01-故障处理
本章节下载: 01-故障处理 (607.48 KB)
故障处理
本帮助主要介绍以下功能的故障处理办法:
· 安全策略故障处理
· NAT故障处理
安全策略故障处理章节主要介绍以下故障的处理办法:
· 网络互通
¡ PC通过设备与其他终端相连,已配置在同一安全域,无法互相访问
PC通过网线与设备业务接口相连,IP地址为同一网段,在PC上无法Ping通设备。
图-1 组网图
安全设备必须先将与PC相连的接口加入某个安全域,并配置放行该安全域与Local安全域报文的安全策略,PC才能正常访问设备。
1. 登录设备Web管理页面。
2. 选择“网络 > 安全域”。
3. 单击某个安全域(如Trust)对应的<编辑>按钮,进入“修改安全域”页面。
4. 选择接口列表中与PC相连的接口,单击<→>按钮添加至成员列表中。
5. 单击<确定>按钮。
6. 选择“策略 > 安全策略 > 安全策略”。
7. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
8. 配置安全策略的匹配条件及执行动作:
¡ 源安全域:Trust
¡ 名称:trust-local
¡ 目的安全域:Local
¡ 动作:允许
¡ 源IPv4地址:10.1.1.2
¡ 目的IPv4地址:10.1.1.1
图-2 新建安全策略
9. 若需要设备主动访问PC,则需要配置反方向放行的安全策略:
¡ 名称:local-trust
¡ 源安全域:Local
¡ 目的安全域:Trust
¡ 动作:允许
¡ 源IPv4地址:10.1.1.1
¡ 目的IPv4地址:10.1.1.2
10. 单击<确定>按钮,完成配置。
PC通过与设备其他终端相连,IP地址与路由已正确配置,但无法互相访问。
图-3 组网图
安全设备必须先将接口加入相应的安全域,并配置放行对应安全域间报文的安全策略,流量才会被放行。
1. 登录设备Web管理页面。
2. 选择“网络 > 安全域”。
3. 单击某个安全域(如Trust)对应的<编辑>按钮,进入“修改安全域”页面。
4. 选择接口列表中与PC相连的接口,单击<→>按钮添加至成员列表中。
图-4 添加接口至安全域
5. 单击<确定>按钮。
6. 采用同样的方法将其他接口加入不同安全域(如Untrust)。
7. 选择“策略 > 安全策略 > 安全策略”。
8. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
9. 配置安全策略的匹配条件及执行动作(建议配置精确的匹配条件):
¡ 名称:trust-untrust
¡ 源安全域:Trust
¡ 目的安全域:Unturst
¡ 动作:允许
¡ 源IPv4地址:10.1.1.2
¡ 目的IPv4地址:20.1.1.2
图-5 新建安全策略
10. 若通过设备相连的终端需要互相访问,则需要创建双向放行的安全策略:
¡ 名称:untrust-trust
¡ 源安全域:Unturst
¡ 目的安全域:Trust
¡ 动作:允许
¡ 源IPv4地址:20.1.1.2
¡ 目的IPv4地址:10.1.1.2
11. 单击<确定>按钮,完成配置。
PC通过与设备其他终端相连,IP地址与路由已正确配置,且已加入相同的安全域,但无法互相访问。
图-6 组网图
安全设备缺省情况下,相同安全域间的报文是丢弃的,需要配置放行相应报文的安全策略,相同安全域的终端才能互相访问。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
4. 配置安全策略的匹配条件及执行动作(本例中通过设备相连的终端都属于Trust安全域):
¡ 名称:trust-trust
¡ 源安全域:Trust
¡ 目的安全域:Trust
¡ 动作:允许
¡ 源IPv4地址:10.1.1.2,20.1.1.2
¡ 目的IPv4地址:20.1.1.2,10.1.1.2
图-7 新建安全策略
5. 单击<确定>按钮,完成配置。
本帮助主要介绍以下故障的处理办法:
· 策略NAT
¡ NAT源地址转换与NAT目的地址转换配合使用,NAT目的地址转换不生效
· 接口NAT
¡ NAT源地址转换与NAT目的地址转换配合使用,NAT目的地址转换不生效
内网PC A无法通过网关设备Device访问外网PC B。
图-1 组网图
· 未配置允许PC A访问PC B的安全策略。
· 未配置策略NAT规则对报文源IP地址进行转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy1
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 动作:允许
¡ 源IPv4地址:192.168.1.1(此处为PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此处为PC B的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略”。
3. 在“NAT策略”页面单击<新建>,新建NAT策略规则,必要的配置项如下:
¡ 规则名称:policy1
¡ 转换模式:源地址转换
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 源IPv4地址:192.168.1.1(此处为PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 转换方式:PAT
¡ 地址类型:地址组
¡ 转换后源地址:用于源IP地址转换的公网NAT地址组
4. 单击<确定>,完成NAT策略规则配置。
在网关设备Device上配置NAT源地址转换后,内网PC A无法访问外网PC B。
图-2 组网图
· 未配置允许PC A访问PC B的安全策略。
· 转换后源IP地址与Device的外网侧接口IP地址不在同一网段,导致回程报文不经过Device。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy2
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 动作:允许
