• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07-故障處理

目錄

01-故障處理

本章節下載 01-故障處理  (607.48 KB)

01-故障處理

故障處理

 

本幫助主要介紹以下功能的故障處理辦法:

·     安全策略故障處理

·     NAT故障處理

·     SSL VPN故障處理

 

安全策略故障處理章節主要介紹以下故障的處理辦法:

·     網絡互通

¡     PC與設備直連,無法訪問Ping通設備

¡     PC通過設備與其他終端連接,無法互相訪問

¡     PC通過設備與其他終端相連,已配置在同一安全域,無法互相訪問

網絡互通

PC與設備直連,無法訪問Ping通設備

故障描述

PC通過網線與設備業務接口相連,IP地址為同一網段,在PC上無法Ping通設備。

圖-1 組網圖

 

故障原因

安全設備必須先將與PC相連的接口加入某個安全域,並配置放行該安全域與Local安全域報文的安全策略,PC才能正常訪問設備。

故障處理步驟

1.     登錄設備Web管理頁麵。

2.     選擇“網絡 > 安全域”。

3.     單擊某個安全域(如Trust)對應的<編輯>按鈕,進入“修改安全域”頁麵。

4.     選擇接口列表中與PC相連的接口,單擊<>按鈕添加至成員列表中。

5.     單擊<確定>按鈕。

6.     選擇“策略 > 安全策略 > 安全策略”。

7.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。

8.     配置安全策略的匹配條件及執行動作:

¡     源安全域:Trust

¡     名稱:trust-local

¡     目的安全域:Local

¡     動作:允許

¡     IPv4地址:10.1.1.2

¡     目的IPv4地址:10.1.1.1

圖-2 新建安全策略

 

9.     若需要設備主動訪問PC,則需要配置反方向放行的安全策略:

¡     名稱:local-trust

¡     源安全域:Local

¡     目的安全域:Trust

¡     動作:允許

¡     IPv4地址:10.1.1.1

¡     目的IPv4地址:10.1.1.2

10.     單擊<確定>按鈕,完成配置。

PC通過設備與其他終端連接,無法互相訪問

故障描述

PC通過與設備其他終端相連,IP地址與路由已正確配置,但無法互相訪問。

圖-3 組網圖

 

故障原因

安全設備必須先將接口加入相應的安全域,並配置放行對應安全域間報文的安全策略,流量才會被放行。

故障處理步驟

1.     登錄設備Web管理頁麵。

2.     選擇“網絡 > 安全域”。

3.     單擊某個安全域(如Trust)對應的<編輯>按鈕,進入“修改安全域”頁麵。

4.     選擇接口列表中與PC相連的接口,單擊<>按鈕添加至成員列表中。

圖-4 添加接口至安全域

 

5.     單擊<確定>按鈕。

6.     采用同樣的方法將其他接口加入不同安全域(如Untrust)。

7.     選擇“策略 > 安全策略 > 安全策略”。

8.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。

9.     配置安全策略的匹配條件及執行動作(建議配置精確的匹配條件):

¡     名稱:trust-untrust

¡     源安全域:Trust

¡     目的安全域:Unturst

¡     動作:允許

¡     IPv4地址:10.1.1.2

¡     目的IPv4地址:20.1.1.2

圖-5 新建安全策略

 

10.     若通過設備相連的終端需要互相訪問,則需要創建雙向放行的安全策略:

¡     名稱:untrust-trust

¡     源安全域:Unturst

¡     目的安全域:Trust

¡     動作:允許

¡     IPv4地址:20.1.1.2

¡     目的IPv4地址:10.1.1.2

11.     單擊<確定>按鈕,完成配置。

PC通過設備與其他終端相連,已配置在同一安全域,無法互相訪問

故障描述

PC通過與設備其他終端相連,IP地址與路由已正確配置,且已加入相同的安全域,但無法互相訪問。

圖-6 組網圖

 

故障原因

安全設備缺省情況下,相同安全域間的報文是丟棄的,需要配置放行相應報文的安全策略,相同安全域的終端才能互相訪問。

故障處理步驟

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。

4.     配置安全策略的匹配條件及執行動作(本例中通過設備相連的終端都屬於Trust安全域):

