现象描述

打开SecoClient时，系统告警“已经有客户端正在运行，不能再运行该程序！”。

可能原因

终端上已经有SecoClient在运行。

处理步骤

1. 关闭已有的SecoClient运行程序以及使用了SSL VPN业务的浏览器。
2. 检查任务管理器中的SecoClient.exe进程是否已同步关闭，如果没有，请选中SecoClient.exe进程，然后单击“结束进程”。

现象描述

打开SecoClient时，系统告警“请确保已访问过VPN的网页或其他VPN客户端软件已经关闭”。

可能原因

1. 终端上已经有IE内核的浏览器登录了SSL VPN。
2. 终端上已经有SVNClient（老的SSL VPN客户端）登录了SSL VPN。

处理步骤

检查终端上是否已经有IE内核的浏览器或SVNClient登录了SSL VPN。如果存在，请从浏览器登录SSL VPN的主页中注销，或退出SVNClient程序，然后再打开SecoClient。

现象描述

打开SecoClient时，系统告警“当前服务进程已退出或关闭，请尝试重新安装客户端！”。

可能原因

SecoClient服务未开启。

处理步骤

1. 在“开始 > 运行”中，输入services.msc命令，单击“确定”，进入“服务”界面。
2. 在“名称”一列中，查看“SecoClientService”的状态，如果对应状态为空白，则表示“SecoClientService”服务未启用。

   请在该服务上右键单击，在弹出的菜单中选择“启用”。

3. 重新打开SecoClient，已无告警。

现象描述

连接VPN网关时，系统告警“无法建立VPN连接，VPN服务器可能无法到达”。

可能原因

1. SecoClient到VPN网关的路由不可达。
2. SecoClient上VPN网关的IP地址或端口填写错误。
3. SecoClient和VPN网关版本不配套。
4. 终端通过代理服务器上网的场景（如proxy.huawei.com），SecoClient未设置代理拨号公网的VPN网关。

处理步骤

• 原因1的问题定位及解决方法。
  1. 在SecoClient所在的终端上Ping VPN网关的IP地址，检查路由是否可达。
  2. 如果路由不可达，请配置SecoClient到VPN网关的路由。如果路由可达，表明该问题不是路由原因造成的，请转入分析下一种原因。
• 原因2的问题定位及解决方法。

  请检查SecoClient上配置的VPN网关IP地址、端口是否与VPN网关侧配置的一致。

• 原因3的问题定位及解决方法。

  目前和SecoClient配套的VPN网关软件版本有FW V500R001C20、FW V100R001C30SPC900、SVN V200R003C10SPC900，及其它们之后的版本。它们之前的版本和SecoClient并不配套。

• 原因4的定位及解决办法。

  检查终端是否通过代理服务器上网。

  如果是，SecoClient也需要配置代理参数，如下图。

现象描述

单击SecoClient主界面上的“代理设置”，选择“代理类型”为“使用系统代理”，系统提示“获取系统代理失败”。

可能原因

用户浏览器中未设置代理。

处理步骤

SecoClient在“代理类型”中选择“使用系统代理”，这表示SecoClient的代理配置将使用浏览器中的代理信息。此处出现该提示，则表示用户浏览器中并未设置代理。

1. 打开IE浏览器，在浏览器右上角选择“工具 > Internet选项”，并在弹出的窗口中选择“连接”页签。

2. 单击“局域网设置”，并设置代理服务器。此处假设代理服务器地址为www.example.com，端口为8080。然后，单击“确定”。

3. 再次打开SecoClient，并选择“代理类型”为“使用系统代理”时，就会看到刚才在浏览器中设置的地址和端口，现在已在SecoClient中显示。 这里账号和密码需要向代理服务器管理员获取。

现象描述

用户使用SecoClient通过SSL VPN隧道登录SSL VPN虚拟网关时，系统弹出如下提示。

可能原因

SecoClient上缺少认证虚拟网关身份的CA证书。

处理步骤

要消除该告警有以下两个方法：

• 单击“更改设置”，去勾选“阻塞到不可信服务器的连接”。

  在用户确定自己登录的虚拟网关身份真实的情况下，可以采用此方法。

• 为SecoClient和虚拟网关颁发证书。

  用户在无法有效识别虚拟网关身份真实性的情况下，推荐使用此方法。

  制作两本证书，一本设备证书放置在虚拟网关上，另一本CA证书放置在SecoClient所在的主机上。如果用户所在企业已有证书系统，则可以利用自有的系统制作证书。如果没有证书系统，可以使用XCA软件制作证书。

  SecoClient通过SSL VPN隧道登录虚拟网关时，虚拟网关会向SecoClient推送设备证书，只要SecoClient上的CA证书可以识别虚拟网关的设备证书，系统就不会再提示证书校验非法的告警了。

  证书的制作方法请参见如何使用XCA制作设备证书和用户证书。

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“认证失败！”。

可能原因

1. 用户名或密码错误，用户过期或用户被锁定。
2. 虚拟网关绑定了不正确的认证域。
3. 认证域未启用SSL VPN接入场景。
4. 虚拟网关未启动网络扩展特性。
5. SSL VPN登录的设备处于双机备状态（HRP_S），而SSL VPN不支持在备设备上登录上线。
6. SSL VPN虚拟网关是共享型，非独占型。
7. 认证域采用服务器认证，新用户认证选项配置了“不允许新用户登录”，但用户在本地不存在。
8. 认证域采用AD/LDAP服务器认证，服务器上配置用户的属性启用了“首次登录必须修改密码”。

处理步骤

1. 登录设备，检查用户名和密码是否正确，用户是否过期，以及是否处于锁定状态。

    [sysname]display user-manage user verbose name huawei001 
    2021-03-30 14:51:04.970 +08:00
    Current total number: 1
    --------------------------------------------------------------------------------
      User Name           : huawei001
      Password Config     : Yes
      Password            : OW7Q30GlNMDu2NS8ufuBIAAAAAALKhc4
      Parent Group        : /default
      Bind Mode           : Unidirectional
      State             : Locked
      Expiration Time   : Unlimited
      Multi-IP Login      : Enabled
      User Type           : Created By Manager
      Vsys                : public
    --------------------------------------------------------------------------------

2. 检查虚拟网关是否绑定了认证域，如果有绑定，是否绑定了正确的认证域。

3. 检查认证域配置，是否启用了SSL VPN接入场景。

4. 检查是否启用了虚拟网关的网络扩展业务。

5. SSL VPN不支持负载分担组网。调整配置或组网，确保SSL VPN登录的设备处于双机主状态（HRP_M）。
6. 确定SSL VPN虚拟网关是否必须是共享型，如果不是，删除该虚拟网关，重新创建独占型虚拟网关。

7. 点击CLI控制台，进AAA认证域视图，display this查看该认证域是否存在“new-user deny-authentication”配置，如果存在，执行“undo new-user”删除新用户认证选项的配置。

    [sysname]aaa 
    [sysname-aaa]domain default
    Info: The domain default is for common users.
    [sysname-aaa-domain-default]dis this
    2021-04-12 15:05:35.600 +8:00
    #
     domain default
      service-scheme webServerScheme1530599131778
      service-type internetaccess ssl-vpn
      internet-access mode single-sign-on
      reference user current-domain
      new-user deny-authentication
    #
    return