¡ 源IPv4地址:192.168.1.1(此处为PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此处为PC B的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”页面编辑NAT源地址转换规则。
4. 查看该规则的转换后IP地址、网段、地址对象组或NAT地址组中是否包含不在10.0.0.1/24网段内的地址。
5. 如存在上述情况,需修改转换后源地址配置,确保回程报文能被转发到Device的外网侧接口GE1/0/2上。
6. 单击<确定>,完成NAT策略修改。
在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问内网PC A。
图-3 组网图
· 未配置允许PC B访问PC A的安全策略。
· PC B访问PC A所采用的服务与NAT目的地址转换配置不符,导致报文目的地址未被成功转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy3
¡ 源安全域: Untrust
¡ 目的安全域:Trust
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:192.168.1.1(此处为PC A的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”页面编辑NAT目的地址转换规则。
4. 查看该规则所引用的服务匹配条件是否与实际情况不符。
5. 如存在上述情况,需修改服务匹配条件,确保与实际情况一致。
6. 单击<确定>,完成NAT策略修改。
在网关设备Device上配置NAT源地址转换与NAT目的地址转换(NAT Server)后,外网PC B无法通过外网地址10.0.0.100和目的端口80访问内网PC C。
图-4 组网图
· 未配置允许PC B访问PC C的安全策略。
· NAT源地址转换规则占用了NAT目的地址转换规则的IP地址和端口,导致Device访问PC C的流量匹配了NAT源地址转换规则而非NAT目的地址转换规则。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy4
¡ 源安全域: Untrust
¡ 目的安全域:DMZ
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:192.168.2.1(此处为PC C的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”页面查看是否存在转换方式为PAT的源地址转换规则。
4. 如存在上述规则,单击<编辑>,在修改NAT策略界面查看该规则引用的NAT地址组的端口范围是否包含80。
5. 如包含在内,需要将端口80从端口范围中剔除。
6. 单击<确定>,完成NAT策略修改。
在Device上配置NAT源地址转换和IPsec功能,对PC A访问PC B的报文进行NAT源地址转换后,利用IPsec保护其安全性。PC A主动访问PC B,发现IPsec配置不生效。
图-5 组网图
匹配IPsec策略的报文源和目的IP地址需为NAT转换后的IP地址。
1. 登录设备Web管理页面。
2. 选择“网络 > VPN > IPsec > 策略 ”。
3. 在“IPsec策略”页面编辑IPsec策略配置。
4. 查看IPsec策略配置中的被保护数据流配置,将被保护数据流的源和目的IP地址改为NAT转换后的IP地址。
在网关设备Device上配置策略NAT后,内网PC A无法访问Device。
图-6 组网图
· 未配置允许PC A访问Device的安全策略。
· 策略NAT规则对PC A访问Device的流量进行了目的地址转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy5
¡ 源安全域: Trust
¡ 目的安全域:Local
¡ 动作:允许
¡ 源IPv4地址:192.168.1.1(此处为PC A的IP地址)
¡ 目的IPv4地址:192.168.1.2(此处为Device内网侧接口的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”页面查看是否存在报文目的安全域匹配条件为ANY的目的地址转换规则。
4. 如存在上述规则,则需要重新配置该目的地址转换规则的报文匹配条件,具体要求如下:
¡ 目的安全域:不得包含Local安全域
¡ 源IPv4地址:不得为192.168.1.1
¡ 目的IPv4地址:不得为192.168.1.2
在网关设备Device上配置NAT源地址转换后,外网PC B无法访问Device。
图-7 组网图
· 未配置允许PC B访问Device的安全策略。
· PC B访问Device的流量因匹配了NAT源地址转换规则而被错误地进行了目的地址转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy6
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略”。
3. 在“NAT策略”页面查看是否存在源地址转换方式为NO-PAT的NAT策略规则。
4. 如存在上述规则,单击<编辑>,在修改NAT策略界面查看该规则所引用的用于源地址转换的地址对象组或NAT地址组中是否包含Device的外网侧接口IP地址10.0.0.1。
5. 如包含在内,需要把10.0.0.1从该地址对象组或NAT地址组中剔除。
6. 单击<确定>,完成NAT策略修改。
在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问Device。
图-8 组网图
· 未配置允许PC B访问Device的安全策略。
· PC B利用与NAT目的地址转换规则相同的服务访问Device,导致访问流量因匹配NAT目的地址转换规则而被错误地进行了目的地址转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy7
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”页面查看是否存在转换方式为多对一地址转换的目的地址转换规则。
4. 如存在上述规则,单击<编辑>,在修改策略NAT界面查看目的地址匹配规则中是否包含Device的外网侧接口IP地址10.0.0.1。
5. 如包含在内,继续查看服务匹配规则中是否包含PC B访问Device时使用的服务。
6. 如包含在内,请根据实际情况选择如下方式进行处理:
¡ 改变PC B访问Device时使用的服务。
¡ 把该服务从服务匹配规则中剔除,不对该服务进行目的地址转换。
7. 单击<确定>,完成NAT策略修改。
内网PC A无法通过网关设备Device访问外网PC B。
图-9 组网图
· 未配置允许PC A访问PC B的安全策略。
· 未配置接口NAT规则对报文源IP地址进行转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy1
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 动作:允许
¡ 源IPv4地址:192.168.1.1(此处为PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此处为PC B的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT动态转换 > 策略配置”。
3. 在“NAT出方向动态转换(基于ACL)”页签单击<新建>,新建NAT出方向动态转换,必要的配置项如下:
¡ 接口:GE1/0/2
¡ ACL: 此处配置为放行PC A访问PC B报文的ACL
¡ 转换后源地址:NAT地址组(此处配置为用于源IP地址转换的公网地址组)
¡ 转换模式:PAT
4. 单击<确定>,完成NAT出方向动态转换配置。
在网关设备Device上配置NAT源地址转换后,内网PC A无法访问外网PC B。
图-10 组网图
· 未配置允许PC A访问PC B的安全策略。
· 转换后源IP地址与Device的外网侧接口IP地址不在同一网段,导致回程报文不经过Device。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy2
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 动作:允许
¡ 源IPv4地址:192.168.1.1(此处为PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此处为PC B的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT动态转换 > 策略配置 ”。
3. 在右侧页签中编辑NAT源地址转换规则。
4. 查看该规则的转换后IP地址、网段、地址对象组或NAT地址组中是否包含不在10.0.0.1/24网段内的地址。
5. 如存在上述情况,需修改转换后源地址配置,确保回程报文能被转发到Device的外网侧接口GE1/0/2上。
6. 单击<确定>,完成接口NAT修改。
在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问内网PC A。
图-11 组网图
· 未配置允许PC B访问PC A的安全策略。
· PC B访问PC A的目的端口与NAT目的地址转换配置不符,导致报文目的地址未被成功转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy3
¡ 源安全域: Untrust
¡ 目的安全域:Trust
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:192.168.1.1(此处为PC A的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT内部服务器 > 策略配置”。
3. 查看NAT内部服务器的外网端口是否与实际情况不符。
4. 如存在上述情况,需修改端口匹配条件,确保与实际情况一致。
5. 单击<确定>,完成接口NAT修改。
在网关设备Device上配置NAT源地址转换与NAT目的地址转换(NAT Server)后,外网PC B无法通过外网地址10.0.0.100和目的端口80访问内网PC C。
图-12 组网图
· 未配置允许PC B访问PC C的安全策略。
· NAT源地址转换规则占用了NAT目的地址转换规则的IP地址和端口,导致Device访问PC C的流量匹配了NAT源地址转换规则而非NAT目的地址转换规则。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy4
¡ 源安全域: Untrust
¡ 目的安全域:DMZ
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:192.168.2.1(此处为PC C的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT动态转换 > 策略配置”。
3. 在“NAT出方向动态转换(基于对象组)”页签中查看是否存在动作为PAT的转换规则。
4. 如存在上述规则,单击<编辑>,在修改NAT出方向动态转换界面查看转换后源地址处引用的NAT地址组的端口范围是否包含80。
5. 如包含在内,需要将端口80从端口范围中剔除。
6. 单击<确定>,完成NAT出方向动态转换规则修改。
7. 在“NAT出方向动态转换(基于ACL)”页签中查看是否存在转换模式为PAT的转换规则。
8. 如存在上述规则,单击<编辑>,在修改NAT出方向动态转换界面查看转换后源地址处引用的NAT地址组的端口范围是否包含80。
9. 如包含在内,需要将端口80从端口范围中剔除。
10. 单击<确定>,完成NAT出方向动态转换规则修改。
在Device上配置NAT源地址转换和IPsec功能,对PC A访问PC B的报文进行NAT源地址转换后,利用IPsec保护其安全性。PC A主动访问PC B,发现IPsec配置不生效。
图-13 组网图
匹配IPsec策略的报文源和目的IP地址需为NAT转换后的IP地址。
1. 登录设备Web管理页面。
2. 选择“网络 > VPN > IPsec > 策略 ”。
3. 在“IPsec策略”页面编辑IPsec策略配置。
4. 查看IPsec策略配置中的被保护数据流配置,将被保护数据流的源和目的IP地址改为NAT转换后的IP地址。
