|
问题现象: 内网用户经过AF后访问网页,百度能搜到信息,但是打开网页访问不了一直加载,所有网页访问均是该现象,
问题背景: 之前拓扑: AC作为网络出口,下联安朗设备,在下联核心,安朗设备为内网选路设备根据三家运营商情况对学校用户出去进行上网选路。 现有拓扑: 出口三家运营商接到交换机上,交换机将三家运营商情况做vlan透传到防火墙上,防火墙上联和下联分别划分vlan子接口进行连接,防火墙作为外网出口,下联安朗设备做选路,在下联核心。 整个拓扑中,安朗设备进行一次ISP选路,选路之后我们能设备在进行一次ISP策略路由选路。 AF替换现有AC作为出口,替换后出现问题现象 排查思路 1.确认是否为解析问题, a. 更换电脑进行测试——问题依旧 b. 关闭安朗设备DNS代理尝试——问题依旧 c. 修改测试电脑本地DNS——问题依旧 d. 更换出口运营商线路——问题依旧 2. PC直连AF的LAN口进行分析,发现上网正常。 3. 内网抓包尝试分析,通过抓包发现AFlan口发回的包比终端收到的包多,结合AFlan口上网正常,判断中间应该为安朗设备拦截,反馈结果,但是安朗方不认,因为现在通过AC作为出口访问一切正常,如果有拦截AC访问也会有问题,变数是切换AF之后才出现的问题,问题为AF设备导致。 4. 尝试跳过下联安朗设备进行访问,跳过后问题正常,梳理除过设备后其他变量,之前是通过路由通信,现在是通过vlan子接口做策略路由进行通信,排查策略路由配置是否存在问题,排查后发现策略路由配置无异常。 5. 断掉其中两条出口运营商线路,只用电信网络做测试——问题依旧 6. 将策略路由改为静态路由,恢复正常,判断问题出在策略路由上。 7. 检查配置,重新梳理现场环境,发现安朗设备做过一次ISP策略路由选路,我们也做了一次ISP策略路由选路,沟通需求,确认只安朗做一次策略路由选路也能实现客户需求,进行尝试,发现业务恢复。 8. 复盘分析,问题为深信服AF的ISP规则库和安朗设备的ISP规则库不一致,导致来回有丢包,造成访问异常。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-4 22:49
技术员3级 
