#原创分享#AF简单的排障

事情经过：

某天客户打电话说在核心交换机新增了4个网段，这四个网段无法上网，问客户网络环境客户也不是很懂，只知道有个深信服的防火墙和上网行为管理，问客户要个拓扑图还要去找

我想象中的拓扑图：   出口设备是防火墙路由模式部署，下联是AC网桥模式部署，再下联就是核心

让客户找台电脑给我远程登录防火墙和AC看看，查看两台设备的配置居然不是我想象的那样

客户的拓扑图：出口设备是H3C的MSR的路由器，防火墙和AC网桥模式部署在H3C MSR和核心之间

处理步骤：

1、让客户给我登录核心，查看一下新添加的网段（新增网络192.168.69.0/24、192.168.79.0/24、192.168.89.0/24、192.168.99.0/24），通过使用新添加网段为源IP去pingMSR路由器看是否能通

命令     ping -a 192.168.89.1 172.16.100.1         （172.16.100.1是MSR路由器的IP地址）发现不通

3、查看H3C MSR路由器是否有回包路由，发现已经是写了一个16位掩码的回包路由

4、把AC和防火墙都开直通再ping发现通了，查看AC没有拦截日志，AF有拦截日志，显示是应用控制拦截了，找到应用控制策略，查看策略发现没有放通LAN-WAN新增的IP通过，添加上新网段的IP地址

3、关闭直通再ping，发现还是不通，再看直通看看是不是还有拦截，发现又被DOS模块拦截了

查看DOS模式发现也是一样没有添加新网段，手动给他加上

4、再关闭直通发现能ping  172.16.100.1  但是无法ping通公网，这个应该是路由器的问题了

查看了一下路由器的配置发现NAT没有新添加的网段，进入ACL访问控制列表给他加上，一定要加在deny前面，不然还是被拒绝的

感谢楼主分享。
很清晰的分段式排障思路，先排查了PC到交换机，然后是交换机到出口路由器，最后是出口路由器到外网。确定问题节点后通过结合自身技术能力和经验来处理，是比较经典的小案例。

感谢分享。

排查的思路很正确，说明楼主的网络基础也是比较扎实的，同志们，干咱们实施的基础不好是很闹心的

很实用的干货

很不错的排错思路

这样的排障贴帮助很大，能引领新手建立处理问题的逻辑思维，很好，点赞打赏

厉害了，这个单位的设备功能 利用的淋漓尽致，看来安全意识还是比较强烈的 。

很清晰的思路