01-故障處理
本章節下載: 01-故障處理 (607.48 KB)
故障處理
本幫助主要介紹以下功能的故障處理辦法:
· 安全策略故障處理
· NAT故障處理
安全策略故障處理章節主要介紹以下故障的處理辦法:
· 網絡互通
¡ PC通過設備與其他終端相連,已配置在同一安全域,無法互相訪問
PC通過網線與設備業務接口相連,IP地址為同一網段,在PC上無法Ping通設備。
圖-1 組網圖
安全設備必須先將與PC相連的接口加入某個安全域,並配置放行該安全域與Local安全域報文的安全策略,PC才能正常訪問設備。
1. 登錄設備Web管理頁麵。
2. 選擇“網絡 > 安全域”。
3. 單擊某個安全域(如Trust)對應的<編輯>按鈕,進入“修改安全域”頁麵。
4. 選擇接口列表中與PC相連的接口,單擊<→>按鈕添加至成員列表中。
5. 單擊<確定>按鈕。
6. 選擇“策略 > 安全策略 > 安全策略”。
7. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。
8. 配置安全策略的匹配條件及執行動作:
¡ 源安全域:Trust
¡ 名稱:trust-local
¡ 目的安全域:Local
¡ 動作:允許
¡ 源IPv4地址:10.1.1.2
¡ 目的IPv4地址:10.1.1.1
圖-2 新建安全策略
9. 若需要設備主動訪問PC,則需要配置反方向放行的安全策略:
¡ 名稱:local-trust
¡ 源安全域:Local
¡ 目的安全域:Trust
¡ 動作:允許
¡ 源IPv4地址:10.1.1.1
¡ 目的IPv4地址:10.1.1.2
10. 單擊<確定>按鈕,完成配置。
PC通過與設備其他終端相連,IP地址與路由已正確配置,但無法互相訪問。
圖-3 組網圖
安全設備必須先將接口加入相應的安全域,並配置放行對應安全域間報文的安全策略,流量才會被放行。
1. 登錄設備Web管理頁麵。
2. 選擇“網絡 > 安全域”。
3. 單擊某個安全域(如Trust)對應的<編輯>按鈕,進入“修改安全域”頁麵。
4. 選擇接口列表中與PC相連的接口,單擊<→>按鈕添加至成員列表中。
圖-4 添加接口至安全域
5. 單擊<確定>按鈕。
6. 采用同樣的方法將其他接口加入不同安全域(如Untrust)。
7. 選擇“策略 > 安全策略 > 安全策略”。
8. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。
9. 配置安全策略的匹配條件及執行動作(建議配置精確的匹配條件):
¡ 名稱:trust-untrust
¡ 源安全域:Trust
¡ 目的安全域:Unturst
¡ 動作:允許
¡ 源IPv4地址:10.1.1.2
¡ 目的IPv4地址:20.1.1.2
圖-5 新建安全策略
10. 若通過設備相連的終端需要互相訪問,則需要創建雙向放行的安全策略:
¡ 名稱:untrust-trust
¡ 源安全域:Unturst
¡ 目的安全域:Trust
¡ 動作:允許
¡ 源IPv4地址:20.1.1.2
¡ 目的IPv4地址:10.1.1.2
11. 單擊<確定>按鈕,完成配置。
PC通過與設備其他終端相連,IP地址與路由已正確配置,且已加入相同的安全域,但無法互相訪問。
圖-6 組網圖
安全設備缺省情況下,相同安全域間的報文是丟棄的,需要配置放行相應報文的安全策略,相同安全域的終端才能互相訪問。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。
4. 配置安全策略的匹配條件及執行動作(本例中通過設備相連的終端都屬於Trust安全域):
¡ 名稱:trust-trust
¡ 源安全域:Trust
¡ 目的安全域:Trust
¡ 動作:允許
¡ 源IPv4地址:10.1.1.2,20.1.1.2
¡ 目的IPv4地址:20.1.1.2,10.1.1.2
圖-7 新建安全策略
5. 單擊<確定>按鈕,完成配置。
本幫助主要介紹以下故障的處理辦法:
· 策略NAT
¡ NAT源地址轉換與NAT目的地址轉換配合使用,NAT目的地址轉換不生效
· 接口NAT
¡ NAT源地址轉換與NAT目的地址轉換配合使用,NAT目的地址轉換不生效
內網PC A無法通過網關設備Device訪問外網PC B。
圖-1 組網圖
· 未配置允許PC A訪問PC B的安全策略。
· 未配置策略NAT規則對報文源IP地址進行轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy1
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 動作:允許
¡ 源IPv4地址:192.168.1.1(此處為PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此處為PC B的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略”。
3. 在“NAT策略”頁麵單擊<新建>,新建NAT策略規則,必要的配置項如下:
¡ 規則名稱:policy1
¡ 轉換模式:源地址轉換
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 源IPv4地址:192.168.1.1(此處為PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 轉換方式:PAT
¡ 地址類型:地址組
