提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

某应用或网站访问异常可能的原因和排查思路

|

问题描述

问题描述
某应用或网站访问异常(视频打不开、图片加载不出来、语音不通等)

根因

可能原因
第三方产品&环境问题(开启直通或全局排除依旧无法恢复的现象中此类原因居多)
1、运营商线路问题场景
2、内网其他安全设备拦截场景
3、目标服务器内网安全设备拦截场景(通常出现在分支总部互访场景)
4、PC的DNS解析异常导致
5、PC存在双网卡,数据走另一张网卡无法访问

功能配置问题
1、用户未通过认证,开启直通可验证,先确保用户上线
2、开启SSL内容识别出现解密失败,开启直通和全局排除可验证
3、匹配上了自定义URL/应用,但是策略未放通,开启直通可验证
4、上网策略未放通网站流量对应的应用规则类型,开启直通可验证
5、网站内的其他子域名(子链接)未放通导致,开启直通可验证
6、DOS防护配置不当导致,开启直通可验证
7、端口映射策略配置不当导致(目的地址选择了所有)
8、自定义应用定义不全或错误,内置应用被禁用


解决方案

排查思路
1、确认访问异常的情况是一直存在还是突然出现
① 若是突然出现,确认问题出现的具体时间,核对问题出现时间前后设备本身策略配置或者网络环境是否有做过调整,确认是否变更不当导致的异常
②若是问题一直存在,可以先在设备上做全放通策略或者开直通等操作初步判断是否设备策略问题导致,若开直通后问题还是存在,可进一步结合网络环境抓包分析判断问题所在

2、如果直通、全局排除、搬包均无法恢复正常访问,则基本判断非设备拦截或影响导致(如果设备是网桥或旁路,可下架设备对比验证

3、若开启直通恢复正常则可基于具体问题现象转到对应场景进行调整放通,直通全局排除指导:点击这里
常见丢包模块如下:
①用户认证丢包:可登录设备控制台,使用【全网监控】-【故障监控中心】-【用户认证故障排查】工具进行排查,输入用户IP可查阅具体原因及建议,常见问题是用户未认证或绑定校验失败
②应用控制丢包:可登录设备控制台,使用【全网监控】-【故障监控中心】-【权限策略故障排查】工具进行排查,输入源IP可查看具体连接匹配策略情况,常见问题是策略未放通导致被拒绝

4、如果定位非AC设备导致后,想进一步定位问题原因可参考如下思路:
①修改PC的DNS为114.114.114.114或223.5.5.5进行测试,排除是DNS解析异常问题
②如果出口为多线路,可调整出口设备的链路负载策略,走其他线路进行测试,排除是运营商线路问题
③内网其他安全设备,有ACL策略的设备上添加白名单进行验证,排除是其他设备拦截
④手机等其他非局域网内的设备访问网站或使用应用确认是否正常,排除是公网服务器存在异常

操作影响范围

开直通、全局排除及搬包会导致策略对直通的IP不生效,请确认清楚后操作。

建议与总结

搬包排障工具说明
使用方法:
AC/SG启用搬包,可以在【系统管理】-【系统诊断】-【上网故障排除】-【开启搬包】-模块下面可以针对于单个用户/部分用户/全网用户开启直通功能,填写当前异常用户的IP地址即可

功能说明
1、从13.0.62版本开始支持搬包功能,网桥和路由模式下均使用,搬包是一种更彻底的流量放通机制,在设备出现异常情况时提供紧急逃生能力,保证业务流量不中断。开启搬包后,数据包将会被直接转发,不会匹配任何策略逻辑,不会记录任何策略管控日志
2、路由部署下,如果出现断网,只能通过直通或全局排除等手段紧急恢复。但这些手段实现的原理,还是让数据包走了AC的各种业务模块,无法从根本上绕过业务模块的影响,可能会导致网络无法恢复的情况。一些网络问题排查,可能需要整体上验证(或排除)是否是AC业务导致的问题,因此需要在路由部署的情况下,提供一种搬包兜底机制,使其可以在断网紧急恢复(或排查问题需要)的情况下,能够从根本上避免(绝大部分)业务模块的影响,快速恢复网络

其他说明
1、部分管控策略失效:搬包后流量将不再受策略权限管控,具体功能为:接入管理、行为管理、流量管理、行为审计、终端行为安全
2、客户端功能失效:准入客户端无法自动找网关以及无法从服务端获取策略
3、部分流量不支持搬包:广播包、组播包不支持搬包
4、部分功能不受搬包影响:必需由设备处理的核心逻辑不受搬包影响,具体为:源地址转换(NAT代理上网)、目的地址转换(端口映射)、代理上网流量转发(上网代理)、路由转发
5、开启或关闭搬包只对新建连接生效:开启功能前已存在的连接不支持搬包,关闭功能前已存在的连接不支持退出搬包状态
6、子连接将继承父连接搬包状态:父连接搬包则子连接也被搬包

排查内容

联系技术支持建议提供以下信息
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备部署模式及网络拓扑:
6、设备详细版本信息:
7、排查过程的配置截图:
8、如果抓取了数据包提供对应抓包条件和相关数据包文件:
LJL1024 发表于 2024-2-18 14:35
  

我要分享
文档编号: 220993
作者: admin
更新时间: 2023-04-11 14:42
适用版本: