• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-故障处理

目录

01-故障处理

本章节下载 01-故障处理  (607.48 KB)

01-故障处理

故障处理

 

本帮助主要介绍以下功能的故障处理办法:

·     安全策略故障处理

·     NAT故障处理

·     SSL VPN故障处理

 

安全策略故障处理章节主要介绍以下故障的处理办法:

·     网络互通

¡     PC与设备直连,无法访问Ping通设备

¡     PC通过设备与其他终端连接,无法互相访问

¡     PC通过设备与其他终端相连,已配置在同一安全域,无法互相访问

网络互通

PC与设备直连,无法访问Ping通设备

故障描述

PC通过网线与设备业务接口相连,IP地址为同一网段,在PC上无法Ping通设备。

图-1 组网图

 

故障原因

安全设备必须先将与PC相连的接口加入某个安全域,并配置放行该安全域与Local安全域报文的安全策略,PC才能正常访问设备。

故障处理步骤

1.     登录设备Web管理页面。

2.     选择“网络 > 安全域”。

3.     单击某个安全域(如Trust)对应的<编辑>按钮,进入“修改安全域”页面。

4.     选择接口列表中与PC相连的接口,单击<>按钮添加至成员列表中。

5.     单击<确定>按钮。

6.     选择“策略 > 安全策略 > 安全策略”。

7.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。

8.     配置安全策略的匹配条件及执行动作:

¡     源安全域:Trust

¡     名称:trust-local

¡     目的安全域:Local

¡     动作:允许

¡     IPv4地址:10.1.1.2

¡     目的IPv4地址:10.1.1.1

图-2 新建安全策略

 

9.     若需要设备主动访问PC,则需要配置反方向放行的安全策略:

¡     名称:local-trust

¡     源安全域:Local

¡     目的安全域:Trust

¡     动作:允许

¡     IPv4地址:10.1.1.1

¡     目的IPv4地址:10.1.1.2

10.     单击<确定>按钮,完成配置。

PC通过设备与其他终端连接,无法互相访问

故障描述

PC通过与设备其他终端相连,IP地址与路由已正确配置,但无法互相访问。

图-3 组网图

 

故障原因

安全设备必须先将接口加入相应的安全域,并配置放行对应安全域间报文的安全策略,流量才会被放行。

故障处理步骤

1.     登录设备Web管理页面。

2.     选择“网络 > 安全域”。

3.     单击某个安全域(如Trust)对应的<编辑>按钮,进入“修改安全域”页面。

4.     选择接口列表中与PC相连的接口,单击<>按钮添加至成员列表中。

图-4 添加接口至安全域

 

5.     单击<确定>按钮。

6.     采用同样的方法将其他接口加入不同安全域(如Untrust)。

7.     选择“策略 > 安全策略 > 安全策略”。

8.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。

9.     配置安全策略的匹配条件及执行动作(建议配置精确的匹配条件):

¡     名称:trust-untrust

¡     源安全域:Trust

¡     目的安全域:Unturst

¡     动作:允许

¡     IPv4地址:10.1.1.2

¡     目的IPv4地址:20.1.1.2

图-5 新建安全策略

 

10.     若通过设备相连的终端需要互相访问,则需要创建双向放行的安全策略:

¡     名称:untrust-trust

¡     源安全域:Unturst

¡     目的安全域:Trust

¡     动作:允许

¡     IPv4地址:20.1.1.2

¡     目的IPv4地址:10.1.1.2

11.     单击<确定>按钮,完成配置。

PC通过设备与其他终端相连,已配置在同一安全域,无法互相访问

故障描述

PC通过与设备其他终端相连,IP地址与路由已正确配置,且已加入相同的安全域,但无法互相访问。

图-6 组网图

 

故障原因

安全设备缺省情况下,相同安全域间的报文是丢弃的,需要配置放行相应报文的安全策略,相同安全域的终端才能互相访问。

故障处理步骤

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。

4.     配置安全策略的匹配条件及执行动作(本例中通过设备相连的终端都属于Trust安全域):