¡ 轉換後源地址:用於源IP地址轉換的公網NAT地址組
4. 單擊<確定>,完成NAT策略規則配置。
在網關設備Device上配置NAT源地址轉換後,內網PC A無法訪問外網PC B。
圖-2 組網圖
· 未配置允許PC A訪問PC B的安全策略。
· 轉換後源IP地址與Device的外網側接口IP地址不在同一網段,導致回程報文不經過Device。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy2
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 動作:允許
¡ 源IPv4地址:192.168.1.1(此處為PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此處為PC B的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”頁麵編輯NAT源地址轉換規則。
4. 查看該規則的轉換後IP地址、網段、地址對象組或NAT地址組中是否包含不在10.0.0.1/24網段內的地址。
5. 如存在上述情況,需修改轉換後源地址配置,確保回程報文能被轉發到Device的外網側接口GE1/0/2上。
6. 單擊<確定>,完成NAT策略修改。
在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問內網PC A。
圖-3 組網圖
· 未配置允許PC B訪問PC A的安全策略。
· PC B訪問PC A所采用的服務與NAT目的地址轉換配置不符,導致報文目的地址未被成功轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy3
¡ 源安全域: Untrust
¡ 目的安全域:Trust
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:192.168.1.1(此處為PC A的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”頁麵編輯NAT目的地址轉換規則。
4. 查看該規則所引用的服務匹配條件是否與實際情況不符。
5. 如存在上述情況,需修改服務匹配條件,確保與實際情況一致。
6. 單擊<確定>,完成NAT策略修改。
在網關設備Device上配置NAT源地址轉換與NAT目的地址轉換(NAT Server)後,外網PC B無法通過外網地址10.0.0.100和目的端口80訪問內網PC C。
圖-4 組網圖
· 未配置允許PC B訪問PC C的安全策略。
· NAT源地址轉換規則占用了NAT目的地址轉換規則的IP地址和端口,導致Device訪問PC C的流量匹配了NAT源地址轉換規則而非NAT目的地址轉換規則。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy4
¡ 源安全域: Untrust
¡ 目的安全域:DMZ
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:192.168.2.1(此處為PC C的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”頁麵查看是否存在轉換方式為PAT的源地址轉換規則。
4. 如存在上述規則,單擊<編輯>,在修改NAT策略界麵查看該規則引用的NAT地址組的端口範圍是否包含80。
5. 如包含在內,需要將端口80從端口範圍中剔除。
6. 單擊<確定>,完成NAT策略修改。
在Device上配置NAT源地址轉換和IPsec功能,對PC A訪問PC B的報文進行NAT源地址轉換後,利用IPsec保護其安全性。PC A主動訪問PC B,發現IPsec配置不生效。
圖-5 組網圖
匹配IPsec策略的報文源和目的IP地址需為NAT轉換後的IP地址。
1. 登錄設備Web管理頁麵。
2. 選擇“網絡 > VPN > IPsec > 策略 ”。
3. 在“IPsec策略”頁麵編輯IPsec策略配置。
4. 查看IPsec策略配置中的被保護數據流配置,將被保護數據流的源和目的IP地址改為NAT轉換後的IP地址。
在網關設備Device上配置策略NAT後,內網PC A無法訪問Device。
圖-6 組網圖
· 未配置允許PC A訪問Device的安全策略。
· 策略NAT規則對PC A訪問Device的流量進行了目的地址轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy5
¡ 源安全域: Trust
¡ 目的安全域:Local
¡ 動作:允許
¡ 源IPv4地址:192.168.1.1(此處為PC A的IP地址)
¡ 目的IPv4地址:192.168.1.2(此處為Device內網側接口的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”頁麵查看是否存在報文目的安全域匹配條件為ANY的目的地址轉換規則。
4. 如存在上述規則,則需要重新配置該目的地址轉換規則的報文匹配條件,具體要求如下:
¡ 目的安全域:不得包含Local安全域
¡ 源IPv4地址:不得為192.168.1.1
¡ 目的IPv4地址:不得為192.168.1.2
在網關設備Device上配置NAT源地址轉換後,外網PC B無法訪問Device。
圖-7 組網圖
· 未配置允許PC B訪問Device的安全策略。
