【原创分享】----运营商曾经挖的坑

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

客户需求：

客户购买了一台AF设备，做IPSEC VPN，SSL VPN以及基本的上网行为管理监控。

问题描述：

某公司防火墙与paloalto防火墙做IPSEC VPN，发现VPN未出现流量。

处理思路：

1.首先开直通测试，直通配置路径，如下：

（1）以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置；

（2）以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置。

2.通过抓包显示本端已经将数据包发出去未收到对端的回包，怀疑对端的路由未正确填写，策略阻断；

3.查看paloalto防火墙的路由设置，安全策略设置，通过抓包发现没有收到本端给它发的包。

4.这就奇怪的不要不要的了，我抓的包显示已发出去，对端抓包显示未收到，这是什么原因呢？难道运营商那边又做了什么操作吗？

5..要求客户那边找运营商要一个固定IP，测试完毕，可用。

原因：

由于客户的外网地址都是PPPOE拨号的，与第三方对接必须启用野蛮模式，输入PPPOE的地址，发现是第三方的保留地址。可能是一个虚拟地址，然后在运营商那里做了NAT。建议客户找运营商申请一个固定IP或者是PPPOE地址不要是保留地址。

客户现场遇到的其他问题：

（1）IPSEC VPN 建立不成功

解决思路：IPSEC VPN第三方对接不成功，一般都会有对接不成功的日志，然后根据日志进行针对性排查，例如日志里显示第一阶段不成功，先确认两端部署模式，然后按步骤检查第一阶段配置可能存在的问题，建议直接查看系统日志，日志筛选“DLAN总部”，点击调试日志，具体看调试日志有什么报错，根据对应的提示，检查两端相应的配置，根据提示着重查下两端共享密钥是否正确，两端验证的身份类型ID是否配置有问题。

（2）客户反应用浏染器登录VPN显示”您当前使用的浏览器无法正常访问VPN，请使用系统自带的浏览器进行访问！”应用Easy Cconnect 建立后卡住。

解决思路：直接在IE浏览器中输入地址登录SSL VPN即可。

（3）客户反应登录上VPN后，内网不通

解决思路：①查看客户是否获取到虚拟IP地址；②关闭相关的杀毒软件和防毒墙等；③使用VPN检测工具是否有漏洞；④重新卸载安装客户端。

（4）业务访问慢

解决思路：①开启直通，是否是因为应用控制策略阻挡，若是策略阻拦，调整应用控制策略；②查看接口流量使用情况，是否是因为带宽占满，若是带宽使用不均，设置策略路由。

运营商可能挖的坑（重点）：

（1）SSL VPN 建立4430端口不通

排查思路：使用其他端口测试，端口可能被运营商封掉；

（2）AF外网接口配置多个同网段IP，部分能正常使用，但部分不通

排查思路：①调换外网接口的IP顺序，测试是否能正常使用；②通过抓包工具进行分析，ping不通的IP时，外网数据到达AF接口时的目的MAC非AF接口MAC；③需要联系运营商协助处理；

（3）运营商带宽是否正常

排查思路：先要在AF上ping外网测试是否设备可以上网，如果不可以，用电脑单接宽带进行上网测试，以确认运营商宽带是否正常；

（4）客户说运营商开通的带宽有100M，实际测试不足100M

排查思路：在【系统】-【排障】-【数据包拦截日志与直通】针对IP开直通，通过带宽测试工具测试带宽大小。

结语：

有时候问题不是出现产品身上，可能就是运营商，愿各位早点定位到问题所在，开开心心每一天！

感谢分享，楼主的问题排查思路非常清晰，开直通确认业务恢复情况以及拦截日志情况，抓包定位数据中断位置，协调运营商协助处理，直到完成。
其实日常处理这种数据不通或者卡慢的问题，比较常用的就是分段定位，先大致定位数据在哪里受影响，如果根据抓包或者其他方式定位在三方或者运营商，条件允许情况下，让用户协助，快速协调到对方的人员一起参与排查，争取快速恢复业务，以免业务受影响时间过长，对用户造成的影响扩大。

很多时候运营商封了端口

很详细，感谢分享！运营商有时候这个问题真的很难去排查！

排查思路很清晰 一看就是高手

:色眯眯::色眯眯:,内容详细，看样子曾经掉得坑不少啊！:不是吧::不是吧:

感谢分享，运营商确实经常封端口，问他们他们就说没有。

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

感谢分享，内容详细易懂，谢谢

学习了1111111

学习了，讲的很详细！666