【2022争霸赛*干货满满】用户使用AF偶尔断网排查分享

故障描述：   

       用户采购了一台AF-1000，做路由网关部署在网络出口，开启了客户端防护策略，外网-内网得ddos策略，内网-外网得ddos，其余无特殊安全策略。

       使用一段时间后客户反馈，内网经常有pc用着用着断网，断网时间也是断断续续，过一段时间后就会回复。

处理过程：

       首先收集现象和操作，经过和客户沟通后，一般断网前用户有但不限于以下操作，看视频、打开迅雷。断网时间也是有规律的，大概5分钟左右，从这点基本就感觉是某种策略拦截导致（因为拦截封禁时间一般是5分钟或者10分钟）此时想起用户当时考虑内网发包防护是开了内到外ddos，迅雷或者视频会不会运行时连接数很高导致触发策略？

       登录af的控制台，进入日志中心搜收记录发现确实有触发记录，关闭内-外ddos策略后，客户没再反馈该问题，故障处理完毕。

分析：

       一般情况不建议设置内网-外网的ddos策略，迅雷和视频软件在运行时会发起大量连接，很容易超过阈值被拦截断网。当然不仅限于时迅雷和视频软件，其他会产生大量连接的软件也是如此。排查时需要注意，ddos模块开启直通依然会生效，还有该断网现象在前期信息收集不够的情况下很容易没有线索，凡是设置内-外ddos策略的，用户环境断网优先排查此策略。

感谢楼主分享，文章介绍了AF偶发断网的排查案例，整体排查思路清晰，现象典型，具备可参考价值，期待楼主带来更多案例分享

感谢楼主分享，学习一下

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢楼主分享，文章分享了UDP攻击导致的偶断现象排查，期待楼主后续带来更多有价值的案例分享。

感谢分享