· PC B訪問Device的流量因匹配了NAT源地址轉換規則而被錯誤地進行了目的地址轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy6
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略”。
3. 在“NAT策略”頁麵查看是否存在源地址轉換方式為NO-PAT的NAT策略規則。
4. 如存在上述規則,單擊<編輯>,在修改NAT策略界麵查看該規則所引用的用於源地址轉換的地址對象組或NAT地址組中是否包含Device的外網側接口IP地址10.0.0.1。
5. 如包含在內,需要把10.0.0.1從該地址對象組或NAT地址組中剔除。
6. 單擊<確定>,完成NAT策略修改。
在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問Device。
圖-8 組網圖
· 未配置允許PC B訪問Device的安全策略。
· PC B利用與NAT目的地址轉換規則相同的服務訪問Device,導致訪問流量因匹配NAT目的地址轉換規則而被錯誤地進行了目的地址轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy7
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT策略 ”。
3. 在“NAT策略”頁麵查看是否存在轉換方式為多對一地址轉換的目的地址轉換規則。
4. 如存在上述規則,單擊<編輯>,在修改策略NAT界麵查看目的地址匹配規則中是否包含Device的外網側接口IP地址10.0.0.1。
5. 如包含在內,繼續查看服務匹配規則中是否包含PC B訪問Device時使用的服務。
6. 如包含在內,請根據實際情況選擇如下方式進行處理:
¡ 改變PC B訪問Device時使用的服務。
¡ 把該服務從服務匹配規則中剔除,不對該服務進行目的地址轉換。
7. 單擊<確定>,完成NAT策略修改。
內網PC A無法通過網關設備Device訪問外網PC B。
圖-9 組網圖
· 未配置允許PC A訪問PC B的安全策略。
· 未配置接口NAT規則對報文源IP地址進行轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy1
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 動作:允許
¡ 源IPv4地址:192.168.1.1(此處為PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此處為PC B的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT動態轉換 > 策略配置”。
3. 在“NAT出方向動態轉換(基於ACL)”頁簽單擊<新建>,新建NAT出方向動態轉換,必要的配置項如下:
¡ 接口:GE1/0/2
¡ ACL: 此處配置為放行PC A訪問PC B報文的ACL
¡ 轉換後源地址:NAT地址組(此處配置為用於源IP地址轉換的公網地址組)
¡ 轉換模式:PAT
4. 單擊<確定>,完成NAT出方向動態轉換配置。
在網關設備Device上配置NAT源地址轉換後,內網PC A無法訪問外網PC B。
圖-10 組網圖
· 未配置允許PC A訪問PC B的安全策略。
· 轉換後源IP地址與Device的外網側接口IP地址不在同一網段,導致回程報文不經過Device。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy2
¡ 源安全域: Trust
¡ 目的安全域:Untrust
¡ 動作:允許
¡ 源IPv4地址:192.168.1.1(此處為PC A的IP地址)
¡ 目的IPv4地址:10.0.0.2(此處為PC B的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT動態轉換 > 策略配置 ”。
3. 在右側頁簽中編輯NAT源地址轉換規則。
4. 查看該規則的轉換後IP地址、網段、地址對象組或NAT地址組中是否包含不在10.0.0.1/24網段內的地址。
5. 如存在上述情況,需修改轉換後源地址配置,確保回程報文能被轉發到Device的外網側接口GE1/0/2上。
6. 單擊<確定>,完成接口NAT修改。
在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問內網PC A。
圖-11 組網圖
· 未配置允許PC B訪問PC A的安全策略。
· PC B訪問PC A的目的端口與NAT目的地址轉換配置不符,導致報文目的地址未被成功轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy3
¡ 源安全域: Untrust
¡ 目的安全域:Trust
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:192.168.1.1(此處為PC A的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT內部服務器 > 策略配置”。
3. 查看NAT內部服務器的外網端口是否與實際情況不符。
4. 如存在上述情況,需修改端口匹配條件,確保與實際情況一致。
5. 單擊<確定>,完成接口NAT修改。