8. 登录AD/LDAP服务器，查看用户的属性是否启用了“首次登录必须修改密码”，如果启用，则去勾选以下红色框选项。

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“连接被网关拒绝，请检查网关配置参数！”。

可能原因

虚拟网关网络扩展特性已启用，但是用户所属的角色未启用网络扩展业务。

处理步骤

请勾选虚拟网关下“角色授权/用户”中的“网络扩展”业务，然后单击“确定”。

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“用户连接数已达到上限，请稍后重试！”。

可能原因

1. 当前SSL VPN在线用户数已经达到虚拟网关侧配置的最大并发用户数上限。
2. 虚拟网关启用了公共账号功能，且该用户已登录在线的数目已达到上限。

处理步骤

• 原因1的问题定位及解决方法。

  登录虚拟网关，选择“网络 > SSL VPN > SSL VPN”，单击对应虚拟网关的名称，检查该虚拟网关最大并发用户数分配情况是否合理，如果不合理，则调整配置。

• 原因2的问题定位及解决方法。

  检查虚拟网关是否启用了“允许一个账号在多处同时登录”。

  如果启用，则检查该用户的最大在线数目配置，如果是正常的登录请求，可适当增加该用户的最大在线数目。

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“网络扩展启动失败！”。

可能原因

1、当前虚拟网关网络扩展地址池内IP地址已用完。

2、虚拟网关网络扩展客户端IP分配方式为外部服务器获取，但认证域未配置服务器授权提案。

处理步骤

1. 打开CLI控制台，进虚拟网关service视图，执行display network-extension [ip]查看网络扩展地址池的配置和分配情况。如果确定地址池已分配完，根据业务需要，适当增加地址池中地址的数目。

   [sysname-sslvpn-service] display network-extension
   
     VG Network Extension Information                                              
     ----------------------------                                                  
     Network Extension State:    enable                                           
     Keep Alive State:           enable                                           
     Keep Alive Interval:        120(seconds)                                        
     Log State:                  disable                                           
     Point to Point State:       disable                                           
     VIP Method:                 net pool assign 
     default net pool:           3.3.3.100                       
     Route Mode:                 manual
     Intranet IP/Mask:           3.3.3.0/255.255.255.0
     Intranet IP/Mask:           192.168.1.0/255.255.255.0                              
     ----------------------------                                                  
     Virtual IP Pool:                                                              
   
     NO.       Start-IP            End-IP              Mask                Alias   
   
     ----------------------------------------------------------------------------  
     1        3.3.3.100           3.3.3.200           255.255.255.0        3.3.3.100
     ----------------------------------------------------------------------------  
   
     ----End

   [sysname-sslvpn-service] display network-extension ip
   
                                 Client IP Allocation                              
                                 --------------------                              
   
     NO.   User                             IP            Time of fetching IP      
     ------------------------------------------------------------------------------
     1     huawei002                        3.3.3.101     2021-04-16 09:31:56      
     ------------------------------------------------------------------------------
                                                            Virtual Gateway:sslvpn

2. 认证域配置RADIUS服务器认证，且网络扩展客户端IP地址分配方式配置为外部服务器获取（network-extension external-server），这时需要为认证域配置RADIUS授权提案。

   [sysname-sslvpn-service] display network-extension
   
     VG Network Extension Information                                              
     ----------------------------                                                  
     Network Extension State:    enable                                           
     Keep Alive State:           enable                                           
     Keep Alive Interval:        120(seconds)                                        
     Log State:                  disable                                           
     Point to Point State:       disable                                           
     VIP Method:              external server assign 
     default net pool:           3.3.3.100                       
     Route Mode:                 manual
     Intranet IP/Mask:           3.3.3.0/255.255.255.0
     Intranet IP/Mask:           192.168.1.0/255.255.255.0                              
    
     ----End
   [sysname-sslvpn-service]

    [sysname-aaa] authorization-scheme radius 
    [sysname-aaa-author-radius] dis this
     2021-04-16 10:05:35.720 +8:00
    #
     authorization-scheme radius
      authorization-mode radius
    #
    return
    [sysname-aaa-author-radius] domain default
    Info: The domain default is for common users.
    [sysname-aaa-domain-default] dis this
    2021-04-12 15:15:35.360 +8:00
    #
     domain default
      authentication-scheme admin_radius
      authorization-scheme radius
      service-scheme webServerScheme1530599131778
      radius-server radius
      service-type internetaccess ssl-vpn
      internet-access mode single-sign-on
      reference user current-domain
    #
    return
    [sysname-aaa-domain default]

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“主机检查失败！”。

可能原因

虚拟网关启用了主机检查功能，且终端不符合安全接入的要求。

处理步骤

根据主机检查失败弹出的页面提示排除故障。

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“接收返回码超时！”。

可能原因

虚拟网卡驱动程序安装失败，操作系统不能识别虚拟网卡。

处理步骤

完全卸载SecoClient（含虚拟网卡驱动程序），使用最新版本的SecoClient安装包重新安装。

现象描述

在SecoClient登录界面，输入用户名和密码以后，单击“登录”，系统告警“UDP隧道建立失败，请选择其它模式登录.”。

可能原因

终端在拨号SSL VPN过程中，会发送UDP探测报文，探测建立快速隧道的可行性。如果能收到防火墙的响应，说明快速隧道可以建立。上图中报错，说明该UDP链路不通，快速隧道无法建立。

处理步骤

1. SecoClient配置“自适应模式”拨号，作为临时规避办法。快速隧道无法建立，通过下面步骤继续排查。

2. 排查防火墙的安全策略，是否放行了终端与VPN网关之间建立UDP快速链路的数据流。
3. 检查防火墙外层是否存在NAT设备，如果存在，需针对SSL VPN的TCP和UDP端口分别做NAT映射且安全策略放行；对UDP端口做NAT映射时，Global端口和Inside端口必须一致。

现象描述

在虚拟网关采用证书认证的情况下， 在SecoClient登录界面，选择用户证书时，无法找到预期的用户证书。

可能原因

预期的用户证书“密钥用法”没有包含“Digital Signature”（数字签名）。

处理步骤

重新制作一本密钥用法带“数字签名”的用户证书。

现象描述

在SecoClient登录界面，选择用户证书，单击“登录”，系统告警“您的证书验证非法，请提供合法的证书！”。

可能原因

1. 用户证书，不是由防火墙虚拟网关客户端CA证书的根证书签名颁发。
2. 安装在终端上的用户证书，没有携带私钥信息。

3. 防火墙设备的系统时间、时区，不在用户证书的有效期范围之内。
4. 用户证书被防火墙配置的CRL（证书吊销列表）或OCSP（在线证书状态协议）吊销。

处理步骤

1. 检查用户证书的“颁发者”字段，是否和防火墙虚拟网关客户端CA证书的“颁发给”字段一致。

2. 检查用户证书，是否有对应的私钥。

3. 检查防火墙的时间、时区配置是否正确，以及是否在用户证书的有效期范围之内。

4. 检查防火墙是否配置了CRL或OCSP，如果是，取消该配置，观察效果。

现象描述

在虚拟网关采用证书挑战认证的情况下，在SecoClient登录界面，选择用户证书，单击“登录”，系统告警“认证失败!”。

可能原因

1. 虚拟网关证书认证“用户过滤字段”配置不正确，导致用户登录时设备从用户证书中获取了错误的用户名信息。
2. 虚拟网关绑定了不正确的认证域。

3. 认证域未启用SSL VPN接入场景。
4. 虚拟网关未启动网络扩展特性。

5. SSL VPN登录的设备处于双机备状态（HRP_S），而SSL VPN不支持在备设备上登录上线。

处理步骤

1. 登录设备，检查虚拟网关证书认证“用户过滤字段”配置，和用户证书中用于认证字段的属性名称是否匹配。

2. 检查虚拟网关是否绑定了认证域，如果有绑定，是否绑定了正确的认证域。

3. 检查认证域配置，是否启用了SSL VPN接入场景。

4. 启用虚拟网关的网络扩展特性。

5. 调整配置或组网，确保SSL VPN登录的设备处于双机主状态（HRP_M）。

现象描述

SSL VPN拨号成功，访问内网资源卡顿，Ping内网延迟大。测试下载速率比NAT映射低很多。

可能原因

从技术实现角度来看，NAT映射只是对报文头做了地址转换，相对简单；而VPN技术需要对整个报文做加解密封装，相对复杂。因此，VPN本身造成的系统消耗和引发的时延就比NAT映射大。在跨运营商的场景下，这个延时就更为明显一些。

处理步骤

1. 将“隧道模式”选择为快速模式或是自适应模式，快速模式报文传输效率相对较高。当隧道传输模式为“快速传输模式”时，防火墙上要开启Local到Untrust（假设用户处于Untrust区域）的域间策略，策略匹配条件中服务类型为UDP，端口为443。自适应模式下，SecoClient会优先以“快速传输模式”与VPN网关建立SSL VPN隧道；当快速模式建立失败时，SecoClient会转为使用“可靠传输模式”与VPN网关建立VPN隧道。
2. 如果企业对外提供了多个SSL VPN网关，在SecoClient上启用自动优选功能可以保证用户连接到响应最快的那台VPN网关，减少延迟。

现象描述

SSL VPN拨号成功，但是无法访问公网站点，域名也Ping不通。

可能原因

虚拟网关网络扩展配置了分离路由模式或全路由模式。

Web配置网络扩展时，如果可访问内网网段列表中没有任何网段，网络扩展路由模式则为分离路由模式（network-extension mode split）；如果列表中存在一个或多个网段，网络扩展路由模式为手工路由模式（network-extension mode manual）。 在CLI控制台下执行network-extension mode full，可设置网络扩展路由模式为全路由模式，这个模式通过Web无法配置。

当网络扩展路由模式为分离路由模式或全路由模式时，用户拨号SSL VPN之后无法访问公网。

处理步骤

调整网络扩展路由模式为手工路由模式，终端启用网络扩展成功，仅在访问指定的VPN内网网段时，走VPN隧道，访问其它网段（含公网），不走VPN隧道。

现象描述

SecoClient登录成功，运行一段时间，系统告警“您被强制下线，请重新登录！”。

可能原因

1. 管理员强制用户下线。
2. 用户在线老化时间超时下线。

处理步骤

1. 登录VPN网关，选择“监控 > 系统日志”，检查防火墙操作日志，确定是否管理员执行了强制用户下线的动作。
2. 检查虚拟网关会话超时时间配置，以及网络扩展保持连接功能是否开启。

现象描述

SecoClient登录成功，运行一段时间，系统告警“连接断开，请重新登录！”。

可能原因

1. 终端和防火墙中间的链路出现故障。
2. 防火墙或中间链路设备启用了HTTPS攻击防范，且阈值配置低，阻断了真实交互的报文。

处理步骤

1. 排查中间链路。可以尝试换一个拨号环境，测试是否存在相同的问题。
2. 检查防火墙是否配置了HTTPS攻击防范，如果有配置，检查Logbuffer是否有记录丢弃SSL VPN业务报文的日志。

   [sysname] display logbuffer sec-log | incl x.x.x.x:443  //x.x.x.x表示虚拟网关IP地址
   %2018-03-23 12:07:19 SVN5630 %%01SEC/4/ATCKDF(l): AttackType="Https flood attack", slot="0", receive interface="GE1/0/0 ", proto="TCP", temp="1.1.1.1:35042 10.1.1.1:5160 10.1.1.2:41159 10.1.1.3:29902 10.1.1.4:5135 10.1.1.5:27279 10.1.1.6:39425 10.1.1.7:2113 ", dst="x.x.x.x:443 ", begin time="2018-03-23 12:06:54", end time="2018-03-23 12:07:18", total packets="23", max speed="256", User="", Action="discard".

现象描述

移动终端通过SecoClient登录后，拨号提示：无法建立VPN连接，VPN服务器可能无法到达。

可能原因

出现此现象，大概率是由于客户端侧与网关侧使用加密算法不同导致。

处理步骤

从V600R007C20SPC100开始，缺省情况下设备去使能虚拟网关的弱加密算法，此时虚拟网关的加密套件只能使用强加密算法，使用7.0.2.26及其之后版本的SecoClient才能正常登录虚拟网关。

对于7.0.2.26之前的版本，可在网关侧执行v-gateway ssl weak-encryption enable命令使能虚拟网关弱加密算法。

现象描述

移动终端启动网络扩展不成功，PC端可以成功。

可能原因

出现此现象，大概率是由于客户端侧与网关侧使用加密算法不同导致。

处理步骤

从V600R007C20SPC100开始，缺省情况下设备去使能虚拟网关的弱加密算法，此时虚拟网关的加密套件只能使用强加密算法，使用7.0.2.26及其之后版本的SecoClient才能正常登录虚拟网关。

对于7.0.2.26之前的版本，可在网关侧执行v-gateway ssl weak-encryption enable命令使能虚拟网关弱加密算法。

现象描述

终端加入AD域，SSL VPN用户接入一段时间后异常掉线，而不加入AD域，则不会出现掉线。

具体故障现象如下。

• 防火墙上能看到用户下线记录。

  在主墙上查看用户下线记录提示如下。

  HRP_M[HUAWEI] display aaa offline-record username user-name
  2020-09-02 11:46:34.219 -03:00
  ------------------------------------------------------------------------------
    User name             : test001@domain1
    Domain name           : domain1
    User MAC              : -
    User access type      : SSLVPN
    User IP address       : 10.0.91.89
    User IPV6 address     : -
    User ID               : 65915
    User login time       : 2020/09/02 11:44:27
    User offline time     : 2020/09/02 11:46:21
    User offline reason   : User request to offline
    User name to server   : test001

  在备墙上查看用户下线记录提示如下。

  HRP_S[HUAWEI] display aaa offline-record username user-name
  ------------------------------------------------------------------------------
    User name             : test001@domain1
    Domain name           : domain1
    User MAC              : -
    User access type      : SSLVPN
    User IP address       : 10.0.91.89
    User IPV6 address     : -
    User ID               : 65915
    User login time       : 2020/09/02 11:44:28
    User offline time     : 2020/09/02 11:46:21
    User offline reason   : Delete backup user
    User name to server   : test001

• SecoClient客户端日志提示用户下线的原因是被网关侧踢下线。

• 在防火墙上采集调制日志，在用户掉线之前，LAM模块产生CUT_REQ事件。

  HRP_M<HUAWEI-diagnose> debugging swm error
  Sep 14 2020 13:15:49-03:00 FGSTHA00-01 CM/7/DEBUG:
  [UCM-MSG] MSG Recv From:(taskName=LAM, Code=ESAP_SRV_MSG_CUT_REQ, temp=0, Dst=-1, Slot=0)WebAuth:0x0 Vrf:0Reason:29 Vlan:0 VPI/VCI:0/0 AccessType:0TimeoutMsg:0 Mac:0000-0000-0000 IPV6: IP:10.0.91.28.
  Sep 14 2020 13:15:49-03:00 FGSTHA00-01 CM/7/DEBUG:

可能原因

出现上述现象，大概率是由于防火墙上同时配置了SSL VPN和AD单点登录功能（安装ADSSO查询AD服务器安全日志）导致。

终端加入AD域后，SSL VPN用户接入网关后需要连接AD域控制器进行认证（此时AD域控制器会记录安全日志），认证通过后，SSL VPN用户在防火墙上线，SSL VPN用户登录成功。当ADSSO向AD域控制器获取安全日志（内容是SSL VPN账号和虚拟IP地址的对应关系。）后，将安全日志发送给防火墙，防火墙会根据安全日志再次将此用户上线。也就是在此种场景下，同一个用户（同一个账号对应同一个虚拟IP）会两次在防火墙上线，第一次是SSL VPN用户登录过程，SSL VPN用户认证通过后在防火墙上线，第二次是防火墙解析ADSSO发送的安全日志后将用户上线。

但防火墙不支持上述场景，防火墙解析ADSSO发送的安全日志将用户上线时，会将之前已经在线的SSL VPN用户踢下线。

处理步骤

1. 请确认防火墙上是否配置了AD单点登录功能（安装ADSSO查询AD服务器安全日志）功能，如果是，请执行后续步骤。如果没有配置AD单点登录功能，请联系华为技术支持工程师。
2. 在防火墙配置源NAT策略。

   针对SSL VPN用户请求域控服务器的认证数据流配置源NAT策略。配置后，SSL VPN用户和域控服务器之间没有直接交互。AD域控制器上产生的安全日志，其用户的源IP地址不再是SSL VPN拨号获得的虚拟IP地址，而是防火墙内网接口IP地址。这样防火墙解析ADSSO发送的安全日志将用户上线时，不会将之前已经在线的SSL VPN用户踢下线。

   1. 选择“策略 > NAT策略 > NAT策略”。
   2. 单击“新建”，配置源NAT策略。

      假设SSL VPN用户的虚拟地址为10.2.0.0/16，AD域控制器的地址为10.10.10.3。

现象描述

如下图所示，网络扩展下配置“手动路由模式”，在“可访问内网网段列表”中新增网段“10.253.1.0/24”。用户下线并重新拨号后，无法访问新增网段10.253.1.0/24。

可能原因

出现上述现象，大概率是由于设备没有向终端下发到新增网段的路由导致。

处理步骤

1. 在终端执行route PRINT命令检查是否存在到新增网段的路由。如果不存在执行后续步骤，如果存在请联系华为技术支持工程师。

   C:\Users\XXX> route PRINT
   
   IPv4路由表
   ===============================================================================
   活动路由：
         网路目标          网络掩码            网关               接口      跃点数
          0.0.0.0           0.0.0.0    10.174.104.1     10.174.105.158          25
     10.174.104.0     255.255.252.0        在链路上     10.174.105.158         281
   10.174.105.158   255.255.252.255        在链路上     10.174.105.158         281
   10.174.105.255   255.255.252.255        在链路上     10.174.105.158         281   

2. 按照如下步骤检查用户组下是否配置了路由模式，新增网段是否包含在“可访问内网网段列表”中，如果配置了路由模式，且新增网段没有包含在“可访问内网网段列表”中，请执行后续步骤。

   如下图所示，用户组下配置了路由模式，且新增网段没有包含在“可访问内网网段列表”中。只要用户组下配置了路由模式，则在网络扩展下配置的路由模式无效。

3. 在用户组下新增可访问内网网段。

4. 用户重新登录后检查本地路由，检查到用户组下新增的可访问内网网段已下发到终端，终端用户也能正常访问该网段的资源。

   IPv4路由表
   ===============================================================================
   活动路由：
       网路目标          网络掩码            网关             接口         跃点数
        0.0.0.0          0.0.0.0            90.x.x.x        90.x.x.x          281
        0.0.0.0          0.0.0.0            17.1.1.1        17.1.1.2          271
    10.253.1.0     255.255.255.0         在链路上    192.168.202.4         1
   10.253.1.255     255.255.255.255         在链路上     192.168.202.4       257  

现象描述

Windows XP/2003操作系统下，使用浏览器访问SSL虚拟网关时，提示“无法打开此页面”。

可能原因

Windows XP/2003操作系统默认不启动TLS协议，也不支持AES加密算法和SHA2认证算法。

处理步骤

1. 对于XP SP3操作系统。

   在浏览器上勾选上TLS1.0选项，另外虚拟网关上也要需启用TLS1.0协议，并启用des-cbc3-sha或des-cbc-sha加密套件。

   以IE浏览器为例，打开IE浏览器，在浏览器右上角选择“Internet选项”，然后选择“高级”页签。

   同时，在虚拟网关上也勾选上TLS1.0和对应的加密套件。

2. 对于XP SP2及SP2以下的操作系统。

   制作一本sha1WithRSAEncryption签名算法的服务器证书，导入虚拟网关作为设备证书。

现象描述

打开浏览器访问SSL VPN网关地址，浏览器提示“此网站的安全证书存在问题”。

可能原因

1. 终端没有安装虚拟网关本地证书对应的CA证书。
2. 虚拟网关本地证书的通用名与访问虚拟网关的IP地址或域名不一致。

处理步骤

可以通过如下两种方法申请或制作本地证书和CA证书，并将本地证书和CA证书导入到防火墙中。

方法一：使用证书制作工具（如xca），制作本地证书和CA证书，在制作本地证书时，必须将Common name字段设置为虚拟网关的IP地址或域名。CA证书需要安装在终端上，才能消除证书安全告警。

方法二：向知名证书颁发机构申请本地证书。可以向证书颁发机构提供虚拟网关的IP地址或域名，用于颁发本地证书，也可以在防火墙上制作证书请求，并拿此证书请求文件去申请本地证书。制作证书请求时，“公用名”必须设置为虚拟网关的IP地址或域名。

现象描述

虚拟网关配置证书认证。 在SSL VPN登录页面选择用户证书，单击“登录”，页面提示“您的证书验证非法，请提供合法的证书！”。

可能原因

1. 用户IE浏览器中的SSL协议启用了SSL 2.0。
2. 用户证书不是由防火墙虚拟网关客户端CA证书的根证书签名颁发。

3. 安装在终端上的用户证书，没有携带私钥信息。
4. 防火墙设备的系统时间、时区，不在用户证书的有效期范围之内。

5. 用户证书被防火墙配置的CRL（证书吊销列表）或OCSP（在线证书状态协议）吊销。

处理步骤

1. 禁用用户IE浏览器的SSL协议“SSL 2.0”。

2. 检查用户证书的“颁发者”字段，是否和防火墙虚拟网关客户端CA证书的“颁发给”字段一致。
3. 检查用户证书，是否有对应的私钥。

4. 检查防火墙的时间、时区配置是否正确，以及是否在用户证书的有效期范围之内。
5. 检查防火墙是否配置了CRL或OCSP，如果是，取消该配置，观察效果。如果开启了CRL验证功能，但是没有配置CRL，证书认证也会失败。

现象描述

用户在Windows XP/Server 2003/VISTA操作系统下，使用浏览器登录SSL VPN，系统提示“SVNCMgr.exe应用程序初始化（0xc0150002）失败”。

可能原因

1. XP/Server 2003操作系统没有自带VS2005运行库，需要安装指定的运行库才能运行SVN客户端控件。
2. VISTA操作系统不能运行自带的VS2008运行库，需要安装指定的运行库才能运行SVN客户端控件。

处理步骤

XP/Server 2003 64位操作系统需要安装Microsoft Visual C++ 2005 Redistributable X64运行库。

XP/Server 2003 32位操作系统需要安装Microsoft Visual C++ 2005 Redistributable X86运行库。

VISTA 64位操作系统需要安装Microsoft Visual C++ 2008 Redistributable X64运行库。

VISTA 32位操作系统安装Microsoft Visual C++ 2008 Redistributable X86 运行库。

现象描述

用户使用IE浏览器访问SSL VPN虚拟网关，登录页面无法正常显示，停留在转圈画面中，如下图。

可能原因

客户端控件被IE浏览器安全设置阻断。

处理步骤

将虚拟网关站点的URL加入“Internet选项 > 安全 > 受信任站点”。

现象描述

在虚拟网关采用证书认证的情况下，用户在 SSL VPN虚拟网关登录页面，无法找到预期的用户证书。

可能原因

1. 用户证书的密钥用法没有包含“Digital Signature”（数字签名）。

2. USB-Key驱动程序存在问题。
3. 终端系统时间不在用户证书的有效期范围内。
4. 防火墙SSL VPN配置了客户端证书过滤（符合指定条件的用户证书才会显示在SSL VPN登录页面上）。
5. 使用了非IE内核的浏览器访问SSL VPN。

处理步骤

1. 重新制作一本密钥用法带“数字签名”的用户证书。
2. 重装USB-Key驱动程序。

3. 检查终端系统时间，是否在用户证书的有效期范围内。
4. 检查防火墙虚拟网关配置，是否配置了客户端证书过滤。

5. 检查是否使用IE内核的浏览器访问的SSL VPN。

现象描述

企业网络如下图所示，出差员工通过SSL VPN访问公司内部的服务器。ERP系统中存在两个子链接，分别链接到用户系统和报销系统。

在防火墙上配置ERP系统站点的Web-Link资源，测试SSL VPN登录后，能看到这条资源，点击可以打开ERP系统，但点击子链接无法打开用户系统和报销系统。

ERP系统链接：http://10.2.0.10:8080

用户系统链接：http://10.2.0.10:8081

报销系统链接：http://10.2.0.11

可能原因

Web-link采用端口转发的技术实现，最小限度放行公网对内网服务器的访问权限（保护内网的安全性）。仅当用户访问内网站点的URL和配置Web-Link资源的URL相同或属于其子集时，报文才会被Web-Link控件截获走VPN隧道。例子中配置Web-Link资源的URL为http://10.2.0.10:8080，这种情况下访问http://10.2.0.10:8081和http://10.2.0.11的报文都会因为不匹配Web-Link资源URL而不走VPN隧道。

在终端物理网卡上抓包，可看到直接发往10.2.0.10:8081和10.2.0.11的明文报文，而走VPN隧道的报文是加密的，且目的地址是防火墙网关。

处理步骤

为了使用户访问用户系统和报销系统的流量也走SSL VPN隧道访，需要为这些URL配置Web-Link资源。不勾选“门户链接”的“显示”选项，用户在虚拟网关的资源列表中就看不到这个资源，但是通过ERP系统的页面可以访问这个资源。

在该角色的资源授权列表中，将上面新建隐藏的Web-Link资源添加进来。

现象描述

浏览器登录SSL VPN，启用网络扩展失败，提示“建立代理环境失败！”，弹出自动重连提示框。

可能原因

1. PC上安装的防火墙软件阻止网络扩展系统服务程序NemService和虚拟网关/代理服务器之间建立SSL连接。
2. PC上安装的防火墙软件提示用户“允许”或者“阻止”网络扩展系统服务程序NemService连接到网络时，用户没有在指定时间内选择“允许”或者选择了“阻止”。

处理步骤

1. 修改PC上防火墙的配置，将“%appdata%\svnclient\NemService.exe”(软件的缺省安装路径)添加到防火墙软件允许连接到网络的软件列表中。
2. 当防火墙软件提示用户“允许”或者“阻止”网络扩展系统服务程序NemService连接到网络时,请在指定时间内选择“允许”。

现象描述

浏览器登录SSL VPN，启动网络扩展失败，提示“启动网络扩展服务失败”。

可能原因

1. 用户PC操作系统的DHCP Client服务未启用。
2. 用户PC操作系统的Interactive Services Detection服务未启用。

处理步骤

1. 打开DHCP Client服务的方法如下：
   1. 在“开始 > 运行”中，输入services.msc命令，单击“确定”，进入服务窗口。
   2. 在服务列表中找到DHCP Client服务，右键单击“DHCP Client”，选择“启用”。
2. 启用Interactive Services Detection服务的方法如下：
   1. 单击“开始”，在运行框中输入services.msc，按回车键。
   2. 找到Interactive Services Detection服务，然后双击。
   3. 启动类型选择“启动”，单击“确定”。
   4. 执行netsh winsock reset，重置winsock。
   5. 重启电脑生效。

现象描述

浏览器登录SSL VPN虚拟网关并启用网络扩展成功，访问内网资源卡顿，Ping内网延迟大。

可能原因

浏览器和SSL VPN网关之间采用的不是快速传输模式。

SSL VPN网络扩展有两种VPN报文封装模式，可靠传输模式和快速传输模式。两者的区别是底层传输协议不同，可靠传输模式采用的是TCP协议，快速传输模式采用的是UDP协议。相比可靠传输协议，快速传输协议传输的速度更快，用户感知也快些。自适应模式，就是在拨号过程中对链路进行探测，决定最终采用快速模式还是可靠模式传输业务数据。使用浏览器登录SSL VPN启用网络扩展，缺省使用“自适应模式”，且不可配置。

处理步骤

为了使浏览器和SSL VPN虚拟网关之间能够采用快速模式传输，需要确保终端访问SSL VPN虚拟网关的UDP协议和443端口被放行。如果SSL VPN虚拟网关是防火墙自身，需放行untrust到local域间的udp协议和443端口的报文。如果SSL VPN虚拟网关在内网，外层有NAT设备，则需要在NAT设备上配置UDP协议和443端口的NAT映射。

现象描述

对于命中了安全策略的SSL VPN用户，对应的安全策略动作失效。例如，配置了一条安全策略，禁止SSL VPN用户user1访问10.1.1.1地址，但user1用户仍然可以访问10.1.1.1地址，即安全策略未起作用。

可能原因

SSL VPN用户登录成功后，访问内网资源的数据流进行安全策略匹配时是不带用户信息的。如果要将IP转换成用户信息，实现基于用户/用户组的管控，必须配置认证策略。

处理步骤

配置SSL VPN访问内网资源的认证策略，配置方法如下。

命令行方式：

auth-policy
 rule name sslvpn_auth
  source-zone untrust
  destination-zone dmz
  source-address 10.0.100.0 mask 255.255.255.0    //SSL VPN用户地址池
  action exempt-auth

现象描述

浏览器登录SSL VPN启用网络扩展，一段时间后弹框提示“对不起，您的VPN会话由于超时或网络问题已断开，如继续使用，请重新登录”。

可能原因

1. 管理员强制用户下线。
2. 用户在线老化时间超时下线。

3. 终端和防火墙之间的链路出现了故障。

处理步骤

排查终端和防火墙之间的链路是否有故障。

如果链路正常，根据客户的业务要求，调整虚拟网关配置。

1. 提高SSL会话超时时间（缺省5分钟）。

2. 启用网络扩展的“保持连接”功能，除非用户生命周期（缺省1440分钟，可修改）到达，否则用户不会空闲下线。

   在全路由模式和分离模式下，SSL VPN虚拟网关会发一些广播报文，因为一直有这些广播报文，所以用户不会老化。

现象描述

使用浏览器登录SSL VPN虚拟网关，访问文件共享资源，输入用户名/密码登录，系统报错“访问失败，服务器问题，请与管理员联系”。

可能原因

1. 输入了SSL VPN的登录账号，而非共享文件夹所在操作系统的登录账号。
2. 共享文件夹所在操作系统限制。

处理步骤

1. 文件共享登录时，输入共享文件夹所在操作系统的登录账号和密码。
2. 调整共享文件夹所在操作系统网卡接口的NetBIOS设置，选择“禁用TCP/IP上的NetBIOS(S)”。

