深信服代理商的常见问题

/TOC\o"1-3"\h\u一．AC/SG/NAC/BM问题1.SG上网加速告警：系统压力过大通知驱动bypass日志提示：上网加速告警21:19:38w1:work_server.cpp:745系统压力下降，通知驱动接着转发上网加速告警21:19:22w1:work_server.cpp:724系统压力过大，通知驱动bypass可能缘故：设备的cpu（或者内存）使用率持续偏高，如cpu持续达到95%同时持续达到10S就会进入加速bypass。相关问题：加速bypass不阻碍其它策略流控等，只是没有加速效果而已。经常出现这种提示，比较大可能是设备性能不足，导致bypass，停用上网加速模块，就可不能提醒bypass了2.占用带宽排行榜为空？【问题】网关运行状态里的流量图是空的，什么数据差不多上没有可能缘故：1：不同版本之间因为操纵台控件问题导致无法显示流量。能够通过在操纵台手动下载控件重新安装解决2：检查是否在高级配置--排除IP地址与域名中添加了内网网段3：是否设备接线接反3.设备做网桥，丢包专门多，跃过设备正常可能缘故：内网到设备线路有问题或者兼容性问题。2.设备到前置设备线路有问题或者兼容性问题。排查方法：（1）.ping设备是否丢包，假如丢包讲明内网到设备有问题。（2）.使用升级客户端登录设备，ping设备前置的防火墙，假如丢包讲明设备到前置设备有问题（3）.查看一下升级工具中的查看网络配置，看各个网口是否有错误包之类的。假如有，讲明设置存在兼容性问题。（4）.在设备与前置设备之类洄上一个小交换机，看能否正常，假如正常确认是兼容性问题，能够通过升级客户端修改网口工作模式试试，或者直接使用交换机。相关问题：假如是测试设备，购买新设备的时候，下单要注意把测试设备的SN码带小，让发货的时候，发一个与现在测试设备不同平台的设备，解决兼容性的问题。必需讲明测试设备存在兼容性问题4.SKYPE4.0版本的现在能监控了么？问题解答：对4.0SKYPE的规则，还没公布，现在处于测试时期，还没有正式公布5.是否能封QQ2010的SP1最新版本？问题解答：能够封,但不能记录谈天内容。假如一定要专门监控内容，能够找800替换准入文件，建议先不要替换，因为现在的准入还处于测试时期。6.AC/SG是否能针对某个QQ号进行操纵问题解答：临时无法实现。如何禁止代理上网？设置策略：.1.应用识不中拒绝代理上网的应用；.2.非2.1版本使用准入封堵一些代理上网的软件；3.2.1版本在上网权限里面的高级设置里，启用防代理8.AC/SG设备的磁盘空间大小有具体的规定大小？问题解答：关于一些参数类的，请咨询售前产品经理。800没有些类的相关文档。9.NAC治理的PC，假如下班后职员把电脑带回家收发邮件，我们是否能审计到问题解答：那个不能够，NAC的准入只会记录违规等信息，可不能进行审计，需要审计到的数据，必须是通过AC同时开启审计，才会被审计到。Ac/SG能不能在Web邮箱登陆之后，禁止用户发送web邮件．问题解答：能够，在web过滤里面，http过滤，有一个高级配置。把web邮箱设置为，仅许post登录就行了。AC/SG能不能禁止用户在论坛上回、发含有指定关键字的内容？问题解答：能够，直接在URL过滤里面的上传关键字过滤中，把相关的关键字过滤掉就能够了。12.AC/SG里，带的VPN，是多少版本的？问题解答：1.9以下的AC版本默认带2.52的vpn，而1.90以后的版本默认都带4.13版本的vpn。如何区不？直接到vpn配置里面查看，只要能看到第三方对接的差不多上4.13，看不到的确实是2.52版本的请问SG3.0beta版有升级包吗？问题解答：销售设备是不给升级的，测试设备，能够向当地办事处的技术支持联系。有一台设备，被之前测试的客户限制了登陆IP，还跟LAN口是非直连网段，现在登陆不到里面去。问题解答：假如是测试设备，没有什么配置需要修改，能够使用交叉线对设备进行恢复默认配置。假如是正式设备，能够联系800进行处理。AC/SG外置数据中心默认密码不对问题解答：外置数据中心差不多上默认adminadmin。