网络环境A可以到B核心下的B,但是无法到C,且B,C无法访问到外网,A访问外网正常
一、原始配置两台主备在两核心之间的AF存在any策略,客户安全加固需要禁用这个策略
二、客户对BC的放通策略已创建,对BC源地址,目的地址为所有的应用控制策略
1.首先对策略所涉及的地址进行策略模拟,发现策略匹配放通策略正常
2.对目标地址进行单独的调试放通排障,BC主机分别尝试,但是都无法上网,且无任何故障阻断日志
3.对any策略打开记录日志,但是日志无法查到阻断拒绝日志
4.在对应的主机进行访问测试,但是第一步测试就断开,网关单独ping可以通,无法路由出网关
5.对该主机的排查怀疑主机问题,因为网关都没出去,更换同网络下的电脑测试仍无法测试通
6.排查上层三层交换机,发现上面不是默认路由出去,而是通过OSPF学习,在AF重新测试,仍然禁用AF的any策略,最上面插上一条放通所有区域方向的OSPF应用策略,再次在BC主机分别测试网络,网络正常
总结:本次排查总的思路为策略匹配顺序--设备策略拦截--设备日志分析--网络环境排查