问题处理思路-----遇到问题先查智能客服:
若您遇到通过防火墙的目的地址转换映射内网服务器给公网访问,但配置完成后映射不成功的情况,请按照以下思路进行排障: 1、AF外网口抓包确认外网数据有发送到防火墙; 2、进行地址转换模拟匹配,确认源目IP输入防火墙后可以匹配上配置的目的地址转换策略; 3、防火墙开启直通/白名单,排除策略拦截导致不通;尤其注意自定义服务的情况,从标准版本AF8.0.35开始,自定义服务建议源端口需要为0-65535,而非指定端口 4、进行路由测试匹配,确认防火墙的数据可以匹配上路由正确发送给服务器; 5、防火墙内网口抓服务器的包,看是否数据被正常转换转发,服务器是否正确回包; 6、若数据未转换转发,请检查会话是否跑满; 7、若客户为多出口场景,请注意数据源进源出; //老架构需要开启接口wan属性,并配置此接口的策略路由,新架构勾选接口的逆向路由即可
PS:详细操作步骤请跳转AF目的地址转换不生效(映射的业务外网无法访问)的排障指导,按照排障指导的排障步骤进行问题排查: 注:目的地址转换数据先匹配目的地址转换策略改变目的IP,在匹配路由确定出接口,然后在去匹配应用控制策略和安全策略等,最后在发往目标服务器
一、一般情况智能客服能解决99%的简单常见问题,但是今天按照上述的办法全部排查了,还是没头绪。 问题现象:开定向直通,映射的外网地址和端口可以通,关闭定向直通,业务不通。正常来讲开启定向直通但不放行应该会有日志,但是今天根本开不到。
二、后来没办法,就把某工程师配置的防火墙全部检查了一遍,配置基本都正常。唯一可疑的点是虚拟线路限速是6M,闪瞎眼!!!!
AF是出口AF,但是这里某工程师却把虚拟线路配置当成了整网单用户限速,导致映射配置正常,路由也正常,但是映射不通无法使用,关闭流控映射策略恢复正常。
Ok了
|