本帖最后由 清风慕竹 于 2019-8-23 17:06 编辑
客户需求: 客户购买了一台AF设备,做IPSEC VPN,SSL VPN以及基本的上网行为管理监控。 问题描述: 某公司防火墙与paloalto防火墙做IPSEC VPN,发现VPN未出现流量。 处理思路: 1.首先开直通测试,直通配置路径,如下: (1)以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置; (2)以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置。 2.通过抓包显示本端已经将数据包发出去未收到对端的回包,怀疑对端的路由未正确填写,策略阻断; 3.查看paloalto防火墙的路由设置,安全策略设置,通过抓包发现没有收到本端给它发的包。 4.这就奇怪的不要不要的了,我抓的包显示已发出去,对端抓包显示未收到,这是什么原因呢?难道运营商那边又做了什么操作吗? 5..要求客户那边找运营商要一个固定IP,测试完毕,可用。 原因: 由于客户的外网地址都是PPPOE拨号的,与第三方对接必须启用野蛮模式,输入PPPOE的地址,发现是第三方的保留地址。可能是一个虚拟地址,然后在运营商那里做了NAT。建议客户找运营商申请一个固定IP或者是PPPOE地址不要是保留地址。 客户现场遇到的其他问题: (1)IPSEC VPN 建立不成功 解决思路:IPSEC VPN第三方对接不成功,一般都会有对接不成功的日志,然后根据日志进行针对性排查,例如日志里显示第一阶段不成功,先确认两端部署模式,然后按步骤检查第一阶段配置可能存在的问题,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,具体看调试日志有什么报错,根据对应的提示,检查两端相应的配置,根据提示着重查下两端共享密钥是否正确,两端验证的身份类型ID是否配置有问题。 (2)客户反应用浏染器登录VPN显示”您当前使用的浏览器无法正常访问VPN,请使用系统自带的浏览器进行访问!”应用Easy Cconnect 建立后卡住。 解决思路:直接在IE浏览器中输入地址登录SSL VPN即可。 (3)客户反应登录上VPN后,内网不通 解决思路:①查看客户是否获取到虚拟IP地址;②关闭相关的杀毒软件和防毒墙等;③使用VPN检测工具是否有漏洞;④重新卸载安装客户端。 (4)业务访问慢 解决思路:①开启直通,是否是因为应用控制策略阻挡,若是策略阻拦,调整应用控制策略;②查看接口流量使用情况,是否是因为带宽占满,若是带宽使用不均,设置策略路由。 运营商可能挖的坑(重点): (1)SSL VPN 建立4430端口不通 排查思路:使用其他端口测试,端口可能被运营商封掉; (2)AF外网接口配置多个同网段IP,部分能正常使用,但部分不通 排查思路:①调换外网接口的IP顺序,测试是否能正常使用;②通过抓包工具进行分析,ping不通的IP时,外网数据到达AF接口时的目的MAC非AF接口MAC;③需要联系运营商协助处理; (3)运营商带宽是否正常 排查思路:先要在AF上ping外网测试是否设备可以上网,如果不可以,用电脑单接宽带进行上网测试,以确认运营商宽带是否正常; (4)客户说运营商开通的带宽有100M,实际测试不足100M 排查思路:在【系统】-【排障】-【数据包拦截日志与直通】针对IP开直通,通过带宽测试工具测试带宽大小。 结语: 有时候问题不是出现产品身上,可能就是运营商,愿各位早点定位到问题所在,开开心心每一天! | 
发表于 2019-8-18 09:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
技术研究员1级 
