故障现象：

　　通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后，会提示“LDAP搜索失败”。

　　问题描述处理过程根因解决方案建议与总结问题描述

　　版本信息：USG 5530 v300r001c10spc500

　　组网拓扑：

　　配置脚本如下：

　　radius-server template shssl.tpl

　　#

　　ldap-server template shssl.tpl

　　ldap-server authentication 192.168.0.31 389

　　ldap-server authentication base-dn dc=sh,dc=austar,dc=com,dc=cn

　　ldap-server authentication manager cn=administrator,cn=users,dc=sh,dc=austar,dc=com,dc=cn %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$ %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$

　　ldap-server group-filter ou

　　ldap-server authentication-filter (objectclass=*)

　　ldap-server user-filter sAMAccountName

　　undo ldap-server authentication manager-with-base-dn enable

　　ldap-server server-type ad-ldap

　　#

　　#

　　interface GigabitEthernet0/0/1

　　ip address 222.222.25.147 255.255.255.192

　　ipsec policy tobjsjcrb auto-neg

　　#

　　domain shssl.dom

　　authentication-scheme shssl.scm

　　authorization-scheme shssl.scm

　　radius-server shssl.tpl

　　ldap-server shssl.tpl

　　#

　　故障现象：

　　通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后，会提示“LDAP搜索失败”。

　　处理过程

　　1、在配置外部组配置中，“需要获取的属性”中的配置建议和“认证授权配置 > 认证授权服务器配置”中LDAP 服务器的 “组过滤字段”配置为一致，否则，不同组字段如果没有相同的属性，搜索将失败;建议客户进行“需要获取的属性”和“组过滤字段”比对，客户进行比对配置信息一致，问题未得到解决;

　　2、客户描述说FW和石家庄建立的SSL VPN是正常，新建和上海建议SSL VPN不成功，配置过程方式都一样，但是就上海配置不成功;让客户对LDAP服务的IP地址192.168.0.31进行ping测试，不通;在防火墙配置loopback地址带源地址ping测试可以ping通;

　　3、建议客户收集配置信息进行问题定位分析：

　　#

　　interface GigabitEthernet0/0/1

　　ip address 222.222.25.147 255.255.255.192

　　ipsec policy tobjsjcrb auto-neg //设备的出接口下调用了ipsec 策略;

　　#

　　4、由于防火墙的出接口调用了IPSEE策略，进一步查询感兴趣流配置：

　　rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

　　rule 10 permit ip source 192.168.8.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

　　rule 15 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

　　5、发现服务器的IP地址192.168.0.31为IPSec感兴趣流里面对端的IP地址;服务器在远端内网，需要通过ipsec隧道通信，需要将防火墙地址进入ipsec隧道;

　　6、建议客户在G0/0/1口配置源NAT，针对源地址为222.222.25.147和目的地址为192.168.0.31的包，修改其源IP地址，以匹配上IPSec的ACL规则。

　　nat address-group 1 192.168.9.199 192.168.9.199 //为ACL3001里面感兴趣流里面的IP地址，根据具体组网情况分配;

　　#

　　interface GigabitEthernet0/0/1 //连接电信的出口

　　ip address 222.222.25.147 255.255.255.192

　　ipsec policy tobjsjcrb auto-neg

　　#

　　#

　　nat-policy interzone trust dianxin outbound //进行源NAT转换，trust到dianxin域;

　　Policy 8

　　action source-nat

　　policy source 255.255.255.192 0

　　policy destination 192.168.0.31 0

　　address-group 1

　　7、指导客户进行配置后让客户进行测试发现还是搜索失败，让客户再次进行对服务器IP地址192.168.0.31进行Ping测试不通，然后同时带目标地址在防火墙进行报文分析：

　　[sjz]display firewall session table verbose destination global 192.168.0.31

　　15:11:35 2014/12/01

　　Current Total Sessions : 1

　　36516 ils VPN:public --> public

　　Zone: local--> dianxin PolicyID: default TTL: 00:00:05 Left: 00:00:00 //转换应该是local到dianxin，而不是trust到dianxin;

　　Output-interface: GigabitEthernet0/0/1 NextHop: 222.222.25.129 MAC: 00-00-00-00-00-00

　　<--packets:0 bytes:0 -->packets:1 bytes:44

　　222.222.25.147:53144-->192.168.0.31:389

　　8、建议客户重新建议nat-policy策略进行端口GE0/0/1下源地址转换：

　　nat-policy interzone local dianxin outbound //进行源NAT转换，local到dianxin域;

　　Policy 0

　　action source-nat

　　policy source 255.255.255.192 0

　　policy destination 192.168.0.31 0

　　address-group 1

　　9、配置好后建议客户进行测试，发现可以ping通服务器ip地址192.168.0.31，且在web界面进行搜索是成功，问题解决。

　　根因

　　1、服务器在远端内网，需要通过ipsec隧道通信，需要将防火墙地址进入ipsec隧道;

　　2、用户登录或设备对LDAP服务器进行健康检测时，设备主动发起到LDAP服务器的连接请求(传送认证报文)，其源IP为G0/0/1接口的主地址。请求信息匹配不上IPSec的ACL规则，不会透过IPSec隧道发送到LDAP服务器，所以认证失败。

　　解决方案

　　在G0/0/1口配置源NAT，针对源地址为222.222.25.147和目的地址为192.168.0.31的包，修改其源IP地址，以匹配上IPSec的ACL规则。

　　nat address-group 1 192.168.9.199 192.168.9.199

　　nat-policy interzone local dianxin outbound //进行源NAT转换，local到dianxin域;

　　Policy 0

　　action source-nat

　　policy source 255.255.255.192 0

　　policy destination 192.168.0.31 0

　　address-group 1

　　建议与总结

　　1、在处理防火墙的VPN故障时，首先是比对配置;

　　2、在进行故障排查时建议客户获取报文发送邮箱进行分析，这样对故障的定位、解决有很大帮助;