¡     名称:trust-trust

¡     源安全域:Trust

¡     目的安全域:Trust

¡     动作:允许

¡     IPv4地址:10.1.1.2,20.1.1.2

¡     目的IPv4地址:20.1.1.2,10.1.1.2

图-7 新建安全策略

 

5.     单击<确定>按钮,完成配置。

NAT故障处理

 

本帮助主要介绍以下故障的处理办法:

·     策略NAT

¡     内网用户无法访问外网

¡     NAT源地址转换不生效

¡     NAT目的地址转换不生效

¡     NAT源地址转换与NAT目的地址转换配合使用,NAT目的地址转换不生效

¡     NAT与IPsec配合使用,IPsec配置不生效

¡     配置策略NAT后,内网用户无法访问设备

¡     配置NAT源地址转换后,外网用户无法访问设备

¡     配置NAT目的地址转换后,外网用户无法访问设备

·     接口NAT

¡     内网用户无法访问外网

¡     NAT源地址转换不生效

¡     NAT目的地址转换不生效

¡     NAT源地址转换与NAT目的地址转换配合使用,NAT目的地址转换不生效

¡     NAT与IPsec配合使用,IPsec配置不生效

¡     配置NAT源地址转换后,外网用户无法访问设备

¡     配置NAT目的地址转换后,外网用户无法访问设备

策略NAT

内网用户无法访问外网

故障描述

内网PC A无法通过网关设备Device访问外网PC B

图-1 组网图

 

故障原因

·     未配置允许PC A访问PC B的安全策略。

·     未配置策略NAT规则对报文源IP地址进行转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy1

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     动作:允许

¡     IPv4地址:192.168.1.1(此处为PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此处为PC BIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略”。

3.     在“NAT策略”页面单击<新建>,新建NAT策略规则,必要的配置项如下:

¡     规则名称:policy1

¡     转换模式源地址转换

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     IPv4地址:192.168.1.1(此处为PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     转换方式:PAT

¡     地址类型:地址组

¡     转换后源地址:用于源IP地址转换的公网NAT地址组

4.     单击<确定>,完成NAT策略规则配置。

NAT源地址转换不生效

故障描述

在网关设备Device上配置NAT源地址转换后,内网PC A无法访问外网PC B

图-2 组网图

 

故障原因

·     未配置允许PC A访问PC B的安全策略。

·     转换后源IP地址与Device的外网侧接口IP地址不在同一网段,导致回程报文不经过Device

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy2

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     动作:允许

¡     IPv4地址:192.168.1.1(此处为PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此处为PC BIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”页面编辑NAT源地址转换规则。

4.     查看该规则的转换后IP地址、网段、地址对象组或NAT地址组中是否包含不在10.0.0.1/24网段内的地址。

5.     如存在上述情况,需修改转换后源地址配置,确保回程报文能被转发到Device的外网侧接口GE1/0/2上。

6.     单击<确定>,完成NAT策略修改。

NAT目的地址转换不生效

故障描述

在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问内网PC A

图-3 组网图

 

故障原因

·     未配置允许PC B访问PC A的安全策略。

·     PC B访问PC A所采用的服务与NAT目的地址转换配置不符,导致报文目的地址未被成功转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy3

¡     源安全域: Untrust

¡     目的安全域:Trust

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:192.168.1.1(此处为PC AIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”页面编辑NAT目的地址转换规则。

4.     查看该规则所引用的服务匹配条件是否与实际情况不符。

5.     如存在上述情况,需修改服务匹配条件,确保与实际情况一致。

6.     单击<确定>,完成NAT策略修改。

NAT源地址转换与NAT目的地址转换配合使用,NAT目的地址转换不生效

故障描述

在网关设备Device上配置NAT源地址转换与NAT目的地址转换(NAT Server)后,外网PC B无法通过外网地址10.0.0.100和目的端口80访问内网PC C

图-4 组网图

 

故障原因

·     未配置允许PC B访问PC C的安全策略。

·     NAT源地址转换规则占用了NAT目的地址转换规则的IP地址和端口,导致Device访问PC C的流量匹配了NAT源地址转换规则而非NAT目的地址转换规则。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy4

