遇到一些woc9.5.3 以下版本的woc 以及一些较老的小硬件设备 使用win10 或者win11的电脑使用自带浏览器登录控制台，会提示只支持IE7 IE8 IE9登录 请示这些浏览器登录     win11 基本没有ie浏览器 即使edge 浏览器使用兼容模式登录，版本也是ie10以上不兼容老版本设备 电脑下载360浏览器 把设备登录地址添加到高级设置里面 设置对应ie版本去登录 通过“工具”菜单进入设置。点击“工具”选项，再选择“选项”，接着在高级设置中找到“内核切换设置”。在弹出的窗口中，输入你要设置兼容模式的网址，然后从列表中选择合适的IE版本          

WOC对接sangforVPN提示对端配置的主webagent和本端不一致 1、其他分支对接总部正常 2、异常分支测试总部的链接正常，日志无其他异常提示 3、客户反馈是设备重启后对接不成功，最近做的操作是总部设备还和其他深信服设备对接了sanforVPN，总部的设备做总部又做分支 4、内部确认dlan版本低于6.2.0的， 设备即做总部，也做分支的情况， 总部会校验分支连接管理填的webagent和总部基本配置的webagent是否一致，不一致就报错     dlan版本低于6.2.0的， 设备即做总部，也做分支的情况， 总部会校验分支连接管理填的webagent和总部基本配置的webagent是否一致，不一致就报错 1、临时方案，禁用总部的链接管理恢复 2、永久方案，总部基本配置中的webagent和分支链接管理的webagent配置成一致解决 修改配置会使VPN断开重连 否          

客户总部和分支WOC单臂纯加速组网，最近出现所有加速业务卡慢的问题，需要查原因。 1、分析WOC设备黑匣子，dmesg日志中发现WOC设备的TCP内存部分耗尽 2、在查看netstat，能看到客户端11.132.80.225跑了大量的TCP连接，并且这种TCP连接都存在拥塞的情况，如下图，能看到WOC的发送队列存在大量的拥塞：（第三列框住的是发送队列） 3、出现问题的时候，在WOC设备的ETH0接口抓包，发现客户端11.132.80.225有发大量的TCP 0窗口，即客户端表示自己的接收窗口是0，无法接收处理数据了。 4、综合第2点和第3点的情况来看，就是客户端11.132.80.225出现TCP 0窗口的情况，导致WOC分支设备的发送队列一直处于拥塞状态。并且客户端出现了大量的这种TCP拥塞的连接，消耗掉了WOC分配给TCP协议的内存，就导致所有的业务都出现卡慢     客户端行为异常，出现问题的时候，会产生大量的TCP连接并且这些TCP连接都是0接收窗口，导致WOC发送队列处于拥塞状态，分配给TCP协议的这部分内存耗尽，从而导致所有的TCP加速业务都出现卡慢的情况。 只能找客户侧排查这个异常客户端的问题，看客户端为什么会出现大量TCP连接并且都是0窗口的情况。 无  

视频语音业务过加速后不通，配置加速排除之后正常 总部往分支传流，总部eth0、woctun都能抓到业务包（vpntun抓不到因为加速封装了），分支woctun抓不到包。 查看连接跟踪，确实有关联上udp加速规则 因为有对接多个加速设备，查看每一个加速连接对应的udp加速规则，发现udp加速规则网段和其他加速连接有冲突，导致业务数据发送到其他加速设备了。       细化本地加速子网，使加速网段无冲突 视频语音（udp）加速、先建加速 都属于按照加速规则网段进行加速，因此要求加速网段不能冲突。

数据库类型的业务，经过加速后，提速效果不好 查看cpu使用率，mpstat -P ALL 1 iowait这一列数值很高（单核也算） 查看对应连接，压缩削减率就已经很高，说明业务数据压缩性好，可以不使用流缓存加速。 在页面临时禁用流缓存（不影响业务，后续加速重连后失效），业务传输速率可进一步提升       对于压缩性很好业务流量，可以关闭流缓存。开启流缓存达到磁盘io瓶颈后反而是负优化。在加速策略里面配置所有策略不启用流缓存。 如果其他业务需要用流缓存，就需要在加速策略里面单独配置针对哪些ip启用流缓存哪些ip不启用流缓存。  

