AF版本:8.0.6
一、故障现象 不同PC终端,间歇性断网,然后隔几分钟、十几分钟后就又好了。这些终端分布广泛,分布在不同的楼层的接入交换机,所属网段也很广泛,有1、3、5等几个网段。
二、网络环境 AF+核心交换机+接入交换机+PC终端
三、排查 1、确认故障范围。 客户反馈从4月1日更换AF设备后,有数10个终端报故障,故障现象一致,时间也不固定。范围比较广。
2、从终端到网关逐导排查。 1)发现故障终端后,先ping网关,没有问题;再ping核心交换机上联口,没有问题;再ping防火墙的下联口,无法ping通。 2)登录核心交换机,尝试ping防火墙下联口,没有问题。 3)在同一个交换机下,发现直连交换机的PC没有问题,而PC连接无线AP有问题。登录无线AP,从AP去ping防火墙的下联口,无法ping通;从防火墙往回ping无线AP的上联口,可以通。 4)抓包 路径【系统】-【排障】-【抓包取证】,抓包。 发现AF接收到终端发的数据包,但没有回应。
5)将无线AP的上联口IP加入放行名单。故障排除。
6)检查AF设备策略,发现配置了内网到外网的DoS/DDoS防护策略。 关闭该策略即可。因为AP下连终端很多,当其访问连接数或请求数超过阈值后,会触发DoS/DDos防护策略,导致该AP下的所有终端无法联网。
注意:如果内网到防火墙本机之间是SNAT的部署环境,请勿启用此防护策略!
四、其他 1、从标准版本AF7.2开始的SSL VPN 支持移动客户端EASY CONNECT软件登陆,如果版本低于AF-7.2,需要使用IE浏览器登录。 2、AF配置双向地址转换的源区域和目的区域一般一致。如果是内网以公网IP访问内网的服务器,则双向地址转换的源区域和目的区域均为LAN。 | 
发表于 2019-4-4 16:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家4级 
