|
【需求确认】 上门进行NGAF测试,替换原有sophos防火墙。 【处理过程】 计划替换后拓扑:三条外网线路(ADSL1000M、某公司50M、4M香港专线)——NGAF(路由部署)——AC(网桥部署)——核心交换机 根据现有sophos防火墙的配置和客户的意见,配置NGAF的基本网络配置: 接口IP、路由、策略路由、NAT、DNAT、双向NAT、网络对象等。配置阶段顺利完成,在下班时间进行了割接测试。 替换后遇到严重的异常问题,内网均无法访问外网也无法ping通AF内网口。 开始异常检查: 1.开启直通添加全局排除地址,无效果2.AC同网段的网桥IP去pingAF内网口也不通,ARP表查询是AF的MAC 3.内网口抓包排查,终于发现了异常,只看到到防火墙的数据包,没看到防火墙回内网的数据包。 eth0 vlan0 查看网卡信息和路由表,发现包回到vlan0接口,AF默认有vlan0这个接口IP:1.1.1.1 而客户核心交换机到AF用的网段恰好就是1.1.1.0/24网段的。 【结论】 问题已经找出,两种解决方法: 1.调整客户部分网络配置,核心交换机上联口IP、路由、AC桥IP等。由于客户怕改动有异常而且回退比较麻烦所以不采纳 2.找400出包修改vlan0IP解决,录TD后几天就出了修改包KB-AF-20190425-201904190420-AF8.0.7 采用打包修改vlan0 IP的方式解决了,最后上架测试正常。
最后给大家抛出个小问题:AC网桥模式默认的虚拟ip是1.1.1.3或1.1.1.2,也是1.1.1.0/24网段的。虚拟重定向会有影响吗? | 
发表于 2019-7-1 10:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
