SDW-R设备和AF设备做了SANGFOR VPN对接，客户测试iperf打流测速，测试不成功   1、测速失败，检查iptables规则都有正常监听8888端口，另外从SDW-R内网电脑测试SDW-R的8888端口也都是通的，如下图： 2、ping测试AF内网接口IP地址10.10.1.1也是正常通的，说明VPN连通性本身没有问题 3、SDW-R设备的vpntun接口抓包，发现对方AF iperf打流过来，SDW-R设备不回包，如下图：   SDW-R设备VPN隧道方向过来访问SDW-R设备本机的数据包都有拦截限制，需要后台放通 后台执行：echo 0 > /sys/module/sfvpn/parameters/s_drop_vpntun_local_in    手动放通从vpntun过来访问SDW-R设备自身的流量。            

SDW-R无法上网，开直通恢复，一关闭内网就断网   1、查看应用控制策略已经配置全放通 2、直通查看没有对应的显示 3、抓包查看，异常时候ping 10.255.254.1 SDW-R的内网口不通怀疑还是本身策略拦截导致   最后查看是因为黑名单的IP添加的mac和核心内网的MAC一致导致拦截 客户错误添加，删除黑名单即可     在SDW-R添加IP和MAC为黑名单的时候只看mac地址作为拦截依据      

SDW-R单臂部署，内网非同网段无法ping通设备   1、SDW-R单臂部署，配置了默认路由，指向核心交换机，和设备同网段的PC可以登录和ping通设备 2、登录SDW-R后台抓包单臂口，设备能收到不同网段的ping包到SDW-R接口，设备未回包 3、抓取ANY口，发现设备有回包，设备对接了sangforVPN，抓VPN接口，数据包回到了VPNTUN 3、检查对接的sangforVPN隧道，并无对应内网网段的路由走VPN隧道，后台看路由也没有去VPN隧道的路由 4、进一步检查发现设备配置了隧道间路由，并且勾选了通过总部上网，原网段是设备网段，目标网段是所有 配置了隧道间路由通过总部上网，VPN路由比默认路由优先级高，导致设备回包走VPN隧道发出 单独添加内网网段的回包路由解决            

sdw-r 云端易部署，电脑直连GE0口，使用http://10.111.222.33 打不开部署界面 1、跟客户确认过是设备出厂配置，出厂配置 正常pc 会获取到一个10.111.222.xx的地址2、检查电脑ip 发现获取到是个192.168.1.x网段ip ，导致无法打开易部署界面3、推断是光猫下发的dhcp地址给电脑，下一步讲就得排查下sdw-r 上的接线，跟客户沟通发现，GE3口接的光猫，GE0口接的电脑，GE2口也接了光猫     sdw-r 云端易部署，只需要GE3口接光猫，目前客户GE2口接了光猫，GE0口接了pc,出厂配置的sdw-r GE0和GE2口都属于LAN（在同一个二层交换机上），而光猫的DHCP下发的ip能力比sdw-r强，导致电脑获取到了光猫下发的ip，pc就打不开易部署界面 拔掉sdw-r 的GE2口与光猫直连的连线，pc 重启后易部署成功  

SASE引流配置成功之后，在SASE那边查看，发现只有一个IP引流成功了，并且这个IP还是SDW-R的桥IP 1、SASE引流状态本身是正常的，抓包看内网的数据包也都有经过我们SDW-R设备2、SDW-R后台的外网接口抓取12321端口，即SDW-R设备SASE引流成功之后往节点发出的加密数据包，也只有SDW-R设备自己发出了，如下图： 3、跟客户核实确认，SDW-R本身是网桥部署，2口是内网接口，4口是外网接口，然后再核实配置，发现引流的接口配置错了   SASE引流的生效线路，应该配置外网线路对应的接口，否则会导致内网其他的PC引流失败 将SASE引流生效接口调整成BRIDGE(GE4) 之前的SASE引流会失效  

客户的SDW-R做SASE引流，发现配置之后，SASE引流的状态提示：服务关闭 1、检查SASE引流配置的线路这些都正常的2、咨询研发同事确认，这种要么是SDW-R本地未配置引流的ACL，要么是云图那边关闭了服务3、进一步检查SASE引流中的配置，发现是ACL没有配置   SASE引流的ACL没有配置导致SASE引流的状态是：服务关闭 配置好引流的ACL即可 无  

客户的SDW-R设备做了SASE引流之后，发现引流状态显示是“逃生中” 1、查看SASE引流的线路，核实线路检查状态显示正常的，如下图： 2、等待约10分钟之后，自动恢复   线路探测由异常恢复到正常，但是引流有个恢复抑制时间，探测恢复后10分钟后才会再引流，期间引流状态显示“逃生中” 等待10分钟即可 无 是 一般引流状态显示“逃生中”，原因有两种：1、线路探测失败，检查线路探测的配置以及后台抓包去排查2、线路探测由异常恢复到正常，但是引流有个恢复抑制时间，探测恢复后10分钟后才会再引流，期间引流状态显示“逃生中”

客户SDW-R配置好SASE引流并且SASE引流正常生效之后，电脑直接去访问本地的业务都访问不到 1、SDW-R是192.168.1.155，同一个网段的PC去访问https://192.168.1.1（AF的登录页面）都访问不到，SDW-R本身是网桥部署，然后AF是在SDW-R的上面。 2、检查SDW-R的SASE引流配置，发现ACL配置的是所有IP到所有IP全部引流到SASE那边去，如下图：     SASE引流里面调用的ACL，把所有的流量都引入到SASE里面去了，导致本地的一些业务访问异常 在ACL中，配置一个拒绝的本地业务的ACL，放到前面即可，如下图： 无  

客户的SDW-R设备4.0.58，配置SASE引流，然后云安全访问平台这里提示：连接中断，引流状态提示：生效中 1、SDW-R设备本身能解析sase.sangfor.com.cn，如下图： 2、找研发同事咨询确认，这个还是连接云安全访问平台这个有问题，未能正常获取运营商这边的pop点导致的。 3、核实配置，发现是云安全访问平台的本地手动授权码，这个地方填写的东西错了，正常的话应该是一串挺长的字符串，而不是简单的几位数字 4、获取正常的云安全访问平台授权码之后，sase引流工作正常。下图是获取云安全访问平台授权码的地方，需要在sase平台上查看   云安全访问平台的本地手动授权码，这个地方填写的东西错了，未能正常连接到云安全访问平台 填写正确的云安全访问平台授权码即可 无 否  

sdw-r 的vpn状态模块存在告警，点击详情查看，发现有条隧道是断开的状态 （由于当时没有截图，此图是p出来的，大致故障截图是这样的） 跟客户沟通，发现断开的隧道是不用连接的，那条是用于跟其他分支连接的线路，该分支无需连接，需要去除这个分支显示断开的状态（状态告警机制是sdw-r 4.0.9版本开始的）   总部sdw-r 的vpn多线路配置了两条线路，分支连接总部的时候，总部会下发多线路里配置给分支设备连接，导致产生有条隧道断开的现象 根据客户的需求是针对不同分支连接总部不同的线路，故不能调整总部的多线路配置，在分支设备设置多线路定制策略即可（注意配置完后，需要断开隧道重连生效）  

客户分支的SDW-R是单臂模式部署的，出口是一个路由器拨号的。客户反馈VPN频繁中断，大概1-2分钟就会出现一次 日志：添加隧道时设备ID冲突，老的隧道已被销毁，这可能是分支重复接入（非问题），如果一直存在告警，则分支设备被复制或者存在设备ID冲突 1、跟客户确认，出口拨号已经有好几天没有换过IP地址了，即出口拨号获取的IP没变。2、进一步查看VPN日志，发现每次线路更新的日志之后就会出现VPN断开重连，更新的线路IP地址有两个，如下图： 3、进一步查看配置，在SDW-R的线路配置中，有勾选【公网IP自动更新】   SDW-R勾选了【公网IP自动更新】，会像我司深圳的服务器同步设备这边出口的公网IP，客户侧的公网环境本身有异常，导致上报的公网IP有两个，这个更新的频率又是1分钟一次，所以VPN线路IP会1分钟也跟着更新一次。又因为VPN线路IP会更新，所以会导致VPN断开重连。 网络环境正常情况下勾选这个【公网IP自动更新】是没有问题，上报的公网一般都是固定的一个IP地址，不会频繁变更。本案例下，由于这个客户环境本身就有问题，所以要关闭【公网IP自动更新】 分支端设备，此配置无实际影响，如果是总部设备则需要慎重评估  

