1、SANGFOR AC&SG 系統診斷工具培訓內容培訓目標SANGFOR AC 上網故障排除功能介紹1.了解上網故障排除功能的作用2.掌握開啟數據直通的方法3. 掌握分析拒絕日志的方法SANGFOR AC 命令控制臺1.掌握AC命令控制臺支持的命令和操作方法SANGFOR AC 抓包工具的使用1.掌握簡易抓包和高級抓包的方法SANGFOR AC 其他排錯工具1.掌握全局排除地址、系統日志、控制臺操作日志的用法上網故障排除功能介紹命令控制臺的使用深信服公司簡介其他排錯工具的使用SANGFOR AC抓包工具的使用上網故障排除功能介紹上網故障排除功能介紹 開啟數據直通： 開啟后，AC&SG上設置的上網

2、策略將不生效，符合策略設置應該被拒絕的數據包會被設備放行，同時會將符合策略設置應該被拒絕數據包的情況以日志的方式顯示出來 上網故障排除功能用于查詢一個數據包在通過AC&SG設備時是被哪個模塊拒絕，是什么原因被拒絕。當用戶上網出現故障時，便于快速定位故障原因，也可用來測試一些規則是否生效 。設置攔截日志過濾條件：設置需要針對哪些IP地址，協議和端口開啟攔截日志。默認開啟所有的攔截日志。上網故障排除功能介紹開啟實時攔截日志：將打開拒絕列表，此時設備所有的策略依然生效。符合策略設置應該拒絕的數據包會被設備拒絕掉，同時會將符合策略設置應該被拒絕數據包的情況顯示出來 設置針對哪些IP地址開啟攔截日志設置

3、開啟攔截日志的協議和端口成功開啟上網攔截日志上網故障排除功能介紹 開啟實時攔截日志與數據直通： 開啟實時攔截日志同時開啟數據直通，此時設備設置的上網策略將不生效。符合策略設置應該被拒絕的數據包會被設備放行，同時會將符合策略設置應該被拒絕的數據包攔截情況顯示出來 。勾選即開啟數據直通需要開啟數據直通的地址設置流控模塊是否進行數據直通成功開啟攔截日志與數據直通上網故障排除功能使用案例客戶環境：客戶內網部署了AC設備后，所有用戶部分網頁打不開，管理員想定位是AC上的策略設置問題還是公網運營商出現了故障。上網故障排除功能使用案例上網故障排除功能使用步驟和思路：1. 設置攔截日志開啟條件。 如果選擇內網

4、某一臺電腦做測試，可以只指定這一臺電腦的IP地址。2. 開啟實時攔截日志和數據直通。3. 在測試電腦上訪問之前通信有故障的應用，看故障是否恢復，如果恢復，說明是AC設備上的策略攔截了數據包。4. 再查看實時攔截日志（一般可通過查看第一個包的日志，第一個包的攔截日志詳細說明了是AC上哪條上網策略或哪個模塊丟棄了數據包）。5. 根據攔截日志的提示修改策略，再關閉直通功能，測試故障是否恢復。上網故障排除功能使用案例1. 設置開啟條件，開啟實時攔截日志并直通。為便于定位問題，在內網找一臺電腦測試同時開啟數據直通上網故障排除功能使用案例2.開啟攔截日志并直通后，測試電腦打開網頁操作，發現可以打開網頁，再

5、到上網故障排除中刷新實時攔截日志，如下圖：通過這些日志，可發現瀏覽網站的請求被URL過濾丟包了，需要檢查上網權限策略中URL過濾的規則。上網故障排除功能使用案例3. 攔截日志提示被URL過濾規則丟棄，檢查用戶使用的上網策略規則。所測試的電腦使用的上網權限策略檢查出在上網權限策略中，確實設置了全天拒絕訪問部分URL。上網故障排除功能使用案例4. 刪除錯誤的規則，并關閉數據直通，內網電腦打開網頁看問題是否修復。上網故障排除常見丟包源說明AppControl: 應用控制丟包URLFilter: URL過濾丟包SSL： SSL控制丟包（包括HTTPS URL 過濾）FluxCtrl： 流控丟包Web

6、authen: 用戶認證丟包Ingress： 準入丟包命令控制臺的使用命令控制臺 SANGFOR AC&SG命令控制臺提供一個簡單的控制臺命令行界面，可用于對設備的一些簡單信息進行查看，支持的命令包括： arp（查看設備的arp表） mii-tool（查看設備網口的連接情況） ifconfig（查看設備網口信息） ping（測試主機地址的連通性） telnet（測試端口連通性） ethtool（查看設備網卡信息） route（顯示設備的路由表） traceroute（跟蹤數據包轉發路徑） 在命令行頁面直接輸入命令回車即可 命令控制臺的使用1. arp（查看設備的ARP表）命令控制臺的使用2.

7、mii-tool（查看設備網口的連接情況）命令控制臺的使用3. ifconfig（查看設備網口信息）命令控制臺的使用4. ping（測試主機地址連通）命令控制臺的使用5. telnet（測試端口連通性）命令控制臺的使用6. ethtool（查看設備網卡信息）命令控制臺的使用7. route（顯示設備的路由表）命令控制臺的使用8. traceroute（跟蹤數據包轉發路徑）抓包工具的使用抓包工具的使用 SANGFOR AC&SG控制臺界面的抓包工具分為簡易抓包和高級抓包。 簡易抓包只抓取來自內網且設備識別不了的包。如果是來自外網的，設備能識別的數據包，是不會被抓取的。一般不適用簡易抓包。 高級抓

8、包則是用TCPDUMP的方式抓包，將抓取的數據包保存在設備的控制臺界面，需要在電腦上安裝Sniffer或Ethereal等抓包軟件，才能打開此數據包進行分析。高級抓包能抓取所有通過設備網卡的數據，故在排查問題的過程中使用比較廣泛。 簡易（抓取未知流量）和高級（TCPDUMP）抓包兩者只能選其一。 抓包工具的使用1. 簡易抓包的使用設置簡易抓包的條件設置抓包個數抓包工具的使用2. 高級（TCPDUMP）抓包的使用設置抓包個數選擇抓取哪個網口的數據包只抓取符合條件的數據將抓到的數據包下載到PC機本地，用Sniffer或Ethereal，Wireshark等抓包軟件打開通過抓取的數據包，分析數據的通

9、信是否正常（是否有雙向通信的數據，源和目標IP是否正確等）抓包工具的使用 注意事項： 1. 高級（TCPDUMP）抓包的過濾表達式使用的是Linux下的標準TCPDUMP格式 。 2. 如果對Linux命令不熟悉的話，可以參照示例中的格式“host and port 53” ， 即抓取所有源IP和目標IP為，源端口和目標端口為53的數據包。常用命令舉例： 抓取的ping包： host and icmp 抓取的UDP 1773的包： host and ud

10、p port 1773 抓取和之間TCP 80的交互包： host and host and tcp port 80其他排錯工具其他排錯工具全局排除地址啟用全局排除地址，針對排除的地址，設備設置的上網策略將不生效，也不進行審計。說明：1.排除地址可以是內網ip，或者外網IP。只要源IP或者目的IP在排除地址列表，就不做控制和審計。2.排除地址對防火墻規則和準入監控IM聊天無效。3.排除地址支持填寫域名。其他排錯工具系統日志系統日志實時記錄著設備所有程序的運行情況，當程序有異常時對應模塊會在系統日志打出告警或者錯誤日志。如果感覺設備有任何異常，可以先查看系統日志進行確認！篩選日志類型篩選要顯示的日志可將系統日志截圖給400協助處理其他排錯工具控制臺操作日志通過在數據中心查看控制臺操作日志，可以很清晰的看出哪一個賬號在什么時間段修