CSAP-SA-AK640+telnet 443端口不通

3，开启会话统计功能：session statistics enable

并查看故障时的会话状态信息 display session table ipv4 source-ip X.X.X.X destination-ip Y.Y.Y.Y verbose （一定要带上verbose！）

4，创建一个空ACL 3XXX，写上两条明细rule，分别对应来回流量的源目地址，如下：

[FW]acl advanced 3XXX

[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X 0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 5 permit ip destination X.X.X.X 0 destination X.X.X.X 0

另外如果有NAT，假设（X.X.X.X） NAT后的地址为（A.A.A.A 会话中可以看到NAT后的地址），则需要再写上两条rule ，分别对应NAT后的来回流量的源目地址，如下：

[FW]acl advanced 3XXX

[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X 0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 5 permit ip destination X.X.X.X 0 source X.X.X.X 0

[FW-acl-ipv4-adv-3010]rule 10 permit ip source A.A.A.A 0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 15 permit ip destination X.X.X.X 0 source A.A.A.A 0

5，以安全策略security-policy为例，分别进行以下debug调试：

<FW>debugging ip packet acl 3XXX # 查看报文具体从哪个接口，哪个slot上来和发出的情况

<FW>debugging ip info acl 3XXX # 如果有丢包则会打印信息丢包的具体模块，如果没有丢包则不打印

<FW>debugging aspf packet acl 3XXX # 如果报文状态不合法，则会显示被aspf丢弃，需检查流量来回是否一致

<FW>debugging security-policy packet ip acl 3XXX # 如果是对象策略则用object-policy，如果是包过滤则用packet-filter

这些信息debug看一下，看报文丢在哪里了