f100-a g2防火墙拨号上不了网

检查安全策略

1. Local域安全策略检查 

  确认是否存在放行 Untrust到Local域 的安全策略（允许外网流量访问防火墙自身）。 

   配置示例（Web界面）： 

     策略名称：Allow_Device_Access 

     源安全域：Untrust 

     目的安全域：Local 

     动作：允许 

     目的IP：拨号接口公网地址（如10.0.0.1） 

   若缺失此策略，外网流量会被丢弃。

2. 全局NAT策略干扰 

   检查全局NAT策略（nat global-policy）是否误转换了防火墙自身的公网IP或端口： 

     若NAT地址组包含拨号接口IP（如10.0.0.1），需剔除该IP（参考手册章节8.7）。 

     若策略匹配了Local域流量，需限制目的安全域不包含Local（参考章节8.6）。

3. 黑洞路由问题（重点） 

   执行 display ip routing-table 检查是否存在目的IP为公网地址的黑洞路由（如2.2.2.2/32 via NULL0）。 

   原因：当NAT仅转换目的端口（不转地址）时，设备自动生成防环黑洞路由导致丢包。 

   解决方案： 

     同时转换目的地址和端口（如DNAT + 端口映射），避免触发黑洞路由。

4. 拨号接口路由优先级 

   对于4G拨号场景（如F1003-L-C）： 

     📢 删除手动配置的默认路由（如 undo ip route-static 0.0.0.0 0 Eth-channel1/0/0:0）。 

     设备自动生成的默认路由优先级为70，手工路由优先级需更高（如60）才能覆盖。

5. 策略路由（PBR）干扰 

   若配置了策略路由： 

     确保入接口不包含外网接口（如避免 inbound-interface any）。 

     修正方案：限定入接口为内网安全域（如Trust）。

 应急验证方法

1. 基础连通性测试 

   ping -a [内网IP] 114.114.114.114   指定源IP测试

   若不通，检查NAT会话： 

     display session table ipv4 verbose | include "内网IP"

2. 开启实时日志定位丢包点 

   terminal monitor

   terminal debugging

   debugging ip packet acl 3999   创建ACL匹配内网IP与外网IP

   debugging nat packet acl 3999

   观察丢包日志（如FIB BLACKHOLE或Discarding）。

 结论性步骤

优先级操作： 

  1. 检查Local域安全策略是否放行外网访问防火墙。 

  2. 确认NAT未转换防火墙自身IP。 

  3. 消除黑洞路由（同时转换目的地址+端口）。 

  4. 调整4G拨号路由优先级（删除多余静态路由）。 

若仍无效，收集以下信息后联系400技术支持： 

 display nat global-policy 

 display security-policy 

 display ip routing-table 

 debugging ip packet输出日志。

参考视频案例 排查下吧

06-PPPoE方式接入Internet演示视频

地址池，DNS，你看看