#原创分享#EDR网络问题分享

问题描述

客户那边已经购买了AF和AC，最近AF上有很多僵尸网络主机，于是搭个EDR给客户测试一下，部署完之后，发现内网无法访问EDR平台，网络不通。拓扑架构如下

通过拓扑已知EDR部署在af DMZ区域，内网不通。初步断定为路由问题，或者AF，AC上策略问题。

解决思路

1、检查AF上面路由、策略信息。   AF可以联动EDR，检查路由策略都正常。

2、检查AC上配置，在AC上发现无法ping通EDR地址。ping DMZ其他服务器正常，抓包分析

发现edr没有回包。需要检查EDR的配置

3、登陆EDR后台抓包分析，发现没有回包

4、进一步分析，检查edr网卡配置，没有问题。

5、无意间ifconfig发现掩码跟实际网卡上掩码不一致

6、nmtui查看网卡信息发现配置的是16位的掩码

7、掩码调整成26位之后，service network restart 重启下网络 ，发现通了

问题总结

EDR网卡掩码未配置正确导致的网络异常。

以上是本次事件的基本排错思路，期间走了几次误区。

1、由于我vpn拨入的虚拟ip可以正常访问EDR平台，由于是掩码问题，给我带来很大误区，以为EDR是正常的。期间测试发现DMZ其他服务器地址都正常，就edr不行，怀疑地址问题，修改过EDR的IP，但是还是不行。

2、AC上访问edr不通，检查路由没有问题，检查af策略没有问题，检查AC上的策略、防火墙过滤规则，开直通啥的都不行，当初一直纠结ac是问题浪费很多时间。

3、EDR网卡上的掩码是正确的，但是实际没匹配生效，本次edr是部署在centos上的，这个第一次碰到这个情况。

您好，感谢您的分享
软件形式安装的EDR，安装完成后，在修改网络配置的时候一定要仔细，否则很容易因为一个小的错误导致不通，排查起来很容易被忽略掉；
排错思路很清楚，很值得大家学习，感谢您的分享

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

排查思路清晰

干货慢慢，学习一下。

一个掩码引发的惨案 哈哈哈

感谢分享

.333..........................

感谢分享

感谢分享~排查思路清晰

总结的很到位，谢谢分享