4.8日问题记录

1.有两台VSSL 设备，两台设备版本相差过大，用户登录一台后，登录另一台需要更新客户端，是否有方法解决。

可以将两台设备版本升级至同一版本，并且补丁包也一致，可以解决这个问题。

2.SSL VPN设备使用什么算法？SSL VPN的角色授权，最多能创建多少个？

该问题涉及产品性能参数，需要向售前人员了解。

3.VPN与4A平台对接。做HTTP认证，想要用户登录时识别用户的组织架构。

报文里不携带组织架构信息，能否通过在本地设备创建组织架构，登录时用户能否匹配本地的组织架构信息达到这个目的。

若返回的报文中不携带组织架构信息，是无法区别用户的组织架构的。若有其他定制需求，可以咨询区域人员。

4.VPN登录使用域名登录，域名可以解析成两个公网地址，EC客户端登入后地址会如何选择。

有域名服务商来决定这个域名会解析成哪个地址，VPN设备以及EC客户端不参与解析。

5.需要封装ISO的APP，但是要向苹果申请证书，该如何申请。

可以在社区搜索SANGFOR_SSLVPN_v6.9_EMM证书申请及配置获取详细的配置指导。

6.SSL VPN设备什么版本支持使用IPV6地址？

标准版本7.6.6R1及以上版本支持在LAN口和WAN口配置IPv6地址，DMZ口不支持配置，且只支持Windows客户端通过IPv6地址接入SSL VPN访问IPv4的资源，其他客户端支持浏览器通过IPv6地址接入SSL VPN，但是资源不支持配置成IPv6地址。IPsec VPN/Sangfor VPN不支持通过IPv6地址对接。

7.如何防止用户暴力破解密码？

在【ssl vpn 设置】-【认证设置】-【认证策略】-【密码认证选项】勾选防止暴力破解及设置相关参数即可。

8.硬件设备授权更新怎么删除之前的授权序列号

在控制台【系统设置】-【系统配置】-【序列号管理】界面点击修改vpn序列号，直接删除原有序列号，填上新的序列号，再点击确定即可，注意更新序列号授权需要重启vpn服务

9.V7.0安卓应用封装普通沙箱第一次输完用户名密码登录之后，后台进程杀掉退出，第二次进去就自动连接，到应用的界面了，这个是什么原因？

封装的APP没有正常注销，直接后台进程杀掉的话，他会要匹配策略组设置的无流量超时注销的时间才会注销登录，但是如果启用了强制下发DNS会导致无流量超时注销的功能失效，建议合理配置策略组的无流量超时注销功能来避免该问题。

10.AD域用户显示名是否可以同步到本地?

截止标准版本M7.6.9R1，LDAP域用户的显示名暂不支持通过用户属性或用户过滤同步到设备本地

11.登录时有证书告警狂，是否需要创建证书请求向第三方证书机构申请受信任证书导入？

登录时有证书告警框，可以创建证书请求向第三方证书机构申请受信任证书导入，注意导入证书要重启所有服务。

12.V7.0，所有awork都无法接入，提示连接超时。

需要具体排查，设备是否有稳定性组合包没有打。

13.MAC电脑无法接入VPN设备，windows电脑和IOS手机端能够正常接入。

需要核对VPN设备版本是否支持MAC系统的接入，具体的VPN设备与浏览器、电脑系统、平板系统、手机系统的对应关系可以查看这个帖子：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=26704

14.个别key认证登录vpn提示证书不合法

建议重新刷key配置保存生效，具体操作步骤如下：

1、在【SSL VPN设置】-【认证设置】-【证书与YSB-KEY认证】这里下载安装USB-KEY驱动和导入控件到对应登录控制台的电脑上安装好，然后再把对应key插到这台电脑上，建议使用win7的电脑IE浏览器登录控制台刷key；

2、然后再【用户管理】界面找到编辑对应该key使用的用户名，点击创建USB-KEY驱动，通过内置CA生成的数据证书，然后下一步，添加相关信息，PIN码为登录的时候密码，其他选项可以随便设置；配置点击确认后，一定要记得点击修改用户界面最下面的保存，然后立即生效配置，再测试；

15. 7.1版本设备打过防HOSTS头部攻击补丁包，现在要更换接入域名，重新修改对应文件是否影响业务？

重新修改对应HOSTS头部攻击配置需要重启VPN服务，是对业务有影响的。

16.LDAP自动导入用户到本地的时间在哪里设置？

在【SSL VPN设置】-【认证设置】-【LDAP认证】-编辑对应LDAP服务器，点击导入用户到本地里面即可设置自动导入时间

17.个别统信UOS鲲鹏ARM架构电脑虚拟网卡安装不上，如何解决？

首先建议拨打400咨询问题，需要了解设备的具体型号以及系统的具体版本，下列操作不适用于所有系统，请勿尝试！！！

1、虚拟网卡内核无法正常加载，手动拉起恢复正常，重启设备后重新需要手动拉起，需要和统信厂商沟通，确认默认开启一下虚拟网卡的安装

2、手动拉起执行命令：

sudo /etc/net/tun c 10 200

sudo chmod 0666 /dev/net tun

sudo modprobe tun

18.个别Windows 登录vpn提示获取服务端配置信息错误

1、卸载重装客户端也不行

防火墙以及杀毒软件会导致控件更新失败，在安装EC客户端之前，首先要将防火墙以及杀毒软件关闭。

19.VPN设备是否支持加入BBC

截止标准版本M7.6.9R1，SSL 设备暂不支持加入BBC

20.内存一直增加不减少，不论并发用户数量是否减少，是什么原因？

内存CPU不长时间处于90%以上，设备都是正常的状态。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

每天学习一点点，每年前进一大步。