深信服代理商常见问题.docx
《深信服代理商常见问题.docx》由会员分享,可在线阅读,更多相关《深信服代理商常见问题.docx(7页珍藏版)》请在冰豆网上搜索。
深信服代理商常见问题
深信服代理商常见问题
一.AC/SG/NAC/BM问题
1.SG上网加速告警:
系统压力过大通知驱动bypass
日志提示:
上网加速告警21:
19:
38w1:
work_server.cpp:
745系统压力下降,通知驱动继续转发
上网加速告警21:
19:
22w1:
work_server.cpp:
724系统压力过大,通知驱动bypass
可能原因:
设备的cpu(或者内存)使用率持续偏高,如cpu持续达到95%并且持续达到10S就会进入加速bypass。
相关问题:
加速bypass不影响其它策略流控等,只是没有加速效果而已。
经常出现这种提示,比较大可能是设备性能不足,导致bypass,
停用上网加速模块,就不会提醒bypass了
2.占用带宽排行榜为空?
【问题】网关运行状态里的流量图是空的,什么数据都是没有
可能原因:
1:
不同版本之间因为控制台控件问题导致无法显示流量。
可以通过在控制台手动下载控件重新安装解决
2:
检查是否在高级配置--排除IP地址与域名中添加了内网网段
3:
是否设备接线接反
3.设备做网桥,丢包很多,跳过设备正常
可能原因:
1.内网到设备线路有问题或者兼容性问题。
2.设备到前置设备线路有问题或者兼容性问题。
排查方法:
(1).ping设备是否丢包,如果丢包说明内网到设备有问题。
(2).使用升级客户端登录设备,ping设备前置的防火墙,如果丢包说明设备到前置设备有问题
(3).查看一下升级工具中的查看网络配置,看各个网口是否有错误包之类的。
如果有,说明设置存在兼容性问题。
(4).在设备与前置设备之类洄上一个小交换机,看能否正常,如果正常确认是兼容性问题,可以通过升级客户端修改网口工作模式试试,或者直接使用交换机。
相关问题:
如果是测试设备,购买新设备的时候,下单要注意把测试设备的SN码带小,让发货的时候,发一个与现在测试设备不同平台的设备,解决兼容性的问题。
必需说明测试设备存在兼容性问题
4.SKYPE4.0版本的现在能监控了么?
问题解答:
对4.0SKYPE的规则,还没发布,现在处于测试阶段,还没有正式发布
5.是否能封QQ2010的SP1最新版本?
问题解答:
可以封,但不能记录聊天内容。
如果一定要很监控内容,可以找800替换准入文件,建议先不要替换,因为现在的准入还处于测试阶段。
6.AC/SG是否能针对某个QQ号进行控制
问题解答:
暂时无法实现。
7.如何禁止代理上网?
设置策略:
.1.应用识别中拒绝代理上网的应用;
.2.非2.1版本使用准入封堵一些代理上网的软件;
3.2.1版本在上网权限里面的高级设置里,启用防代理监控;
8.AC/SG设备的磁盘空间大小有具体的规定大小?
问题解答:
关于一些参数类的,请咨询售前产品经理。
800没有些类的相关文档。
9.NAC管理的PC,如果下班后员工把电脑带回家收发邮件,我们是否能审计到
问题解答:
这个不可以,NAC的准入只会记录违规等信息,不会进行审计,需要审计到的数据,必须是经过AC并且开启审计,才会被审计到。
10.Ac/SG能不能在Web邮箱登陆之后,禁止用户发送web邮件.
问题解答:
可以,在web过滤里面,http过滤,有一个高级配置。
把web邮箱设置为,仅许post登录就行了。
11.AC/SG能不能禁止用户在论坛上回、发含有指定关键字的内容?
问题解答:
可以,直接在URL过滤里面的上传关键字过滤中,把相关的关键字过滤掉就可以了。
12.AC/SG里,带的VPN,是多少版本的?
问题解答:
1.9以下的AC版本默认带2.52的vpn,而1.90以后的版本默认都带4.13版本的vpn。
如何区别?
直接到vpn配置里面查看,只要能看到第三方对接的都是4.13,看不到的就是2.52版本的
13.请问SG3.0beta版有升级包吗?
问题解答:
销售设备是不给升级的,测试设备,可以向当地办事处的技术支持联系。
14.有一台设备,被之前测试的客户限制了登陆IP,还跟LAN口是非直连网段,现在登陆不进去。
问题解答:
如果是测试设备,没有什么配置需要修改,可以使用交叉线对设备进行恢复默认配置。
如果是正式设备,可以联系800进行处理。
15.AC/SG外置数据中心默认密码不对
问题解答:
外置数据中心都是默认adminadmin。
如果刚装的外置数据中心后出现默认密码错误的问题。
在AC数据中心管理端,数据库配置--》应用。
这个按钮需要点击一次,生成对应的用户表,否则导致无法登录的。
16.AC/SG的WAN口MAC地址能改动吗?
