一、环境问题
1、终端PC本身的IP、网关、掩码、路由等配置不当;
//电脑打开cmd控制台输入ipconfig查看网络设置
2、数据未到防火墙;
//使用抓包工具确认数据有发送到防火墙,若一个包都没有可抓一下arp数据,确认是否有学习到对端MAC
3、AF内网口学习不到对端MAC;
//抓取arp交互包,确认对端是否有回复我们的arp请求,对端可以抓包的话也抓一下对端是否有收到我们的arp请求
PS:设备替换场景,若对端不回arp包,可通过修改设备接口MAC为原来设备的MAC测试,避免对端存在arp缓存;
//若是大包过不去,可配置TCP MSS进行分片
二、配置问题
1、AF应用控制策略、安全策略、黑名单拦截等;
//根据数据不通的源目IP,开启AF的直通排障功能,确认是否存在策略拦截数据流
2、AF本身路由配置不正确;
//若是数据到达后AF不转发,请进行路由测试匹配,确认有对应路由转发数据
3、新架构路由优先级改动导致路由匹配不对;
//若路由匹配的结果与您设想不一致,请检查是否有修改过路由优先级
PS:拨号口生成的默认路由优先级比手动配置的默认路由优先级高
4、其他路由口配置了同网段地址导致生成了直连路由,回包数据匹配直连路由回错口;
//回包方向也做路由匹配确认回包路由正确
5、新架构坑点:IP结尾为255的IP,防火墙会认为是广播地址不做转发(后续版本修复)
6、多线路场景,注意源进源出,新架构多出口都建议勾选逆向路由;
7、地址转换未配置(内网上网场景需要配置源地址转换,地址映射场景需要配置目的/双向地址转换);
//若您的数据需要经过地址转换,请进行地址转换模拟匹配,确认可匹配上地址转换
PS:多端口映射场景,映射后的端口可默认不填,会一对一映射
8、新架构源端口被转换了导致网络不通:源端口转换规则默认会转换,除非改成“静态转换”模式,或者在命令行设置优先使用原端口 nat-port-resource enable
命令行配置:
1)config
2)nat-port-resource enable(只影响后续新建的会话,这个命令不会recheck)
3)save-configuration
三、产品问题
1、AF本身物理接口故障,接口存在err或者drop一直在增长;
//命令行使用ifconfig查看接口情况
发表于 2023-8-7 13:56