在網關設備Device上配置NAT源地址轉換與NAT目的地址轉換(NAT Server)後,外網PC B無法通過外網地址10.0.0.100和目的端口80訪問內網PC C。
圖-12 組網圖
· 未配置允許PC B訪問PC C的安全策略。
· NAT源地址轉換規則占用了NAT目的地址轉換規則的IP地址和端口,導致Device訪問PC C的流量匹配了NAT源地址轉換規則而非NAT目的地址轉換規則。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy4
¡ 源安全域: Untrust
¡ 目的安全域:DMZ
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:192.168.2.1(此處為PC C的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT動態轉換 > 策略配置”。
3. 在“NAT出方向動態轉換(基於對象組)”頁簽中查看是否存在動作為PAT的轉換規則。
4. 如存在上述規則,單擊<編輯>,在修改NAT出方向動態轉換界麵查看轉換後源地址處引用的NAT地址組的端口範圍是否包含80。
5. 如包含在內,需要將端口80從端口範圍中剔除。
6. 單擊<確定>,完成NAT出方向動態轉換規則修改。
7. 在“NAT出方向動態轉換(基於ACL)”頁簽中查看是否存在轉換模式為PAT的轉換規則。
8. 如存在上述規則,單擊<編輯>,在修改NAT出方向動態轉換界麵查看轉換後源地址處引用的NAT地址組的端口範圍是否包含80。
9. 如包含在內,需要將端口80從端口範圍中剔除。
10. 單擊<確定>,完成NAT出方向動態轉換規則修改。
在Device上配置NAT源地址轉換和IPsec功能,對PC A訪問PC B的報文進行NAT源地址轉換後,利用IPsec保護其安全性。PC A主動訪問PC B,發現IPsec配置不生效。
圖-13 組網圖
匹配IPsec策略的報文源和目的IP地址需為NAT轉換後的IP地址。
1. 登錄設備Web管理頁麵。
2. 選擇“網絡 > VPN > IPsec > 策略 ”。
3. 在“IPsec策略”頁麵編輯IPsec策略配置。
4. 查看IPsec策略配置中的被保護數據流配置,將被保護數據流的源和目的IP地址改為NAT轉換後的IP地址。
在網關設備Device上配置NAT源地址轉換後,外網PC B無法訪問Device。
圖-14 組網圖
· 未配置允許PC B訪問Device的安全策略。
· PC B訪問Device的流量因匹配了NAT源地址轉換規則而被錯誤地進行了目的地址轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy5
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT動態轉換 > 策略配置”。
3. 在“NAT出方向動態轉換(基於對象組)”頁簽中查看是否存在動作為NO-PAT的轉換規則。
4. 如存在上述規則,單擊<編輯>,在修改NAT出方向動態轉換界麵查看轉換後源地址處引用的NAT地址組中是否包含Device的外網側接口IP地址10.0.0.1。
5. 如包含在內,需要把10.0.0.1從該NAT地址對象組中剔除。
6. 單擊<確定>,完成NAT出方向動態轉換規則修改。
7. 在“NAT出方向動態轉換(基於ACL)”頁簽中查看是否存在轉換模式為NO-PAT的轉換規則。
8. 如存在上述規則,單擊<編輯>,進入修改NAT出方向動態轉換界麵。
9. 若轉換後源地址為NAT地址組,查看所引用的NAT地址組內是否包含Device的外網側接口IP地址10.0.0.1;若轉換後源地址為接口IP地址,查看所引用的接口是否為Device的外網側接口GE1/0/2。
10. 如出現上述兩種情況之一,需要把10.0.0.1從轉換後源地址中剔除。
11. 單擊<確定>,完成NAT出方向動態轉換規則修改。
在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問Device。
圖-15 組網圖
· 未配置允許PC B訪問Device的安全策略。
· PC B利用與NAT目的地址轉換規則相同的服務訪問Device,導致訪問流量因匹配NAT目的地址轉換規則而被錯誤地進行了目的地址轉換。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:
¡ 名稱:secpolicy6
¡ 源安全域: Untrust
¡ 目的安全域:Local
¡ 動作:允許
¡ 源IPv4地址:10.0.0.2(此處為PC B的IP地址)
¡ 目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)
4. 單擊<確定>,完成安全策略配置。
1. 登錄設備Web管理頁麵。
2. 選擇“策略 > NAT > NAT內部服務器 > 策略配置”。
3. 查看是否存在外網地址為Device的外網側接口IP地址10.0.0.1的NAT內部服務器規則。
4. 如存在上述規則,單擊<編輯>,在修改NAT內部服務器界麵查看外網端口是否為PC B訪問Device時使用的端口。
5. 如該端口確為PC B訪問Device時使用的端口,請根據實際情況選擇如下方式進行處理:
¡ 改變PC B訪問Device時使用的協議或目的端口。
¡ 修改報文匹配規則(ACL)處引用的ACL,不對PC B訪問Device的報文進行目的地址轉換。
6. 單擊<確定>,完成NAT內部服務器規則修改。
