“当前已有100+用户参与分享,共计发放奖励50000+“
真实案例1
情景描述: 防火墙做出口网关,内网三层交换机上总共有十个VLAN网段,其中九个可以正常上网,另外一个VLAN无法上网,现场工程师抓包分析防火墙没有回包。
排查过程: 电话询问现场工程师,防火墙上存在对应网段的回包路由,策略全部放通,源地址转换也有,中间也没有其它安全设备,正常有这些配置就可以上网了,电话里没有发现异常,那就远程排查吧。远程接入后查看设备配置,发现设备其中一个接口,配置了这个不能上网VLAN的地址,询问现场工程师接口为什么要配置这个地址,他回答该IP准备作为防火墙HA的互联地址,跟他解释了一通,去掉这个IP后,该VLAN上网正常。
原因分析: 防火墙接口上存在该VLAN地址,导致该网段上网异常。防火墙配置该网段,会在设备上生成直连路由,而直连路由的优先级是大于静态路由的,导致数据无法正常通过回执路由回包,数据包直接发送给其它接口,从而导致网络不通。
真实案例2
情景描述: 某政府单位内网防火墙出现故障,导致无法发工资。通过某公司防火墙替换该设备,由于内网环境不清楚,维护人员复杂,多方沟通,工程师远程没有搞定。
现场排查过程: 到了现场,先是了解了大概情况,防火墙路由模式部署,客户网络在防火墙wan方向,访问lan方向的业务系统,通过映射后的地址访问。检查防火墙配置,发现防火墙是混合模式部署,还存在一组透明桥,配置了两条默认路由,默认路由的度量值也都一样,对其中设备管理的默认路由进行修改,改成明细路由。接着发现,业务访问的地址是10,而防火墙只配置地址2,并且没有对应的端口映射,将这些配置补全后,发现业务系统依然无法访问。通过在终端电脑上测试发现,终端ping防火墙wan口IP10.10.10.2可以通,pingWAN口IP10.10.10.10也就是业务访问的地址不通(因为不清楚具体端口,10直接全映射给业务系统了),在防火墙上ping业务系统IP可以通,通过在AF上做了双向源地址转换,业务访问正常。
原因分析: 远程工程师配置上存在问题,两条一样度量值的默认路由,匹配会存在问题,对应的配置没有配全。防火墙外网方向访问映射后的业务地址不通,防火墙LAN口访问业务正常,通过把外网进来的IP转换成防火墙LANIP实现业务访问正常。防火墙LAN口IP和业务系统IP属于同一网段,此种情况端口映射不通,可能是业务系统网关没有配置,或没有指向防火墙LAN口,亦或是其它方面的访问限制。由于没有人知道具体情况,无法进行验证。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-8-20 16:15
技术员2级 