在网关设备Device上配置NAT源地址转换后,外网PC B无法访问Device。
图-14 组网图
· 未配置允许PC B访问Device的安全策略。
· PC B访问Device的流量因匹配了NAT源地址转换规则而被错误地进行了目的地址转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy5
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT动态转换 > 策略配置”。
3. 在“NAT出方向动态转换(基于对象组)”页签中查看是否存在动作为NO-PAT的转换规则。
4. 如存在上述规则,单击<编辑>,在修改NAT出方向动态转换界面查看转换后源地址处引用的NAT地址组中是否包含Device的外网侧接口IP地址10.0.0.1。
5. 如包含在内,需要把10.0.0.1从该NAT地址对象组中剔除。
6. 单击<确定>,完成NAT出方向动态转换规则修改。
7. 在“NAT出方向动态转换(基于ACL)”页签中查看是否存在转换模式为NO-PAT的转换规则。
8. 如存在上述规则,单击<编辑>,进入修改NAT出方向动态转换界面。
9. 若转换后源地址为NAT地址组,查看所引用的NAT地址组内是否包含Device的外网侧接口IP地址10.0.0.1;若转换后源地址为接口IP地址,查看所引用的接口是否为Device的外网侧接口GE1/0/2。
10. 如出现上述两种情况之一,需要把10.0.0.1从转换后源地址中剔除。
11. 单击<确定>,完成NAT出方向动态转换规则修改。
在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问Device。
图-15 组网图
· 未配置允许PC B访问Device的安全策略。
· PC B利用与NAT目的地址转换规则相同的服务访问Device,导致访问流量因匹配NAT目的地址转换规则而被错误地进行了目的地址转换。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:
¡ 名称:secpolicy6
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 动作:允许
¡ 源IPv4地址:10.0.0.2(此处为PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)
4. 单击<确定>,完成安全策略配置。
1. 登录设备Web管理页面。
2. 选择“策略 > NAT > NAT内部服务器 > 策略配置”。
3. 查看是否存在外网地址为Device的外网侧接口IP地址10.0.0.1的NAT内部服务器规则。
4. 如存在上述规则,单击<编辑>,在修改NAT内部服务器界面查看外网端口是否为PC B访问Device时使用的端口。
5. 如该端口确为PC B访问Device时使用的端口,请根据实际情况选择如下方式进行处理:
¡ 改变PC B访问Device时使用的协议或目的端口。
¡ 修改报文匹配规则(ACL)处引用的ACL,不对PC B访问Device的报文进行目的地址转换。
6. 单击<确定>,完成NAT内部服务器规则修改。
SSL VPN故障处理章节主要介绍以下故障的处理办法:
· 浏览器接入故障
· 其他故障
在浏览器中输入SSL VPN网关地址,无法打开SSL VPN网关页面。
1. 确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。
2. 通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:
¡ 确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关
¡ 重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效
¡ SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可
SSL VPN网关的显示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:
¡ 确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例
¡ 确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关
SSL VPN访问实例的显示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 确认网关地址和端口是否被正确侦听,需要确认每个业务板侦听端口是否正确开启。
TCP代理连接的显示信息如下:
<F1080> dis tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
浏览器可以打开SSL VPN网关页面,但是无法登录。
1. 确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。
2. 通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:
¡ 确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关
¡ 重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效
¡ SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可
SSL VPN网关的显示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:
¡ 确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例
¡ 确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关
SSL VPN访问实例的显示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 确认SSL VPN网关地址和端口是否被正确侦听,需要确认每个业务板的侦听端口是否正确开启。