SSL VPN故障處理章節主要介紹以下故障的處理辦法:
· 瀏覽器接入故障
· 其他故障
在瀏覽器中輸入SSL VPN網關地址,無法打開SSL VPN網關頁麵。
1. 確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。
2. 通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:
¡ 確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關
¡ 重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效
¡ SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可
SSL VPN網關的顯示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:
¡ 確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例
¡ 確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關
SSL VPN訪問實例的顯示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 確認網關地址和端口是否被正確偵聽,需要確認每個業務板偵聽端口是否正確開啟。
TCP代理連接的顯示信息如下:
<F1080> dis tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
瀏覽器可以打開SSL VPN網關頁麵,但是無法登錄。
1. 確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。
2. 通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:
¡ 確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關
¡ 重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效
¡ SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可
SSL VPN網關的顯示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:
¡ 確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例
¡ 確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關
SSL VPN訪問實例的顯示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 確認SSL VPN網關地址和端口是否被正確偵聽,需要確認每個業務板的偵聽端口是否正確開啟。
TCP代理連接的顯示信息如下:
<F1080> display tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
5. 確認SSL VPN用戶是否配置正確:
¡ 本地用戶:確保用戶類型為網絡接入類,服務類型為SSL VPN,且為SSL VPN用戶配置資源組。
¡ 遠程用戶:確保遠程認證服務器上用戶隸屬的用戶組,已在SSL VPN訪問實例中配置對應名稱的資源組。
6. 若開啟了客戶端和服務器端證書認證,確保兩端已正確安裝證書。
通過瀏覽器登錄SSL VPN網關後,無法訪問內網服務器資源。
1. 確認SSL VPN訪問實例下配置了資源,以下方式至少一種:
¡ 配置了訪問資源的資源列表,如下:
# 創建URL表項urlitem,並配置資源的URL。
[Device-sslvpn-context-ctxweb1] url-item urlitem
[Device-sslvpn-context-ctxweb1-url-item-urlitem] url http://20.2.2.2
[Device-sslvpn-context-ctxweb1-url-item-urlitem] quit
# 創建URL列表urllist。
[Device-sslvpn-context-ctxweb1] url-list urllist
# 配置URL列表標題為web。
[Device-sslvpn-context-ctxweb1-url-list-urllist] heading web
# 配置URL列表引用的URL表項。
[Device-sslvpn-context-ctxweb1-url-list-urllist] resources url-item urlitem
[Device-sslvpn-context-ctxweb1-url-list-urllist] quit
# SSL VPN訪問實例ctxweb1下創建策略組resourcegrp1,引用URL列表urllist。
[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] resources url-list urllist
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] quit
¡ 配置了能夠放行通往後台服務器的ACL或者URI ACL規則,並且引用規則已經添加:
[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] filter web-access acl 3000
2. SSL VPN網關是否可以Ping通後台資源地址,是否需要在對端設備上添加路由。
3. 通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:
¡ 確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關
¡ 重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效
¡ SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可
SSL VPN網關的顯示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
4. 通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:
¡ 確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例
¡ 確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關
SSL VPN訪問實例的顯示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
5. 排查上下行鏈路是否正常,以下情況會導致上下行鏈路不通:
¡ SSL VPN網關沒有配置到達內網資源的路由,可通過查看設備路由表確認
¡ 內網服務器未配置回程路由導致鏈路不通
¡ 地址衝突導致鏈路不通
¡ 配置了策略路由導致鏈路不通
¡ 配置了負載均衡導致鏈路不通
¡ 設備是雙主模式,請將設備修改為主備模式,並將上下行接口修改成冗餘口
在瀏覽器中輸入SSL VPN網關地址,無法打開SSL VPN網關頁麵,或通過iNode輸入SSL VPN網關地址後,提示無法獲取SSL VPN網關信息。
1. 確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。
2. 通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:
¡ 確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關
¡ 重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效
¡ SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。
SSL VPN網關的顯示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:
¡ 確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例
¡ 確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關
SSL VPN訪問實例的顯示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 確認網關地址和端口是否被正確偵聽,需要確認每個業務板偵聽端口是否正確開啟。
TCP代理連接的顯示信息如下:
<F1080> dis tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
在iNode客戶端上輸入SSL VPN網關地址後,可以獲取SSL VPN網關信息,但是無法登陸。
1. 確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。
2. 通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:
¡ 確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關
¡ 重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效
¡ SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可
SSL VPN網關的顯示信息如下:
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 2000
SSL server policy configured: sslnew
SSL server policy in use: ssl
Front VPN instance: Not configured
3. 通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:
¡ 確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例
¡ 確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關
SSL VPN訪問實例的顯示信息如下:
[Device] display sslvpn context
Context name: ctx
