提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

网桥模式无法上网的可能原因和排查思路概述

|

问题描述

【适用场景】
本场景适用于AC/SG设备网桥模式下,客户全网业务中断,导致客户的核心业务受到影响的情况

【基本原则】
以优先恢复客户业务为第一要务,在业务恢复后在进行问题原因的排查

告警信息

可能原因
第三方产品&环境问题(开启直通或全局排除依旧无法恢复的现象中此类原因居多)
1、运营商线路问题场景
2、内网其他安全设备拦截场景
3、网口协商异常,导致设备上架上去,流量无法正常经过
4、PC的DNS解析异常导致
5、内网地址冲突导致

功能配置问题
1、用户未通过认证,开启直通可验证,先确保用户上线
2、DOS防护配置不当导致,开启直通可验证
3、WAN和LAN接反线,导致无法上网,开直通可以恢复
4、上网权限策略拦截,可以通过直通来判断
5、流控策略限制太小,导致感知断网,开直通可以恢复
6、认证策略勾选了录入绑定关系,但是未开启跨三层,导致无法上网,开直通可以恢复

软件功能问题
1、设备红灯长亮或出现负载跑满导致网口丢包,跳开设备可以恢复(红灯闪烁只是存在系统日志告警)

有效排查步骤

【业务恢复】
确认设备是否能登录:
1、设备无法登录:
①硬件问题:设备alarm灯红灯常亮,设备直连无法ping通,设备没有接显示器接口/console接进不去,通过重启AC设备尝试恢复,若无法恢复,则想办法替换/跳开设备,保障业务正常
②软件问题:设备sangfor_waf进程异常等,详情请参考控制台无法登录

2、设备能正常登录:
开启拒绝列表并直通/搬包/跳开AC测试,策略/物理上排除AC影响
②确认问题出现之前是否做过什么改动,可通过恢复之前的配置来恢复业务
③获取数据具体走向,通过抓包判断问题并解决问题
④若以上操作无法帮助您快速恢复客户业务,请及时收集下列解决方案中的信息进行问题上升

排查思路
1、确认出现断网前是否做了网络变更操作或调整了相关设备配置
确认问题出现的具体时间,核对问题出现时间前后设备本身策略配置或者网络环境是否有做过调整,确认是否变更不当导致的断网

2、开启直通、全局排除、搬包均无法恢复正常访问,则基本判断非设备拦截或影响导致(如果设备是网桥或旁路,可下架设备验证是否存在硬件或负载导致的原因,如果下架AC恢复正常则转人工协助分析原因

3、若开启直通恢复正常则可基于具体问题现象转到对应场景进行调整放通,直通全局排除指导:点击这里
常见丢包模块如下:
①用户认证丢包:可登录设备控制台,使用【全网监控】-【故障监控中心】-【用户认证故障排查】工具进行排查,输入用户IP可查阅具体原因及建议,常见问题是用户未认证或绑定校验失败
②应用控制丢包:可登录设备控制台,使用【全网监控】-【故障监控中心】-【权限策略故障排查】工具进行排查,输入源IP可查看具体连接匹配策略情况,常见问题是策略未放通导致被拒绝

4、如果定位非AC设备导致后,想进一步定位问题原因可参考如下思路:
①修改PC的DNS为114.114.114.114或223.5.5.5进行测试,排除是DNS解析异常问题
②如果出口为多线路,可调整出口设备的链路负载策略,走其他线路进行测试,排除是运营商线路问题
③内网其他安全设备,有ACL策略的设备上添加白名单进行验证,排除是其他设备拦截

解决方案

联系技术支持建议提供以下信息:
1、具体断网现象
2、终端数据是否经过AC
3、开直通结果
4、提供数据包
5、设备相关物理状态,比如告警灯之类的情况

我要分享
文档编号: 219651
作者: admin
更新时间: 2023-05-30 09:40
适用版本: