本帖最后由 清风慕竹 于 2021-2-28 10:05 编辑
一、现象描述 XX集团客户上架俩台下一代防火墙,突然客户反馈用户上不了网,遇到这种情况如何进行排查? 二、排查思想 自上而下,自下而上,分而治之,以下主要讲解自下而上的思想,至于客户现场使用什么思想主要根据个人习惯和相关经验。 三、排错步骤 3.1、物理层排错 物理层是计算机网络OSI模型中最低的一层,建立在通信媒体的基础上,实现系统和通信媒体的物理接口,为数据链路实体之间进行透明传输,为建立、保持和拆除计算机和网络之间的物理连接提供服务。 因此物理层的排错替换法来判断,通过更换邻接设备的网口甚至邻接设备本身来定位是否AF设备故障还是环境问题。如替换网线、网口等。 3.2、链路层排错 数据链路层的主要任务是使网络层无须了解物理层的特征而获得可靠的传输。数据链路层为通过链路层的数据进行打包和解包、差错检测和一定的校正能力,并协调共享介质。在数据链路层交换数据之前,协议关注的是形成帧和同步设备。 因此链路层排错主要通过检查链路协商状态来定位问题。 具体操作: 1、检查双工及速率,通过AF控制台页面【网络】-【接口/区域】确认; 2、根据状态是否异常进行调整; 3、若状态正常或调整后仍异常,则检查网口丢包错误包情况; 4、查看各个接口的 errors/dropped后面的数字,运行多次命令,看其数值是否增加,且增加速度快; 5、查看与邻接设备是否存在兼容性问题,检查arp表项; 3.3、 网络层及其诊断 网络层提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复等。 通过检查路由表以及ip冲突或限制来定位问题。 具体操作: 1、检查ip冲突情况,可通过检查邻接设备arp表项该ip对应的mac是否变动或者mac根本不是设备的mac; 2、检查路由表配置,DNS配置等。 3、路由表正常则需考虑运营商或前置设备限制情况,在设备上面ping外网定位是否受限。 4.4 传输层以上及其诊断 传输层是整个网络体系结构中的关键层次之一,主要负责向两个主机进程之间的通信提供服务,具有复用和分用功能。在终端用户之间提供透明的数据传输,向上层提供可靠的数据传输服务。 排除传输层以上的思路主要是查看防火墙的设置,应用程序的TCP或UDP的端口是否打开,应用程序软件是否设置正确等。 具体操作: 1、检查各个策略设置或通过控制台页面-【系统】-【排障】功能进行定位; 注:AF开直通后会导致大部分策略不生效,只有DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、网页防篡改、http与ftp隐藏功能生效;同时整个流控会不生效,即使针对单个IP开直通,所有用户流控策略都将失效。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-12-7 22:59
技术研究员1级 
