【破障之光】AF 、AC联调排查医保网业务不通

1.    问题现象描述

1、用户的门诊收费系统反馈使用5G流量卡，通过运营商vpdn（虚拟专用拨号网络）接入外网防火墙，经过外网办公区核心交换机再经过医保网防火墙转发至医保外网的业务服务器时提示【post失败】，业务也不能正常使用。

拓扑如下

2.问题处理过程

1、客户已知该业务需要访问地址10.X.X.87，在正常环境中可以ping通该地址，使用VPDN的设备不能ping通。开启外网防火墙AF的故障排查后发现匹配到了默认ACL策略被拒绝。

2、放通外网防火墙AF的ACL策略后流量正常向外转发，但是ping依然不通，在外网防火墙AF的eth5口（vpdn流量入口），eth3口（通向外网办公区核心交换机）抓包查看ping流量，发现只有icmp的request包，而没有response 因此判断可能是由于没有回包路由。

3、回包路由问题处理完成后，仍然提示【post失败】，通过Microsoft network monitor分别抓包正常访问终端和业务异常终端进行对比，发现异常终端在发出post包后，收到了RST终止链接，并在该包中查到ip.id = 0x5826

4、 在外网防火墙和医保网防火墙分别针对访问10.146.49.87 的tcp80端口进行抓包。

外网防火墙AF

医保网防火墙AF

如外网防火墙的红框处可以看见客户端（172.x.x.254）发出post包之后，就收到了服务端（10.x.x.87）发出的RST包;

在医保网防火墙抓包中看见收到了包含如下内容的302FIN+PUSH包：http://1.1.1.3/disable/disable.htm?url_type=%E8%AE%BF%E9%97%AE%E7%BD%91%E7%AB%99/%E6%94%BF%E5%BA%9C%E6%9C%BA%E6%9E%84&plc_name=%30%31%E7%A6%81%E7%BD%91%E7%AD%96%E7%95%A5

经过解码后可得知该url是：

http://1.1.1.3/disable/disable.htm?url_type=访问网站/政府机构&plc_name=01禁网策略

3.问题根因

1、结合前几步排查中发现的线索：RST包的ip.id = 0x5826，FIN+PUSH包中的302重定向页面，两**火墙网口抓包不一致，可以判断中间有一台深信服AC拦截了该业务。

2、该客户的问题是AF和AC共同导致的，首先AF没有配置路由和ACL策略允许流量转发，而AC拦截了访问流量。

4.解决方案

1、由于用户网络环境复杂，难以完整梳理内网流量访问路径，因此对于回包路由问题通过配置SNAT策略解决。

2、在AC上针对SNAT后的地址进行全局地址例外排除，或者是上网权限策略进行放通。