前两天客户发现一个业务访问异常,开全局直通也无效,跟着我一起来进行逐步排查吧~
环境:服务器----数据中心AF----核心交换机----总部出口AF-----分支出口AF----分支PC | | 专线分支 问题: 客户的佛山总部和上海等多个分支建立了sangforvpn,但是分支通过sangforvpn去访问一个总部业务的时候不能正常访问。
排查过程: 1、首先客户建立sangforvpn的设备两端都是深信服AF,首先进行ping检测,判断是否存在网络层问题。在分支的客户端能够正常tcping服务器的业务端口。
2、通过旁挂在核心交换机的SSLVPN设备,使用SSLVPN接入再连接业务能够正常使用。
3、某个分支通过专线接入集团总部核心交换机再访问业务系统也正常使用。
4、在佛山总部、上海的防火墙上都开启全局直通进行 业务 登录测试,也是提示网络错误。不能正常使用。
5、排查到此时已经没有特别好的方法了,只剩下这三个办法:通过抓包对比是否中间线路存在丢包情况;更改sangforvpn的传输模式,由TCP改成UDP;抓包具体分析包的内容。
6、由于前两点较易达成,也是和客户先沟通更改传输方式,但是需要注意:这一操作会重连分支和总部之间的sangforvpn线路,造成业务闪断,一定沟通能够中断业务的时间再进行操作。但是修改传输方式之后问题现象依然存在,于是继续进行抓包排查。
7、在和客户协调人员一起配合抓包之后,抓取了佛山总部出口AF的LAN口、vpntun口;上海出口防火墙的LAN口、vpntun口;应用服务器的业务口。抓取之后经过对比两个防火墙的LAN口抓包文件发现包数量经过sangforvpn传输之后数据包数量是一致的,并没有丢包情况。
8、于是针对具体数据包进行查看,发现在佛山AF的LAN口会收到包含http 500相关信息的包,虽然会转发到了佛山AF的vpntun口中,但是内容发生了改变 9、结合应用隐藏的相关资料判断,这个数据包因为存在http 500,一部分字段被AF进行了隐藏。可能是这个原因导致访问异常。需要在佛山出口AF、上海出口AF进行应用隐藏的关闭操作。
10、应用隐藏关闭操作如下:
11、经验证,关闭应用隐藏之后客户业务访问正常。
规避方案:
1、 应用隐藏功能导致客户业务访问出现异常,需关闭相关功能。 | 
发表于 2022-10-8 09:36
发表于 2022-10-8 17:33
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
