防火墙,作为交付项目中最容易碰到的产品之一
产品交付中,工程师最喜欢碰到的交付场景,那肯定是透明部署无疑,一对虚拟网线,调一下应用控制,安全防护等策略,就可以完成部署
说起防火墙的售后问题,最多的,大概也是用户反馈什么什么应用不通了
我今天说的问题,就是发生在这样一个场景下:虚拟机网线部署+业务不通
防护墙部署在一个政府的内网出口,位置很重要,起了严格模式
问题现象:客户反馈 某视频应用看不了图像
接到问题的第一时间,工程师了解到,应用服务器在外网,使用用户在内网,中间通过MPLS VPN 进行数据传输
然后呢,经过一系列测试,网络、端口都是可达的,但是就是应用打不开
下一步方案就是 开启直通,二层直通来进行测试
开启直通后,没发现任何拦截,而且传输的数据是MPLS VPN加密的,没法针对源目IP 来进行抓包比对
但是通过抓整体的包来测试,发现进出口转发的数据包是一致的,也就是不存在拦截的问题
而且目前8.0.45版本的防火墙,是确认可以透传MPLS的
所以把故障点,排除在防火墙之外的其他问题上
客户联合多方筛查问题好多天以后,问题依然没有解决,又回到了防火墙上
由于防火墙的位置比较重要,所以一致不允许下架测试,在问题找不到原因后,领导允许了下架防火墙,来直接测试业务,结果防护墙下架后,业务就恢复了。
防火墙已经把所有数据包都转发了,但是业务真的是被防火墙拦截了,那么被拦截的数据包去哪了呢?
想到MPLS,突然想起多年前的一个项目,防火墙有个特殊的版本,可以支持组建MPLS,做PE设备,但是组建后,内网用户单独就是打不开某品牌的EDR控制台,这个售后也是我过去测试的,一开始认为是组网兼容新的问题,后来排查发现,是防火墙的接口MTU值小于传输数据包的大小,导致 数据包直接被丢弃。
回到这个问题,同样是MPLS组网,会不会也是MTU的问题
我把相关思路跟专家说了一下,他查看了接口的状态,果然发现又大量的长度错误错误告警
后续跟研发进行了探讨,数据包在经过MPLS封装以后,长度会超过接口限制的1500
并且研发推荐再该场景下 讲MTU值改到了 1536
更改后,业务恢复正常
但是需要注意的是,老版本的防火墙,由于网卡和内核的限制,是不支持更改MTU的,乱更改会导致设备宕机。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-10-20 09:55
技术研究员2级 
