路由模式,连接被打上拦截标志,后续包进入情况
58"risk detect", "bypass_hook"危险行为网桥模式,连接被打上拦截标志,后续包进入情况
59"ingress","have been redirected,drop ack"准入策略通用配置违反准入策略或者未安装准入客户端
60"ingress",szGwCmd准入策略通用配置客户端正在找准入网关
61"ingress","not nld udp data format!"准入策略-》组织外上网线路检测客户端组织外上网线路检测数据包格式错误
62"ingress","invalid nld udp data!"准入策略-》组织外上网线路检测客户端组织外上网线路检测数据包格式错误
63"ingress","nld data"准入策略-》组织外上网线路检测客户端组织外上网线路检测成功
64"ingress",pRedirWeb准入策略通用配置客户端正在找准入网关
65"ingress","get restore.htm,redirect"准入策略通用配置客户端重定向到上次访问的url
66"ingress","get restore.htm,redirect"准入策略通用配置客户端通过准入检测,重定向到上次访问的url
67"ingress","need ingress"准入策略通用配置客户端未通过准入认证,连接断开
68"ingress","need ingress"准入策略通用配置客户端未通过准入认证,连接断开
69"ingress","not http get,need ingress"准入策略通用配置客户端未通过准入认证,断开连接(非http get连接)
70"ingress","have no user node"准入策略通用配置准入用户超限,不能将该客户端加入到准入用户列表
71"ingress", "%s", pRedirWeb准入策略通用配置客户端未通过准入认证,web访问被重定向
72"Behavior","acket droped!  Priority---%d\n",pSinforAC->riority行为识别测试时使用。当行为识别打开自己的丢包开关后将丢弃P2P行为特定优先级以下的数据。
73"br_policy_drv", "current br_policy drops it!"网桥策略丢包,该模块可以通过字符设备来控制网桥某个网口方向的丢包,比如ech0->eth1方向的数据包全部丢弃。
74,"firewall","this packet has been dropped by firewall rule!防火墙过
滤规则
防火墙规则丢包
75"firewall","this packet has been dropped by Internet access rule,policy name:%s!上网权限端口控制端口控制丢包
76"firewall","this packet has been dropped by Internet access rule!上网权限
端口控制
端口控制丢包
77"firewall","(line:%d)this connect has been dropped by session flag:%d!防火墙过滤规则或者上网权限端口控制防火墙规则或者端口控制丢包。这个丢包标记是由前面防火墙规则匹配或者端口控制规则匹配打上的。
78"firewall","this packet has been dropped by AppControl rule:%s!非TCP的数据匹配了应用服务控制中的某个规则导致丢包,这里实际没有丢包,只是输出到droplist,所以有歧义。
79"firewall","this packet has been dropped by default AppControl rule!\n非TCP的数据匹配了应用服务控制的缺省规则导致丢包,这里实际没有丢包,只是输出到droplist,所以有歧义。
80"firewall","this packet has been dropped by AppControl rule:%s!\n"应用控制
丢包
除了非TCP第一包之外所有数据匹配了应用服务控制的某条规则而导致丢包。
81"firewall","this packet has been dropped by default AppControl rule!应用控制
丢包
除了非TCP第一包之外所有数据匹配了应用服务控制的缺省规则二导致丢包。
82"Behavior Control","this packet has been dropped by Behavior rule:%s,priority:%d!应用控制
丢包
匹配了应用服务控制中的P2P规则而丢包
83"firewall","(line:%d)this connect has been dropped by session flag:%d!应用控制
丢包
由于连接前面的包被打了应用控制丢包标记而丢包
84"firewall","Drop this packet because the protocol is not HTTP or SSL,Status:%d!代理控制
丢包
检查是否在http协议的标准端口80传输其他协议数据或者使用SSL协议标准端口443传输其他协议数据。
85"firewall","this packet has been dropped by http proxy rule!代理控制
丢包
拒绝http代理而丢包
86"firewall","this packet has been dropped by sock5/sock4 proxy rule!代理控制
