| 「每日一记」目前已开展9期,已有近400余位工程师参与并坚持不懈的进行技能输出,征集到5000余篇技术笔记,共派发出近1000000+S豆,送出36份精美好礼!>>【每日一记】第10期正在进行中 |
1)内网PC网段:172.16.10.0/24 2)服务器网段:172.16.0.0/24 3)AF网关模式部署,LAN配置内网PC网段,DMZ配置服务器网段
客户反馈访问172.16.0.195服务器经常访问不了,有时候重启后就正常了,其他同网段服务器都能正常访问,就唯独172.16.0.195无法访问,通过172.16.0.0/24网段的服务器能正常访问,跨网段无法访问
2、处理过程 1)在AF开直通ping,发现还是无法ping通,也无任何拦截日志
2)通过tracert检查路由是否到达防火墙,可以看到数据包能到达网关了(网关就在防火墙上),说明交换机没有做ACL访问控制
3)通过AF抓DMZ接口的数据包,发现只有内网PC访问服务器的数据包,没有收到服务器的回包,那么基本客户判断是服务器的问题,或者服务器交换机的问题
4)登录服务器查看路由表发现异常,服务器配置了两个网卡,两个网卡是不同网段的,通过路由表看到有两条默认路由,另外一个网卡的默认路由优先级高,这样就会导致内网PC无法回包
3、根因 服务器配置了双网卡,两个网卡都配置网关生成默认路由,默认路由优先级原因导致内网访问服务器的数据包无法回包
4、处理办法(下面两种解决方法,选一种即可) 1)把网卡默认路由优先级修改低于另外一条默认路由(越低越优先) route add -p 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 10 #添加一条永久默认路由,优先级是10,如果不加-P是临时路由,重启后配置就失效,所以加上-P是永久路由,metric是优先级
2)通过添加一条内网PC的静态路由实现 route add -p 172.16.10.0 mask 255.255.255.0 172.16.0.1 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-8-11 15:24
技术专家1级 
