登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

18-SSL VPN

02-SSL VPN故障案例

本章节下载  (175.20 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Maintenance/Maintenance_Treasure/H3C_SecPath_M9000-5150/18/202208/1664003_30005_0.htm

02-SSL VPN故障案例

1.1  iNode客户端无法获取SSL VPN网关信息

1.1.1  故障描述

在浏览器中输入SSL VPN网关地址,无法打开SSL VPN网关页面,或通过iNode输入SSL VPN网关地址后,提示无法获取SSL VPN网关信息。

1.1.2  故障处理步骤

(1)     确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。

(2)     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

a.     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

b.     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

c.     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

(3)     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

a.     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

b.     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

(4)     确认网关地址和端口是否被正确侦听,需要确认每个业务板侦听端口是否正确开启。

TCP代理连接的显示信息如下:

<Device> dis tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State       Service type

1.1.1.2:2000          0.0.0.0:0            LISTEN       SSLVPN

1.1.3  故障诊断命令

表1-1 故障诊断命令

命令

说明

display tcp-proxy

显示TCP代理连接的简要信息

display sslvpn context

显示SSL VPN访问实例的信息

display sslvpn gateway

显示SSL VPN网关的信息

 

1.2  iNode客户端无法登录SSL VPN网关

1.2.1  故障描述

在iNode客户端上输入SSL VPN网关地址后,可以获取SSL VPN网关信息,但是无法登录。

1.2.2  故障处理步骤

(1)     确认SSL VPN网关地址是否可达,设备允许Ping的情况下可通过Ping确认,不允许Ping的情况下可通过抓包确认。

(2)     通过查看SSL VPN网关的显示信息,确认SSL VPN网关的状态:

a.     确认SSL VPN网关是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN网关处于Up状态,否则需要在Web界面单击SSL VPN网关的使能按钮,或者在SSL VPN网关视图下执行service enable命令开启SSL VPN网关

b.     重新配置或修改SSL服务端策略后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令重新开启SSL VPN网关后,新的策略才会生效

c.     SSL相关配置是否正确,缺省情况下设备使用自带的缺省证书,当需要使用非缺省证书时,可以引用SSL服务端策略。当不需要使用非缺省证书时,删除SSL服务端策略引用即可

SSL VPN网关的显示信息如下:

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 2000

  SSL server policy configured: sslnew

  SSL server policy in use: ssl

  Front VPN instance: Not configured

(3)     通过查看SSL VPN访问实例的显示信息,确认SSL VPN访问实例的状态:

a.     确认SSL VPN访问实例是否处于Up状态。通过查看显示信息中Operation state字段的值,若值为Up,则表示SSL VPN访问实例处于Up状态,否则需要在Web界面单击SSL VPN访问实例的使能按钮,或者在SSL VPN访问实例视图下执行service enable命令开启SSL VPN访问实例

b.     确认SSL VPN访问实例是否引用了SSL VPN网关。通过查看显示信息中Associated SSL VPN gateway字段的值,若有引用的网关名称,则表示成功引用了SSL VPN网关,否则,需要在Web界面SSL VPN访问实例下引用SSL VPN网关,或者在SSL VPN访问实例视图下执行gateway命令,引用SSL VPN网关

SSL VPN访问实例的显示信息如下:

[Device] display sslvpn context

Context name: ctx

  Operation state: Up

  Associated SSL VPN gateway: gw

  SSL client policy configured: sslnew

  SSL client policy in use: ssl

(4)     确认SSL VPN网关地址和端口是否被正确侦听,需要确认每个业务板的侦听端口是否正确开启。

TCP代理连接的显示信息如下:

<Device> display tcp-proxy slot 1

Local Addr:port       Foreign Addr:port     State        Service type

1.1.1.2:2000          0.0.0.0:0             LISTEN       SSLVPN

(5)     确认是否配置了SSL VPN AC接口(需要配置IP地址),且在SSL VPN访问实例下引用了该SSL VPN AC接口。

SSL VPN AC接口的配置及显示如下:

[Device] interface SSLVPN-AC 1

[Device-SSLVPN-AC1] ip address 1.1.1.1 24

[Device-SSLVPN-AC1] quit

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] ip-tunnel interface SSLVPN-AC 1

[Device-sslvpn-context-ctx] quit

[Device] display interface SSLVPN-AC 1 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface                   Link   Protocol    Primary IP      Description

SSLVPN-AC1           UP    UP            1.1.1.1

(6)     确认是否配置了地址池,并且在SSL VPN访问实例或用户可授权的资源组下引用了该地址池,地址池中不能包含SSL VPN网关地址。

地址池的配置及引用举例如下:

[Device] sslvpn ip address-pool name 1.1.1.1 1.1.1.10

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] ip-tunnel address-pool name mask 24