¡     名稱:trust-trust

¡     源安全域:Trust

¡     目的安全域:Trust

¡     動作:允許

¡     IPv4地址:10.1.1.2,20.1.1.2

¡     目的IPv4地址:20.1.1.2,10.1.1.2

圖-7 新建安全策略

 

5.     單擊<確定>按鈕,完成配置。

NAT故障處理

 

本幫助主要介紹以下故障的處理辦法:

·     策略NAT

¡     內網用戶無法訪問外網

¡     NAT源地址轉換不生效

¡     NAT目的地址轉換不生效

¡     NAT源地址轉換與NAT目的地址轉換配合使用,NAT目的地址轉換不生效

¡     NAT與IPsec配合使用,IPsec配置不生效

¡     配置策略NAT後,內網用戶無法訪問設備

¡     配置NAT源地址轉換後,外網用戶無法訪問設備

¡     配置NAT目的地址轉換後,外網用戶無法訪問設備

·     接口NAT

¡     內網用戶無法訪問外網

¡     NAT源地址轉換不生效

¡     NAT目的地址轉換不生效

¡     NAT源地址轉換與NAT目的地址轉換配合使用,NAT目的地址轉換不生效

¡     NAT與IPsec配合使用,IPsec配置不生效

¡     配置NAT源地址轉換後,外網用戶無法訪問設備

¡     配置NAT目的地址轉換後,外網用戶無法訪問設備

策略NAT

內網用戶無法訪問外網

故障描述

內網PC A無法通過網關設備Device訪問外網PC B

圖-1 組網圖

 

故障原因

·     未配置允許PC A訪問PC B的安全策略。

·     未配置策略NAT規則對報文源IP地址進行轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy1

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     動作:允許

¡     IPv4地址:192.168.1.1(此處為PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此處為PC BIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略”。

3.     在“NAT策略”頁麵單擊<新建>,新建NAT策略規則,必要的配置項如下:

¡     規則名稱:policy1

¡     轉換模式源地址轉換

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     IPv4地址:192.168.1.1(此處為PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     轉換方式:PAT

¡     地址類型:地址組

¡     轉換後源地址:用於源IP地址轉換的公網NAT地址組

4.     單擊<確定>,完成NAT策略規則配置。

NAT源地址轉換不生效

故障描述

在網關設備Device上配置NAT源地址轉換後,內網PC A無法訪問外網PC B

圖-2 組網圖

 

故障原因

·     未配置允許PC A訪問PC B的安全策略。

·     轉換後源IP地址與Device的外網側接口IP地址不在同一網段,導致回程報文不經過Device

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy2

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     動作:允許

¡     IPv4地址:192.168.1.1(此處為PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此處為PC BIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”頁麵編輯NAT源地址轉換規則。

4.     查看該規則的轉換後IP地址、網段、地址對象組或NAT地址組中是否包含不在10.0.0.1/24網段內的地址。

5.     如存在上述情況,需修改轉換後源地址配置,確保回程報文能被轉發到Device的外網側接口GE1/0/2上。

6.     單擊<確定>,完成NAT策略修改。

NAT目的地址轉換不生效

故障描述

在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問內網PC A

圖-3 組網圖

 

故障原因

·     未配置允許PC B訪問PC A的安全策略。

·     PC B訪問PC A所采用的服務與NAT目的地址轉換配置不符,導致報文目的地址未被成功轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy3

¡     源安全域: Untrust

¡     目的安全域:Trust

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:192.168.1.1(此處為PC AIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”頁麵編輯NAT目的地址轉換規則。

4.     查看該規則所引用的服務匹配條件是否與實際情況不符。

5.     如存在上述情況,需修改服務匹配條件,確保與實際情況一致。

6.     單擊<確定>,完成NAT策略修改。

NAT源地址轉換與NAT目的地址轉換配合使用,NAT目的地址轉換不生效

故障描述

在網關設備Device上配置NAT源地址轉換與NAT目的地址轉換(NAT Server)後,外網PC B無法通過外網地址10.0.0.100和目的端口80訪問內網PC C

圖-4 組網圖

 

故障原因

·     未配置允許PC B訪問PC C的安全策略。

·     NAT源地址轉換規則占用了NAT目的地址轉換規則的IP地址和端口,導致Device訪問PC C的流量匹配了NAT源地址轉換規則而非NAT目的地址轉換規則。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy4

¡     源安全域: Untrust

¡     目的安全域:DMZ

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:192.168.2.1(此處為PC CIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”頁麵查看是否存在轉換方式為PAT的源地址轉換規則。

4.     如存在上述規則,單擊<編輯>,在修改NAT策略界麵查看該規則引用的NAT地址組的端口範圍是否包含80

5.     如包含在內,需要將端口80從端口範圍中剔除。

6.     單擊<確定>,完成NAT策略修改。

NATIPsec配合使用,IPsec配置不生效

故障描述

Device上配置NAT源地址轉換和IPsec功能,對PC A訪問PC B的報文進行NAT源地址轉換後,利用IPsec保護其安全性。PC A主動訪問PC B,發現IPsec配置不生效。

圖-5 組網圖

 

故障原因

匹配IPsec策略的報文源和目的IP地址需為NAT轉換後的IP地址。

故障處理步驟

1.     登錄設備Web管理頁麵。

2.     選擇“網絡 > VPN > IPsec > 策略 ”。

3.     在“IPsec策略”頁麵編輯IPsec策略配置。

4.     查看IPsec策略配置中的被保護數據流配置,將被保護數據流的源和目的IP地址改為NAT轉換後的IP地址。

配置策略NAT後,內網用戶無法訪問設備

故障描述

在網關設備Device上配置策略NAT後,內網PC A無法訪問Device

圖-6 組網圖

 

故障原因

·     未配置允許PC A訪問Device的安全策略。

·     策略NAT規則對PC A訪問Device的流量進行了目的地址轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy5

¡     源安全域: Trust

¡     目的安全域:Local

¡     動作:允許

¡     IPv4地址:192.168.1.1(此處為PC AIP地址)

¡     目的IPv4地址:192.168.1.2(此處為Device內網側接口的IP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”頁麵查看是否存在報文目的安全域匹配條件為ANY的目的地址轉換規則。

4.     如存在上述規則,則需要重新配置該目的地址轉換規則的報文匹配條件,具體要求如下:

¡     目的安全域:不得包含Local安全域

¡     IPv4地址:不得為192.168.1.1

¡     目的IPv4地址:不得為192.168.1.2

配置NAT源地址轉換後,外網用戶無法訪問設備

故障描述

在網關設備Device上配置NAT源地址轉換後,外網PC B無法訪問Device

圖-7 組網圖

 

故障原因

·     未配置允許PC B訪問Device的安全策略。

·     PC B訪問Device的流量因匹配了NAT源地址轉換規則而被錯誤地進行了目的地址轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy6

¡     源安全域: Untrust

¡     目的安全域:Local

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略”。

3.     在“NAT策略”頁麵查看是否存在源地址轉換方式為NO-PATNAT策略規則。

4.     如存在上述規則,單擊<編輯>,在修改NAT策略界麵查看該規則所引用的用於源地址轉換的地址對象組或NAT地址組中是否包含Device的外網側接口IP地址10.0.0.1

5.     如包含在內,需要把10.0.0.1從該地址對象組或NAT地址組中剔除。

6.     單擊<確定>,完成NAT策略修改。

配置NAT目的地址轉換後,外網用戶無法訪問設備

故障描述

在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問Device

圖-8 組網圖

 

故障原因

·     未配置允許PC B訪問Device的安全策略。

·     PC B利用與NAT目的地址轉換規則相同的服務訪問Device,導致訪問流量因匹配NAT目的地址轉換規則而被錯誤地進行了目的地址轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy7

¡     源安全域: Untrust

¡     目的安全域:Local

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(策略NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT策略 ”。

