服务体系介绍

   安徽上下数据科技有限公司总部位于合肥，公司自主研发的安端服务助手有完善的跟踪售后服程流程，用高素质的服务队伍，以亲和的服务态度、统一的服务形象、专业的服务水平为客户实现高效、主动、立体、专业的服务理念。

服务宗旨：为用户提供全方位的快捷服务与支持；保障用户设备运行稳定，提高用户网络管理的整体效能；帮助用户充分利用网络资源；提高工作效率，避免法律风险等；从而提升用户网络的安全级别。

技术支持服务形式

• 电话支持

可通过服务热线电话0551-65220080与我们联系，获取项目咨询、故障诊断等指导性技术服务。不论本市或异地均能做到7*24小时即时满意的答复。

• 邮件支持

可通过邮件发往sunkouxia@sxrj8.com方式获得7*24小时及时回复。

• 远程支持

当电话支持不方便解决问题或故障情况比较复杂时，由我公司的技术人员在用户方的协助下，通过异地远程登录方式，进行问题诊断分析，提供排查故障，解答问题的服务。

• 现场支持

当设备发生故障或者问题调试定位需要现场人员配合时，我们会安排人员赶赴现场解决问题。

产品问答

——边界FAQ

假如现在有一个非法外联设备192.168.1.3 访问服务器192.168.10.100

1.边界主要问题:

1.1 主动扫描无数据

原因1：主动扫描程序无正常运行。

检查方法：登录服务端，抓包检验。

步骤：关闭主动扫描，在服务端抓包，指令：tcpdump -i eth4 host + 外联告警服务器地址，然后开启主动扫描，如果能正常抓包则正常。如果抓不到包，看原因2，如果原因2也无法解释，则联系研发人员

原因2：主动扫描程序选择了仅扫描存在设备。

该功能需要配合资产扫描才可以使用，如果不开启资产扫描则扫描空IP。

原因3：扫描范围过大，扫描速率过慢。

扫描速度只有1000个IP 1分钟，但是扫描了亿级单位，所以扫描间隔过长无数据。

原因4：扫描包无法到达终端，中间防火墙阻断等。

检查方法：找下级IP段的终端，在终端上用wireshark抓包，看看能不能抓到来自服务端的扫描包，过滤条件筛选外联告警服务器地址即可。

原因5：主动扫描需要软件弹包到外联告警服务器，可能客户端的环境相对干净无多余软件。

1.2 镜像劫持无数据

原因1：镜像流量不全。

检查方法：

32位网关：直接在网关tcpdump抓包你的电脑流量，然后电脑访问一个页面查看流量是否存在，在的话则流量正常。同时也查看流量快照中的流量大小是否是正常值

tcpdump  -i  eth0  vlan and src 192.168.1.3 and dst 192.168.10.100 and tcp -XX

或

tcpdump  -i  eth0  src 192.168.1.3 and dst 192.168.10.100 and tcp -XX

然后192.168.1.3 访问 192.168.10.100，查看以上命令是否抓到包，可以抓到证明镜像   正常

同时也查看流量快照中的流量大小是否是正常值

64位网关：远程到网关，

telnet 127.0.0.1

电脑访问页面

show flow source-address + 你的源IP

查看是否有对应数据

原因2：流量数据过大

检查方法：查看流量快照中的流量是否正常。

原因3：镜像口未勾选

检查方法：查看初始化配置

原因4：策略配置错误

该图为正确的一个策略配置。

原因5：部分页面的无法注入劫持包。

1.3 客户端违规外联无数据

原因1：策略未到客户端

抽取几台客户端，通过点对点方式提取策略查看

原因2：策略外联告警地址错误

查看策略是否配置正确。

原因3：外联服务器问题，导致没接收到客户端包。

该问题需要找研发解决。

1.4 客户端线路外联无数据

原因1：策略未到客户端

抽取几台客户端，通过点对点方式提取策略查看

原因2：客户端版本不支持

需要将客户端版本发回研发确认。

1.5 网关端线路外联无数据

原因1：网关的管理口必须接trunk口，如果未接是没有数据的。

1.6外部环境讨论

1.目前在专网我们也在销售，但是专网进行验证的时候，客户的设备并不像GA网，要安装360等软件，往往是相对干净的设备，目前主动扫描，能不能在技术上突破下。

2.关于线路外联排查，希望能够有详细的分类及排查说明文档，比如：

1、插手机的线路外联

2、互联网电脑插GA网网线的线路外联

3、GA网网线和互联网网线混叉在一个交换机的线路外联

另外对于线路外联发生的地点  部门人员较多，接入交换机较多，非常难定位问题，通过查看MAC地址表定位，但是MAC地址表会老化问题，能够有好的解决方法

1.7网络部署导致功能缺失

需要提供网络拓扑图找研发进行查证。

——准入FAQ

假如现在有一个非法设备192.168.1.3 访问服务器192.168.10.100

X工有对应网站可以维护。协调一下，添加。

1.   准入主要问题:

1.1不合规设备，无法跳转。

1.1.1 原因1：不合规IP，不在管控范围内。

        查证方法：合适策略下发的管控范围IP域中的IP范围是否包含192.168.1.3。

1.1.2 原因2：不合规IP，无对应镜像流量数据。

        查证方法：

（1）打开网关页面，

查询结果位查询无结果的话，大概率是该IP无镜像流量数据。

（2）也可以使用

（3）流量抓包对IP进行抓包，是否有数据包存在，无数据包的话则无镜像流量。

32位网关：直接在网关tcpdump抓包你的电脑流量，然后电脑访问一个页面查看流量是否存在，在的话则流量正常。同时也查看流量快照中的流量大小是否是正常值

tcpdump  -i  eth0  vlan and src 192.168.1.3 and dst 192.168.10.100 and tcp -XX

或

tcpdump  -i  eth0  src 192.168.1.3 and dst 192.168.10.100 and tcp -XX

然后192.168.1.3 访问 192.168.10.100，查看以上命令是否抓到包，可以抓到证明镜像       正常

64位网关：远程到网关，

telnet 127.0.0.1

电脑访问页面

show flow source-address 192.168.1.3

查看是否有对应数据

1.1.3 原因3:  规则制定失误，导致IP出现在合规名单中。

        查证方式：在服务端准入名单管理中，如果是合规模式，查询一下192.168.1.3存不存在，如果存在则是合规IP，如果是不合规模式，查询一下192.168.1.3是否存在，如果不存在，则不会被阻断。同时在网关的IP状态查询，进行查询，白名单内的设备，不会被阻断。

1.1.4 原因4：如不开启arp阻断，同时管理口无trunk口功能，则同网段访问是不会跳转。

        查证方式：之前的测试如果是同网段的页面，则有可能。

1.1.5 原因5：跳转数据包延迟问题导致。

        查证方式：IP状态查询是认证未通过的设备，或者明显的现象是无跳转，但是跳转日志生成了。

        如果1-4查证都失败，则5这种情况概率很大，同时原因很多，建议是直接联系研发人员。

终端测试机抓包验证。能不能抓到跳转包

1.2合规设备，被跳转

合规设备被跳转，在新版本中，主要是确认网关页面的IP状态查询是什么状态，如果是白名单状态还是导致跳转，联系研发人员。如果是认证未通过的设备，那该设备的确是被跳转的。需要查看在服务端准入名单管理中，该IP是否合规，如果合规，则联系研发人员，如果不存在，需要重新配置合规名单规则。 如果上述验证后，还是在跳转，联系研发人员。

1.3设备替换,跳转阻断功能无法实现

1.3.1 原因1：没有开启交换机采集

        查证方式：查看配置管理中交换机采集配置是否开启，同时查看设备替换的设备IP，是否有MAC地址。

   1.3.2 原因2：合规名单规则配置第二步没有选择第二点。

        查证方式：

PS：如果想实现快速阻断跳转，需要在网关管理口上接trunk口。

1.4 如何判断电脑是否被我们的服务器arp阻断

场景：目前外面有反馈，有终端设备，被莫名其妙的阻断了。页面打不开，连接不出去，后续查证是被客户端队长arp阻断了。介绍一下如何排查。

方法：在同网段内找一台终端，cmd命令：arp -d 清理arp表。

然后多次输入 arp -a 后，查看出现网络故障的设备IP，所显示的      MAC地址，先判断该MAC地址是否是终端MAC，如果不是，则   有可能被ARP阻断了，然后取MAC地址后两位16进制转10进制 则是当前网段的客户端队长。然后打开服务端资产模块，找到网    络故障的IP，点击更多选择解除阻断。

1.5 客户端被自我阻断，同时右下角弹框“您的设备不符合入网合规性要求，现已限制网络访问，请联系管理员。”

该问题主要原因是因为合规名单内无该IP。

查证：查看准入名单中是否有该IP，如果有该IP，还阻断，则再次保存，后观察，如果依旧存在，联系研发人员。如果无该IP，查看合规名单规则，是否错误，修正后，再次保存，然后观察。

也可以将配置管理中的客户端阻断模式切到主机监控模式就关闭了该功能。

1.7 网络部署导致功能缺失

之前有遇到过，将网关布置到了NAT外，接了NAT内核心交换机镜像过来。

加个网络图

防火墙阻挡跳转阻断包

1.8 注册审核时，不阻断。

注册审核开启后，注册设备在审核未通过前应被阻断。

原因：选择了准入阻断模式，同时合规模式的条件未勾选：本系统已阻断（按设备）

解决方案：勾选本系统已阻断（按设备）即可。

1.9 部分问题整理验证

（1）确认管理口已经发出跳转包

tcpdump  -i  eth4  src  192.168.10.100 and  dst 192.168.1.3  and  tcp -XX

然后192.168.1.3 访问 192.168.10.100 

若可以抓到包则证明跳转包能正常发出，若没有跳转包则确认 镜像流量、策略配置、       隔离区配置；若以上配置都是正确的，则联系公司相关人员。

（2）确认客户端收到跳转包

Wireshark 过滤条件 ip.addr==192.168.10.100 and tcp

看是否可以收到http 301的跳转包

若能收到http 301跳转包，但是页面没有跳转，则镜像延时大，找网管协调解决

（3）访问同一个页面时跳时不跳

1、大概率是因为镜像流量太高导致

检查流量快照中端口的流量是否过高

2、丢包导致

需要联系研发人员

（4）访问一部分页面可以跳转，访问另外一部分的页面不能跳转

1、确认访问不同页面的镜像流量是否做全；

2、确认是否有防火墙等安全设备。（该问题一直有，需要网络拓扑图）

（5）策略中没有设置阻断，但是日志中出现阻断。

主要是因为，在配置策略时配置了“认证后访问范围”

该配置配置后，合规设备IP，只能访问这里配置的IP范围，访问IP范围的IP都会被阻断。

如果配置禁止访问范围，就是合规IP禁止访问这些IP范围。都会被阻断。