(7)     确认SSL VPN用户是否配置正确:

a.     本地用户:确保用户类型为网络接入类,服务类型为SSL VPN,且为用户配置SSL VPN资源组。

b.     远程用户:确保远程认证服务器上用户隶属的用户组,已在SSL VPN访问实例中配置对应名称的SSL VPN资源组。

(8)     若开启了客户端和服务器端证书认证,确保两端已正确安装证书。

(9)     iNode客户端是否为最新版本。

1.2.3  故障诊断命令

表1-2 故障诊断命令

命令

说明

display tcp-proxy

显示TCP代理连接的简要信息

display sslvpn context

显示SSL VPN访问实例的信息

display sslvpn gateway

显示SSL VPN网关的信息

sslvpn ip address-pool

用来创建IPv4地址池

ip-tunnel address-pool

用来配置IP接入引用IPv4地址池。

 

1.3  iNode客户端无法访问内网资源

1.3.1  故障描述

通过iNode客户端登录SSL VPN网关后,无法访问内网服务器资源。

1.3.2  故障处理步骤

(1)     SSL VPN AC接口是否加入了安全域,且被安全策略放行。

(2)     iNode客户端分配到的虚拟网卡IP地址是否被安全策略放行。

(3)     确认是否配置了能够放行通往后台服务器的ACL或者URI ACL规则,并且引用规则已经添加:

[Device-sslvpn-context-ctxip1] policy-group resourcegrp1

[Device-sslvpn-context-ctxip1-policy-group-resourcegrp1] filter web-access acl 3000

(4)     SSL VPN网关是否可以Ping通后台资源地址,是否需要在对端设备上添加路由。

(5)     iNode客户端是否为最新版本。

(6)     排查上下行链路是否正常,以下情况会导致上下行链路不通:

a.     SSL VPN网关没有配置到达内网资源的路由,可通过查看设备路由表确认

b.     内网服务器未配置回程路由导致链路不通

c.     设备是双主模式,请将设备修改为主备模式,并将上下行接口修改成冗余口

d.     地址冲突导致链路不通

e.     配置了策略路由导致链路不通

f.     配置了负载均衡导致链路不通

1.3.3  故障诊断命令

表1-3 故障诊断命令

命令

说明

policy-group

用来创建策略组,并进入SSL VPN策略组视图。如果指定的策略组已经存在,则直接进入策略组视图。

filter web-access acl

用来配置对Web接入进行高级ACL过滤。

 

1.4  iNode用户无法老化下线

1.4.1  故障描述

部分iNode用户,长时间不访问内网资源时,不老化下线,占用License资源。

1.4.2  故障处理步骤

iNode客户端会定时发送保活报文,无法老化下线,可通过配置空闲超时时间,将长时间不访问内网资源用户强制下线

通过配置SSL VPN会话保持空闲状态的流量阈值,对iNode客户端空闲用户进行老化下线。具体配置如下:

<Device> system-view

[Device] sslvpn context ctx1

[Device-sslvpn-context-ctx1] idle-cut traffic-threshold 1000

1.4.3  故障诊断命令

表1-4 故障诊断命令

命令

说明

sslvpn context

用来创建SSL VPN访问实例,并进入SSL VPN访问实例视图。如果指定的SSL VPN访问实例已经存在,则直接进入SSL VPN访问实例视图。

idle-cut traffic-threshold

用来配置SSL VPN会话保持空闲状态的流量阈值。

 

1.5  配置用户过滤、监控、绑定IP地址等功能不生效

1.5.1  故障描述

本地用户在local-user下配置了ACL、监控、绑定IP地址等功能不生效。

1.5.2  故障处理步骤

SSL VPN用户的部分管理配置,需要在SSL VPN访问实例下配置,不能在local-user用户视图下配置。

1.5.3  故障诊断命令

表1-5 故障诊断命令

命令

说明

sslvpn context

用来创建SSL VPN访问实例,并进入SSL VPN访问实例视图。如果指定的SSL VPN访问实例已经存在,则直接进入SSL VPN访问实例视图。

 

1.6  用户曾经登录SSL VPN网关成功,再次登录时失败

1.6.1  故障描述

用户曾经登录SSL VPN网关成功,后续再次登录时失败。

1.6.2  故障处理步骤

(1)     查看SSL VPN访问实例下是否配置了同一用户名登录限制个数。

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] max-onlines 1

(2)     如果不需要限制同一用户名最大上线数,可删除max-onlines配置,如果确实需要限制,可配置如下功能。开启本功能后,将从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线:

[Device] sslvpn context ctx

[Device-sslvpn-context-ctx] force-logout max-onlines enable

1.6.3  故障诊断命令

表1-6 故障诊断命令

命令

说明

sslvpn context

用来创建SSL VPN访问实例,并进入SSL VPN访问实例视图。如果指定的SSL VPN访问实例已经存在,则直接进入SSL VPN访问实例视图。

force-logout max-onlines enable

用来开启达到最大在线数时的用户强制下线功能。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们