【AF+AD】AD出口IP被AF拦截导致业务异常

一、问题背景

客户突然反馈AD突然很多虚拟服务故障，导致业务访问异常，一会业务就都自动恢复正常了，，，，

网络架构：出口AD下联AF-AC-内网核心

二、问题处理

1.业务异常，客户第一时间收到邮件告警，AD的IP被防火墙ddos策略拦截了，目的地址全是内网的服务器

2.查看AF上日志，好多拒绝日志

3.设备以WAN接口地址去访问内网服务器的话 ，只有通过转换去了，没有想到其它可能性。

想查看下设备那个时间点的转换日志，AD本地是不会有留存的，负载设备是出口设备 磁盘空间有限 ，不能实时的记录NAT转换日志，一般都是对接外部syslog服务器。

4.服务器上查看日志，发现全是转换成AD的内网口地址去访问的内网服务器

5.查看设备系统日志，设备业务异常时有做修改地址转换策略的操作。询问客户确实新增过地址转换策略，但是新增完立刻删掉了。操作时间点跟故障时间点符合。

三、排查结论

1.设备以WAN接口地址去访问内网服务器的话 ， 是做了源地址转化导致的，根据nat日志和故障现象猜测有一种可能就是snat规则当时配置错了，配置成了所有都snat成121.x.x.x，这种情况探测包也会snat成这个地址到内网服务器，回包路由找不到导致节点监视器故障，而删除这条规则后就恢复了。

2.AF那边，这个dos模块逻辑就是检测源IP，发包阈值。有对应数据包过来达到阈值就会触发策略。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

每天学习一点新知识，谢谢分享

多谢楼主的分享，期待楼主更多的分享。