3.     在“NAT策略”頁麵查看是否存在轉換方式為多對一地址轉換的目的地址轉換規則。

4.     如存在上述規則,單擊<編輯>,在修改策略NAT界麵查看目的地址匹配規則中是否包含Device的外網側接口IP地址10.0.0.1

5.     如包含在內,繼續查看服務匹配規則中是否包含PC B訪問Device時使用的服務。

6.     如包含在內,請根據實際情況選擇如下方式進行處理:

¡     改變PC B訪問Device時使用的服務。

¡     把該服務從服務匹配規則中剔除,不對該服務進行目的地址轉換。

7.     單擊<確定>,完成NAT策略修改。

接口NAT

內網用戶無法訪問外網

故障描述

內網PC A無法通過網關設備Device訪問外網PC B

圖-9 組網圖

 

故障原因

·     未配置允許PC A訪問PC B的安全策略。

·     未配置接口NAT規則對報文源IP地址進行轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy1

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     動作:允許

¡     IPv4地址:192.168.1.1(此處為PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此處為PC BIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(接口NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT動態轉換 > 策略配置”。

3.     在“NAT出方向動態轉換(基於ACL)”頁簽單擊<新建>,新建NAT出方向動態轉換,必要的配置項如下:

¡     接口:GE1/0/2

¡     ACL 此處配置為放行PC A訪問PC B報文的ACL

¡     轉換後源地址:NAT地址組(此處配置為用於源IP地址轉換的公網地址組)

¡     轉換模式:PAT

4.     單擊<確定>,完成NAT出方向動態轉換配置。

NAT源地址轉換不生效

故障描述

在網關設備Device上配置NAT源地址轉換後,內網PC A無法訪問外網PC B

圖-10 組網圖

 

故障原因

·     未配置允許PC A訪問PC B的安全策略。

·     轉換後源IP地址與Device的外網側接口IP地址不在同一網段,導致回程報文不經過Device

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy2

¡     源安全域: Trust

¡     目的安全域:Untrust

¡     動作:允許

¡     IPv4地址:192.168.1.1(此處為PC AIP地址)

¡     目的IPv4地址:10.0.0.2(此處為PC BIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(接口NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT動態轉換 > 策略配置 ”。

3.     在右側頁簽中編輯NAT源地址轉換規則。

4.     查看該規則的轉換後IP地址、網段、地址對象組或NAT地址組中是否包含不在10.0.0.1/24網段內的地址。

5.     如存在上述情況,需修改轉換後源地址配置,確保回程報文能被轉發到Device的外網側接口GE1/0/2上。

6.     單擊<確定>,完成接口NAT修改。

NAT目的地址轉換不生效

故障描述

在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問內網PC A

圖-11 組網圖

 

故障原因

·     未配置允許PC B訪問PC A的安全策略。

·     PC B訪問PC A的目的端口與NAT目的地址轉換配置不符,導致報文目的地址未被成功轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy3

¡     源安全域: Untrust

¡     目的安全域:Trust

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:192.168.1.1(此處為PC AIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(接口NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT內部服務器 > 策略配置”。

3.     查看NAT內部服務器的外網端口是否與實際情況不符。

4.     如存在上述情況,需修改端口匹配條件,確保與實際情況一致。

5.     單擊<確定>,完成接口NAT修改。

NAT源地址轉換與NAT目的地址轉換配合使用,NAT目的地址轉換不生效

故障描述

在網關設備Device上配置NAT源地址轉換與NAT目的地址轉換(NAT Server)後,外網PC B無法通過外網地址10.0.0.100和目的端口80訪問內網PC C

圖-12 組網圖

 

故障原因

·     未配置允許PC B訪問PC C的安全策略。

·     NAT源地址轉換規則占用了NAT目的地址轉換規則的IP地址和端口,導致Device訪問PC C的流量匹配了NAT源地址轉換規則而非NAT目的地址轉換規則。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy4

¡     源安全域: Untrust

¡     目的安全域:DMZ

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:192.168.2.1(此處為PC CIP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(接口NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT動態轉換 > 策略配置”。

