《新一代防火墙技术及应用》课件第11章 NGAF产品部署排错

11.1物理层排错11.2链路层排错11.3网络层排错11.4应用层排错11.5本章小结新一代防火墙技术及应用12学习目标掌握结合数据包拦截日志与直通的排错步骤掌握全局排除地址的功能掌握结合数据中心的排错步骤了解上架断网，网络不通的排错步骤本章重点结合数据包拦截日志与直通的排错步骤全局排除地址的功能结合数据中心的排错步骤本章难点结合数据包拦截日志与直通的排错步骤全局排除地址的功能结合数据中心的排错步骤新一代防火墙技术及应用11.1物理层排错新一代防火墙技术及应用311.1物理层排错物理层排错：物理层的排错思路可以通过替换法来判断。具体操作：1、通过更换邻接设备的网口甚至邻接设备本身来定位是否AF设备故障还是环境问题；2、如果执行以上步骤还无法解决，可以进入链路层排错步骤，如图所示。新一代防火墙技术及应用411.2链路层排错新一代防火墙技术及应用511.2链路层排错链路层排错：通过检查链路协商状态来定位问题。具体操作：1、检查双工及速率，通过AF控制台页面【网络配置】-【物理接口】-【工作模式】确认；2、根据状态是否异常进行调整；3、若状态正常或调整后仍异常，则检查网口丢包错误包情况；4、查看各个接口的errors/dropped后面的数字，运行多次命令，看其数值是否增加，且增加速度快；检查网口错误包和丢包情况，通过升级客户端连接设备-【工具】-【查看网络配置】或者控制台页面-【系统维护】-【命令控制台】输入ifconfig命令；arp表项通过升级客户端-【工具】-【查看arp表】/控制台页面--【系统维护】-【命令控制台】输入arp命令查看；新一代防火墙技术及应用611.2链路层排错5、属于以上情况则插入二层设备，例如一个傻瓜交换机。正常则说明与邻接设备存在兼容性问题，不正常或者无错误包丢包情况则检查arp表项；6、不正常则检查邻接设备及网络环境，正常则转入网络层排错。如图所示：防火墙技术与应用711.3网络层排错新一代防火墙技术及应用811.3网络层排错网络层排错：通过检查路由表以及ip冲突或限制来定位问题。具体操作：1、检查ip冲突情况，可通过检查邻接设备arp表项该ip对应的mac是否变动或者mac根本不是设备的mac；2、非以上情况则检查路由表情况，若错误则检查配置，配置正常则联系深信服人员检查设备后台情况；3、路由表正常则需考虑运营商或前置设备限制情况，在设备上面ping外网定位是受限。Ping操作通过升级客户端-【工具】-【Ping】/控制台页面-【系统维护】-【命令控制台】ping命令进行。新一代防火墙技术及应用911.3网络层排错4、确认非前置限制问题或ping正常但上网不正常，转入应用层排错。例如qq上不了，另外网页打不开的则需首先检查dns情况再来定位设备问题。另外，网络层排错适用于设备网关部署或混合部署等要求设备路由转发的情况，虚拟网线或透明网桥等部署则可以略过此步，直接往应用层方面排错。如图所示：新一代防火墙技术及应用1011.4应用层排错新一代防火墙技术及应用1111.4应用层排错应用层排错：1、考虑到设备策略限制情况，可以通过检查各个策略设置情况来定位，也可以通过控制台页面-【系统维护】-【数据包拦截日志与直通】功能进行定位；如图所示：防火墙技术与应用12NGAF中开启实时拦截日志并直通不生效或无效的模块有：二层协议过滤和DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、网页防篡改。11.4应用层排错2、开启直通后仍然无法解决，保持直通未关闭状态，对控制台页面-【系统】-【全局排除地址】填写故障网段或具体ip；如图所示：防火墙技术与应用1311.4应用层排错3、直通后正常则需定位具体拒绝模块从而调整策略配置，首先查看拦截日志，看能否定位具体策略和模块的，另外还可以通过数据中心日志来查看；如图所示：新一代防火墙技术及应用1411.4应用层排错4、排除后正常，则检查直通无效的模块，仍然不正常，则需检查部署模式及具体网络环境情况；5、部署模式，再次确认客户网络环境，根据【常见网络环境部署】进行调整配置。例如，二层交换模式部署虚拟网线需要检查部署时两个接口是否配对为一对虚拟网线，具体配置参考-【虚拟网线】配置。多vlan网络环境，透明网桥下，若少配置某几个vlan接口则会导致部分网段不通甚至全网断网。NGAF全局排除地址（排除IP或域名）不生效或无效的模块有：地址转换（nat）、DoS/DDoS防护（wdos）中基于数据包攻击和异常包检测、流量审计（IP流量排行、用户流量排行、应用流量排行）、连接数控制。其中流量审计、连接数限制模块在AF2.0后会修改为不审计和不限制排除IP和域名。新一代防火墙技术及应用151