聊聊售后工程师的那些“奇葩”事，记一次诡异的AC排障

记得某天下班后，走在回家的路上，心里计划着今晚做点啥好好吃一顿，突然电话铃声响起，一看是某公司某公司的售后同事打来的，接上说，他在外地出差，今晚有个大学的AC需要我们过去一个人，他来不了，让我去，问题也简单的给我说了一下，故障现象为到晚上有些用户就上不去网了，我想是不是开启无流量自动注销了，应该问题不是特别复杂，那就去呗。

到客户现场后，跟客户沟通，拓扑如下:
(传不上去，一直提示没有合法的文件上传)，简单描述一下，防火墙——AC（网桥）——核心（旁路部署认证服务器）

登录设备，查看配置，采用的是微软域认证，认证服务器是深蓝的，查看在线用户，挺多的，看无流量自动注销，没有开启啊，查看DOS防护，配置的是1024，再检查其他的，也全部合适，也没有出现用户描述的情况，那就等着呗，等了半天也没见出现问题，就在我等的迷迷糊糊，快要睡着的时候，用户大喜，出现了，出现了，你看啊，上不去网了，我一看还真是这样，进行测试，发现能ping通网关，就是到不了防火墙，抓包发现包从AC的一个口子进去后，没有从另一个口子转发出去，再查AC配置，上网策略，认证策略。。。。

所有的都查完还是没问题啊，上不去网的用户也在在线用户能查到啊，说明已经通过认证服务器了，怎么办，查了不知道多少遍还是没问题啊。

这时想到一个办法，开直通吧，开启直通后，能上了，这就说明还是AC的问题，针对单个IP开直通，立刻出现丢包标记，将此信息反馈给400，400也不知道，400就反馈给专家了，（在此也感谢400和专家老师，半夜12点了，还陪着我折腾），专家分析了一下，说问题现象是dos防护引起的，但是终端确实不存在dos攻击，好吧，到这问题算是找到了，关闭AC的dos防护，问题立马解决。

问题到这我也没明白为啥是dos攻击防护引起的，先把dos攻击防护关闭，后来又对版本进行升级，发现没有此现象了，对了，说一句，我出故障的版本为11.9R1。

感谢分享:爱你:，图片传不了吗？
哈哈哈，这排障扎心了！

       全局排除的IP地址，仍然生效的模块有：nat ，显示代理 ，防火墙规则，防dos攻击 ，arp欺骗防护，系统路由和链路负载，准入IM审计（先开启IM审计后排除PC地址的情况）
       开直通后，仍然生效的模块有：nat，邮件过滤，上网审计，网关杀毒(smtp和pop3杀毒)，ssl内容识别，代理+cache，arp欺骗防护，系统路由和链路负载
       分析：网桥不存在NAT，路由等问题，跟上网准入审计也没关系，同时排除开直通生效的模块，就只剩显示代理，防火墙规则，防DDOS攻击，显然显示代理无关，就剩防火墙规则和防DDOS，最后只需要逐一排除规则和DDOS，就能知道原因在哪里。如果没有联系到专家的话，就可以这样分析排查。至于原因和解决方案，也只有关闭防DDOS后，再联系专家了

楼主，请问下，关闭DOS防护，就可以上网了，还是升级之后才可以

我就想知道这个DOS防护到底有没有用啊。