某局點(diǎn)添加兩臺(tái)防火墻設(shè)備后網(wǎng)絡(luò)不通,現(xiàn)場兩臺(tái)防火墻設(shè)備透明部署在出口,處于獨(dú)立運(yùn)行狀態(tài)���。防火墻型號是F1000-AK175�,版本是version 7.1.064, Release 9333P17����。
反饋只部署一臺(tái)防火墻時(shí)網(wǎng)絡(luò)正常,兩臺(tái)同時(shí)部署時(shí)網(wǎng)絡(luò)不通,無法訪問外網(wǎng)的某一服務(wù)器 ��。
首先確認(rèn)現(xiàn)場的流量轉(zhuǎn)發(fā)路徑和安全策略是否放通�,現(xiàn)場反饋流量是從一臺(tái)防火墻轉(zhuǎn)發(fā)的,查看安全策略的配置沒有發(fā)現(xiàn)問題����,讓現(xiàn)場反饋測試流量的會(huì)話信息,可以看到發(fā)包的數(shù)量大于回包的數(shù)量��,那么有可能是流量轉(zhuǎn)發(fā)出去后丟失了���。
讓現(xiàn)場反饋兩臺(tái)防火墻的debug ip packet和debug aspf packet的信息進(jìn)一步確認(rèn) ����,發(fā)現(xiàn) 另一防火墻上有10.44.99.138回包被拒絕的記錄����,那么回包的流量部分是通過另一防火墻進(jìn)行轉(zhuǎn)發(fā)時(shí)被拒絕了。被拒絕的原因是無效的狀態(tài)���。
*May 25 17:02:10:828 2019 AF-1 ASPF/7/PACKET: -COntext=1; The first packet was dropped by ASPF for invalid status. Src-ZOne=Untrust, Dst-ZOne=Trust;If-In=GigabitEthernet1/0/15(16), If-Out=GigabitEthernet1/0/14(15), VLAN-In=1, VLAN-Out=1; Packet Info:Src-IP=10.44.99.138, Dst-IP=10.154.214.1, VPN-Instance=none, Src-Port=1, Dst-Port=0. Protocol=ICMP(1).
解決方法讓現(xiàn)場開啟會(huì)話寬松session state-machine mode loose放通回包的流量后問題解決��。