WOC从953升级到956的时候报错，升级失败，报错不允许WEB服务使用4430端口 [V~E`(9F_}FV~2VGMRFL5YS.png (82.92 KB) 1、检查设备控制台使用的4430端口 MW[@`V$XL(MA~V[3V(6DT_Y.png (135.21 KB) 2、登入设备，点击---【系统】---【系统设置】----【WebUI】https服务端口，修改为443，重新升级成功 FUU1F1@O@CF8N3I$USI)D{I.png (138.3 KB) 标准版本9.5.6及之后的版本，WOC报表中心使用的端口是4430，所以控制台不能使用4430端口 将控制台4430端口修改为443端口或者其他端口即可  

全球加速服务解绑失败，状态卡在“解除服务中” 922655e8531875868c.png (60.7 KB)   登录WOC控制台，在【系统】-【系统设置】-【常规设置】中看系统时间是1988年，和本地时间（2020年）相差甚远，将WOC系统时间改成和本地时间一致后，全球加速服务解绑成功注意：修改系统时间会导致所有服务重启，会造成业务中断，请谨慎操作 WOC系统时间不正确，造成WOC的SSL证书过期，导致和OBC控制器校验不通过 将WOC系统时间改成和本地时间一致 请注意：修改系统时间会导致所有服务重启，会造成业务中断，请谨慎操作

全球加速服务解绑失败，状态卡在“解除服务中” 575875e7164b36e4eb.png (62.45 KB)   在WOC控制台测试，发现WOC无法上网；客户在第三方出口设备解决WOC无法上网问题后，WOC全球加速服务解绑成功 WOC无法上网，导致到公网obc控制器external.oceanbluecloud.com的443端口不通 协调客户解决WOC无法上网的问题，保障WOC到公网obc控制器external.oceanbluecloud.com的443端口连通性正常  

WOC设备网关部署，把内网服务器映射到公网发现不通，在设备测试发现到服务器端口不通，ping正常 669895e70337eb87ae.png (69.76 KB)   1.WOC设备到内网服务器端口不通，把服务器防火墙关闭不行，服务器监听端口正常，中间二层环境，无任何安全设备 770545e70369377d51.png (334.24 KB) 2.发现电脑有360安全卫士，卸载重启电脑后再测试通信正常，映射也没问题了 服务器上面存在安全软件拦截了WOC设备转发的数据包 卸载360安全卫士  

WOC报表测试发送邮件提示：错误：fail: send mail address error，发送不了邮件 712255d71050a8d60a.png (88.13 KB)   检查邮件服务器地址是stmp.163.com，而发件人和用户名与密码是qq邮箱的地址 发件人，账号与密码不在邮件服务器里面，导致邮件发送失败 把发件人，账号与密码填写跟邮件服务器里面的账号与密码 135875d710664852ae.png (158.37 KB)  

WOC从9.5.1版本升级到9.5.3，升级客户端升级失败，提示：There are mobile users exist. Please delete the mobile users before trying again.，具体截图如下 695375c32b0d4c6fb9.png (57.34 KB)     WOC 9.5.3不支持PDLAN用户接入VPN，WOC9.5.1还配置了PDLAN移动用户，导致升级检测通过，升级失败 685055c32b1d68ea56.png (46.8 KB) WOC控制台需要删除用户管理的里面的移动用户，重新加载WOC9.5.3升级包 517045c32b1e9a9c71.png (65.03 KB)  

IPSEC组网中，某公司 VPN连接不上，日志报错用户XXX硬件鉴权失败，导致连接异常（本案例设备截图为内部实验环境） [SangforIKE] 用户yxd 硬件鉴权失败 3445b7041dfb1c3f.png (42.68 KB) 1.登录分支设备控制台，配置好连接管理后VPN运行状态里没看到对应的VPN连接，系统维护看日志报错用户XXX硬件鉴权失败，如上图，这个是因为总部设备在用户管理里启用了绑定硬件证书而硬件证书不是此台分支设备生成的 760795b7044bed6bbf.png (75.87 KB) 2.在分支设备【Sangfor VPN】-【高级设置】里生成证书点击生成生成证书保存下来导入到总部设备对应用户里然后点确定后再看连接就能正常连上了 565315b70458f07c6c.png (53.04 KB) 总部设备在用户管理里启用了绑定硬件证书而硬件证书不是此台分支设备生成的 在分支设备【Sangfor VPN】-【高级设置】-【生成证书】点击生成证书，保存下来的证书导入到总部设备用户管理中对应的分支网点，然后点确定后VPN连接就能正常连上了 某公司 VPN连不上先看日志告警，根据日志告警去找原因往往能解决不少连不上的问题

分支WOC与总部WOC建立某公司 VPN，分支WOC网关部署，拓扑为公网--WOC--2SW--内网（192.168.4.0），某公司 VPN建立成功，总部内网192.168.100.0网段，分支访问不到总部的业务，ping 总部设备LAN口地址不通   分支WOC配置了目的网段的为总部内网（192.168.100.0）网段的策略路由，下一条指向分支的VPNTUN口，导致数据包匹配策略路由，进了分支的VPNTUN口，WOC设备的DLAN程序是不会处理这个数据包，所以访问异常 904455c655a374fe42.png (73.36 KB) 554015c655a649648c.png (72.83 KB) 删除该条策略路由规则，DLAN程序不会处理策略路由引进VPN隧道的数据包 544505c655aa270e35.png (73.23 KB) 由于某公司 VPN建立成功，两边的设备互相会学到对端设备的同网段的VPN路由 ，非设备同网段通过对端本地子网学到VPN路由，不用配置策略路由把流量引进隧道

总部设备单臂部署，sangfor vpn对接不上，日志提示：用户被占用 日志.jpg (45.7 KB) 1、登入设备，查看【状态】--【VPN状态】，发现总部没有该分支连接： 总部日志.png (54.7 KB) 2、咨询渠道，总部是否还有其他我司设备，渠道反馈还有SSL设备，登入SSL设备，查看【IPSec VPN设置】--【运行状态】，发现该用户连接存在，咨询渠道发现该用户是另外一个分支的用户： SSL.png (782.57 KB) 3、咨询渠道，得知出口设备用同一个公网IP：X.X.X.X的4009端口分别映射给了内网的一台WOC还有内网的一台SSL。修改出口公网IP映射，将出口公网IP：X.X.X.X的409端口映射给SSL设备，用户VPN连接成功： 修改后.png (34.98 KB) 出口设备用同一个公网IP：X.X.X.X的4009端口分别映射给了内网的一台WOC还有内网的一台SSL，并且SSL设备也有同样的分支用户，当分支去连接的时候，协商数据包被分配到了SSL设备上面，从而造成用户被占用，导致VPN对接不成功。 将出口的另外一个端口映射给SSL设备，再进行分支的VPN连接。 如果总部有连个我司设备时，建议将同一个公网的不同端口映射给不同设备，要么出口就建立两条公网分别映射给不同的设备。

WOC加入域不成功，域服务器是在总部内网，总部WOC都无法加入成功（本案例截图是实验设备截图）。   1、跟客户核对域服务器的账号密码，在域服务器上面直接测试，登入正常，登入WOC，查看【系统】-【部署设置】-【Windows域】，点击加入域发现有报错： {))WC]QO2`$Z0IH}L6KUP.png (42.51 KB) 2、点开【维护】-【页面控制台】，测试域名无法解析： 913965cc044b062835.png (63.71 KB) 3、通过跟客户沟通，发现客户的域服务器的域名填写错误，填写正确的域名之后，加入域成功。 错误的域名导致WOC设备无法找到域服务器的IP地址，因而不能跟域服务器之间通信，从而造成加入域失败。 修改的域服务器的域名，修改成正确的后，加入域成功。  

登入控制台，地址这些都是正确的，就是登入不进去，页面提示：无法显示此页面（本案例设备截图为内部实验环境） 3.png (39.76 KB) 1、按照客户登入方式查看错误信息提示： 3.png (39.76 KB) 2、仔细查看客户地址是使用的http，而不是https： 4.png (38.52 KB) 3、将客户的登入地址修改成https格式，登入正常: XUFJG5492B5`93LEXHS0U~N.png (188.4 KB) https使用的是443端口而http使用的是80端口，如果将https少写了个s就变成访问设备的80端口，所以打不开控制台 将http格式修改成https格式  

