本帖最后由 新手718116 于 2020-12-5 13:35 编辑
一.项目背景: AD上架放置在出口,内网上网正常,外网有四条线路,分别是移动,联通,电信,政务网,上架之后,客户反馈上网正常,但是发布的app打开新闻内容等视频会有明显的延迟甚至部分内容打不开的情况,抓ping包都是正常的,公网ping AD的WAN口地址,会有不同程度的丢包。
二.分析: 1)一开始抓接口的包时,发现ping包均正常,怀疑是运营商链路问题,于是切换回原设备,发现访问正常,然后继续排查。 2)二次在接口抓包,发现数据包的标志位均带有S标志,即SYN,所以分析认为是内网某安全设备拦截,但是原设备是不会拦截,我们自己的设备被拦截,所以排查我们设备的问题
分析以上数据包能看出来,安全设备和AD设备的LAN口在连接时发送了Reset标志位的数据包,由此得知AD设备LAN口IP是被安全设备拦截下来了,那么回到AD设备上看地址转换的配置。
分析这两条策略,无论是从哪里进来的流量在访问内网时均被转换为AD的内网口地址,由AD内网口地址去代理访问app服务。然后此ip由于数据流过大,被安全设备当做攻击给拦截了下来。 三.解决 1)关闭此策略后,再次进行测试,app和其他所有服务均正常。 2)或者优化此策略,只进行双向地址转换,WAN口方向进来的数据流源地址不进行转换。 |