TCP代理连接的显示信息如下:
<F1080> display tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
5. 确认SSL VPN用户是否配置正确:
¡ 本地用户:确保用户类型为网络接入类,服务类型为SSL VPN,且为SSL VPN用户配置资源组。
¡ 远程用户:确保远程认证服务器上用户隶属的用户组,已在SSL VPN访问实例中配置对应名称的资源组。
6. 若开启了客户端和服务器端证书认证,确保两端已正确安装证书。
通过浏览器登录SSL VPN网关后,无法访问内网服务器资源。
1. 确认SSL VPN访问实例下配置了资源,以下方式至少一种:
¡ 配置了访问资源的资源列表,如下:
# 创建URL表项urlitem,并配置资源的URL。
[Device-sslvpn-context-ctxweb1] url-item urlitem
[Device-sslvpn-context-ctxweb1-url-item-urlitem] url http://20.2.2.2
[Device-sslvpn-context-ctxweb1-url-item-urlitem] quit
# 创建URL列表urllist。
[Device-sslvpn-context-ctxweb1] url-list urllist
# 配置URL列表标题为web。
[Device-sslvpn-context-ctxweb1-url-list-urllist] heading web
# 配置URL列表引用的URL表项。
[Device-sslvpn-context-ctxweb1-url-list-urllist] resources url-item urlitem
[Device-sslvpn-context-ctxweb1-url-list-urllist] quit
# SSL VPN访问实例ctxweb1下创建策略组resourcegrp1,引用URL列表urllist。
[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] resources url-list urllist
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] quit
¡ 配置了能够放行通往后台服务器的ACL或者URI ACL规则,并且引用规则已经添加:
[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] filter web-access acl 3000
2. SSL VPN网关是否可以Ping通后台资源地址,是否需要在对端设备上添加路由。
3. 通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:
¡ 确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关
¡ 重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效
¡ SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可
SSL VPN网关的显示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
4. 通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:
¡ 确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例
¡ 确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关
SSL VPN访问实例的显示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
5. 排查上下行链路是否正常,以下情况会导致上下行链路不通:
¡ SSL VPN网关没有配置到达内网资源的路由,可通过查看设备路由表确认
¡ 内网服务器未配置回程路由导致链路不通
¡ 地址冲突导致链路不通
¡ 配置了策略路由导致链路不通
¡ 配置了负载均衡导致链路不通
¡ 设备是双主模式,请将设备修改为主备模式,并将上下行接口修改成冗余口
在浏览器中输入SSL VPN网关地址,无法打开SSL VPN网关页面,或通过iNode输入SSL VPN网关地址后,提示无法获取SSL VPN网关信息。
1. 确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。
2. 通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:
¡ 确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关
¡ 重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效
¡ SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。
SSL VPN网关的显示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:
¡ 确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例
¡ 确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关
SSL VPN访问实例的显示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 确认网关地址和端口是否被正确侦听,需要确认每个业务板侦听端口是否正确开启。
TCP代理连接的显示信息如下:
<F1080> dis tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
在iNode客户端上输入SSL VPN网关地址后,可以获取SSL VPN网关信息,但是无法登陆。
1. 确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。
