提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

进阶排查:远程检查ARP和路由情况,开启直通验证

|

问题描述

配置了源地址转换,内网还是访问访问外网不通

有效排查步骤

1、需要在内网测试电脑PING 外网口网关IP地址,可以带长度好分析
ping 114.114.114.114 -l 400 -t

在外网口抓包tcdump -i ethX icmp and greater 400 -nn ,发现对应的外网口有没有包发出去
注:greater 400表示过滤包长400以上的才行


2、命令行控制台执行arp -n ,看是否有学到对方的MAC地址;如没有学到对方的ARP,则是不会转发包出去

3、如没有学到ARP信息,则可以在对应接口抓ARP包,看AF是没有发送出去还是对方没有回包
tcdump -i ethX  arp and host xx.xx.xx.xx -nn



AF没有发包出去,则检查双方接口的IP与掩码或应用控制策略是否有拦截,可以先开全直通来排除策略影响;
对方没有回包,则需要检测对方的配置:如接口IP与掩码、ACL等控制策略
如接口是聚合口,则可能为聚合口协商不成功,可以更改双方聚合口协商模式,如改为HASH。

检查路由情况:
1、检查对应的路由设置:是用的策略路由还是静态路由,使用路由测试
检查出去的路由是否走公网出口:

检查到内网地址的路由,是否走内网接口去:



2、检查接口状态:链路故障检测是否有异常


3、检查系统故障日志:是否有链路故障异常的告警信息



开启直通验证:
在防火墙的故障排查里开启直通,检查对应的故障日志;如果防火墙上有透明或者虚拟网线等二层接口,在沟通好的情况下开启直通验证是否可以正常

根据直通排障日志,确认数据包走向,根据排障详细情况,检查数据包走向对不对,是否走错口,或者没有进行地址转换。或者转换错了地址:





解决方案

以上步骤未解决您的问题,可收集以下信息问题流转技术支持工程师:
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备部署模式及网络拓扑:
6、设备详细版本信息:
7、您的初步排查结论:
您可以通过关注微信公众号【深信服技术服务】自助提单或者拨打400-630-6430提单

操作影响范围

开启直通会导致对应地址无安全防护效果

我要分享
文档编号: 215979
作者: admin
更新时间: 2023-03-21 19:20
适用版本: