|
【远程背景】 客户昨天实施上架了新的某公司防火墙,昨晚测试网络通了就以为正常了。 谁知今天大量用户反馈说上网慢,赶紧把AF下架了,打电话来要求协助排查。:大怒: 【问题现象】 内网用户上网慢,延迟几秒才能弹出页面,有缓存的就很快。
【客户描述】 上架AF之前都好好的,一上AF之后网络才出问题,其他设备配置基本没动,恢复成原来的拓扑就一切正常,肯定是AF导致的。 (客户讲的有理有据,我也觉得是AF某些功能导致的):傻笑: 附上从客户口中得知的拓扑图: 【处理过程】 得到客户同意后重新上架AF 远程到客户电脑后,我首先掏出惯用的三板斧 1.对AC和AF开启直通和全局排除,但是现象依旧,也无拦截日志。 2.然后进行内网PING外网测试,结果非常正常。 3.本想让客户跳过某公司设备测试下的,但是条件不允许。 到这一步我个人感觉百分之90不是某公司设备导致的。
由于是访问页面慢,我用完三板斧无果后考虑到了DNS解析的问题。 看到内网PC的电脑DNS指的都是域控服务器,我尝试手动改成114.114.114.114 改完外网DNS后,测试访问正常。 根据以上测试,这很可能是DNS服务器的问题,我建议了客户自己查下DNS服务器的配置。 但是客户还是觉得是AF的问题,因为期间只加了一台AF,域控配置都没动过,所以不愿意去排查域控。 (客户不愿轻易改域控的配置)
后来再三请求后得到客户同意,登录了域控DNS服务器,进行配置排查。 很快发现了问题: 条件转发器里第一优先的居然是原来网关设备AC的lan口IP,而且转发查询超时前的设置是5秒。 真相只有一个: 按原来的拓扑,DNS服务器优先转发找AC去解析,这个没有问题。 上架AF改动拓扑后,DNS已经找不到192.168.1.3这个IP了,所以会有5秒延迟之后才会转发到114解析。
【最终处理方法】 把内网DNS服务器的条件转发器第一条IP 192.168.1.3删掉,最终访问网页恢复正常。
如果上面有什么不对的地方,请多多指正,谢谢:好棒: | 
发表于 2019-4-3 11:49
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