丢包
禁止使用sock4/sock5代理而丢包
87"firewall","(line:%d)this connect has been dropped by session flag代理控制丢包由于使用了在标准端口传输非标准协议内容或者使用了http代理或者使用了sock4/sock5代理而丢包
88"firewall","this packet has been dropped by the url get filter,policy namehttp url
过滤,浏览网页过滤
http url过滤,匹配了某个“浏览网页过滤”中的规则而丢包
89"firewall","this packet has been dropped by the url get filter!http url
过滤,浏览网页过滤
http url过滤,匹配了某个“浏览网页过滤”中的规则而丢包
90"firewall","this packet has been dropped by default url http get group action,policy name:%s!http url
过滤,浏览网页过滤
http url过滤,匹配了“浏览网页过滤”中的缺省规则而丢包
91"firewall","this packet has been dropped by default url http get group action!http url
过滤,浏览网页过滤
http url过滤,匹配了“浏览网页过滤”中的缺省规则而丢包
92"firewall","this packet has been dropped by the url get filter!http url过滤,POST过滤http url过滤,匹配了POST过滤中的规则而丢包
93"firewall","this packet has been dropped by default url group action!http url过滤,POST过滤http url过滤,匹配了“POST过滤”中的缺省规则而丢包
94"firewall","this connect has been dropped, because URL contains IP address!高级配置->日志记录选项->禁止直接以IP地址形式访问网站,除非URL库中已包含该IP地址由于URL中包含了IP地址而丢包
95"firewall","this packet has been dropped by file type Filter rule!文件类型过滤,上传或下载由于匹配了文件类型过滤中的上传或下载规则而丢包
96"firewall","This packet has been dropped because of matching url get sense keyword!关键字过滤,搜索引擎搜索词由于http get数据包的URL中匹配了关键字而丢包
97"firewall","this packet has been dropped by Post content filter!关键字过滤,http上传由于http post包中匹配了关键字而丢包
98"firewall","(line:%d)this connect has been dropped by session flag:%d!打了丢包标记
99"firewall","(line:%d)this packet has been dropped by firewall rule!防火墙过
滤规则
由于打了防火墙规则丢包
100"Behavior Control","(line:%d)this packet has been dropped by Behavior rule:%s,priority:%d!应用控制
丢包
由于打了应用服务控制中的P2P丢包标记而丢包
101"firewall","(line:%d)this packet has been dropped by AppControl rule:%s!应用控制丢包由于打了应用服务控制中的非P2P丢包标记而丢包
102"firewall","(line:%d)this packet has been dropped by default AppControl rule应用控制丢包由于打了应用服务控制空的缺省丢包标记而丢包
103"firewall","(line:%d)this packet has been dropped by Internet access rule!端口控制丢包由于打了端口控制丢包标记而丢包
104"firewall","(line:%d)this packet has been dropped by http proxy rule!代理控制丢包由于打了http代理丢包标记而丢包
105"firewall","(line:%d)this packet has been dropped by sock5/sock4 proxy rule!代理控制丢包由于打了sock4/sock5丢包标记而丢包
106"firewall","(line:%d)Drop this packet because the protocol is not HTTP or SSL,Status:%d代理控制丢包由于打了在http或者ssl标准端口传输非标准的数据而丢包
107"firewall","(line:%d)this packet had been dropped by flux_log!流量配额与时长控制策略->流量配
额,上网时长控制,并发连接数控制
由于打了流审丢包标记而丢包(流量配额,连接数控制,上网时长控制)
108"firewall","(line:%d)this packet had been dropped, flag %d所有其他因为打了丢包标记而导致的丢包
110"DOS", "IP NOT in LAN network!防DOS攻击数据包源IP地址不在内网网段列表内,识别为攻击行为
111"DOS", "IP in SYN(IP) deny list1!防DOS攻击源IP地址发包过于频繁[正在计数初始攻击次数]
112"DOS", "IP in SYN(IP) deny list!防DOS攻击源IP地址发包过于频繁[IP已在黑名单中]
113"DOS", "IP log to SYN(IP) deny list!防DOS攻击源IP地址发包过于频繁[IP已在黑名单中,记录次数]
114"DOS", "Random SYN(IP) attack!"防DOS攻击源IP地址变化的的可疑攻击行为[系统PPS过大]
115"DOS", "IP add to SYN(IP) deny list!防DOS攻击源IP地址发包过于频繁[IP加入黑名单中]
116"DOS", "Random SYN(IP) attack!防DOS攻击源IP地址变化的的可疑攻击行为[系统PPS过大]
117"DOS", "IP in SYN(MAC) deny list1!防DOS攻击源MAC地址发包过于频繁[正在计数初始攻击次数]
118"DOS", "IP in SYN(MAC) deny list!防DOS攻击源MAC地址发包过于频繁[MAC已在黑名单中]
119"DOS", "IP log to SYN(MAC) deny list!"防DOS攻击源MAC地址发包过于频繁[MAC已在黑名单中,记录次数]
120"DOS", "Random SYN(MAC) attack!"防DOS攻击源MAC地址变化的的可疑攻击行为[系统PPS过大]
121"DOS", "IP add to SYN(MAC) deny list!"防DOS攻击源MAC地址发包过于频繁[MAC加入黑名单中]
122"DOS", "Random SYN(MAC) attack!"防DOS攻击源MAC地址变化的的可疑攻击行为[系统PPS过大]
123"DOS", "IP in DOS deny list!"防DOS攻击源IP地址建立连接过于频繁[IP已在黑名单中]
125"DOS", "IP add to DOS deny list!"防DOS攻击源IP地址建立连接过于频繁[IP加入黑名单中]
127"kvfilter", "get_sessinfo says drop."网关杀毒FTP-RETR命令后必须传输数据[丢弃重复的FTP控制命令]
128"kvfilter", "pretransmit packet is droped!"网关杀毒抓包缓冲区满并且后台杀毒级别设置为异常从严
129"kvfilter", "URL cache say: virus FOUND!"网关杀毒抓包缓冲区满并且当前数据包携带的开始杀毒指令同时丢失
130"kvfilter", "Dump URL: buffer is full and policydrop!"网关杀毒杀毒中,正在缓存数据包并暂停转发
137"fluxlog", "droped by flux manager"流量配额与时长控制流量配额已用完
138"fluxlog", "droped by flux manager"流量配额与时长控制流量配额已用完
139"fluxlog", "droped by sess control"流量配额与时长控制连接数超限
140"fluxlog", "droped by time control"流量配额与时长控制上网时长超时
141"IPS", "Drop the IP address!"IPS检测丢包(源IP,目标IP,协议)
142"IPS", "Drop the IPORT!"IPS检测丢包(源IP,目标IP,协议,目标端口)

SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训13_系统诊断工具_上网故障排除丢包模块.xls (39 KB, 下载次数: 1144)

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

专业测试007号 发表于 2015-9-10 10:34
  
色色的表情,谁设计的还挺好看的。這帖子收藏了。
饶林瑞 发表于 2015-9-10 15:51
  
本贴大赞,遇到类似问题直接扔文档过去:拿去!自己玩!
SteveNiaobs 发表于 2015-9-10 18:34
  
赞一个!
仰望星空 发表于 2015-10-9 14:37
  
太赞了!
新手605800 发表于 2015-10-9 20:59
  
不错,好用
Stephen 发表于 2016-3-1 16:43
  
好帖
赵同学 发表于 2016-3-17 00:27
  
qq200467 发表于 2016-5-4 09:51
  
我去 太全面了
fjj1210 发表于 2016-9-26 11:56
  
关于QQ远程的问题在版本AC11.0上面测试过一次,默认未开启任何策略和开启直通后qq都不能远程,也没看见相应的阻断日志,不知道是否是版本安全性有所提高还是什么问题,同时teamview和anydesk都没有任何问题。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人