1、SANGFOR AC&SG常见问题排错指导,所有用户上网断网,所有用户上网断网,首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。,4. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略,直到故障修复。,3. 如果PC与AC/SG设备之间跨三层设备,需要检查AC/SG设备上的防DOS攻击设置,是否勾选了“内网到本设备间通过一台/多台二层交换机直接相
2、连,没有跨越任何的三层交换设备”(三层环境下不能勾选),DOS防御的参数是否设置过低导致的断网。,2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。,上网策略导致访问异常,上网策略导致访问异常,如果用户只有部分应用访问异常,例如MSN登录不了,登录不了网银,某些网站打不开,那么这些现象有可能和AC/SG上设置的策略有关系。 1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。 2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否修复。 (虽然也可以把测试电脑的IP地址填到
3、设备的排除IP里,看故障是否修复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日志并直通来排除和定位问题),上网策略导致访问异常,3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块,修改策略。 4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则重复第2,3步,直到故障修复。,内网收发邮件不正常,内网收发邮件异常,如果邮件服务器在外网,客户端通过AC/SG收发邮件异常的话,需要进行以下步骤的排查:,3. 如果AC/SG本身能上外网,只要开启邮件过滤,客户端收发邮件就不正常,关闭邮件过滤又能
4、恢复,需要检查下AC/SG设备的系统日志,看是否有程序异常的日志。,2. 如果关闭邮件过滤功能,客户端收发邮件正常,需要检查下AC/SG设备本身是否可以上外网,AC/SG网桥模式部署,网桥IP必须正确配置能上外网的IP和网关。,1. 检查邮件过滤功能是否有开启,如果有开启邮件过滤功能,检查是否有不恰当的邮件过滤选项,可以关闭邮件过滤功能,看收发邮件功能是否恢复。,内网收发邮件异常,4. 如果邮件过滤功能本身没有开启,但是客户端通过AC/SG收发邮件异常的话,还需要检查下是否开启了网关杀毒中的SMTP和POP3杀毒。,6. 如果AC/SG本身能上外网,只要开启SMTP和POP3杀毒,客户端收发邮
5、件就不正常,关闭SMTP和POP3杀毒又能恢复,需要检查下AC/SG设备的系统日志,看是否有网关杀毒模块异常的告警日志。,5. 如果开启了SMTP和POP3杀毒,则关闭SMTP和POP3杀毒,再检查客户端收发邮件是否恢复正常。 如果关闭SMTP和POP3杀毒,客户端收发邮件就恢复正常的话,需要检查下AC/SG设备本身是否可以上外网,AC/SG网桥模式部署,网桥IP必须正确配置能上外网的IP和网关。,查不到上网行为日志,查不到上网行为日志,具体的测试方法:以打开网页的行为来测试,查看AC/SG设备的实时连接,查询测试机的IP,看AC/SG上面对于打开网页的行为识别成何种应用。 正常情况下应该识别
6、为HTTP,如果识别为其他的应用,说明设备上曾经被自定义过应用识别规则,导致识别错误。 需要到“对象定义”“应用特征识别库”,禁用或者删除自定义的应用识别规则,然后再观察AC/SG设备是否能正确识别到应用。,对于查不到用户的上网行为日志的现象,需要进行的排查步骤如下:,先检查用户关联的上网策略,是否有开启相应的上网行为审计选项。,2. 如果开启了上网行为审计选项,仍然记录不到上网日志,需要测试下AC/SG设备的应用识别功能是否正常工作。,直到AC/SG设备能正确识别到应用,再检查是否能记录到上网行为日志。,查不到上网行为日志,如果AC/SG设备能正确识别到应用,但是仍然记录不到上网行为日志。需
7、要检查下设备网桥模式下是否接反了线,这种情况下也会导致通过AC/SG上网没有问题,但是设备上记录不到上网行为日志的。如果AC/SG设备识别应用正确,接线也是正确的,需要检查下设备的系统日志,看是否有程序异常的告警日志。如果在AC/SG设备的内置数据中心日志选项开启了“优化审计性能”,则内置数据中心不会记录上网日志,也无法登录,必须通过外置数据中心查询。,外置数据中心同步失败,外置数据中心同步失败,1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果在AC上测试连接外置数据中心失败,可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 127.0.0
8、.1 810看是否成功2.如果服务器本机没进程监听该端口,到【开始】-【管理工具】-【服务】中检查服务“Sangfor Data Center”(对应datacenter.exe进程)状态是不是没有启动。可以尝试手动启动该服务。3.如果本机测试监听端口成功则,检查AC到服务器的路由是否可达,中间是否有其他网络设备阻止了TCP810端口的访问。4.查看系统日志,通过系统日志可以检查:外置数据中心安装软件的版本和设备版本是否一致,外置数据中心同步账号和密码是否和设备上的一致。5. 如果系统日志有其他告警或者错误日志,请联系400处理。,外置数据中心数据库连接失败,外置数据连接数据库失败,连接数据库
9、失败大多都是由于SangforMySql服务起不来(对应mysqld-nt.exe进程),可以尝试手动启动该服务。需要注意的是,引起SangforMySql服务无法启动的原因较多,下面总结常见的会引起SangforMySql服务无法启动的情况:1. mysql安装时没有和操作系统安装在同一块硬盘上目前要求mysql和操作系统安装在一块物理硬盘上,他们可以不在一个磁盘分区。(但是支持RAID磁盘阵列)。2. 服务器上已安装了其他数据库(比如SQL SEREVER)建议服务器上不要安装其他数据库,以免冲突。3. 服务器磁盘满了会导致使用一段时间后出现问题,磁盘快满时请及时清理磁盘删除早期的日志,或
10、做数据库迁移。,外置数据连接数据库失败,4. 新建同步账号时建立数据库名称 为“mysql”新建同步账号时建立数据库名称不能是mysql,否则会导致数据库连接失败,此时请卸载重装,且保证数据库名不要叫做mysql5. 在虚拟机上安装的外置数据中心虚拟机环境不稳定,不建议在虚拟机上安装。6. 做了数据库迁移后,数据库起不来请检查mysql安装路径下MYSQLMySQL Server 5.0目录下my.ini中datadir的路径,G该路径应该是mysql的data所在路径,如datadir=C:/MySQL/MySQL Server 5.0/Data/,一般做过数据库迁移之后要确保这个路径是移动
11、后的位置。,外置数据中心无法建立索引,外置数据中心无法建立索引,在配置外置数据中心的内容搜索时,无法建立 索引或索引到一半时卡住,可通过如下步骤进行排错:确认索引时间内的日志已同步至外置数据中心。网页内容索引需要开启网页内容审计才可以。查看数据中心服务器的系统状态,如果cpu、内存过高,可能会影响索引程序。确认索引相关进程Cserver.exe ,Quickindex.exe,cindexer,mysqld-nt.exe及websvr.exe在运行。在索引状态页面查看索引进度时,建议查看搜索百分比是否有增加,来判断索引是否在正常进行,每索引100条日志,索引进度就会发生变化。索引状态,即已索引
12、的日志条数,这个不是实时更新的,索引是先写到内存中,当内存写满时,才会从内存写到硬盘中,索引状态数是从内存写到硬盘的过程中才更新的,如果内存很大,索引策略设置为高,索引状态更新就会很慢。数据中心安装目录和索引所在目录是否可读写文件,空间是否满了。可以手动在索引所在安装目录下创建文件进行验证。,外置数据中心无法建立索引,索引是每隔半个小时执行一次,在索引的过程中,不能进行搜索,如果执行搜索了,会导致搜索中断,需要等一个“半个小时”再进行索引。查看日志http:/local host/src/contentlog.php,从打开的页面选择cindexer,从日志中可以看出在索引过程中是否进行过搜索。数据中心索引使用的是udp 802端口,检查该端口是否被其它程序占用,导致端口冲突。,,