¡     源安全域: Untrust

¡     目的安全域:DMZ

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:192.168.2.1(此处为PC CIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”页面查看是否存在转换方式为PAT的源地址转换规则。

4.     如存在上述规则,单击<编辑>,在修改NAT策略界面查看该规则引用的NAT地址组的端口范围是否包含80

5.     如包含在内,需要将端口80从端口范围中剔除。

6.     单击<确定>,完成NAT策略修改。

NATIPsec配合使用,IPsec配置不生效

故障描述

Device上配置NAT源地址转换和IPsec功能,对PC A访问PC B的报文进行NAT源地址转换后,利用IPsec保护其安全性。PC A主动访问PC B,发现IPsec配置不生效。

图-5 组网图

 

故障原因

匹配IPsec策略的报文源和目的IP地址需为NAT转换后的IP地址。

故障处理步骤

1.     登录设备Web管理页面。

2.     选择“网络 > VPN > IPsec > 策略 ”。

3.     在“IPsec策略”页面编辑IPsec策略配置。

4.     查看IPsec策略配置中的被保护数据流配置,将被保护数据流的源和目的IP地址改为NAT转换后的IP地址。

配置策略NAT后,内网用户无法访问设备

故障描述

在网关设备Device上配置策略NAT后,内网PC A无法访问Device

图-6 组网图

 

故障原因

·     未配置允许PC A访问Device的安全策略。

·     策略NAT规则对PC A访问Device的流量进行了目的地址转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy5

¡     源安全域: Trust

¡     目的安全域:Local

¡     动作:允许

¡     IPv4地址:192.168.1.1(此处为PC AIP地址)

¡     目的IPv4地址:192.168.1.2(此处为Device内网侧接口的IP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”页面查看是否存在报文目的安全域匹配条件为ANY的目的地址转换规则。

4.     如存在上述规则,则需要重新配置该目的地址转换规则的报文匹配条件,具体要求如下:

¡     目的安全域:不得包含Local安全域

¡     IPv4地址:不得为192.168.1.1

¡     目的IPv4地址:不得为192.168.1.2

配置NAT源地址转换后,外网用户无法访问设备

故障描述

在网关设备Device上配置NAT源地址转换后,外网PC B无法访问Device

图-7 组网图

 

故障原因

·     未配置允许PC B访问Device的安全策略。

·     PC B访问Device的流量因匹配了NAT源地址转换规则而被错误地进行了目的地址转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy6

¡     源安全域: Untrust

¡     目的安全域:Local

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略”。

3.     在“NAT策略”页面查看是否存在源地址转换方式为NO-PATNAT策略规则。

4.     如存在上述规则,单击<编辑>,在修改NAT策略界面查看该规则所引用的用于源地址转换的地址对象组或NAT地址组中是否包含Device的外网侧接口IP地址10.0.0.1

5.     如包含在内,需要把10.0.0.1从该地址对象组或NAT地址组中剔除。

6.     单击<确定>,完成NAT策略修改。

配置NAT目的地址转换后,外网用户无法访问设备

故障描述

在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问Device

图-8 组网图

 

故障原因

·     未配置允许PC B访问Device的安全策略。

·     PC B利用与NAT目的地址转换规则相同的服务访问Device,导致访问流量因匹配NAT目的地址转换规则而被错误地进行了目的地址转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy7

¡     源安全域: Untrust

¡     目的安全域:Local

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(策略NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”页面查看是否存在转换方式为多对一地址转换的目的地址转换规则。

4.     如存在上述规则,单击<编辑>,在修改策略NAT界面查看目的地址匹配规则中是否包含Device的外网侧接口IP地址10.0.0.1

5.     如包含在内,继续查看服务匹配规则中是否包含PC B访问Device时使用的服务。

6.     如包含在内,请根据实际情况选择如下方式进行处理:

¡     改变PC B访问Device时使用的服务。

¡     把该服务从服务匹配规则中剔除,不对该服务进行目的地址转换。

7.     单击<确定>,完成NAT策略修改。

接口NAT

内网用户无法访问外网

故障描述

内网PC A无法通过网关设备Device访问外网PC B

图-9 组网图

 

故障原因

·     未配置允许PC A访问PC B的安全策略。

·     未配置接口NAT规则对报文源IP地址进行转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy1