3.     在“NAT出方向動態轉換(基於對象組)”頁簽中查看是否存在動作為PAT的轉換規則。

4.     如存在上述規則,單擊<編輯>,在修改NAT出方向動態轉換界麵查看轉換後源地址處引用的NAT地址組的端口範圍是否包含80

5.     如包含在內,需要將端口80從端口範圍中剔除。

6.     單擊<確定>,完成NAT出方向動態轉換規則修改。

7.     在“NAT出方向動態轉換(基於ACL)”頁簽中查看是否存在轉換模式為PAT的轉換規則。

8.     如存在上述規則,單擊<編輯>,在修改NAT出方向動態轉換界麵查看轉換後源地址處引用的NAT地址組的端口範圍是否包含80

9.     如包含在內,需要將端口80從端口範圍中剔除。

10.     單擊<確定>,完成NAT出方向動態轉換規則修改。

NATIPsec配合使用,IPsec配置不生效

故障描述

Device上配置NAT源地址轉換和IPsec功能,對PC A訪問PC B的報文進行NAT源地址轉換後,利用IPsec保護其安全性。PC A主動訪問PC B,發現IPsec配置不生效。

圖-13 組網圖

 

故障原因

匹配IPsec策略的報文源和目的IP地址需為NAT轉換後的IP地址。

故障處理步驟

1.     登錄設備Web管理頁麵。

2.     選擇“網絡 > VPN > IPsec > 策略 ”。

3.     在“IPsec策略”頁麵編輯IPsec策略配置。

4.     查看IPsec策略配置中的被保護數據流配置,將被保護數據流的源和目的IP地址改為NAT轉換後的IP地址。

配置NAT源地址轉換後,外網用戶無法訪問設備

故障描述

在網關設備Device上配置NAT源地址轉換後,外網PC B無法訪問Device

圖-14 組網圖

 

故障原因

·     未配置允許PC B訪問Device的安全策略。

·     PC B訪問Device的流量因匹配了NAT源地址轉換規則而被錯誤地進行了目的地址轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy5

¡     源安全域: Untrust

¡     目的安全域:Local

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(接口NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT動態轉換 > 策略配置”。

3.     在“NAT出方向動態轉換(基於對象組)”頁簽中查看是否存在動作為NO-PAT的轉換規則。

4.     如存在上述規則,單擊<編輯>,在修改NAT出方向動態轉換界麵查看轉換後源地址處引用的NAT地址組中是否包含Device的外網側接口IP地址10.0.0.1

5.     如包含在內,需要把10.0.0.1從該NAT地址對象組中剔除。

6.     單擊<確定>,完成NAT出方向動態轉換規則修改。

7.     在“NAT出方向動態轉換(基於ACL)”頁簽中查看是否存在轉換模式為NO-PAT的轉換規則。

8.     如存在上述規則,單擊<編輯>,進入修改NAT出方向動態轉換界麵。

9.     若轉換後源地址為NAT地址組,查看所引用的NAT地址組內是否包含Device的外網側接口IP地址10.0.0.1;若轉換後源地址為接口IP地址,查看所引用的接口是否為Device的外網側接口GE1/0/2

10.     如出現上述兩種情況之一,需要把10.0.0.1從轉換後源地址中剔除。

11.     單擊<確定>,完成NAT出方向動態轉換規則修改。

配置NAT目的地址轉換後,外網用戶無法訪問設備

故障描述

在網關設備Device上配置NAT目的地址轉換後,外網PC B無法訪問Device

圖-15 組網圖

 

故障原因

·     未配置允許PC B訪問Device的安全策略。

·     PC B利用與NAT目的地址轉換規則相同的服務訪問Device,導致訪問流量因匹配NAT目的地址轉換規則而被錯誤地進行了目的地址轉換。

故障處理步驟(安全策略)

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > 安全策略 > 安全策略”。

3.     在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵,必要的配置項如下:

¡     名稱:secpolicy6

¡     源安全域: Untrust

¡     目的安全域:Local

¡     動作:允許

¡     IPv4地址:10.0.0.2(此處為PC BIP地址)

¡     目的IPv4地址:10.0.0.1(此處為Device外網側接口的IP地址)

