本帖最后由 莫冷 于 2022-9-15 22:31 编辑
哈喽,大家好,纯洁的小莫冷又来给大家科普啦 在今天的科普之前先跟大家吐个槽,我要吐槽的就是 @山东_朱文鑫 这位大佬,看着您这一骑绝尘的分数我们是拍马都赶不及呀,还请大佬手下留情,给俺们留点面子
好了,正式开始咱们的科普吧
今天咱们来讲讲AF的故障排查 说起排障,肯定落不了咱们的排障三板斧,直通,抓包,命令控制台,那这三者都有什么作用呢,且听我细细道来。 首先,直通,在AF的系统-排障-故障排查位置 直通的作用 可以快速确定配置问题,找出错误的配置项
直通有三种类型 第一个为定向数据流分析输入源/目的IP地址,以及协议即可分析,此分析类型用于源IP或者目的IP为已知地址,可定位单点故障问题
第二个为全局直通分析 全局直通分析与定向数据流分析的区别是全局直通的源/目的IP地址为所有地址,如发生大面积网络瘫痪时使用
第三个为二层调试直通 二层调试直通只可用于透明/虚拟网线模式部署场景,路由模式部署可开启,但是不起作用,并且二层调试直通是直接在二层上将数据bypass掉,所有的策略均不生效,以及不会产生日志,建议仅作为无法排查故障原因并且需要快速恢复业务上线场景使用 直通排查不管是定向数据流分析还是全局直通分析,都可以在状态说明处查看原因
若为应用控制策略阻断,可在详情处查看是哪条策略阻断的,然后调整对应的应用控制策略即可,若为安全防护策略阻断,可直接在详情处添加例外
好了,说完直通,咱们再来说说抓包,相较于直通,抓包的作用更多的在于数据包完整性校验,比如数据包有去无回,乱序等问题
抓包的位置在系统-排障-分析工具-抓包工具,点击开始抓包按钮 输入参数即可开始抓包
也可以在过滤表达式里自己编写表达式来进行抓包,AF的抓包使用的是tcpdump命令,所以原则上只要是tcpdump的参数均可在过滤表达式输入 比如tcpdump –i eth0 host 192.168.1.1 port 80and icmp(抓IP地址为192.168.1.1 端口80 以及icmp报文的包)
抓包界面的参数则如下图所示
最后一个,也是咱们用的最多的一个模块,命令行工具命令行工具作为网络设备的基础工具,基本上所有的设备都包含命令行工具,其旨在探测网络连通性,比如ping traceroute telnet/sock 新架构的curl等命令老架构的防火墙打开命令行工具即可直接使用,可输入命令如下图所示
而新架构的防火墙则需要管理员账号开启命令行权限,并且在命令行输入login admin(有命令行权限的管理员)才可执行
并且新架构的命令控制台的命令执行方式更像交换路由的配置了,支持输入“?”来获取命令参数,tab补全命令等
而新架构的防火墙把telnet和sock命令移除了,测试端口连通性的话只能求助400了,在此呼吁研发大大,赶紧把这个功能给弄回来吧,太难受了呀
这里给大家分享几个小技巧或者说流程吧,也算是我个人的一点小小的经验 1.直通排查确定故障点,确定是否为配置问题导致 2.命令控制台,常用ping telnettraceroute
首先ping测试通信是否正常(网络允许ping,若不允许直接telnet测试)其次traceroute进行路由寻址(网络允许traceroute,若不允许直接telnet测试)之后telnet测试端口,此举主要是确定网络环境是否正常 3.若以上方法均无法确定故障点,则需要进一步抓包分析 若以上方式均无法确定故障问题,建议拨打400热线寻求帮助 最后,别忘了咱们还有一个东西,叫做系统故障日志,它的作用比前面那几个一点也低不了哦。
系统故障日志更多的是看系统有没有出现什么故障,不过这东西对于VPN GRE OSPF等配置帮助很大,你有经历过被IPSEC VPN支配的恐惧嘛?有品尝过纵使你使出浑身解数,拿出万般方法,它死活就是对接不成功的滋味嘛?其实只要你看一看系统故障日志,选中DLAN总部,点开调试日志的开关并勾选上显示调试日志,你就可以很清楚的知道问题出在哪,就像下图这种
是不是很清晰,连对端是什么算法都告诉你了,照着改不就成了嘛。当然,还有很多故障描述的非常清晰,这里我就不一一解释了。 哦,差点忘了,新架构的AF的VPN日志合并到了IPSEC VPN里了哦,你如果在系统故障日志里是找不到的,切记不要迷路~ 好了,今天的分享就到这里,排障方法并不是只有我所讲到的这几种,网络世界大千万象,我们不甚了解的东西还有很多,我之所知,只是皮毛,还望各位不要嫌弃
各位走过路过不要错过,点个赞再走呗~ | 
发表于 2023-12-27 12:36
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