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     动作:允许

¡     IPv4地址:192.168.1.1(此处为PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此处为PC BIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(接口NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT动态转换 > 策略配置”。

3.     在“NAT出方向动态转换(基于ACL)”页签单击<新建>,新建NAT出方向动态转换,必要的配置项如下:

¡     接口:GE1/0/2

¡     ACL 此处配置为放行PC A访问PC B报文的ACL

¡     转换后源地址:NAT地址组(此处配置为用于源IP地址转换的公网地址组)

¡     转换模式:PAT

4.     单击<确定>,完成NAT出方向动态转换配置。

NAT源地址转换不生效

故障描述

在网关设备Device上配置NAT源地址转换后,内网PC A无法访问外网PC B

图-10 组网图

 

故障原因

·     未配置允许PC A访问PC B的安全策略。

·     转换后源IP地址与Device的外网侧接口IP地址不在同一网段,导致回程报文不经过Device

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy2

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     动作:允许

¡     IPv4地址:192.168.1.1(此处为PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此处为PC BIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(接口NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT动态转换 > 策略配置 ”。

3.     在右侧页签中编辑NAT源地址转换规则。

4.     查看该规则的转换后IP地址、网段、地址对象组或NAT地址组中是否包含不在10.0.0.1/24网段内的地址。

5.     如存在上述情况,需修改转换后源地址配置,确保回程报文能被转发到Device的外网侧接口GE1/0/2上。

6.     单击<确定>,完成接口NAT修改。

NAT目的地址转换不生效

故障描述

在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问内网PC A

图-11 组网图

 

故障原因

·     未配置允许PC B访问PC A的安全策略。

·     PC B访问PC A的目的端口与NAT目的地址转换配置不符,导致报文目的地址未被成功转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy3

¡     源安全域: Untrust

¡     目的安全域:Trust

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:192.168.1.1(此处为PC AIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(接口NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT内部服务器 > 策略配置”。

3.     查看NAT内部服务器的外网端口是否与实际情况不符。

4.     如存在上述情况,需修改端口匹配条件,确保与实际情况一致。

5.     单击<确定>,完成接口NAT修改。

NAT源地址转换与NAT目的地址转换配合使用,NAT目的地址转换不生效

故障描述

在网关设备Device上配置NAT源地址转换与NAT目的地址转换(NAT Server)后,外网PC B无法通过外网地址10.0.0.100和目的端口80访问内网PC C

图-12 组网图

 

故障原因

·     未配置允许PC B访问PC C的安全策略。

·     NAT源地址转换规则占用了NAT目的地址转换规则的IP地址和端口,导致Device访问PC C的流量匹配了NAT源地址转换规则而非NAT目的地址转换规则。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy4

¡     源安全域: Untrust

¡     目的安全域:DMZ

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:192.168.2.1(此处为PC CIP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(接口NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT动态转换 > 策略配置”。

3.     在“NAT出方向动态转换(基于对象组)”页签中查看是否存在动作为PAT的转换规则。

4.     如存在上述规则,单击<编辑>,在修改NAT出方向动态转换界面查看转换后源地址处引用的NAT地址组的端口范围是否包含80

5.     如包含在内,需要将端口80从端口范围中剔除。

6.     单击<确定>,完成NAT出方向动态转换规则修改。

7.     在“NAT出方向动态转换(基于ACL)”页签中查看是否存在转换模式为PAT的转换规则。

8.     如存在上述规则,单击<编辑>,在修改NAT出方向动态转换界面查看转换后源地址处引用的NAT地址组的端口范围是否包含80

9.     如包含在内,需要将端口80从端口范围中剔除。

10.     单击<确定>,完成NAT出方向动态转换规则修改。

NATIPsec配合使用,IPsec配置不生效

故障描述

Device上配置NAT源地址转换和IPsec功能,对PC A访问PC B的报文进行NAT源地址转换后,利用IPsec保护其安全性。PC A主动访问PC B,发现IPsec配置不生效。

图-13 组网图

 

故障原因

匹配IPsec策略的报文源和目的IP地址需为NAT转换后的IP地址。

故障处理步骤

1.     登录设备Web管理页面。

2.     选择“网络 > VPN > IPsec > 策略 ”。

3.     在“IPsec策略”页面编辑IPsec策略配置。

4.     查看IPsec策略配置中的被保护数据流配置,将被保护数据流的源和目的IP地址改为NAT转换后的IP地址。

配置NAT源地址转换后,外网用户无法访问设备

故障描述

在网关设备Device上配置NAT源地址转换后,外网PC B无法访问Device

图-14 组网图

 

故障原因

·     未配置允许PC B访问Device的安全策略。

·     PC B访问Device的流量因匹配了NAT源地址转换规则而被错误地进行了目的地址转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy5

¡     源安全域: Untrust

¡     目的安全域:Local

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(接口NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT动态转换 > 策略配置”。

3.     在“NAT出方向动态转换(基于对象组)”页签中查看是否存在动作为NO-PAT的转换规则。

4.     如存在上述规则,单击<编辑>,在修改NAT出方向动态转换界面查看转换后源地址处引用的NAT地址组中是否包含Device的外网侧接口IP地址10.0.0.1

5.     如包含在内,需要把10.0.0.1从该NAT地址对象组中剔除。

6.     单击<确定>,完成NAT出方向动态转换规则修改。

7.     在“NAT出方向动态转换(基于ACL)”页签中查看是否存在转换模式为NO-PAT的转换规则。

8.     如存在上述规则,单击<编辑>,进入修改NAT出方向动态转换界面。

9.     若转换后源地址为NAT地址组,查看所引用的NAT地址组内是否包含Device的外网侧接口IP地址10.0.0.1;若转换后源地址为接口IP地址,查看所引用的接口是否为Device的外网侧接口GE1/0/2

10.     如出现上述两种情况之一,需要把10.0.0.1从转换后源地址中剔除。

11.     单击<确定>,完成NAT出方向动态转换规则修改。

配置NAT目的地址转换后,外网用户无法访问设备

故障描述

在网关设备Device上配置NAT目的地址转换后,外网PC B无法访问Device

图-15 组网图

 

故障原因

·     未配置允许PC B访问Device的安全策略。

·     PC B利用与NAT目的地址转换规则相同的服务访问Device,导致访问流量因匹配NAT目的地址转换规则而被错误地进行了目的地址转换。

故障处理步骤(安全策略)

1.     登录设备Web管理页面。

2.     选择“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面,必要的配置项如下:

¡     名称:secpolicy6

¡     源安全域: Untrust

¡     目的安全域:Local

¡     动作:允许

¡     IPv4地址:10.0.0.2(此处为PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此处为Device外网侧接口的IP地址)

4.     单击<确定>,完成安全策略配置。

故障处理步骤(接口NAT

1.     登录设备Web管理页面。

2.     选择“策略 > NAT > NAT内部服务器 > 策略配置”。

3.     查看是否存在外网地址为Device的外网侧接口IP地址10.0.0.1NAT内部服务器规则。

4.     如存在上述规则,单击<编辑>,在修改NAT内部服务器界面查看外网端口是否为PC B访问Device时使用的端口。

5.     如该端口确为PC B访问Device时使用的端口,请根据实际情况选择如下方式进行处理:

¡     改变PC B访问Device时使用的协议或目的端口。

¡     修改报文匹配规则(ACL)处引用的ACL,不对PC B访问Device的报文进行目的地址转换。

6.     单击<确定>,完成NAT内部服务器规则修改。

SSL VPN故障处理

 

SSL VPN故障处理章节主要介绍以下故障的处理办法:

·     浏览器接入故障

¡     浏览器无法打开SSL VPN页面

¡     浏览器无法登录SSL VPN网关

¡     浏览器无法访问内网资源

·     iNode客户端接入故障

¡     iNode客户端无法获取SSL VPN网关信息

¡     iNode客户端无法登录SSL VPN网关

¡     iNode客户端无法访问内网资源

¡     iNode用户无法老化下线

·     其他故障

¡     配置用户过滤、监控、绑定IP地址功能不生效

¡     用户曾经登录SSL VPN网关成功,再次登录失败

浏览器接入故障

浏览器无法打开SSL VPN页面

故障描述

在浏览器中输入SSL VPN网关地址,无法打开SSL VPN网关页面。

故障处理步骤

1.     确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。

2.     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

¡     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

¡     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

¡     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

¡     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

¡     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     确认网关地址和端口是否被正确侦听,需要确认每个业务板侦听端口是否正确开启。