4.     單擊<確定>,完成安全策略配置。

故障處理步驟(接口NAT

1.     登錄設備Web管理頁麵。

2.     選擇“策略 > NAT > NAT內部服務器 > 策略配置”。

3.     查看是否存在外網地址為Device的外網側接口IP地址10.0.0.1NAT內部服務器規則。

4.     如存在上述規則,單擊<編輯>,在修改NAT內部服務器界麵查看外網端口是否為PC B訪問Device時使用的端口。

5.     如該端口確為PC B訪問Device時使用的端口,請根據實際情況選擇如下方式進行處理:

¡     改變PC B訪問Device時使用的協議或目的端口。

¡     修改報文匹配規則(ACL)處引用的ACL,不對PC B訪問Device的報文進行目的地址轉換。

6.     單擊<確定>,完成NAT內部服務器規則修改。

SSL VPN故障處理

 

SSL VPN故障處理章節主要介紹以下故障的處理辦法:

·     瀏覽器接入故障

¡     瀏覽器無法打開SSL VPN頁麵

¡     瀏覽器無法登錄SSL VPN網關

¡     瀏覽器無法訪問內網資源

·     iNode客戶端接入故障

¡     iNode客戶端無法獲取SSL VPN網關信息

¡     iNode客戶端無法登錄SSL VPN網關

¡     iNode客戶端無法訪問內網資源

¡     iNode用戶無法老化下線

·     其他故障

¡     配置用戶過濾、監控、綁定IP地址功能不生效

¡     用戶曾經登錄SSL VPN網關成功,再次登錄失敗

瀏覽器接入故障

瀏覽器無法打開SSL VPN頁麵

故障描述

在瀏覽器中輸入SSL VPN網關地址,無法打開SSL VPN網關頁麵。

故障處理步驟

1.     確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。

2.     通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:

¡     確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關

¡     重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效

¡     SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可

SSL VPN網關的顯示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:

¡     確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例

¡     確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關

SSL VPN訪問實例的顯示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     確認網關地址和端口是否被正確偵聽,需要確認每個業務板偵聽端口是否正確開啟。

TCP代理連接的顯示信息如下:

<F1080> dis tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

瀏覽器無法登錄SSL VPN網關

故障描述

瀏覽器可以打開SSL VPN網關頁麵,但是無法登錄。

故障處理步驟

1.     確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。

2.     通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:

¡     確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關

¡     重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效

¡     SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可

SSL VPN網關的顯示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:

¡     確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例

¡     確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關

SSL VPN訪問實例的顯示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     確認SSL VPN網關地址和端口是否被正確偵聽,需要確認每個業務板的偵聽端口是否正確開啟。

TCP代理連接的顯示信息如下:

<F1080> display tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

5.     確認SSL VPN用戶是否配置正確:

¡     本地用戶:確保用戶類型為網絡接入類,服務類型為SSL VPN,且為SSL VPN用戶配置資源組。

¡     遠程用戶:確保遠程認證服務器上用戶隸屬的用戶組,已在SSL VPN訪問實例中配置對應名稱的資源組。

6.     若開啟了客戶端和服務器端證書認證,確保兩端已正確安裝證書。

瀏覽器無法訪問內網資源

故障描述

通過瀏覽器登錄SSL VPN網關後,無法訪問內網服務器資源。

故障處理步驟

1.     確認SSL VPN訪問實例下配置了資源,以下方式至少一種:

¡     配置了訪問資源的資源列表,如下:

# 創建URL表項urlitem,並配置資源的URL

[Device-sslvpn-context-ctxweb1] url-item urlitem

[Device-sslvpn-context-ctxweb1-url-item-urlitem] url http://20.2.2.2

[Device-sslvpn-context-ctxweb1-url-item-urlitem] quit

# 創建URL列表urllist

[Device-sslvpn-context-ctxweb1] url-list urllist

# 配置URL列表標題為web

[Device-sslvpn-context-ctxweb1-url-list-urllist] heading web

# 配置URL列表引用的URL表項。

[Device-sslvpn-context-ctxweb1-url-list-urllist] resources url-item urlitem

[Device-sslvpn-context-ctxweb1-url-list-urllist] quit

# SSL VPN訪問實例ctxweb1下創建策略組resourcegrp1,引用URL列表urllist

[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1

[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] resources url-list urllist