问题解答:
现在暂时不支持界面上修改。
后台可以修改,但是序列号会不可用,一般情况下不建议修改。
以后本版研发可能会考虑修改的问题。
17.AC/SG能不能对论坛之类的,上传的文件做类型于邮件的延迟审计?
问题解答:
对论坛发贴延迟审计是不行的。
但是可以进行过滤,在URL过滤中有http上传的文件类型过滤
18.AC/SG内置数据中心提示:
行为记录超过10000条,无法查询
问题解答:
可以在数据中心的,系统管理--》系统设置中,勾上高级选项。
在内置数据中心支持日志量中,把阀值加大到超现有的条数。
设备内置数据库,进行数据查询的时候,会非常耗系统资源,如果你调100W条的话,很容易会导致设备性能不足。
这个主要是为了保护设备主要应用的性能。
强烈建议装外置数据中心。
19.拒绝列表上,拒绝的flag对应是什么模块。
问题解答:
Flag
2杀毒
3SSL
7Dos防御
8应用审计
9防火墙规则
10用户认证
11准入
14流量统计与上网计时
16应用控制
17网络服务控制
18http代理违规
19Socks代理违规
20标准端口使用非标准协议
21网页过滤
20.请问M5600设备的WAN口可以配置多个公网地址吗
问题解答:
所有设备的的wan口都可以配置多个公网ip地址。
但是lan口配置多ip地址,只有AC,SG,NAC,BM支持。
二.SSL问题
1.SSLVNP关联全网资源后,用户无法访问内网所有网段资源
可能原因:
1、配置好内网的多子网,以便是让SSL设备,把内部网段宣告给SSL客户端。
2、配置好相关路由,以便SSL能把数据正确发给下一跳和各网断回包能到达我们设备。
3、SSL设备的系统路由是否做得正常。
下面各段的路由是否正确。
2.SSLVPN单臂多线路智能选路,需要开通多个WAN口授权吗?
问题解答:
不需要多线路授权。
相关问题:
在高级配置--》其他选项--》勾选启用多线路自动选路--》填入对应的IP/域名和端口就可以了。
如何测试智能选路是否成功:
假如你在电信的环境中,输入http:
//ip(网通的),一般情况就会跳到https:
//ip(电信),这样测试就说明成功了。
注意,如果一开始就是https:
//ip,那就不会跳转了
3.SSLVPN设置第一次登陆,强制更改密码
问题解答:
在高级配置--》安全配置--》密码安全策略选项里面进行设置
设置完了必须点击一下配置生效。
密码策略只对本地密码认证的私有用户有效!
4.深信服的设备怎么设置SNMP啊
问题解答:
community是sinfors
所有设备的OID都是一样的,而只有下面的类型可以提供的。
1.3.6.1.4.1.33333.1.1.1.0CPU占用率
1.3.6.1.4.1.33333.1.1.2.0设备类型(如M5100)
1.3.6.1.4.1.33333.1.1.3.0剩余内存
1.3.6.1.4.1.33333.1.2.1.0VPN状态("vpn'sstatus.0isstoped,1isnormal,2iserror")
1.3.6.1.4.1.33333.1.2.2.0VPN连接数
1.3.6.1.4.1.33333.1.2.3.0软件版本(如M3.0)
1.3.6.1.4.1.33333.1.3.1.0sslVPN状态("ssl'sstatus.0isstoped,1isnormal,2iserror")
1.3.6.1.4.1.33333.1.3.2.0sslVPN连接数(即接入的用户数目)
5.SSLVPN流缓存,有没有针对应用加速
问题解答:
SSL流缓存,能针对所有APP起作用,而不仅仅是文件传输等,例如连内网邮件,SQL等也是能起到作用的。
但只有流缓存的作用,而不像加速那样,有协议代理等。
简单点来说,就是把加速产品线上的流缓存功能挪到SSL上面,针对APP资源生效了。
3.IPSECVPN问题
1.IpsecVPN,总部单臂,分支网关。
如果DLAN显示已经跟总部连接上了,但是总部访问不到分支DLAN设备的LAN口IP。
可能原因:
1.总部路由问题。
2.vpn接口没有加载成功。
排查方法:
1.测试分支ping不通总部的lan口,那就不一定是路由的问题了。
2.偿试一下,在vpn配置里面,找到高级设置--》vpn接口设置处,点击一下确定,把vpn模块重新加载一次
2.IPSECVPN能支持加速不?
问题解答:
不可以,WANACC才可以,但是WANACC也是附带有IPSEC功能的。
SSLVPN在4.3版本后也是提供流缓存的加速功能,此功能要收费的。
相关费用问题可以咨询当地的产品经理。
3.sangforvpn连接分支是否需要授权。
问题解答:
sangfor设备之间的对连是不需要授权的,与第三方vpn对接,需要消耗一个分支授权才可以对接。
升级会员 