Operation state: Up
Associated SSL VPN gateway: gw
SSL client policy configured: sslnew
SSL client policy in use: ssl
4. 確認SSL VPN網關地址和端口是否被正確偵聽,需要確認每個業務板的偵聽端口是否正確開啟。
TCP代理連接的顯示信息如下:
<F1080> display tcp-proxy slot 1
Local Addr:port Foreign Addr:port State Service type
1.1.1.2:2000 0.0.0.0:0 LISTEN SSLVPN
5. 確認是否配置了SSL VPN AC接口(需要配置IP地址),且在SSL VPN訪問實例下引用了該SSL VPN AC接口。
SSL VPN AC接口的配置及顯示如下:
[Device] interface SSLVPN-AC 1
[Device-SSLVPN-AC1] ip address 1.1.1.1 24
[Device-SSLVPN-AC1] quit
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] ip-tunnel interface SSLVPN-AC 1
[Device-sslvpn-context-ctx] quit
[Device] display interface SSLVPN-AC 1 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1 UP UP 1.1.1.1
6. 確認是否配置了地址池,並且在SSL VPN訪問實例或用戶可授權的資源組下引用了該地址池,地址池中不能包含SSL VPN網關地址。
地址池的配置及引用舉例如下:
[Device] sslvpn ip address-pool name 1.1.1.1 1.1.1.10
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] ip-tunnel address-pool name mask 24
7. 確認SSL VPN用戶是否配置正確:
¡ 本地用戶:確保用戶類型為網絡接入類,服務類型為SSL VPN,且為用戶配置SSL VPN資源組。
¡ 遠程用戶:確保遠程認證服務器上用戶隸屬的用戶組,已在SSL VPN訪問實例中配置對應名稱的SSL VPN資源組。
8. 若開啟了客戶端和服務器端證書認證,確保兩端已正確安裝證書。
9. iNode客戶端是否為最新版本。
通過iNode客戶端登錄SSL VPN網關後,無法訪問內網服務器資源。
1. SSL VPN AC接口是否加入了安全域,且被安全策略放行。
2. iNode客戶端分配到的虛擬網卡IP地址是否加入了安全域,且被安全策略放行。
3. 確認是否配置了能夠放行通往後台服務器的ACL或者URI ACL規則,並且引用規則已經添加:
[Device-sslvpn-context-ctxip1] policy-group resourcegrp1
[Device-sslvpn-context-ctxip1-policy-group-resourcegrp1] filter web-access acl 3000
4. SSL VPN網關是否可以Ping通後台資源地址,是否需要在對端設備上添加路由。
5. iNode客戶端是否為最新版本。
6. 排查上下行鏈路是否正常,以下情況會導致上下行鏈路不通:
¡ SSL VPN網關沒有配置到達內網資源的路由,可通過查看設備路由表確認
¡ 內網服務器未配置回程路由導致鏈路不通
¡ 設備是雙主模式,請將設備修改為主備模式,並將上下行接口修改成冗餘口
¡ 地址衝突導致鏈路不通
¡ 配置了策略路由導致鏈路不通
¡ 配置了負載均衡導致鏈路不通
部分iNode用戶,長時間不訪問內網資源時,不老化下線,占用License資源。
iNode客戶端會定時發送保活報文,無法老化下線,可通過配置空閑超時時間,將長時間不訪問內網資源用戶強製下線
通過配置SSL VPN會話保持空閑狀態的流量閾值,對iNode客戶端空閑用戶進行老化下線。具體配置如下:
<Device> system-view
[Device] sslvpn context ctx1
[Device-sslvpn-context-ctx1] idle-cut traffic-threshold 1000
本地用戶在local-user下配置了ACL、監控、綁定IP地址等功能不生效。
SSL VPN用戶的部分管理配置,需要在SSL VPN訪問實例下配置,不能在local-user用戶視圖下配置。
用戶曾經登錄SSL VPN網關成功,後續再次登錄時失敗。
1. 查看SSL VPN訪問實例下是否配置了同一用戶名登錄限製個數。
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] max-onlines 1
2. 如果不需要限製同一用戶名最大上線數,可刪除max-onlines配置,如果確實需要限製,可配置如下功能。開啟本功能後,將從該用戶的在線連接中選擇一個空閑時間最長的,強製其下線,新登錄用戶上線:
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] force-logout max-onlines enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!