搬好小马扎，带好瓜子儿，来听我讲个IT排错故事

       马扎已备好，自己招待自己入坐。

   

   故事发生的日期比较久远，翻看当年的记录，日期定格在：2017年6月9日下午。

    一、故事发生背景

   客户原先使用一台四层的墙透明部署到网络中，内网服务器总是受到攻击，现准备使用某公司下一代防火墙进行替换测试。

    二、客户网络拓扑

   

   新加入的AF放在RG-Wall 1600的位置。AF为透明部署。

   三、问题

   部署完成后，内网用户访问内网服务器业务不正常。使用内网IP和公网域名均不能正常访问。

   内网IP访问：

   

   公网域名访问：

       

   四、排查

   1、最直接的排查方法，开直通。

   

    。。第一次遇到开直通后，无法恢复业务的场景。二层直通试试，一样。

   

   

    2、使用Httpwatch抓包

   

   请求发出后，没回应了。

    3、查看AD状态。

    在排查过程中，突然发现客户竟然有一台AD，莫非两者有冲突？

    尴尬的是，找了一圈，没有人知道密码。

   

    于是，征得用户同意后，又吭吭吭的恢复了密码。上去一看，只有一个虚拟服务。

   

   4、会不会是业务本身有问题。刚刚好在我切网的时候，客户的服务冗了？

    恢复网络，恢复现场。

    域名访问正常：

   

   查看下访问过程：

   

   哗哗哗，挺流畅。虽然看不明白get的都是啥，但拿来截图不错。

   5、现在我都怀疑是设备本身的问题了，

    求助400。400简单的抓了个包，就定位了原因。我也抓了，但我只看到了服务器无响应，另外就不知道了。

    最终的原因是：设备接口与对端不兼容，产生错误包导致的。

    来看看，当前的Eth2接口为手工指定速率。

   

   一开始，两个接口自动协商不起来，我改为了手工指定。

   

   然后，就产生了错误的数据包。

   

  通过两个框选的图，可以看出，错误的数据包还在一直增加。

   五、解决方案

   将AF的位置下移，从网康负载和RG-WALL 1600中间移到RG-WALL 1600和NI 3000之间。

   可以看到，重新加入网络中的AF没有新的错误包产生。

   

   两个网口的自协商也正常。

   

   感谢“江湖征文”这个活动，让我又回忆了一次当年的情景。当时的场景记忆犹新，一直想写篇分享，但拖延症一直在作祟，以后要戒之改之。

   

:666:，感谢分享

加个二层交换机应该就好吧，之前也遇到过我们防火墙路由部署接在某三路由器下面，出现接口协商不成功，接口一直down和up，最后某三换了台设备过来就好了。

我瞬间也懵逼了

排错的都是大神

这排错学到了，了解了解

下午困的迷离之际  看看楼主分拍错方法 实在是雅兴。点个赞

666，看一遍有一遍的体会，每次客户来电，心里都慌得不行。。。。

这个不错

打卡学习，感谢大佬分享！