深信服IPSECVPN常见问题演示文稿.pptVIP

深信服IPSECVPN常见问题演示文稿 当前第1页\共有17页\编于星期日\5点 优选深信服IPSECVPN常见问题 当前第2页\共有17页\编于星期日\5点 IPSEC常见问题排查 指导 当前第3页\共有17页\编于星期日\5点 IPSEC常见问题排错指导 1. VPN无法建立连接 3. VPN不稳定，频繁断开 5. 通过 VPN访问不到部分服务器 4. 通过VPN访问不到内网资源 2.Webagent无法更新成功 6. 通过VPN访问服务器慢 当前第4页\共有17页\编于星期日\5点 A、查看系统日志的提示 B、检查设备的部署方式和配置；（例如排除VPN两端在同一局域网来连VPN；设备本身被限制无法上网等原因） C、检查VPN连接的配置(webagent、帐号等)； D、测试总部的VPN端口是否能通，总部单臂模式下，如果启用UDP传输，注意前置网络设备要做UDP4009端口的映射； E、检查是否两端VPN设备上是否做了端口全映射或者映射了VPN连接的端口到内网； F、确认两端VPN设备的版本是否匹配 G、测试两端VPN设备之间的网络是否可达(ping或收发包测试)； H、尝试修改VPN设备接口的MTU；? 故障一 VPN无法建立连接 当前第5页\共有17页\编于星期日\5点 故障二 Webagent无法更新成功 A、确保VPN总部设备和分支设备均能上外网（设备配置的IP和DNS均正确，能解析到域名和访问公网）。 VPN总部设备需要上网更新webagent地址，而分支设备需要访问webagent地址获得总部VPN设备的公网IP地址。 B、某些运营商封堵了80端口的访问，可以尝试把VPN总部webagent更新端口改成8080端口来更新。例如：:8080/ssl/xxx.php 的形式。 当前第6页\共有17页\编于星期日\5点 故障三 VPN不稳定，频繁断开 A、尝试换传输模式（分支设备的连接管理处修改），看是否修复。 B、修改总部VPN连接的端口，改成常用的低端口，如81等，避免运营商对高端口做了限制。 C、如果有设置VPN的多线路策略，修改多线路策略看是否稳定 D、反向连接，把原来的VPN分支端和总部端配置互换，改成由另一端发起连接，看是否稳定。 当前第7页\共有17页\编于星期日\5点 A、从最靠近内网资源的VPN设备上测试能否访问内网资源；（通过网关升级客户端登录到VPN设备上进行PING测试） B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划)； D、两端都检查路由设置，可以通过 tracert观察数据流走到了哪里，必须确保双向访问均能到达； 检查PC和内网资源服务器上的路由设置，看是否有错误的主机路由。或者把PC和内网资源的网关均指向VPN设备，测试是否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。 故障四 VPN已经建立，但访问不到内网资源 当前第8页\共有17页\编于星期日\5点 A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查看不能访问的服务器IP是否被设置到了虚拟IP池)； B、检查两端的路由设置，确认数据能到达服务器。 检查PC和服务器上的路由设置，看是否有错误的主机路由。 C、把PC和服务器的网关均指向VPN设备，测试是否能通信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。 故障五 通过VPN某些服务器不能访问，某些可以 当前第9页\共有17页\编于星期日\5点 A、ping对端VPN设备的公网IP和内网主机IP，比较延时 。(可ping大包测试) B、如果ping对端VPN设备公网IP的延时小于内网主机IP的延时，则修改传输模式看是否修复。 C、修改VPN连接端口，修改成常用的端口，例如81等，避免公网运营商对高端口进行流控限制。 D、检查VPN设备出口流量是否较大；在带宽有限的情况下，如果公网流量较大，也会导致VPN数据传输较慢的情况。 E、检查内网通讯是否正常(内网是否有arp欺骗，电脑中病毒的情况) F、判断VPN设备是否性能不足(看CPU，内存占用情况等) 故障六 觉得VPN慢或VPN隧道内数据传输慢 当前第10页\共有17页\编于星期日\5点 其他常见问题排查指导 当前第11页\共有17页\编于星期日\5点 第一种情况：不知道设备的IP地址，登录不了SANGFOR设备的网关控制台。 一、登录不了SANGFOR设备网关控制台 A、PC直接连SANGFOR设备的LAN口，在PC上使用Findme或者网关升级客户端有哪些信誉好的足球投注网站SANGFOR设备的IP，通过有哪些信誉好的足球投注网站到的设备IP登录网关控制台（电脑要配置同网段的IP地址）