现场两台防火墙设备透明部署在出口,处于独立运行状态。防火墙型号是F1000-AK175,版本是version 7.1.064, Release 9333P17。
反馈只部署一台防火墙时网络正常,两台同时部署时网络不通,无法访问外网的某一服务器 。
首先确认现场的流量转发路径和安全策略是否放通,现场反馈流量是从一台防火墙转发的,查看安全策略的配置没有发现问题,让现场反馈测试流量的会话信息,可以看到发包的数量大于回包的数量,那么有可能是流量转发出去后丢失了。
让现场反馈两台防火墙的debug ip packet和debug aspf packet的信息进一步确认 ,发现 另一防火墙上有10.44.99.138回包被拒绝的记录,那么回包的流量部分是通过另一防火墙进行转发时被拒绝了。被拒绝的原因是无效的状态。
*May 25 17:02:10:828 2019 AF-1 ASPF/7/PACKET: -COntext=1; The first
packet was dropped by ASPF for invalid status. Src-ZOne=Untrust,
Dst-ZOne=Trust;If-In=GigabitEthernet1/0/15(16),
If-Out=GigabitEthernet1/0/14(15), VLAN-In=1, VLAN-Out=1; Packet Info:Src-IP=10.44.99.138,
Dst-IP=10.154.214.1, VPN-Instance=none, Src-Port=1, Dst-Port=0.
Protocol=ICMP(1).
让现场开启会话宽松session state-machine mode loose放通回包的流量后问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作