深信服ssl-vpn最基本排错办法

SSLVPN最最基本排错培训内容培训目标SSLVPN资源1、WEB资源2、TCP资源3、L3VPN资源排错工具与思路1、svpntool工具的使用2、问题处理思路排错过程1、客户端排错2、设备端排错3、网络问题案例分析WEB资源介绍WEB资源实现原理：WEB资源的实现是靠设备进行协议转换，将访问的协议转换成https协议。使用范围：web资源不需客户端控件支持，可以支持所有浏览器。web资源目前仅支持支持HTTP、HTTPS、FTP、MAIL四种资源WEB资源介绍Web资源访问流程客户端连接设备将客户端的请求地址转换为并将请求发到服务器服务器回应请求，返回所请求的页面到SSLVPN设备SSLVPN对页面内容进行分析，把页面上所有的链接以及图片之类的链接都修改成的类型。SSL设备将修改完的页面返回给客户端。所以，http类型主要是通过修改URL来实现的：1.修改客户端请求的URL；2.修改服务器返回的页面内容的链接的URL。SSL设备地址：192.200.200.235服务器地址：192.200.200.55231TCP资源介绍TCP资源介绍TCP服务功能由两部分实现：1.客户端控件proxyIE.2.服务端proxy。工作原理是建立代理机制，发出去的包都经过了设备的截取并代理，回来的包也一样。App服务，在完成配置ProxyIE后，ProxyIE开始侦听本地端口。App服务应用程序首先连接到ProxyIE，ProxyIE与mod_mvcon模块交互后，该连接将被转移给服务端的proxy处理，建立vpn数据通道，proxy最终与应用程序建立连接。L3VPN资源⑻⑵⑶⑷⑹⑸⑺⑴⑧⑦⑥④③虚拟网卡②IP客户端CSAppSupportClient物理网卡物理网卡IP服务端iptun⑤虚拟网卡LANWAN1WAN2客户端应用FTP、HTTP、ICMP服务端应用FTP、HTTP、ICMP排错工具与思路Svpntool工具的使用方法•svpntool工具的作用svpntool工具是专门用于SANGFORSSLVPN客户端控件的查看、安装、卸载等操作，可以帮助我们对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助我们在客户端访问SSLVPN有问题的时候来作为一个判断的手段。•svpntool工具获取方法•1、（IP字段为SSL设备的IP地址）•2.通过任意一台5.0及以上版本的SSL设备客户端登录页面下载问题处理思路一般SSLVPN的问题可以分为三类。1、客户端PC2、设备端配置3、网络的问题。在处理问题时最重要的一点是，必须先判断出问题是出在客户端还是设备端还是网络端，然后对应问题进行解决，而不是毫无目的去查找问题和处理问题。排错指引客户端故障定位及解决方法1、插件是否安装2、本地防火墙杀毒软件3、浏览器缓存及设置4、代理服务器5、权限问题6、系统问题插件是否安装本地防火墙与杀毒软件注：①在安装控件的过程中可能会因为本地防火墙、360安全卫士、以及浏览器本身的一些安全防护作用，会弹出如上的提示框，点击允许即可。浏览器缓存及设置•1、清理浏览器缓存或恢复浏览器默认配置•2、添加信任站点•3、允许下载相应的Active插件代理服务器设置要注意所在局域网是否有使用代理，如果有使用代理，请在【工具】选项卡—【Internet选项】—【局域网设置】，在例外里排除通过VPN要访问的服务器地址（非SSLVPN登录地址）权限问题•有时，因为开机登录本机PC的windows用户权限不够，导致控件安装失败，所以建议以管理员administrator权限登录PC或运行相关程序。系统问题•如果客户PC是通过Ghost系统文件装的系统，因为电脑系统是Ghost备份出来的，备份的系统中可能安装有与客户端冲突的驱动或组件，导致客户端组件无法正常安装。•解决办法：建议客户重装系统，采用(光盘或.Iso镜像)进行重装。设备端故障定位及解决方法1、基本配置网络，路由，资源，角色，用户2、检查访问内网资源的IP和端口是否添加完整网络问题定位及解决方法1、端口映射2、防火墙拦截3、路由问题4、服务未启动端口映射•如果SSL设备单臂部署，检查前端FW端口映射是否80或者443没有做映射，设备默认的443和80端口是否被做过修改等。•如果SSL设备网关模式部署，则检查从内网是否可以通过SSL设备的LAN口的80和443。•测试方法：用用户的PCtelnet设备的80和443端口防火墙拦截常见于vpn设备与服务器之间存在防火墙，检查防火墙是否拦截设备与服务器之间的应用。解决方法：1、后天测试：wget命令2、尝试将设备的内网IP配置到PC上，用PC去尝试一下看能否访问到路由问题•1、确保用户与设备之间，设备与内网服务器之间的路由可达。•2、如果访问资源是以虚拟IP作为源地址，注意添加虚拟IP的路由服务未启动•1、服务器做了限制•2、服务器未开启相应服务•3、服务器相关服务故障•解决思路：•主要表现为设备访问不到相应服务，主要用一台PC替代设备访问资源，如果出现同样的问题，可以排除设备问题。案例分析1.SSL登录页面无法打开1）首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面；2）如果是所有客户端都打不开，则需要检查设备端的设置和网络设置。3）如果只有部分PC打不开登录页面，则问题出在客户端，需要具体检查PC的情况。如网络不通，本地防火墙杀毒软件的限制，本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致2.SSL可以正常登录，但无法访问内网资源•1）首先判断是所有客户端都无法访问页面还是部分PC不能访问•2）检查SSL设备本身能否访问到内网资源•3）检查访问内网资源的IP和端口是否添加完整，可以尝试添加全IP和全端口试下•4）如果使用虚拟IP作为源IP，查看网络设备上是否添加了路由，可尝试把资源访问模式换成“使用设备的IP地址作为源地址”再访问；