此排查思路适用于以下场景 <span]1、AC网桥模式,内网全部断网 2、AC网桥模式,内网部分用户无法上网 <span]可能原因 第三方产品&环境问题(开启直通或全局排除依旧无法恢复的现象中此类原因居多) <span]1、运营商线路问题场景 2、内网其他安全设备拦截场景 <span]3、网口协商异常,导致设备上架上去,流量无法正常经过 4、PC的DNS解析异常导致 <span]5、内网地址冲突导致 功能配置问题 <span]1、用户未通过认证,开启直通可验证,先确保用户上线 2、DOS防护配置不当导致,开启直通可验证 <span]3、WAN和LAN接反线,导致无法上网,开直通可以恢复 4、上网权限策略拦截,可以通过直通来判断 <span]5、流控策略限制太小,导致感知断网,开直通可以恢复 6、认证策略勾选了录入绑定关系,但是未开启跨三层,导致无法上网,开直通可以恢复 <span]软件功能问题 1、设备红灯长亮或出现负载跑满导致网口丢包,跳开设备可以恢复(红灯闪烁只是存在系统日志告警) <span]排查思路 1、确认出现断网前是否做了网络变更操作或调整了相关设备配置 <span]确认问题出现的具体时间,核对问题出现时间前后设备本身策略配置或者网络环境是否有做过调整,确认是否变更不当导致的断网 2、开启直通、全局排除、搬包均无法恢复正常访问,则基本判断非设备拦截或影响导致(如果设备是网桥或旁路,可下架设备验证是否存在硬件或负载导致的原因,如果下架AC恢复正常则转人工协助分析原因<span]3、若开启直通恢复正常则可基于具体问题现象转到对应场景进行调整放通,直通全局排除指导 常见丢包模块如下: <span]①用户认证丢包:可登录设备控制台,使用【全网监控】-【故障监控中心】-【用户认证故障排查】工具进行排查,输入用户IP可查阅具体原因及建议,常见问题是用户未认证或绑定校验失败 ②应用控制丢包:可登录设备控制台,使用【全网监控】-【故障监控中心】-【权限策略故障排查】工具进行排查,输入源IP可查看具体连接匹配策略情况,常见问题是策略未放通导致被拒绝 <span]4、如果定位非AC设备导致后,想进一步定位问题原因可参考如下思路: ①修改PC的DNS为114.114.114.114或223.5.5.5进行测试,排除是DNS解析异常问题 <span]②如果出口为多线路,可调整出口设备的链路负载策略,走其他线路进行测试,排除是运营商线路问题 ③内网其他安全设备,有ACL策略的设备上添加白名单进行验证,排除是其他设备拦截 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-5-8 08:22
技术研究员3级 