TCP代理连接的显示信息如下:

<F1080> dis tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

浏览器无法登录SSL VPN网关

故障描述

浏览器可以打开SSL VPN网关页面,但是无法登录。

故障处理步骤

1.     确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。

2.     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

¡     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

¡     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

¡     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

¡     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

¡     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     确认SSL VPN网关地址和端口是否被正确侦听,需要确认每个业务板的侦听端口是否正确开启。

TCP代理连接的显示信息如下:

<F1080> display tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

5.     确认SSL VPN用户是否配置正确:

¡     本地用户:确保用户类型为网络接入类,服务类型为SSL VPN,且为SSL VPN用户配置资源组。

¡     远程用户:确保远程认证服务器上用户隶属的用户组,已在SSL VPN访问实例中配置对应名称的资源组。

6.     若开启了客户端和服务器端证书认证,确保两端已正确安装证书。

浏览器无法访问内网资源

故障描述

通过浏览器登录SSL VPN网关后,无法访问内网服务器资源。

故障处理步骤

1.     确认SSL VPN访问实例下配置了资源,以下方式至少一种:

¡     配置了访问资源的资源列表,如下:

# 创建URL表项urlitem,并配置资源的URL

[Device-sslvpn-context-ctxweb1] url-item urlitem

[Device-sslvpn-context-ctxweb1-url-item-urlitem] url http://20.2.2.2

[Device-sslvpn-context-ctxweb1-url-item-urlitem] quit

# 创建URL列表urllist

[Device-sslvpn-context-ctxweb1] url-list urllist

# 配置URL列表标题为web

[Device-sslvpn-context-ctxweb1-url-list-urllist] heading web

# 配置URL列表引用的URL表项。

[Device-sslvpn-context-ctxweb1-url-list-urllist] resources url-item urlitem

[Device-sslvpn-context-ctxweb1-url-list-urllist] quit

# SSL VPN访问实例ctxweb1下创建策略组resourcegrp1,引用URL列表urllist

[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1

[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] resources url-list urllist

[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] quit

¡     配置了能够放行通往后台服务器的ACL或者URI ACL规则,并且引用规则已经添加:

[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1

[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] filter web-access acl 3000

2.     SSL VPN网关是否可以Ping通后台资源地址,是否需要在对端设备上添加路由。

3.     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

¡     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

¡     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

¡     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

4.     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

¡     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

¡     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

5.     排查上下行链路是否正常,以下情况会导致上下行链路不通:

¡     SSL VPN网关没有配置到达内网资源的路由,可通过查看设备路由表确认

¡     内网服务器未配置回程路由导致链路不通

¡     地址冲突导致链路不通

¡     配置了策略路由导致链路不通

¡     配置了负载均衡导致链路不通

¡     设备是双主模式,请将设备修改为主备模式,并将上下行接口修改成冗余口

iNode客户端接入故障

iNode客户端无法获取SSL VPN网关信息

故障描述

在浏览器中输入SSL VPN网关地址,无法打开SSL VPN网关页面,或通过iNode输入SSL VPN网关地址后,提示无法获取SSL VPN网关信息。

故障处理步骤

1.     确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。

2.     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

¡     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

¡     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

¡     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

¡     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

¡     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     确认网关地址和端口是否被正确侦听,需要确认每个业务板侦听端口是否正确开启。

TCP代理连接的显示信息如下:

<F1080> dis tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

iNode客户端无法登录SSL VPN网关

故障描述

iNode客户端上输入SSL VPN网关地址后,可以获取SSL VPN网关信息,但是无法登陆。

故障处理步骤

1.     确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。

2.     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

¡     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

¡     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

¡     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

¡     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

¡     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     确认SSL VPN网关地址和端口是否被正确侦听,需要确认每个业务板的侦听端口是否正确开启。

