一、检查地址转换配置是否正确:
低版本UI界面:
1、检查源区域配置、外网IP地址端口以及转换后IP地址端口
1)源区域:数据发起源区域
2)外网地址端口:对外提供的IP地址端口
3)内网地址端口:真实服务器IP端口
4)访问来源需要特别注意,是否有限制访问来源IP和端口
新版UI界面:
1、配置说明:
2、注意选择服务的时候,自定义服务里是否有限制源端口范围:
二、检查对应策略是否有匹配数
三、检查防火墙上的路由情况,是否有异常,比如出接口或者下一跳和预期的不一致:
检查到服务器的路由:
检查从服务器返回的路由:
四、检查AF的系统故障日志,是否有相关的错误日志,注意勾选告警和错误日志等级,特别是高可用性、链路故障检测相关的日志。双机和链路检测异常的时候网络是会异常的:
五、在首页检查接口的流量吞吐和会话数情况,故障点是否有流量激增的情况,如果流量和会话激增,需要和用户确认是否会影响对应的业务:
六、检查AF的安全和行为日志是否有对应的拦截信息,注意需要获取业务实际经过防火墙的地址,可以在分析工具里抓一下包,看看是否为该地址经过:
如果有开启应用控制策略日志,可以到行为日志里查看是否有拦截记录:
七、检查操作日志,故障期间前后是否做过相关的策略(ACL、黑白名单、NAT)调整,可以和用户核实调整的内容是否影响业务:
八、控制台的分析工具里执行ifconfig查看接口是否存在丢包,间隔一分钟再执行一次对比丢包数是否有增加,如果有增加可以直接上升L2、L3处理:
九、检查防火墙的接口协商速率是否正常为全双工千兆、万兆。一般强制协商或者协商成百兆是有异常的,需要注意下: