分享有用的干货之NGAF多线路负载来回路径不一致导致应用层异常

一、现状描述

      客户现网已存在SDWAN设备，并实现了多线路负载，但是由于设备性能太差，导致内网速率较低，当前希望在不改变现有网络架构的基础之上实现再新增一条互联网MSTP专线，实现SDWAN与MSTP线路的负载；

二、解决方案

      我这边给出的解决方案是使用深信服下一代防火墙NGAF，实现内网安全隔离的同时，实现内网SDWAN线路与MSTP线路的多线路负载；（其实是可以建议客户撤掉SDWAN线路的，但由于各种原因不现实）

三、方案拓扑

四、方案实施

      经过我一顿五花八门的操作，啪啪啪（此处省略500字），实施完成；

五、故障描述

      实施完成之后，经过测试，发现内网业务不通，但是ping正常、telnet端口正常、traceroute正常，拔掉其中任意一条线路恢复正常，就是SDWAN线路和MSTP线路同时在线就不行；（存在来回路径不一致的情况）

六、故障处理

       进展一、首先自己根据经验进行全面的相关测试，测试故障现象，确认故障问题，随后实在是搞不定了，对的【400】，第一时间协调专家介入，专家一顿猛操作，绝招【抓包】；发现客户端发起的SYN请求包，无法收到服务器端的SYN确认包，建议协调服务器端进行抓包确认；没办法了，搞了半天进度卡住；

      进展二、专家已无办法，我在零散的时间中不断进行测试，排障，但似乎故障无动于衷，搞不定，搞了一个多星期丝毫无进展；

      进展三、思绪万千，单线路网络都是通的，肯定是应用层的问题，于是我静下心来去网上寻求答案，功夫不负有心人，终于找到了相同场景下的解决方案了，开始召集客户和其他相关同事，准备再大干一场【测试】；

      进展四、通过修改SDWAN设备tcp-mss参数为1380，NGAF两个WAN口线路的MTU值修改为1400,故障终于解决了；

七、故障总结

      由于客户现有SDWAN设备组网，数据在传输的过程中是经过加密了的，因此如果根据默认的MTU参数来进行数据包传输时，SDWAN设备会实行TCP分片，但是分片的话就会导致故障出现，我们的目标是降低SDWAN设备的tcp-mss值为1380（此时MTU为1500），从而实现SDWAN设备在进行数据传输时不进行数据包的分片，同时，两条线路的MTU值尽量低于SDWAN设备的MTU值，所以我将防火墙连接SDWAN设备的端口和MSTP路由器的端口MTU值全部修改成1400，最终经过测试，故障确实是解决了，问题得到验证。

附1：在SDWAN设备上抓直连防火墙的数据包

附2：在深信服下一代防火墙上抓直连SDWAN的数据包

附3：在深信服下一代防火墙抓直连MSTP的数据包

<分享给大家，自己也涨了知识>

非常好的帖子，感谢分享！

感谢分享，学习了！！！

感谢分享，学习学习

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

坚持每日学习打卡

感谢分享，有助于工作，学习学习！！！

感谢楼主的精彩分享，有助工作!!!

感谢分享，有助于工作，学习学习