单个分支sdw-r对接不上总部的sangfor vpn，其他分支正常日志提示无法连接xxx（x.x.x.x：4009）：operation timout 1、其他分支连接总部sangfor vpn正常，说明总部的网络没有问题2、登录分支后台测试总部公网ip的4009端口，不通。抓包发现总部设备tcp三次握手syn+ack回了包，但是分支设备没有回ack包3、推断是sdw-r 回ack包到其他接口上去，于是抓了份any口的数据分析，依旧没有ack回包 4、查看分支sdw-r的路由表，有个跟总部公网ip 网段的路由指向了ge1口（需要建立隧道的线路是ge2口）5、控制台登录检查发现ge1口配置一个地址，刚好是总部的公网ip，跟渠道沟通，这个ge1口之前测试的，忘记使用删除了，现在不使用了，也没有接线   分支sdw-r 的wan口配置了与总部公网ip同样的地址产生冲突（产生直连路由），导致分支不能正常回包给总部 由于ge1接口上地址无法删掉（必须要配置个地址，不然无法保存），于是把这个接口改成dhcp获取，保存后，隧道建立成功  

sdw-r 两条外网线路，一条互联网固定ip，一条家庭拨号带宽，客户反馈通过互联网固定ip上网正常，通过庭拨号带宽就无法上网，ping 外网地址都不通 1、检查sdw-r的 两条外网线路探测都正常，说明设备通过两条线路连接外网没有问题2、跟客户沟通了解到，客户是调整代理上网的目的接口去测试对应的外网线路是否能上网（ge4口对应的家庭带宽线路）3、检查设备的线路负载策略，发现是优先前面的线路上网，是ge3口（对应的互联固定ip线路）     上网是先匹配路由 再匹配snat的，线路负载策略优先前面的ge3口（互联网固定ip线路口）意思就是默认路由走3口转发，而代理上网的目的接口选ge4口（家庭带宽线路口），导致上网数据从ge3口出去，无法匹配上snat而无法上网 根据客户需求 普通上网走家庭带宽，vpn数据走固定ip线路调整线路负载策略，把ge4口移至ge3口前面，然后把ge3口线路配置到vpn线路里面去  

上架sdw-r设备，使用万能地址登录设备，一直提示云端易部署（客户环境没有部署BBC，不使用云端易部署） 1、客户需求登录设备配置，无需云端易部署2、远程查看客户登录 是在浏览器直接输入10.111.222.33登录，然后跳转云端易部署   在浏览器直接输入10.111.222.33登录，默认是http协议的，80端口是云端易部署使用的跳转端口 告知客户需要使用https://10.111.222.33登录 ，才不会到到云端易部署界面导致无法配置  

客户反馈新到的一台4.0.40版本SDW-R设备通过sangfor vpn隧道访问网站页面显示不全。另外184个分支节点都正常。 1、检查隧道是否有丢包延时能情况，可以通过ping测试。2、对比正常访问和异常访问页面的httpwatch情况，异常访问时少了很多png请求。 3、后台抓数据包，看隧道中间是否存在乱序或者丢包情况，由于对端是纯内网环境不能抓包，在一侧抓包很多TCP DUP ACK丢包标识的数据包。 4、确认设备dlan版本和MTU大小，分支为SDW-R4.0.40 dlan版本为6.2.0及以上，MTU值为1500；总部为SSL VPN m7.1 dlan版本为6.0.0及以下版本，MTU值为1300。将分支MTU值修改成1300后正常。     DLAN6.0及之前的版本，如果基本设置处的MTU设置的比较小，如设置MTU500，则在VPN进程处理数据包的时候，会将数据包进行分片（数据包从0口进入VPNTUN之后，才会到VPN进程这样处理数据包），使得公网封装加密发出来的数据包是小于500长度的。但是高版本分片逻辑与原本不同，之前的分片包不会再进行处理了，导致部分丢包 将【VPN管理】-【基本设置】里面的MTU值总部和分支设置成相同值。注：需要修改的是上述路劲vpntun口MTU值，而不是网络接口处的MTU值；如果客户有视屏会议等业务，建议MTU值调大，避免数据包过不去。修改该值会导致vpn服务重启，影响业务！  

云端易部署上架-4G卡上架失败，提示：设备联网失败   设备没有接4G天线，导致4G卡上网信号十分弱，从而影响上架成功率 接好4G天线，重新正常上架即可  

云端易部署失败，报错：接入集中管理平台失败失败原因:设备与云管平台认证失败错误码: 2001.请联系管理员确认SN码和授权信息【SN】: 5xxxxxxxx2, 授权ID:81xxxxxxxxxxx487) 报错：接入集中管理平台失败   SDW-R设备云端易部署，在BBC总部没有将SDW-R设备易部署信息导入云管平台 1、在BBC下载导入部署信息的示例文件 2、根据上述报错的sn和授权信息，将信息填入对应文件中（sn对应sn   网关序列号（授权id）对应授权ID） （若无法获取授权id，则获取sn信息，点击连接订单系统，进行搜索sn） 3、保存后在步骤1位置进行导入，导入成功后，用户重新上架成功