客户总部VPN设备公网网关模式部署，有两条出口线路，线路1是固定IP，线路2是ADSL拨号线路。客户在配置好多线路后，发现分支的VPN连接不上总部的线路2。（本案例截图来自内部实验截图） 无 1、在【系统设置】-【多线路设置】中检查总部线路2的多线路配置，发现线路2勾选上【具有固定的Internet IP】，并且填写上当前的ADSL获取的公网IP，如下图： 917575b70fdf364557.png (45.79 KB) 2、由于线路2为ADSL拨号线路，所以这个地方应该取消勾选固定的Internet IP，如下图： 830095b70ff3832533.png (63.29 KB) 3、取消之后，分支都可以连接上线路2的VPN。 多线路配置中，如果有线路是拨号线路，则在多线路配置中不需要勾选配置【具有固定的Internet IP】，如果错误的配置成当前的拨号获取的IP地址，等下次拨号获取IP变化的时候，就会导致分支都去连总部配置的第一次拨号获取的公网IP，此时由于拨号IP变化，所以VPN连接不上。 如果有线路是拨号线路，则在多线路配置中不需要勾选配置【具有固定的Internet IP】。 1、如果有线路是拨号线路，则在多线路配置中不需要勾选配置【具有固定的Internet IP】，否则一旦拨号获取的公网IP变化就会导致VPN连接不上该拨号线路。2、多线路相关配置修改属于高危风险操作，请在客户业务空闲时间操作，避免业务受到影响

做了端口映射，但是通过公网去访问，访问不到   1、远程客户查看客户做的端口映射，如图： 端口映射.png (39.13 KB) 2、发现客户将端口映射给了一个公网192.186.13.123，跟客户沟通，客户反馈内网地址是192.168.13.123，将映射内网地址修改： 端口映射.png (39.13 KB) 3、从公网测试，端口映射测试正常： 测试正常.png (1.25 KB) 客户将内网地址填错，导致数据包到了我们设备，将数据给了一个公网地址，数据又从外网口到公网去了，从而导致端口映射不生效 将映射的内网地址修改成正确的映射地址，端口映射访问正常  

VPN对接不上，日志提示用户被占用 986615beffa02d7afa.png (90.18 KB) 1、查看【IPSEC VPN设置】-【 运行状态】-【VPN运行状态】，当前VPN状态是运行 2 、打开【系统维护】-【日志查看】，【选项设置】-【显示选项】除了显示调试日志不勾选，其他都勾选，【过滤选项】选VPN服务，查看对接失败，日志提示： 3、联系总部人员，查看发现有分支使用了该站点的用户名导致被占用，在总部修改用户信息后，分支重新连接VPN，对接成功： 一般情况下，一个用户只允许被一个分支使用，只有当该用户启用了多用户登陆才能一个用户用供多个分支使用。 在总部，给为建立成功的用户新建一个分支用户名，重新对接，建立VPN成功。  

设备网关部署，外网线直接接到设备上面，从外登入控制台异常，外网测试端口不通，PING公网地址测试不通，内网登入控制台正常 日志.png (30.84 KB) 1、从内网登入控制台，查看【防火墙】--【NAT设置】--【端口映射】，发现客户做了全端口映射： )E[HM7Z@TKOV(VZ86}R[L7H.png (70.51 KB) 2、将客户的全端口映射修改为需要使用的指定端口后，从公网登入控制台，登入正常： 正常登入.png (348.34 KB) 做了全端口映射后，当从公网访问控制台，会匹配端口映射规则，访问的是公网映射的内部服务器的端口，所以从公网登入就无法登入。备注：全端口映射就是将设备公网的所有端口映射给了服务器，如下入配置，目的端口为所有端口： )E[HM7Z@TKOV(VZ86}R[L7H.png (70.51 KB) 将全端口映射去除控制台端口，或者只映射服务器所需要的端口，点击保存生效后，重新从公网访问控制台正常