用户业务受影响排查方法

现象描述

设备串行接入客户网络，客户网络不通，终端PC无法访问服务器或打印机业务不通等。

可能原因

• 网络存在环路。
• 接口安全域配置不正确。
• NAT策略配置不正确。
• 设备开启了链路检测功能。
• 设备开启了单包攻击的攻击防范功能。
• 报文存在二次过墙场景下，设备开启了硬件快转功能。
• 设备部署在出口路由器的外面。

处理步骤

1. 登录标准页面：https://192.168.0.1:8443/default.html。
2. 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许，方便后续执行ping操作。
   图1 安全策略

   

3. 确认是否存在网络环路问题。

   天关在某些客户网络中的部署位置如下，天关串接在路由器和交换机之间，天关的接口（GE0/0/1）连接到客户的核心交换机上。由于天关接口默认是二层模式，会导致GE0/0/1和GE0/0/6造成环路。此时将GE0/0/1接口修改为路由模式（如下图），配置好相应IP地址即可。如果不存在环路问题，请执行4。

   

4. 检查接口安全域配置是否正确。

   选择“网络 > 接口”，查看接口的安全区域，上行口一般为untrust，下行口为trust，安全域不能为NONE，如果配置正确，请执行5。

   

5. 检查设备是否配置了NAT策略，如果配置了请排查NAT策略配置是否正确。假设GE0/0/7为上行的外网口，则推荐如下配置的NAT策略。如果没有配置NAT策略，请执行6。

   

6. 检查设备是否开启链路检测功能。

   设备默认是开启链路检测功能的，如果客户网络拓扑不合理，存在来回路径不一致的情况（典型场景为服务器下有多个网段的终端），则请按照如下方式在设备上关闭链路检测功能。如果不存在回路径不一致的情况，请执行7。

   

7. 检查设备是否开启单包攻击的攻击防范能力。

   设备在安全防范里开启了基于单包攻击的攻击防范，影响设备性能，请全部关闭。如果没有开启单包攻击的攻击防范，请执行8。

   

8. 检查是否存在报文二次过墙场景，在这种场景下需关闭硬件快转功能。

   例如下图中，终端PC去访问打印机，会先走到路由出口，导致报文二次经过安全网关（防火墙）。此时相同的五元组流量，使用相同的vlan，经过两次防火墙，此时只建立了一条会话，当启用硬件快转功能时，报文基于流表的出接口发送，会导致二层流量同口进出，报文被丢弃。如果没有二次过墙场景，请执行9。

   

   在此种情况下，请按照下图所示关闭硬件快转功能。

   

9. 检查安全网关是否部署在出口路由器的外面。

   例如下图所示，在出口路由器上配置了NAT，报文经过安全网关时，所有内网地址都转换成了一个出口IP地址，内网多个主机的行为被误认为是一个主机的行为，此时可能会触发IPS的关联检测规则，自动将出口IP地址加入黑名单，从而把路由器的出口IP封禁，导入业务不能正常访问。

   

   在此种情况下，请按照如下步骤处理，如果没有解决，请联系华为技术支持工程师。

   • （推荐）将安全网关部署位置下移到出口路由器下方。
   • 关闭IPS配置文件的关联检测。
     1. 选择“对象 > 安全配置文件 > 入侵防御 ”。
     2. 单击安全策略引用的入侵防御配置文件的名称，例如IPS_default。
     3. 按照下图所示关闭关联检测功能。