【2022争霸赛*干货满满】AF故障排查

只看该作者 · 发表于 2022-9-15 22:21

本帖最后由莫冷于 2022-9-15 22:31 编辑

哈喽，大家好，纯洁的小莫冷又来给大家科普啦

在今天的科普之前先跟大家吐个槽，我要吐槽的就是@山东_朱文鑫这位大佬，看着您这一骑绝尘的分数我们是拍马都赶不及呀，还请大佬手下留情，给俺们留点面子

好了，正式开始咱们的科普吧

今天咱们来讲讲AF的故障排查

说起排障，肯定落不了咱们的排障三板斧，直通，抓包，命令控制台，那这三者都有什么作用呢，且听我细细道来。

首先，直通，在AF的系统-排障-故障排查位置

直通的作用

可以快速确定配置问题，找出错误的配置项
直通有三种类型

第一个为定向数据流分析输入源/目的IP地址，以及协议即可分析，此分析类型用于源IP或者目的IP为已知地址，可定位单点故障问题
第二个为全局直通分析

全局直通分析与定向数据流分析的区别是全局直通的源/目的IP地址为所有地址，如发生大面积网络瘫痪时使用
第三个为二层调试直通

二层调试直通只可用于透明/虚拟网线模式部署场景，路由模式部署可开启，但是不起作用，并且二层调试直通是直接在二层上将数据bypass掉，所有的策略均不生效，以及不会产生日志，建议仅作为无法排查故障原因并且需要快速恢复业务上线场景使用

直通排查不管是定向数据流分析还是全局直通分析，都可以在状态说明处查看原因

若为应用控制策略阻断，可在详情处查看是哪条策略阻断的，然后调整对应的应用控制策略即可，若为安全防护策略阻断，可直接在详情处添加例外

好了，说完直通，咱们再来说说抓包，相较于直通，抓包的作用更多的在于数据包完整性校验，比如数据包有去无回，乱序等问题

抓包的位置在系统-排障-分析工具-抓包工具，点击开始抓包按钮

输入参数即可开始抓包

也可以在过滤表达式里自己编写表达式来进行抓包，AF的抓包使用的是tcpdump命令，所以原则上只要是tcpdump的参数均可在过滤表达式输入

比如tcpdump –i eth0 host 192.168.1.1 port 80and icmp（抓IP地址为192.168.1.1 端口80 以及icmp报文的包）

抓包界面的参数则如下图所示

最后一个，也是咱们用的最多的一个模块，命令行工具命令行工具作为网络设备的基础工具，基本上所有的设备都包含命令行工具，其旨在探测网络连通性，比如ping traceroute telnet/sock 新架构的curl等命令老架构的防火墙打开命令行工具即可直接使用，可输入命令如下图所示

而新架构的防火墙则需要管理员账号开启命令行权限，并且在命令行输入login admin（有命令行权限的管理员）才可执行

并且新架构的命令控制台的命令执行方式更像交换路由的配置了，支持输入“？”来获取命令参数，tab补全命令等

而新架构的防火墙把telnet和sock命令移除了，测试端口连通性的话只能求助400了，在此呼吁研发大大，赶紧把这个功能给弄回来吧，太难受了呀
这里给大家分享几个小技巧或者说流程吧，也算是我个人的一点小小的经验

1.直通排查确定故障点，确定是否为配置问题导致

2.命令控制台，常用ping telnettraceroute
首先ping测试通信是否正常（网络允许ping，若不允许直接telnet测试）其次traceroute进行路由寻址（网络允许traceroute，若不允许直接telnet测试）之后telnet测试端口，此举主要是确定网络环境是否正常

3.若以上方法均无法确定故障点，则需要进一步抓包分析

若以上方式均无法确定故障问题，建议拨打400热线寻求帮助

最后，别忘了咱们还有一个东西，叫做系统故障日志，它的作用比前面那几个一点也低不了哦。

系统故障日志更多的是看系统有没有出现什么故障，不过这东西对于VPN GRE OSPF等配置帮助很大，你有经历过被IPSEC VPN支配的恐惧嘛？有品尝过纵使你使出浑身解数，拿出万般方法，它死活就是对接不成功的滋味嘛？其实只要你看一看系统故障日志，选中DLAN总部，点开调试日志的开关并勾选上显示调试日志，你就可以很清楚的知道问题出在哪，就像下图这种

是不是很清晰，连对端是什么算法都告诉你了，照着改不就成了嘛。

当然，还有很多故障描述的非常清晰，这里我就不一一解释了。

哦，差点忘了，新架构的AF的VPN日志合并到了IPSEC VPN里了哦，你如果在系统故障日志里是找不到的，切记不要迷路~

好了，今天的分享就到这里，排障方法并不是只有我所讲到的这几种，网络世界大千万象，我们不甚了解的东西还有很多，我之所知，只是皮毛，还望各位不要嫌弃

各位走过路过不要错过，点个赞再走呗~