AF替换为出口设备路由情况

  菜鸟一枚，分享一下踩的坑。

前一段对某学校防火墙升级版本，升级后要做割接，出口设备时间年限旧，要做简化，把原本透明部署的防火墙作为出口使用。

割接前

割接后

PS:邮件服务等走Internet，通过双向地址转换访问；官网主页服务器IP是公网地址，走教育网，通过路由访问。

接口IP，区域，源目地址转换等都已被现场老师提前配置，于是就开始了哄哄烈烈的割接测试。

测试结果：校园上网正常，但校园对Internet发布的服务却无法访问，公网ping外网接口可以通，域名也解析正常。由于两条线路对外业务都无法访问。

1、排查应用访问控制，地址转换策略，怕影响业务，恢复透明模式。后面发现双向地址转换中源地址写的私有网段，导致双向地址转换策略无效。

2、策略路由问题，校园上网都从Internet走，但教育网——主页服务器，主页服务器回包，也匹配这条路由从Internet走，会导致来回路径不一致；如果写上网从教育网走也会导致其他业务上网从教育网走，导致来回路径不一致。回来咨询400，确定8.0.35版本勾选接口WAN口属性，会有源进源出的功能，这个忒好了，这个问题解决了。

第二次测试，Internet业务都正常，地址转换也正常。官网主页却访问不了。（本人不在现场（=-=））

1、复原后，老师将WAN口抓包，LAN口抓包发给了我，看包后发现WAN口有收到访问主页的包，但没有一个回包；看LAN口包，竟然没有包。

2、查看应用控制策略，没有拦截日志。查看策略路由，也没问题，静态路由也没问题。这就奇怪了。用防火墙ping主页，无法ping通。后使用测试路由

第一条优先竟然是直连路由，到eth0口查看IP，有个ip211.x.x.33的地址，主页IP是211.x.x.34。真相大白

eth0口虽然未接线，接口启用还是会产生直连路由，导致主页包流向eth0口。

解决办法删除eth0 211.x.x.33的IP，不生成直连路由。

后来模拟实验证实

PS：ensp模拟器路由器接口不连线，路由表会更新，不会产生直连路由。测试可以连接PC，或者起LoopBack口。

如果有不对的地方，求多多指正。