现象描述

在SSL VPN虚拟网关已经配置了网络扩展，角色也启用了网络扩展业务的情况下，终端用户使用Firefox、Chrome或浏览器极速模式访问登录SSL VPN虚拟网关，看不到网络扩展“启动”按钮。而换成IE浏览器登录，则可以看到。

可能原因

SSL VPN包含Web代理、文件共享、端口转发、网络扩展四个子特性，其中Web代理又细分为Web改写和Web-link两种。 这些子特性中，Web-link、端口转发、网络扩展这些子特性依赖于客户端控件，需要浏览器安装运行控件才能使用；而Web改写、文件共享两个子特性不依赖于客户端控件，只要是浏览器就可以使用。

目前，SSL VPN客户端控件仅支持在IE内核的浏览器（多核浏览器兼容模式使用IE内核）上加载。所以Firefox、Chrome这些非IE内核的浏览器登录SSL VPN，仅能看到Web改写资源和文件共享资源，网络扩展资源就看不到。不同浏览器支持的内核请参见SSL VPN控件支持浏览器的情况如何。

处理步骤

1. 使用IE内核浏览器登录SSL VPN虚拟网关。
2. 使用SecoClient的SSL VPN拨号。

现象描述

在SSL VPN虚拟网关已经配置了网络扩展，角色也启用了网络扩展业务的情况下，终端用户使用操作系统自带的Safari浏览器访问登录SSL VPN，页面中看不到网络扩展“启动”按钮。

可能原因

SSL VPN包含Web代理、文件共享、端口转发、网络扩展四个子特性，其中Web代理又细分为Web改写和Web-link两种。 这些子特性中，Web-link、端口转发、网络扩展这些子特性依赖于客户端控件，需要浏览器安装运行客户端控件才能使用；而Web改写、文件共享两个子特性不依赖于客户端控件，只要是浏览器就可以使用。

目前，SSL VPN客户端控件仅支持在IE内核的浏览器（多核浏览器兼容模式使用IE内核）上加载运行。 Safari浏览器使用非IE内核，所以，登录SSL VPN仅能看到Web改写资源和文件共享资源，其它特性看不到。

处理步骤

安装并使用SecoClient拨号SSL VPN。

现象描述

用户使用手机自带的浏览器访问SSL VPN虚拟网关，输入用户名/密码登录成功后，看不到资源列表。使用PC上的浏览器登录，可以看到资源列表。

可能原因

Web代理手机页面使用了旧的Frame框架技术，而新的手机操作系统（Android 4.2之后、iOS 5之后）不再支持该框架技术。

处理步骤

• 使用手机系统自带的L2TP over IPSec功能，代替SSL VPN功能。
• 在手机上安装SecoClient，通过SecoClient网络扩展的方式接入内网。

现象描述

拨号成功后，无法访问内部服务器网络资源。

可能原因

1. 网络扩展启动后没有正常获取虚拟IP地址。
2. 防火墙与内网服务器的网络连接不正常。
3. 防火墙上配置的安全策略禁止了用户访问内网服务器。
4. 网络扩展路由网段没有包含内网服务器地址。
5. 内网服务器服务没有开启。
6. 防火墙会话表对应表项没有建立。

处理步骤

1. 检查网络扩展启动后是否正常获取虚拟IP地址。
   执行ipconfig /all查看是否有虚拟网卡和虚IP地址，如果没有获取虚拟IP则网络扩展是没有启动成功，请尝试重新启动。

   C:\Users\Administrator> ipconfig /all
    以太网适配器 本地连接: 
    连接特定的 DNS 后缀 . . . . . . . : 
    描述. . . . . . . . . . . . . . . : SVN Adapter V1.0     //虚拟网卡名称 
    物理地址. . . . . . . . . . . . . : 00-FF-72-FA-CA-EE 
    DHCP 已启用 . . . . . . . . . . . : 否 
    自动配置已启用. . . . . . . . . . : 是 
    本地链接 IPv6 地址. . . . . . . . : xxxx-xxxx-xxxx(首选) 
    IPv4 地址 . . . . . . . . . . . . : 10.100.101.24(首选)     //虚拟IP地址 
    子网掩码  . . . . . . . . . . . . : 255.255.255.0 
    默认网关. . . . . . . . . . . . . : 
    DHCPv6 IAID . . . . . . . . . . . : 570490738 
    DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-1B-FB-7F-50-00-0C-29-AD-32-AC 
    DNS 服务器  . . . . . . . . . . . : xxxx-xxxx-xxxx 
                                          xxxx-xxxx-xxxx 
                                          xxxx-xxxx-xxxx 
    TCPIP 上的 NetBIOS  . . . . . . . : 已启用

2. 检查防火墙和内网服务器的网络连接是否路由可达。
   1. 在防火墙上Ping内网服务器，在内网服务器未禁Ping的情况下，如果不能Ping通，说明SSL VPN网关和内网服务器之间的网络存在问题，请检查网关和内网服务器之间的连线。

      [HUAWEI] ping 192.168.11.191
      Ping 192.168.11.191: 56 data bytes, press CTRL_C to break 
      Request time out 
      Request time out 
      Request time out 
      Request time out 
      Request time out 
      ---192.168.11.191 ping statistics --- 
      5 packet(s) transmitted 
      0 packet(s) received 
      100.00% packet loss     //防火墙和内网服务器的线路不通

   2. 若连接线路正常，执行命令display fib 192.168.11.191检查防火墙是否有到内网服务器的路由。如果没有，添加一条静态路由。

      [HUAWEI] display fib 192.168.11.191 
       Route Entry Count: 0     //没有到内网服务器的路由 
       
      [HUAWEI] ip route-static 192.168.11.0 24 172.21.1.1     //配置到内网服务器地址段的静态路由

   3. 检查内网服务器、防火墙和内网服务器之间的路由设备，是否有到网络扩展虚拟IP地址的路由。如果没有，请添加。
3. 检查防火墙的安全策略，是否禁止了用户访问服务器资源。
   1. 执行命令display current-configuration configuration policy-security检查安全策略的配置，是否放行虚拟IP访问内网服务器资源的请求。如果没有，请参照以下显示添加或修改安全策略。

      虚拟IP地址段所在的安全区域，防火墙自动选择SSL VPN拨号公网接口所在的安全区域作为虚拟IP地址段的安全区域。

      <HUAWEI> display current-configuration configuration policy-security
       security-policy 
       rule name SSLVPN     //配置虚拟IP地址段到内网服务器地址段的安全策略 
       source-zone untrust     //虚拟IP地址段所属的安全区域 
       destination-zone trust     //内网服务器所属的安全区域 
       source-address address-set source_vip     //虚拟IP地址段 
       destination-address address-set server_ip     //内网服务器地址段 
       action permit

   2. 检查安全策略是否关联了用户或用户所属的组。如果已关联，则必须配置认证策略。执行命令display current-configuration configuration policy-auth检查是否配置了相应的认证策略，如果没有认证策略，请参照如下显示配置认证策略。