2. 通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:
¡ 确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关
¡ 重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效
¡ SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可
SSL VPN网关的显示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:
¡ 确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例
¡ 确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关
SSL VPN访问实例的显示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 确认SSL VPN网关地址和端口是否被正确侦听,需要确认每个业务板的侦听端口是否正确开启。
TCP代理连接的显示信息如下:
<F1080> display tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
5. 确认是否配置了SSL VPN AC接口(需要配置IP地址),且在SSL VPN访问实例下引用了该SSL VPN AC接口。
SSL VPN AC接口的配置及显示如下:
[Device] interface SSLVPN-AC 1
[Device-SSLVPN-AC1] ip address 1.1.1.1 24
[Device-SSLVPN-AC1] quit
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] ip-tunnel interface SSLVPN-AC 1
[Device-sslvpn-context-ctx] quit
[Device] display interface SSLVPN-AC 1 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1 UP UP 1.1.1.1
6. 确认是否配置了地址池,并且在SSL VPN访问实例或用户可授权的资源组下引用了该地址池,地址池中不能包含SSL VPN网关地址。
地址池的配置及引用举例如下:
[Device] sslvpn ip address-pool name 1.1.1.1 1.1.1.10
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] ip-tunnel address-pool name mask 24
7. 确认SSL VPN用户是否配置正确:
¡ 本地用户:确保用户类型为网络接入类,服务类型为SSL VPN,且为用户配置SSL VPN资源组。
¡ 远程用户:确保远程认证服务器上用户隶属的用户组,已在SSL VPN访问实例中配置对应名称的SSL VPN资源组。
8. 若开启了客户端和服务器端证书认证,确保两端已正确安装证书。
9. iNode客户端是否为最新版本。
通过iNode客户端登录SSL VPN网关后,无法访问内网服务器资源。
1. SSL VPN AC接口是否加入了安全域,且被安全策略放行。
2. iNode客户端分配到的虚拟网卡IP地址是否加入了安全域,且被安全策略放行。
3. 确认是否配置了能够放行通往后台服务器的ACL或者URI ACL规则,并且引用规则已经添加:
[Device-sslvpn-context-ctxip1] policy-group resourcegrp1
[Device-sslvpn-context-ctxip1-policy-group-resourcegrp1] filter web-access acl 3000
4. SSL VPN网关是否可以Ping通后台资源地址,是否需要在对端设备上添加路由。
5. iNode客户端是否为最新版本。
6. 排查上下行链路是否正常,以下情况会导致上下行链路不通:
¡ SSL VPN网关没有配置到达内网资源的路由,可通过查看设备路由表确认
¡ 内网服务器未配置回程路由导致链路不通
¡ 设备是双主模式,请将设备修改为主备模式,并将上下行接口修改成冗余口
¡ 地址冲突导致链路不通
¡ 配置了策略路由导致链路不通
¡ 配置了负载均衡导致链路不通
部分iNode用户,长时间不访问内网资源时,不老化下线,占用License资源。
iNode客户端会定时发送保活报文,无法老化下线,可通过配置空闲超时时间,将长时间不访问内网资源用户强制下线
通过配置SSL VPN会话保持空闲状态的流量阈值,对iNode客户端空闲用户进行老化下线。具体配置如下:
<Device> system-view
[Device] sslvpn context ctx1
[Device-sslvpn-context-ctx1] idle-cut traffic-threshold 1000
本地用户在local-user下配置了ACL、监控、绑定IP地址等功能不生效。
SSL VPN用户的部分管理配置,需要在SSL VPN访问实例下配置,不能在local-user用户视图下配置。
用户曾经登录SSL VPN网关成功,后续再次登录时失败。
1. 查看SSL VPN访问实例下是否配置了同一用户名登录限制个数。
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] max-onlines 1
2. 如果不需要限制同一用户名最大上线数,可删除max-onlines配置,如果确实需要限制,可配置如下功能。开启本功能后,将从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线:
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] force-logout max-onlines enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!