#原创分享#AF简单的排障

事情经过：

某天客户打电话说在核心交换机新增了4个网段，这四个网段无法上网，问客户网络环境客户也不是很懂，只知道有个深信服的防火墙和上网行为管理，问客户要个拓扑图还要去找

我想象中的拓扑图：   出口设备是防火墙路由模式部署，下联是AC网桥模式部署，再下联就是核心

让客户找台电脑给我远程登录防火墙和AC看看，查看两台设备的配置居然不是我想象的那样

客户的拓扑图：出口设备是H3C的MSR的路由器，防火墙和AC网桥模式部署在H3C MSR和核心之间

处理步骤：

1、让客户给我登录核心，查看一下新添加的网段（新增网络192.168.69.0/24、192.168.79.0/24、192.168.89.0/24、192.168.99.0/24），通过使用新添加网段为源IP去pingMSR路由器看是否能通

命令     ping -a 192.168.89.1 172.16.100.1         （172.16.100.1是MSR路由器的IP地址）发现不通

3、查看H3C MSR路由器是否有回包路由，发现已经是写了一个16位掩码的回包路由

4、把AC和防火墙都开直通再ping发现通了，查看AC没有拦截日志，AF有拦截日志，显示是应用控制拦截了，找到应用控制策略，查看策略发现没有放通LAN-WAN新增的IP通过，添加上新网段的IP地址

3、关闭直通再ping，发现还是不通，再看直通看看是不是还有拦截，发现又被DOS模块拦截了

查看DOS模式发现也是一样没有添加新网段，手动给他加上

4、再关闭直通发现能ping  172.16.100.1  但是无法ping通公网，这个应该是路由器的问题了

查看了一下路由器的配置发现NAT没有新添加的网段，进入ACL访问控制列表给他加上，一定要加在deny前面，不然还是被拒绝的

感谢楼主分享。
很清晰的分段式排障思路，先排查了PC到交换机，然后是交换机到出口路由器，最后是出口路由器到外网。确定问题节点后通过结合自身技术能力和经验来处理，是比较经典的小案例。

设备之间没有协调好

总结的很好

您好，感谢您参与社区原创分享计划6，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

干货满满，感谢楼主的分享！

万能的ping&直通

ping可以解决很多问题！

总结的很详细，一点一点向上发现问题

感谢大神的精彩分享，我就好奇客户啥也不懂，你是咋登陆上交换机路由器的

为楼主点赞，希望楼主多多分享干货！