#每日一记#Dos/Doos防护导致VPN使用异常
  

adds 4212人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2021-10-15 10:11 编辑

    一、问题
    VPN用户接入后,可以访问服务器和部分网络设备,唯独一台AF访问不到。

   二、排查
   1、检查AF的回包路由。
    62254616690e864484.png

    AF回包路由正常。

    2、检查VPN的资源。
    49405616691595c895.png

    有添加资源并关联用户。

    3、查看终端PC的路由条目。
    44006616691830ce12.png

    有去往192.168.201.0/24网段的路由条目。

    4、查看AF、VPN的路由条目。
     AF有回2.0.1.0的路由:
      1503616691d99593e.png

    VPN到防火墙通信正常。
      500996166922c96d72.png

    5、AF抓包。
    699266166924bc0ea8.png

   抓2.0.1.2的数据包:
    4074261669263bc145.png
   只有request包,没有reponse包。

   抓192.168.201.254的数据包。
    74474616692841d70c.png
   收到了request包,没有回包。

    6、AF直通排查
    针对2.0.1.5开定向数据流直通。
    87484616692b06cb56.png

    原因:开启了Dos/DDos防护。

    7、解决:
    在Dos/DDos防护模块里将虚拟IP段加入到源里。
    6187961669366b5ad9.png

    注意:当时抓包定位到了AF的问题,但没有想到是Dos/DDos模块的问题。不知道AF的回包受这个模块限制。

    三、虚拟机开机提示资源访问失败
    1、虚拟机开机报错。
    访问资源失败提示。“虚拟机开机失败,【host-6c92bfdcee12 host-6c92bfdc8260】主机内存资源不足,无法启动该虚拟机”。
    35882616695a03ab17.png

   2、排查
   (1)资源利用率
     在VMP首页,发现主机的资源利用率有告警情况。
      4193361669685e8605.png

    (2)虚拟机修改内存。
      降低部分虚拟机的硬件配置。
      87343616696b9f3c54.png

    (3)验证
     虚拟机再次开机不报错。
     注:虚拟机修改硬件配置需要关机处理。

    四、AC测试设备授权问题
    1、设备拷机
    565046167a9a731e71.png

    2、升级
    设备发货时的版本是12.0.44,销售要求升级到最新的版本。
    747516167aa2cc282e.png

    由于内存没有达到4G,只能升级到13.0.7

   3、授权问题
   升级后,授权出现问题。重新授权。
    772276167aa504daf4.png

  自己申请的设备在PRM里申请授权即可。

   4、查询日志问题
   升级后,查询日志发现没有该模块。只有各个分析模块。
    935066167aa8020398.png

   原因是授权模块里开启了“日志中心DKey查询”的功能。
    193066167aaefb319b.png

  重新授权。
  我们在重新授权里将“日志中心DKey查询”的模块去掉。
   452196167ab2953f9f.png

  导入授权后,再登录日志中心就有了“日志查询”模块。
   933146167ab6a205e9.png


    五、AC认证异常问题排查
    1、需求
     客户要实现用户上网内容审计、文件审计。

     2、部署
     (1)设备以网桥模式部署
       435876168e1f6716fe.png

     (2)配置用户组、认证方式。
      这里可以采取导入用户表cvs的方式批量创建用户。

     3、问题排查
     (1)在开启认证策略后,出现异常。
       有部分用户认证成功,能弹出Portal页面,有的报用户名密码错误,然后过一会儿,所有人都上不去网了,连接无线网络异常。

      排查发现,是AP离线了,AP的状态灯不正常闪烁。原因是,AP与控制器的数据经过AC,被拦截了。

     (2)解决
       将AP的IP从认证策略范围里移除或添加白名单即可。

      4、注意
      (1)AC的高级认证选项要开启https网站的流量也重定向portal页面。
      (2)用户的设备在没有用户授权时,不要碰,这个要注意。否则出了问题,责任承担不起。
      (3)遇到问题不要急,急也解决不了问题。


   六、注意
    1、linux解决zip文件
     unzip  filename
      204516166a213a9e36.png

    2、电脑上配置了python,但总忘记怎么打开。
    在开始菜单里找到已经安装的python,打开文件所在位置 。
    832146166a54b2a840.png

   在路径的地址栏里输入:cmd
    211806166a5837bcc4.png

    回车就会进入命令行配置界面。
    433096166a5a7c3cf4.png

   测试是否可以执行:
   我们把测试的py文件放在文件目录下:
    414546166a5fe6eb96.png

    使用python test.py命令执行。
    230316166a5d89f2ec.png

   3、使用moboxterm上传文件总是报错。
    417346166d0af7afe3.png

   排查发现,不能更改上传的目录,需要上传到/root/user用户下才可以,然后再mv到需要使用的目录下。
    657576166d0f7635eb.png

    4、目前安全类产品的授权申请是在PRM里面进行申请的,现在有一个很实用的功能,授权系统与拷机系统绑定。
     这样,就可以避免将有问题的设备带到客户现场。
      304506167852a9468d.png

打赏鼓励作者,期待更多好文!

打赏
31人已打赏

平凡的小网工 发表于 2021-10-16 20:10
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
航嘉电脑门诊 发表于 2021-10-16 20:10
  
好好学习,天天进步。
会飞的癞蛤蟆 发表于 2021-10-16 20:11
  
感谢楼主的无私分享。
会飞的癞蛤蟆 发表于 2021-10-16 20:14
  
感谢楼主的无私分享。
一个无趣的人 发表于 2021-10-19 18:04
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
feeling 发表于 2021-10-19 21:17
  
非常好的技术干货帖,顶一个!
新手375304 发表于 2021-10-20 10:34
  
好好学习,天天进步。
会飞的癞蛤蟆 发表于 2021-10-20 13:48
  
好好学习,天天进步。
航嘉电脑门诊 发表于 2021-10-20 13:49
  
感谢楼主的无私分享。
发表新帖
热门标签
全部标签>
每日一问
GIF动图学习
技术笔记
项目案例
信服课堂视频
产品连连看
安装部署配置
玩转零信任
在线直播
功能体验
技术咨询
技术圆桌
新版本体验
原创分享
答题自测
专家分享
SDP百科
干货满满
畅聊IT
安全攻防
用户认证
SANGFOR资讯
功能咨询
地址转换
专家问答
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
解决方案
sangfor周刊
VPN 对接
技术顾问
信服故事
标准化排查
终端接入
授权
设备维护
资源访问
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告

本版版主

397
104
61

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人