TCP代理连接的显示信息如下:

<F1080> display tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

5.     确认是否配置了SSL VPN AC接口(需要配置IP地址),且在SSL VPN访问实例下引用了该SSL VPN AC接口。

SSL VPN AC接口的配置及显示如下:

[Device] interface SSLVPN-AC 1

[Device-SSLVPN-AC1] ip address 1.1.1.1 24

[Device-SSLVPN-AC1] quit

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] ip-tunnel interface SSLVPN-AC 1

[Device-sslvpn-context-ctx] quit

[Device] display interface SSLVPN-AC 1 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface                   Link   Protocol Primary IP      Description

SSLVPN-AC1           UP    UP            1.1.1.1

6.     确认是否配置了地址池,并且在SSL VPN访问实例或用户可授权的资源组下引用了该地址池,地址池中不能包含SSL VPN网关地址。

地址池的配置及引用举例如下:

[Device] sslvpn ip address-pool name 1.1.1.1 1.1.1.10

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] ip-tunnel address-pool name mask 24

7.     确认SSL VPN用户是否配置正确:

¡     本地用户:确保用户类型为网络接入类,服务类型为SSL VPN,且为用户配置SSL VPN资源组。

¡     远程用户:确保远程认证服务器上用户隶属的用户组,已在SSL VPN访问实例中配置对应名称的SSL VPN资源组。

8.     若开启了客户端和服务器端证书认证,确保两端已正确安装证书。

9.     iNode客户端是否为最新版本。

iNode客户端无法访问内网资源

故障描述

通过iNode客户端登录SSL VPN网关后,无法访问内网服务器资源。

故障处理步骤

1.     SSL VPN AC接口是否加入了安全域,且被安全策略放行。

2.     iNode客户端分配到的虚拟网卡IP地址是否加入了安全域,且被安全策略放行。

3.     确认是否配置了能够放行通往后台服务器的ACL或者URI ACL规则,并且引用规则已经添加:

[Device-sslvpn-context-ctxip1] policy-group resourcegrp1

[Device-sslvpn-context-ctxip1-policy-group-resourcegrp1] filter web-access acl 3000

4.     SSL VPN网关是否可以Ping通后台资源地址,是否需要在对端设备上添加路由。

5.     iNode客户端是否为最新版本。

6.     排查上下行链路是否正常,以下情况会导致上下行链路不通:

¡     SSL VPN网关没有配置到达内网资源的路由,可通过查看设备路由表确认

¡     内网服务器未配置回程路由导致链路不通

¡     设备是双主模式,请将设备修改为主备模式,并将上下行接口修改成冗余口

¡     地址冲突导致链路不通

¡     配置了策略路由导致链路不通

¡     配置了负载均衡导致链路不通

iNode用户无法老化下线

故障描述

部分iNode用户,长时间不访问内网资源时,不老化下线,占用License资源。

故障处理步骤

iNode客户端会定时发送保活报文,无法老化下线,可通过配置空闲超时时间,将长时间不访问内网资源用户强制下线

通过配置SSL VPN会话保持空闲状态的流量阈值,对iNode客户端空闲用户进行老化下线。具体配置如下:

<Device> system-view

[Device] sslvpn context ctx1

[Device-sslvpn-context-ctx1] idle-cut traffic-threshold 1000

其他故障

配置用户过滤、监控、绑定IP地址等功能不生效

故障描述

本地用户在local-user下配置了ACL、监控、绑定IP地址等功能不生效。

故障处理步骤

SSL VPN用户的部分管理配置,需要在SSL VPN访问实例下配置,不能在local-user用户视图下配置。

用户曾经登录SSL VPN网关成功,再次登录时失败

故障描述

用户曾经登录SSL VPN网关成功,后续再次登录时失败。

故障处理步骤

1.     查看SSL VPN访问实例下是否配置了同一用户名登录限制个数。

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] max-onlines 1

2.     如果不需要限制同一用户名最大上线数,可删除max-onlines配置,如果确实需要限制,可配置如下功能。开启本功能后,将从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线:

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] force-logout max-onlines enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们