用户业务受影响排查方法

更新时间：2025-02-19 GMT+08:00

查看PDF

现象描述

设备串行接入客户网络，客户网络不通，终端PC无法访问服务器或打印机业务不通等。

可能原因

网络存在环路。
接口安全域配置不正确。
NAT策略配置不正确。
设备开启了链路检测功能。
设备开启了单包攻击的攻击防范功能。
报文存在二次过墙场景下，设备开启了硬件快转功能。
设备部署在出口路由器的外面。

处理步骤

登录标准页面：https://192.168.0.1:8443/default.html。
检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许，方便后续执行ping操作。
图1 安全策略
确认是否存在网络环路问题。
天关在某些客户网络中的部署位置如下，天关串接在路由器和交换机之间，天关的接口（GE0/0/1）连接到客户的核心交换机上。由于天关接口默认是二层模式，会导致GE0/0/1和GE0/0/6造成环路。此时将GE0/0/1接口修改为路由模式（如下图），配置好相应IP地址即可。如果不存在环路问题，请执行4。
检查接口安全域配置是否正确。
选择“网络 > 接口”，查看接口的安全区域，上行口一般为untrust，下行口为trust，安全域不能为NONE，如果配置正确，请执行5。
检查设备是否配置了NAT策略，如果配置了请排查NAT策略配置是否正确。假设GE0/0/7为上行的外网口，则推荐如下配置的NAT策略。如果没有配置NAT策略，请执行6。
检查设备是否开启链路检测功能。
设备默认是开启链路检测功能的，如果客户网络拓扑不合理，存在来回路径不一致的情况（典型场景为服务器下有多个网段的终端），则请按照如下方式在设备上关闭链路检测功能。如果不存在回路径不一致的情况，请执行7。
检查设备是否开启单包攻击的攻击防范能力。
设备在安全防范里开启了基于单包攻击的攻击防范，影响设备性能，请全部关闭。如果没有开启单包攻击的攻击防范，请执行8。
检查是否存在报文二次过墙场景，在这种场景下需关闭硬件快转功能。
例如下图中，终端PC去访问打印机，会先走到路由出口，导致报文二次经过安全网关（防火墙）。此时相同的五元组流量，使用相同的vlan，经过两次防火墙，此时只建立了一条会话，当启用硬件快转功能时，报文基于流表的出接口发送，会导致二层流量同口进出，报文被丢弃。如果没有二次过墙场景，请执行9。

在此种情况下，请按照下图所示关闭硬件快转功能。
检查安全网关是否部署在出口路由器的外面。
例如下图所示，在出口路由器上配置了NAT，报文经过安全网关时，所有内网地址都转换成了一个出口IP地址，内网多个主机的行为被误认为是一个主机的行为，此时可能会触发IPS的关联检测规则，自动将出口IP地址加入黑名单，从而把路由器的出口IP封禁，导入业务不能正常访问。

在此种情况下，请按照如下步骤处理，如果没有解决，请联系华为技术支持工程师。
- （推荐）将安全网关部署位置下移到出口路由器下方。
- 关闭IPS配置文件的关联检测。
  1. 选择“对象 > 安全配置文件 > 入侵防御 ”。
  2. 单击安全策略引用的入侵防御配置文件的名称，例如IPS_default。
  3. 按照下图所示关闭关联检测功能。