假如刚装的外置数据中心后出现默认密码错误的问题。在AC数据中心治理端，数据库配置--》应用。那个按钮需要点击一次，生成对应的用户表，否则导致无法登录的。AC/SG的WAN口MAC地址能改动吗？问题解答：现在临时不支持界面上修改。后台能够修改，然而序列号会不可用，一般情况下不建议修改。以后本版研发可能会考虑修改的问题。AC/SG能不能对论坛之类的，上传的文件做类型于邮件的延迟审计？问题解答：对论坛发贴延迟审计是不行的。然而能够进行过滤，在URL过滤中有http上传的文件类型过滤AC/SG内置数据中心提示：行为记录超过10000条，无法查询问题解答：能够在数据中心的，系统治理--》系统设置中，勾上高级选项。在内置数据中心支持日志量中，把阀值加大到超现有的条数。设备内置数据库，进行数据查询的时候，会特不耗系统资源，假如你调100W条的话，专门容易会导致设备性能不足。那个要紧是为了爱护设备要紧应用的性能。强烈建议装外置数据中心。拒绝列表上，拒绝的flag对应是什么模块。问题解答：Flag2杀毒3SSL7Dos防备8应用审计9防火墙规则10用户认证11准入14流量统计与上网计时16应用操纵17网络服务操纵18http代理违规19Socks代理违规20标准端口使用非标准协议21网页过滤请问M5600设备的WAN口能够配置多个公网地址吗问题解答：所有设备的的wan口都能够配置多个公网ip地址。然而lan口配置多ip地址，只有AC，SG，NAC，BM支持。二．SSL问题1.SSLVNP关联全网资源后，用户无法访问内网所有网段资源可能缘故：1、配置好内网的多子网，以便是让SSL设备，把内部网段宣告给SSL客户端。2、配置好相关路由，以便SSL能把数据正确发给下一跳和各网断回包能到达我们设备。3、SSL设备的系统路由是否做得正常。下面各段的路由是否正确。2.SSLVPN单臂多线路智能选路，需要开通多个WAN口授权吗？问题解答：不需要多线路授权。相关问题：在高级配置--》其他选项--》勾选启用多线路自动选路--》填入对应的IP/域名和端口就能够了。如何测试智能选路是否成功：假如你在电信的环境中，输入http://ip（网通的），一般情况就会跳到https://ip(电信)，如此测试就讲明成功了。注意，假如一开始确实是https://ip,那就可不能跳转了SSLVPN设置第一次登陆，强制更改密码问题解答：在高级配置--》安全配置--》密码安全策略选项里面进行设置设置完了必须点击一下配置生效。密码策略只对本地密码认证的私有用户有效!深信服的设备如何设置SNMP啊问题解答：community是sinfors所有设备的OID差不多上一样的，而只有下面的类型能够提供的。.4.1.333.0CPU占用率.4.1.333.0设备类型(如M5100).4.1.333.0剩余内存.4.1.333.0VPN状态("vpn'sstatus.0isstoped,1isnormal,2iserror").4.1.333.0VPN连接数.4.1.333.0软件版本(如M3.0).4.1.333.0sslVPN状态（"ssl'sstatus.0isstoped,1isnormal,2iserror"）.4.1.333.0sslVPN连接数（即接入的用户数目）SSLVPN流缓存，有没有针对应用加速问题解答：SSL流缓存，能针对所有APP起作用，而不仅仅是文件传输等，例如连内网邮件，SQL等也是能起到作用的。但只有流缓存的作用，而不像加速那样，有协议代理等。简单点来讲，确实是把加速产品线上的流缓存功能挪到SSL上面，针对APP资源生效了。IPSECVPN问题1.IpsecVPN,总部单臂，分支网关。假如DLAN显示差不多跟总部连接上了，然而总部访问不到分支DLAN设备的LAN口IP。可能缘故：1.总部路由问题。2.vpn接口没有加载成功。排查方法：测试分支ping不通总部的lan口，那就不一定是路由的问题了。偿试一下，在vpn配置里面，找到高级设置--》vpn接口设置处，点击一下确定，把vpn模块重新加载一次2