[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] quit

¡     配置了能夠放行通往後台服務器的ACL或者URI ACL規則,並且引用規則已經添加:

[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1

[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] filter web-access acl 3000

2.     SSL VPN網關是否可以Ping通後台資源地址,是否需要在對端設備上添加路由。

3.     通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:

¡     確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關

¡     重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效

¡     SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可

SSL VPN網關的顯示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

4.     通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:

¡     確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例

¡     確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關

SSL VPN訪問實例的顯示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

5.     排查上下行鏈路是否正常,以下情況會導致上下行鏈路不通:

¡     SSL VPN網關沒有配置到達內網資源的路由,可通過查看設備路由表確認

¡     內網服務器未配置回程路由導致鏈路不通

¡     地址衝突導致鏈路不通

¡     配置了策略路由導致鏈路不通

¡     配置了負載均衡導致鏈路不通

¡     設備是雙主模式,請將設備修改為主備模式,並將上下行接口修改成冗餘口

iNode客戶端接入故障

iNode客戶端無法獲取SSL VPN網關信息

故障描述

在瀏覽器中輸入SSL VPN網關地址,無法打開SSL VPN網關頁麵,或通過iNode輸入SSL VPN網關地址後,提示無法獲取SSL VPN網關信息。

故障處理步驟

1.     確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。

2.     通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:

¡     確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關

¡     重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效

¡     SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。

SSL VPN網關的顯示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:

¡     確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例

¡     確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關

SSL VPN訪問實例的顯示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     確認網關地址和端口是否被正確偵聽,需要確認每個業務板偵聽端口是否正確開啟。

TCP代理連接的顯示信息如下:

<F1080> dis tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

iNode客戶端無法登錄SSL VPN網關

故障描述

iNode客戶端上輸入SSL VPN網關地址後,可以獲取SSL VPN網關信息,但是無法登陸。

故障處理步驟

1.     確認SSL VPN網關地址是否可達,設備允許Ping的情況下可通過Ping確認,不允許Ping的情況下可通過抓包確認。

2.     通過查看SSL VPN網關的顯示信息,確認SSL VPN網關的狀態:

¡     確認SSL VPN網關是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN網關處於Up狀態,否則需要在Web界麵單擊SSL VPN網關的使能按鈕,或者在SSL VPN網關視圖下執行service enable命令開啟SSL VPN網關

¡     重新配置或修改SSL服務端策略後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令重新開啟SSL VPN網關後,新的策略才會生效

¡     SSL相關配置是否正確,缺省情況下設備使用自帶的缺省證書,當需要使用非缺省證書時,可以引用SSL服務端策略。當不需要使用非缺省證書時,刪除SSL服務端策略引用即可

SSL VPN網關的顯示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

3.     通過查看SSL VPN訪問實例的顯示信息,確認SSL VPN訪問實例的狀態:

¡     確認SSL VPN訪問實例是否處於Up狀態。通過查看顯示信息中Operation state字段的值,若值為Up,則表示SSL VPN訪問實例處於Up狀態,否則需要在Web界麵單擊SSL VPN訪問實例的使能按鈕,或者在SSL VPN訪問實例視圖下執行service enable命令開啟SSL VPN訪問實例

¡     確認SSL VPN訪問實例是否引用了SSL VPN網關。通過查看顯示信息中Associated SSL VPN gateway字段的值,若有引用的網關名稱,則表示成功引用了SSL VPN網關,否則,需要在Web界麵SSL VPN訪問實例下引用SSL VPN網關,或者在SSL VPN訪問實例視圖下執行gateway命令,引用SSL VPN網關

SSL VPN訪問實例的顯示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

4.     確認SSL VPN網關地址和端口是否被正確偵聽,需要確認每個業務板的偵聽端口是否正確開啟。

TCP代理連接的顯示信息如下:

<F1080> display tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State            Service type

1.1.1.2:2000           0.0.0.0:0                    LISTEN       SSLVPN

5.     確認是否配置了SSL VPN AC接口(需要配置IP地址),且在SSL VPN訪問實例下引用了該SSL VPN AC接口。

SSL VPN AC接口的配置及顯示如下:

[Device] interface SSLVPN-AC 1

[Device-SSLVPN-AC1] ip address 1.1.1.1 24

[Device-SSLVPN-AC1] quit

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] ip-tunnel interface SSLVPN-AC 1

[Device-sslvpn-context-ctx] quit

[Device] display interface SSLVPN-AC 1 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface                   Link   Protocol Primary IP      Description

SSLVPN-AC1           UP    UP            1.1.1.1

6.     確認是否配置了地址池,並且在SSL VPN訪問實例或用戶可授權的資源組下引用了該地址池,地址池中不能包含SSL VPN網關地址。

地址池的配置及引用舉例如下:

[Device] sslvpn ip address-pool name 1.1.1.1 1.1.1.10

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] ip-tunnel address-pool name mask 24

7.     確認SSL VPN用戶是否配置正確:

¡     本地用戶:確保用戶類型為網絡接入類,服務類型為SSL VPN,且為用戶配置SSL VPN資源組。

¡     遠程用戶:確保遠程認證服務器上用戶隸屬的用戶組,已在SSL VPN訪問實例中配置對應名稱的SSL VPN資源組。

8.     若開啟了客戶端和服務器端證書認證,確保兩端已正確安裝證書。

9.     iNode客戶端是否為最新版本。

iNode客戶端無法訪問內網資源

故障描述

通過iNode客戶端登錄SSL VPN網關後,無法訪問內網服務器資源。

故障處理步驟

1.     SSL VPN AC接口是否加入了安全域,且被安全策略放行。

2.     iNode客戶端分配到的虛擬網卡IP地址是否加入了安全域,且被安全策略放行。

3.     確認是否配置了能夠放行通往後台服務器的ACL或者URI ACL規則,並且引用規則已經添加:

[Device-sslvpn-context-ctxip1] policy-group resourcegrp1

[Device-sslvpn-context-ctxip1-policy-group-resourcegrp1] filter web-access acl 3000

4.     SSL VPN網關是否可以Ping通後台資源地址,是否需要在對端設備上添加路由。

5.     iNode客戶端是否為最新版本。

6.     排查上下行鏈路是否正常,以下情況會導致上下行鏈路不通:

¡     SSL VPN網關沒有配置到達內網資源的路由,可通過查看設備路由表確認

¡     內網服務器未配置回程路由導致鏈路不通

¡     設備是雙主模式,請將設備修改為主備模式,並將上下行接口修改成冗餘口

¡     地址衝突導致鏈路不通

¡     配置了策略路由導致鏈路不通

¡     配置了負載均衡導致鏈路不通

iNode用戶無法老化下線

故障描述

部分iNode用戶,長時間不訪問內網資源時,不老化下線,占用License資源。

故障處理步驟

iNode客戶端會定時發送保活報文,無法老化下線,可通過配置空閑超時時間,將長時間不訪問內網資源用戶強製下線

通過配置SSL VPN會話保持空閑狀態的流量閾值,對iNode客戶端空閑用戶進行老化下線。具體配置如下:

<Device> system-view

[Device] sslvpn context ctx1

[Device-sslvpn-context-ctx1] idle-cut traffic-threshold 1000

其他故障

配置用戶過濾、監控、綁定IP地址等功能不生效

故障描述

本地用戶在local-user下配置了ACL、監控、綁定IP地址等功能不生效。

故障處理步驟

SSL VPN用戶的部分管理配置,需要在SSL VPN訪問實例下配置,不能在local-user用戶視圖下配置。

用戶曾經登錄SSL VPN網關成功,再次登錄時失敗

故障描述

用戶曾經登錄SSL VPN網關成功,後續再次登錄時失敗。

故障處理步驟

1.     查看SSL VPN訪問實例下是否配置了同一用戶名登錄限製個數。

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] max-onlines 1

2.     如果不需要限製同一用戶名最大上線數,可刪除max-onlines配置,如果確實需要限製,可配置如下功能。開啟本功能後,將從該用戶的在線連接中選擇一個空閑時間最長的,強製其下線,新登錄用戶上線:

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] force-logout max-onlines enable

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們