      <HUAWEI> display current-configuration configuration policy-security
       rule name SSLVPN     //配置虚拟IP地址段到内网服务器地址段的安全策略
       source-zone untrust     //虚拟IP地址段所属的安全区域 
       destination-zone trust     //内网服务器所属的安全区域 
       source-address address-set source_vip     //虚拟IP地址段 
       destination-address address-set server_ip     //内网服务器地址段 
       user /default/group1     //安全策略关联了用户组 
       user /default/group2/user001     //安全策略关联了用户 
       action permit 
       
      <HUAWEI> display current-configuration configuration policy-auth 
       auth-policy 
       rule name sslvpn     //配置虚拟IP地址段到内网服务器地址段的认证策略 
       source-zone untrust 
       destination-zone trust 
       source-address address-set source_vip     //虚拟IP地址段 
       destination-address address-set server_ip     //内网服务器地址段 
       action auth

4. 检查SSL VPN网络扩展路由网段，是否包含内网服务器资源的地址。
   1. 执行display network-extension命令检查网络扩展客户端路由模式。

      <HUAWEI> system 
      [HUAWEI] v-gateway gateway 
      [HUAWEI-gateway] service 
      [HUAWEI-gateway-service] display network-extension 
        VG Network Extension Information                                               
        ----------------------------                                                   
        Network Extension State:    enable                                             
        Keep Alive State:           enable    
        Keep Alive Interval:        120(seconds)                                               
        Log State:                  disable 
        Point to Point State:       disable                                            
        VIP Method:                 net pool assign    
        default net pool:           10.1.1.1                                     
        Route Mode:                 split                                              
        ----------------------------                                                   
        Virtual IP Pool:                                                                                               
        NO.       Start-IP            End-IP              Mask              Alias       
        ------------------------------------------------------------------------       
        1         10.1.1.1            10.1.1.10           255.255.255.0     10.1.1.1         
        ------------------------------------------------------------------------ 

      full：全路由模式；split：分离模式；manual：手动模式。

      • 全路由模式下，无论是访问什么资源，数据一概被虚拟网卡截获，转发给虚拟网关处理。
      • 分离模式下，客户端发送给内网的数据，经系统路由表识别以后，交由虚拟网卡转发，其源IP赋值为虚拟IP。而访问本地子网的数据则交由真实网卡转发，源IP赋值为真实的IP。由此，网络扩展只转发前往内网的数据。同时，分离模式也把不是访问本地子网资源的其他数据经过虚拟网卡转发。
      • 手动模式下，在FW端，管理员必须手动配置内网网段静态路由，然后在客户端识别前往该网段的数据，交由虚拟网卡转发。
      • 如果客户端路由模式为“手动路由模式”，执行命令display current-configuration configuration v-gateway检查手动路由网段是否包含了内网服务器的地址。如果不包含，请执行network-extension manual-route命令将内网服务器地址所在的网段添加到手动路由网段内。

        [HUAWEI] display current-configuration configuration v-gateway  
        15:41:36  2016/06/16 
        # 
        #****BEGIN***tac**1****# 
        v-gateway tac 
        service   
        network-extension enable 
        network-extension keep-alive enable 
        network-extension keep-alive interval 120 
        network-extension netpool 10.100.10.100 10.100.10.200 255.255.255.0     //虚拟IP地址段1 
        network-extension netpool 10.100.20.1 10.100.20.254 255.255.254.0     //虚拟IP地址段2 
        netpool 10.100.10.1 default 
        network-extension mode manual     //客户端路由模式 
        network-extension manual-route 172.16.0.0 255.255.0.0     //手动路由网段1 
        network-extension manual-route 192.168.11.191 255.255.255.255     //手动路由网段2

5. 检查内网服务器服务是否开启。
   1. 请客户在企业内网尝试访问内网服务器，是否访问正常。如果访问也异常，则检查服务器服务是否开启。
   2. 请客户确定内网服务器是否对访问来源的IP地址做了限制。如果有限制，则放开虚拟IP地址池的限制。
6. 检查防火墙的会话表，确定对应表项是否建立。

   通过display firewall session table verbose source global 虚拟IP destination global 内网服务器IP，检查对应的会话表项是否存在。

   如果会话表项不存在，可能的原因如下，请根据不同原因排查。

   • 访问报文没有到达防火墙。
   • 访问报文被防火墙安全策略丢包。
   • 防火墙没有到内网服务器的路由。
   • 防火墙防攻击策略导致丢包，例如IP spoofing。

   如果会话表项存在，但是服务器响应报文数量为0，可能的原因：服务器服务未开启，中间设备没有到虚拟IP地址段的路由。

   <HUAWEI> display firewall session table verbose source global 10.100.10.100 destination global 192.168.10.100  
   http VPN:public --> public ID: a48f3fdcb655030b65720d507   
   Zone: untrust--> trust TTL: 24:00:00 Left: 23:59:59    
   Recv Interface: GigabitEthernet1/0/7 
   Interface: GigabitEthernet1/0/0 NextHop: 192.168.10.1 MAC: 00-e0-fc-12-34-56   
   <--packets:9 bytes:8772 -->packets:8 bytes:728    //8表示发送给服务器报文的数量，9表示服务器响应报文数量 
   10.100.10.100:63334-->192.168.10.100:80 PolicyName: SSLVPN

现象描述

拨号成功后，无法访问内部Web代理资源。

可能原因

1. Web改写配置，没有包含内网服务器资源。
2. 防火墙上配置的安全策略禁止了用户访问服务器资源。
3. 防火墙和内网服务器的网络连接不可达。
4. 内网服务器服务未开启。
5. 防火墙会话表的对应表项没有建立。

处理步骤

1. 检查SSL VPN的Web改写配置，是否包含内网服务器资源。
   1. 执行display web-proxy resource命令检查Web代理资源，查看Web改写或者web-link的资源是否与内网服务器一致，如果内网http服务器的端口号不是80需要在资源配置上加上端口号。如果不一致请修改Web代理配置。

      <system> system 
      [HUAWEI] v-gateway gateway 
      [HUAWEI-gateway] service 
      [HUAWEI-gateway-service] display web-proxy resource 
       VG Web Rewrite Resource Lists 
       ------------------------------------------------------------------------------- 
       No.    ResourceAlias   ResourceURL                   Link ResourceDescription 
       ------------------------------------------------------------------------------- 
       1      http1           http://192.168.10.100          show -                   
       ------------------------------------------------------------------------------- 
       ----End 
       
       VG Web Link Resource List 
       ------------------------------------------------------------------------------- 
       No.    ResourceAlias   ResourceURL                   Link ResourceDescription 
       ------------------------------------------------------------------------------- 
       1      http2           http://192.168.10.200          show -                

   2. 检查角色是否开启了Web代理功能，执行命令display current-configuration configuration v-gateway检查当前绑定的角色是否开启了Web改写资源。

      [HUAWEI] display current-configuration configuration v-gateway  
       v-gateway tac 
       service 
       web-proxy enable 
       web-proxy web-link enable 
       web-proxy proxy-resource http1 http://192.168.1.100 show-link 
       web-proxy link-resource http2 http://192.168.1.200 show-link 
       role 
       role default 
       role default condition all 
       role default network-extension enable 
       role default web-proxy  enable    //default角色开启了Web改写资源

2. 检查防火墙的安全策略，是否禁止了用户访问服务器资源。

   执行命令display current-configuration configuration policy-security检查安全策略的配置，是否放行虚拟IP访问内网服务器资源的请求。如果没有，则参照以下显示添加或修改安全策略。

   [HUAWEI] display current-configuration configuration policy-security 
    security-policy 
    rule name SSLVPN     //配置安全策略 
    source-zone local     //源安全区域固定为local 
    destination-zone trust     //内网服务器所属的安全区域 
    destination-address address-set server_ip  //内网服务器Web代理资源的地址
    action permit

3. 检查防火墙和内网Web代理服务器的网络连接，是否路由可达。
   1. 在防火墙上Ping内网服务器，在内网服务器未禁Ping的情况下，如果不能Ping通，说明SSL VPN网关和内网服务器之间的网络存在问题，请检查网关和内网服务器之间的连线。

      [HUAWEI] ping 192.168.11.191 
      Ping 192.168.11.191: 56 data bytes, press CTRL_C to break 
      Request time out 
      Request time out 
      Request time out 
      Request time out 
      Request time out 
      
      ---192.168.11.191 ping statistics --- 
      5 packet(s) transmitted 
      0 packet(s) received 
      100.00% packet loss     //防火墙和内网服务器的线路不通

   2. 若连接线路正常，执行命令display fib检查防火墙是否有到内网服务器的路由。如果没有，添加一条静态路由。

      [HUAWEI] display fib 192.168.11.191 
       Route Entry Count: 0     //没有到内网服务器的路由 
      [HUAWEI] ip route-static 192.168.11.0 24 172.21.1.1     //配置到内网服务器地址段的静态路由

4. 检查内网服务器服务是否开启。
   1. 请客户在企业内网尝试访问内网服务器，是否访问正常。如果访问也异常，则检查服务器服务是否开启。
   2. 请客户确定内网服务器是否对访问来源的IP地址做了限制。如果有限制，则放开限制。
5. 检查防火墙的会话表，确定对应表项是否建立。

   通过display firewall session table verbose destination global 内网服务器IP ，检查对应的会话表项是否存在。

   如果会话表项不存在，可能的原因：访问报文没有到达防火墙，访问报文被防火墙安全策略丢包，防火墙没有到内网服务器的路由。请根据不同原因排查。

   如果会话表项存在，但是服务器响应的后向报文数量为0，可能的原因：服务器服务未开启，中间设备没有到防火墙地址的路由。

   <HUAWEI> display firewall session table verbose destination global 192.168.10.100 
   http VPN:public --> public ID: a48f3fdcb655030b65720d507   
   Zone: untrust--> trust TTL: 24:00:00 Left: 23:59:59    
   Recv Interface: GigabitEthernet1/0/7 
   Interface: GigabitEthernet1/0/0 NextHop: 192.168.10.1 MAC: 00-e0-fc-12-34-56   
   <--packets:9 bytes:8772 -->packets:8 bytes:728    //8表示发送给服务器前向报文的数量， 9表示服务器响应的后向报文数量 
   10.100.10.100:63334-->192.168.10.100:80 PolicyName: SSLVPN

现象描述

拨号成功后，无法访问内部端口转发资源。

可能原因

1. SSL VPN端口转发配置，没有包含内网服务器资源。
2. 防火墙上配置的安全策略禁止了用户访问服务器资源。
3. 防火墙和内网服务器的网络连接不可达。
4. 内网服务器服务没有开启。
5. 防火墙会话表的对应表项没有建立。

处理步骤

1. 检查SSL VPN端口转发配置，是否包含内网服务器资源。
   1. 执行display port-forwarding resource命令检查端口转发资源。如果不正确请重新配置。

      <system> system 
      [HUAWEI] v-gateway gateway 
      [HUAWEI-gateway] service 
      [HUAWEI-gateway-service] display port-forwarding resource 
       VG Port Forwarding Resource Lists 
       ------------------------------------------------------------------------------ 
       
       No.    ResourceAlias   Resource         Port  ResourceDescription 
       ------------------------------------------------------------------------------ 
       1      http            192.168.1.100    8080  -                 
       ------------------------------------------------------------------------------ 

   2. 检查角色是否开启了端口转发功能，执行命令display current-configuration configuration v-gateway检查当前绑定的角色是否开启了端口转发资源。

      [HUAWEI] display current-configuration configuration v-gateway  
       v-gateway tac 
       service 
       port-forwarding enable 
       port-forwarding auto-start enable 
       port-forwarding resource http host-ip 192.168.1.100 8080 
       role 
       role default 
       role default condition all 
       role default network-extension enable 
       role default port-forwarding enable     //default角色开启了端口转发资源

2. 检查防火墙的安全策略，是否禁止了用户访问服务器资源。

   执行命令display current-configuration configuration policy-security检查安全策略的配置，是否放行虚拟IP访问内网服务器资源的请求。如果没有，则添加或修改安全策略放行。

   [HUAWEI] display current-configuration configuration policy-security 
    security-policy 
    rule name SSLVPN     //配置安全策略 
    source-zone local     //源安全区域固定为local 
    destination-zone trust    //内网服务器所属的安全区域 
    destination-address address-set server_ip  //内网服务器端口转发的地址
    action permit

3. 检查防火墙和内网端口转发服务器的网络连接，是否路由可达。
   1. 在防火墙上Ping内网服务器，在内网服务器未禁Ping的情况下，如果不能Ping通，说明SSL VPN网关和内网服务器之间的网络存在问题，请检查网关和内网服务器之间的连线。

      [HUAWEI] ping 192.168.11.191 
      Ping 192.168.11.191: 56 data bytes, press CTRL_C to break 
      Request time out 
      Request time out 
      Request time out 
      Request time out 
      Request time out 
      
      ---192.168.11.191 ping statistics --- 
      5 packet(s) transmitted 
      0 packet(s) received 
      100.00% packet loss     //防火墙和内网服务器的线路不通

   2. 若连接线路正常，执行命令display fib检查防火墙是否有到内网服务器的路由。如果没有，添加一条静态路由。

      [HUAWEI] display fib 192.168.11.191 
       Route Entry Count: 0     //没有到内网服务器的路由 
      [HUAWEI] ip route-static 192.168.11.0 24 172.21.1.1     //配置到内网服务器地址段的静态路由

4. 检查内网服务器服务是否开启。
   1. 请客户在企业内网尝试访问内网服务器，是否访问正常。如果访问也异常，则检查服务器服务是否开启。
   2. 请客户确定内网服务器是否对访问来源的IP地址做了限制。如果有限制，则放开限制。
5. 检查防火墙的会话表，确定对应表项是否建立。

   通过display firewall session table verbose destination global 内网服务器IP ，检查对应的会话表项是否存在。

   如果会话表项不存在，可能的原因：访问报文没有到达防火墙，访问报文被防火墙安全策略丢包，防火墙没有到内网服务器的路由。请根据不同原因排查。

   如果会话表项存在，但是服务器响应的后向报文数量为0，可能的原因：服务器服务未开启，中间设备没有到防火墙地址的路由。

   <HUAWEI> display firewall session table verbose destination global 192.168.10.100 
   http VPN:public --> public ID: a48f3fdcb655030b65720d507   
   Zone: untrust--> trust TTL: 24:00:00 Left: 23:59:59    
   Recv Interface: GigabitEthernet1/0/7 
   Interface: GigabitEthernet1/0/0 NextHop: 192.168.10.1 MAC: 00-e0-fc-12-34-56   
   <--packets:9 bytes:8772 -->packets:8 bytes:728    //8表示发送给服务器前向报文的数量， 9表示服务器响应的后向报文数量 
   10.100.10.100:63334-->192.168.10.100:80 PolicyName: SSLVPN