一、检查测试PC本身地址、掩码、网关、DNS配置是否正常,需确认PC到网关是否通信正常。
cmd 命令行输入:ipconfig /all 查看设备网口配置
二、使用【排障】-【分析工具】-【抓包工具】进行抓包,确认内网数据有到达防火墙内网口:
或者可以在命令行界面抓包查看内网上网数据是否到达过防火墙,抓包命令如下:
tcpdump -i ethx host IP and port 端口 -nn -c 数量
PS:数据包有打印出来即是抓到的数据包,数据包特征应包含您的源目IP加协议
三、透明模式部署场景,检查设备接口的access/trunk属性配置是否正确;对端是trunk模式,我端也需要配置为trunk,并且允许的vlan范围需要一样;对端是access 口,我端也需配置为access口,vlanID可以不同。
//防火墙可配置为虚拟网线模式不参与vlan标签剥打
四、AF开启直通、白名单后测试,看数据访问是否能够正常
1、AF 开启(定向、全局)直通后测试,看是否正常,若正常,则根据一下丢包标记进行策略检查放通
直通日志丢包标记和对于的丢包模块对于关系如下:
2、若是ACL拦截,可通过应用控制策略模拟匹配工具填入数据的五元组进匹配测试,确认ACL是否未放通,根据数据五元组进行放通。
3、若是安全功能拦截,可通过填入数据五元组查询安全策略根据不同的安全日志拦截情况进行放通,请参考:
业务被AF拦截典型场景。五、请核实网络环境,确认是否存在聚合场景,若是对端有接口聚合,防火墙也需要配置接口聚合
//也可以配置为虚拟网线模式,不参与接口聚合
六、确认AF的部署环境与网络拓扑,理清对应源IP经过AF时的数据流,确保流量过防火墙设备;上下设备是否有做接口聚合,AF业务口是光口还是电口,接口状态是否正常
发表于 2022-12-29 10:47