【AF】防火墙内网接口地址延迟丢包导致网络卡慢问题处理
  

神奇轱辘 Lv6发表于 2019-4-12 13:10

本帖最后由 神奇轱辘 于 2019-4-12 13:10 编辑

【故障现象】接到客户电话反馈,说最近网络很慢,网页出现打开很慢或者打不开现象,上网不正常。
让客户内部初步排查,发现ping核心网关正常,ping我们af设备lan口开始出现丢包延迟现象,导致访问外网也出现延迟丢包现象。而且防火墙web控制台也无法正常访问。
258975cb0186af16b4.png
客户网络拓扑:外网-AF-AC-核心-pc  
【排错过程】经过排查发现,上午9点多开始到下午4点多期间,存在网络延迟丢包现象,到下班后网络恢复,设备ping包恢复,网络也恢复正常。延迟期间设备无法登录web控制台。异常期间尝试重启设备,发现没有效果。
设备正常后登录设备查看,配置没有异常,日志上面存在dos攻击告警日志,其他无异常。
根据这几天的上班时间异常下班后恢复的现象分析定为可能为两个方面:1.客户内部网络哪里有问题。2.AF设备有问题。
进一步分析:由于AF设备在上班异常期间无法正常登录访问。于是在AC设备上抓包分析,看是否内网流量有异常。
经过分析数据包,确实发现问题。
846135cb01a4f61e55.png
内网存在往公网大量发送TCP445端口的流量,占用了设备流量带宽。
在AC设备上做了针对内网访问外网的445端口包过滤策略,ping包恢复,业务恢复。
同时让客户针对抓包中发现的几个源ip地址进行查杀处理。
565495cb01aa840334.png
第二天客户再次反映有出现延迟丢包网络慢的情况,再次在ac上抓包分析
发现内网有出现内网往外网大量发送139端口的数据包,看来客户内网环境比较严重。
331655cb01b83ac7e8.png
于是在ac包过滤上把135-139.445的常规端口都屏蔽了。
回头思考,为什么内网异常流量会对AF产生这么大的影响,而AC设备都是正常的。
登录AF后台查看,发现由于设备年限比较久,设备性能已经不满足当前业务发展的需求了。
649975cb01c461321a.png
【结论】在AC上配置LAN-WAN针对135-139,445端口的包过滤策略。同时让客户内网pc进行病毒查杀,安装杀毒软件,解决内网中毒引发的异常数据包流量。
【总结】由于内网pc中毒,导致内部异常流量非常高,再加上设备由于性能问题,导致出现的延迟丢包现象。针对这种需要加强内部安全设置,从源头解决问题

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Wechat_Team Lv6发表于 2019-4-12 13:40
  
是打发打发士大夫
ie5000 Lv15发表于 2019-4-13 00:33
  
厉害,学习一下
新手377260 Lv2发表于 2019-4-13 12:51
  
厉害,学习一下
feeling Lv29发表于 2019-4-13 21:33
  
学习一下,厉害了
新手756451 Lv11发表于 2019-4-14 20:11
  
看帖路过
cow977 Lv6发表于 2019-4-15 08:35
  
AC/AF上默认配置了哪些访问控制策略?
黄波 Lv4发表于 2019-4-15 09:11
  
111111111111
阿飞007 Lv10发表于 2019-4-15 09:40
  
又可以换新设备了   
南京吴彦祖 Lv5发表于 2019-4-15 12:18
  
排查过程很不错