#原创分享# 记一次FW故障处理事件

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励50000+“

客户新采购一台FW808防火墙部署在出口，上架后配置好基础策略出现内网部分用户网络丢包严重。

问题现象：

1、内网ping外网baidu等网站出现丢包严重；

2、内网Ping外网网关也会出现丢包情况；

客户环境：

1、两条外网线路，均为固定IP：

      一条100M上下对等专线；

      一条200M不对等线路；

2、两条线路均是从光猫直接接入防火墙，未经过交换机；

3、应客户要求配置以下策略：

     3.1、按部门划分vlan组，再根据vlan组配置流控及应用策略；

     3.2、单独划分4个无线vlan，用于无线用户及访客使用；

     3.3、使用策略路由将业务部门及研发部门流量指向专线，其他部门及无线用户使用200M线路；

     3.4、业务部门及研发部门和其他部门进行vlan隔离；

     3.5、流控方面，限制用户最大上下行为5M，限制单IP用户为2M；

处理过程：

测试内网环境问题：

1、内网测试到防火墙内网接口地址情况；

2、使用多终端测试内网环境，未发现问题；

测试外网环境问题：

1、在防火墙上测试ping网络情况，同样会出现丢包；

2、使用笔记本直连外网线路，未出现丢包情况；

3、在防火墙上外网接口抓包，发现外网没有回包；

4、在晚上下班后测试网络情况，貌似“恢复正常”了；

5、在早上上班后测试网络情况，问题又出现了；

6、客户邮箱也不停收到链路探测告警；

7、查看防火墙性能开销情况，未发现异常；

分析：

1、测试发现丢包严重的都是200M线路，100M专线未出现此现象；

2、使用笔记本电脑直连光猫测试baidu等未出现异常；

3、通过防火墙上抓包发现外网未回包情况，怀疑是外网路线问题；

4、协调电信工程师上门测试线路，称未发现问题；

5、客户怀疑是我们出口防火墙有问题，但是经过测试判断问题不是出现在防火墙；

6、建议客户重新申请一条外线再进行测试；

最终结果：

客户重新申请了一条50M专线，测试结果正常；

最终问题原因出现在200M线路上。

处理完毕！

感谢楼主的分享
整体思路非常好，配合抓包可以很快的明确问题点，非常值得大家学习
感谢您，期待您更多的分享

感谢楼主的分享
通过ping测试和抓包分析，对于出口设备经常会遇到和运营商的线路通信问题，楼主的思路很清晰，在条件许可的情况可以通过更换线路测试，配和抓包快速定位问题原因。
感谢您，期待您更多的分享

学习一下

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=113795

ISP线路问题让人郁闷

应该是运营商的问题吧

感谢分享

感谢分享

这不是故障，是被运营商坑了。。。

第一次就如此厉害，继续加油