#原创分享#无法访问某一网站引发的一系列问题

一设备信息

深信服NGAF，版本8.0.9

二、故障现象描述

客户能正常访问http://60.164.220.183:8084/index_payc[/url]这个网站的首页，输入信息点下一步的时候会跳转到http://61.178.59.130:9091，二级页面无法弹出。我在我自己电脑上验证网站输入信息，点下一本可以正常弹出，排除网站故障。

三、故障分析

首先确定客户的防火墙基础配置信息，查看接口、路由、应用控制策略等信息，确认基础配置无误

先来个基础操作，打开“排障”，看看设备有没有拦截信息，

设备确实有拦截，而且是默认应用控制策略拦截，那就在默认策略组的默认应用控制策略前新建一条源是内网用户，目的是网站ip的放通策略呗，到这一步我觉得设备有拦截信息，我也放通了，应该网站就能正常访问了吧，但是一刷新，还是不行，too young too simple，如果能轻易解决那就没有这篇分享了。真正的操作现在才开始。

四、故障定位

首先在客户的电脑上进行一下路由跟踪，发现内网用户访问首页走的是二口，

怎么刚才“排障”访问二级页面被拦截的数据走的是一口，

查看策略路由也是正常的，内网用户访问这个网站确实是走的二口，这就奇怪了，怪不得刚才新建了允许策略不通原来根本就没找到故障点，冷静，重新思考，既然访问一级页面和访问二级页面走的数据接口不一致，那就查看路由表，在网络——路由——路由测试，输入源ip和目的ip进行测试，我去，怎么一测试，匹配的第一优先级是直连路由，我是访问公网ip，哪来的直连路由啊，而且正好是一口，是错误的数据接口，回头查看我公网的接口ip，查看网站二级页面的ip，哎，这两个ip居然是一个网段的，怪不得我的设备上有直连路由，怪不得访问二级页面的数据会走一口，直连路由的优先级大于策略路由。

五、故障处理

本来想着把路由的优先级调整一下，就能正常访问了，但是设备不支持这个功能啊，那就将访问这个网站的所有流量调整到一口吧，跳转完再查看路由测试结果，正常。

路由是调整完了，但是不要忘记做snat，将内网访问网站的ip转换为一口的ip，这样业务才能正常访问。

六、总结

1、来去包路径不一致，数据是不会通的。

2、遇到特殊问题不能只看设备的配置是否正确，还应分析更深层次的原因。

3、直连路由的优先级大于策略路由。

针对目前客户运维中的实际问题出发，在确定客户的防火墙基础配置信息，查看接口、路由、应用控制策略等信息，无误的情况下如何排查问题为客户和技术服务提供很好的思路。

【有料】很细致的排错过程，建议后续真实ip地址，尤其是外网能直接访问的地址，做下马赛克处理。

您好，感谢您参与社区原创分享计划7，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

策略路由是个大坑

感谢分享。

这么好的帖子，倘若别人看不到，那么不是浪费楼主的心血吗? 经过痛苦的思想斗争，我终于下定决心，我要把这个帖子一直往上顶，往上顶到所有人都看到为止!

访问不了我首先怀疑网站创建本体是不是维护 再找自身网络问题

感谢分享

感谢分享。

膜拜大神。我们也有AF，但是设置什么的都不会

学到了学到了