SecPath ACG1000-AEs 内网访问一个外网网址无法正常进行

第一步：收集基本信息

在开始排查前，了解以下几个关键信息，能让后续分析更精准：

• 故障现象细节：是所有内网用户访问所有外网网址都不行，还是只有特定网址、特定客户端不行？访问时，浏览器是直接报“无法访问此网站”，还是能打开但很慢，或是弹出了认证页面？

• 设备的部署模式：这台ACG1000-AEs在网络中是如何部署的？是作为路由模式（作为出口网关），还是旁挂模式（流量被交换机引流到ACG）？这直接影响排查路径。

• 最近是否有过变更：故障发生前，是否修改过ACG、交换机或防火墙的策略、路由？

 第二步：按步骤排查常见原因

1. 检查ACG的上网行为管理策略

ACG的核心功能是流量控制与审计。请登录ACG的Web界面，重点检查以下几项：

• 是否开启了认证：如果ACG上开启了Portal认证，而未认证的终端（尤其是哑终端）访问外网时会被重定向到认证页面，导致无法正常打开网页。可以检查“用户认证”->“认证策略”，确认是否需要认证的网段是否正确。

• 应用控制策略：检查是否配置了禁止或限制访问某些外网应用（如HTTP、HTTPS）的策略。

• 全局白名单：如果用户终端被加入了“全局白名单”，其流量通常会绕过审计和控制，但不一定绕过认证。根据经验，部分版本对白名单中的哑终端处理可能存在异常。

2. 检查基础网络连通性与路由

如果ACG的策略没有问题，下一步就要看网络层了。

• 终端连通性测试：

  • 在无法上网的内网PC上，打开命令提示符，执行以下命令：

    # 1. Ping内网网关，确认内网是否通

    ping <你的内网网关IP> # 2. Ping一个公网地址，确认三层是否可达 ping 114.114.114.114 -n 4 # 3. 尝试解析域名，确认DNS是否正常 nslookup www.baidu.com
  • 分析结果：

  • • 如果网关通，但公网IP不通，说明问题可能出在路由或NAT上。

    • 如果公网IP通，但域名不通，则问题很可能在DNS解析上（需要检查ACG或防火墙上关于DNS的策略，或者PC的DNS设置）。

• 路由与回程路由检查：ACG接收到内网用户的请求后，需要有去往公网的缺省路由。同时，当流量从公网返回时，防火墙等设备也需要有明确的路由将回包指向ACG，否则连接会被中断。

3. 检查会话表与连接数限制

ACG作为状态防火墙/行为管理设备，会维护会话连接。

• 检查会话数：如果ACG设备性能不足或配置的连接数限制太低，新建立的连接可能会被丢弃。可以在ACG的“系统状态”或“监控”中查看当前并发会话数是否接近设备上限。

• 查看会话表：在ACG上，可以尝试查看指定内网IP访问外网的会话是否成功建立。这需要登录命令行界面。参考命令（具体命令可能因版本而异）：

  display session source-ip <内网IP地址> verbose
• 
  
• 4. 检查是否存在环路或ARP问题

这是一个比较隐蔽但常见的原因，尤其是在ACG旁挂的组网中。如果流量在核心交换机和ACG之间来回转发形成环路，会导致上网时断时续或完全不通。

• 现象：内网Ping外网时，可能会看到TTL超时的错误（如ttl=1 is too small）。

• 常见原因：在核心交换机上与ACG互联的VLAN接口上错误地开启了本地代理ARP功能。这会导致交换机错误地回应了本该由防火墙响应的ARP请求，使得ACG发出的流量又回到了交换机，而不是去往防火墙，形成环路。

• 解决：如果确认是旁挂组网，可以检查核心交换机上与ACG互联的三层接口，确认是否开启了local-proxy-arp enable，如果是，建议关闭。

5. 使用抓包进行最终定位

如果以上步骤都无法定位问题，抓包是最直接的证据。

• 在哪抓：可以在ACG设备的双向（内网口和外网口）进行抓包。

• 看什么：

  • 内网口是否收到了来自客户端的SYN请求？

  • 外网口是否发出了这个SYN请求？

  • 外网口是否收到了公网服务器回复的SYN-ACK？

  • 内网口是否将SYN-ACK正确转发给了客户端？

• 通过这个流程，就能精确地定位是哪个环节出了问题：是流量没到ACG、ACG没转发、还是回包丢了。

ping通吗