#原创分享#规则库无法更新导致上网策略不生效排错步骤
  

哒哒哒 2325

{{ttag.title}}
本帖最后由 哒哒哒 于 2020-3-19 10:47 编辑

-------故障背景-------

       某天,客户做了一条上网策略,但是一直不生效,按照策略不生效的步骤做了一系列的排查依旧不生效(因为是新上架的设备,并且工程师实施结束后反馈说规则库是最新的,于是就没看这一点)。

       看了下规则库,竟然还是19年3月份的,于是更新,发现竟然无法更新。。。。。。

-------规则库无法更新排查步骤-------

1、规则库无法更新首先第一个想到的就是设备能否上网啦
如何测试呢?
可以在设备的命令控制台ping下公网地址和公网的域名
*ping公网地址(IPV4地址)是为了验证设备是否可以上网
*ping域名是为了验证设备配置的DNS是否可用
测试结果:都不通
测试分析:说明设备本身不能上网,所以不能更新规则库

问了下客户,设备能不能上网,客户以为设备能上网和内网用户能上网是一样的,其实吧不然
内网用户能上网并不代表设备就能上网,因为AC是网桥也就是二层方式串进去,不参与路由转发,内网用户上网的数据只是双向经过AC而已,如果AC不配置网桥地址,内网用户依旧可以正常上网。
AC设备上网需要满足几个条件①配置网桥地址并且可用  ②配置DNS并且可用 ③前置设备咩有拦截AC上网

2、这个时候问题就很明了了,先看网桥地址跟客户确认是可用的,DNS也是可用的,就开始查前置设备是否拦截
确认结果:跟客户确认前置设备没有做拦截,并且这次是设备替换,直接导入的配置,这个地址和DNS在之前的设备上都是可用的,所以在这台设备上应该也是可用的。

3、既然上公网不通,这个时候就直接ping下AC的网关好了
测试结果:不通
测试分析:问题又明确了,AC到上连的网关直连不通,现在要查的就是AC的wan口和路由器的LAN口,这种查起来就方便了,先让客户看下路由器的接口配置,客户回复咩有问题,那就只能找证据看下到底是哪里的问题了。
排查过程:在AC的命令控制台长PING路由器的LAN口地址,然后查看情况,如下图
317705e72d669833ea.png
测试结果:AC是一直在发送请求,但是路由器没回啊

穿插知识点:PING的实现原理
很简单,PING使用的是ICMP协议,实现过程就是简单的,请求request   回复reply
参考下图
163725e72d86e05d22.png

4、查到这里,问题更明确了些,直接查路由器,找到如下选项
187695e72d92c3d4f5.png
结果:在路由器上做了MAC绑定,绑定的是之前的AC的MAC地址,导致绑定关系失败所以不通,将这条删除继续测试

测试结果:网关也通了,公网地址也通了,域名也通了
249585e72d9a92fe4c.png

最后再更新规则库,上网策略生效(步骤略)

至此,故障解决

所以,各位小伙伴,遇到问题不要慌,建议根据现象一步一步的缩小故障范围,必要时候可以利用社区的智能客服,根据智能客服提供的排错思路来排查问题。

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

Sangfor_95899 发表于 2020-3-26 16:12
  
感谢楼主分享,所谓峰回路转,柳暗花明也就是楼主故事的样子了,哒哒哒的帖子写的越来越好,环环相扣,策略不生效——规则库更新——网络问题,中间细节清晰,体现了楼主基本功的扎实,哪里有问题,为什么出现这种问题,解决问题的依据,说明的清清楚楚。客户得这种工程师,幸福呀。期待社区有更多这样好的帖子
琉影 发表于 2020-3-19 10:50
  
drogba 发表于 2020-3-19 10:50
  
先马克后学习
谁演青梅师傅 发表于 2020-3-19 11:10
  
学习一下
Sangfor_闪电回_朱丽 发表于 2020-3-19 17:05
  
您好,感谢您参与社区原创分享计划7,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,奖励将在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
沧海 发表于 2020-3-25 10:38
  
学习一下
dan 发表于 2020-3-25 10:43
  
学习了,谢谢分享!建议如果可以截图看一下客户做的上网规则就更好了。
梦境人生 发表于 2020-3-25 10:47
  
之前也遇到过出口设备绑定mac的情况,替换完设备之后,莫名奇妙不通,当时采取的是跟换IP的方式
呆呆蛙 发表于 2020-3-25 11:40
  
和他们说的
凝網_蟲爺 发表于 2020-3-25 12:13
  
思路清晰,老司机上路。感谢分享。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
干货满满
每周精选
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
安装部署配置
秒懂零信任
自助服务平台操作指引
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

147
108
49

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人