本帖最后由 pony 于 2015-12-26 11:09 编辑
客户测试的时候AF6.6版本有八口,实际购买是六口,因为配置比较多,留给切换的时间有限,所以提前中午下班前一个小时到达客户处进行配置购买的设备,但由于口多的配置不能导到口少的上,只好部分导入配置,部分重新配置。有没可能做成这样:备份类似SSL VPN,分全局配置和不包括网络备份的SSL配置备份,分为不包含网络配置和全局配置的备份,这样就算口多的备份导进口少的,依然可以导入,只需配置网络配置即可。 配置完毕,检查n遍,确认已经一致,中午切换的时候,十分钟过去了,开直通,内网依然不能上网,ping公网网关都不通,只好用回测试机,电话400查找原因不得解,搭了以下环境,对照设备检查,确认配置正确,同时设备日志都正常。这个过程发现一个奇怪问题A:测试PC直接通过10.251.251.251可以登录测试AF(并无接manage),测试PC网卡加个10.251.251.X,再去登录的时候,就是购买AF了,但这个适合,连测试AF的lan口都无法登录了……
图1 检查完配置并无不妥,客户分出另一条线(和使用的线路网关一致)进行测试,单机接lan口,购买的AF依然不能上网,最后400做了一个决定扭转了全局:1,将地址转换所有都禁止了,只留一条源地址转换;2,将应用控制所有禁止,只留一条允许所有的策略在最上面。重启设备后再测试,竟然可以上网了,然后把所有禁用的再启用,仍然是正常的……此为奇怪现象B。
图2 百无聊赖等到客户下班重新上设备,终于上网是正常了,但是还没完,客户测试后又发现,所有端口映射不通了,见上图2,半个小时过去了,所有匹配依然都为0……灵机一动,可以用解决B问题的思路去试试,把所有地址转换禁止了,只开一条,拿这条来试,telnet了几次,就可以了,然后其他逐个逐个允许,逐个逐个测试,直至全部可以,耗时2小时……根据观察图2,发现客户配置不合理,目的地址转换和双向地址转换虽然不一样,但是相同的其实可以合为一条(使用设备已给客户改正),不知是否可能导致冲突所引起,但是测试AF关机后也是匹配从0开始,并无这类问题。此为奇怪现象C。 最终,计划中午调完的设备,晚上八点多才搞完,而以上奇怪现象ABC,客服都没有给出原因的答复,只能说人品还算不差能搞定,期待对以上现象能给出更加专业的解答。 |