#原创分享#AF简单的排障

事情经过：

某天客户打电话说在核心交换机新增了4个网段，这四个网段无法上网，问客户网络环境客户也不是很懂，只知道有个深信服的防火墙和上网行为管理，问客户要个拓扑图还要去找

我想象中的拓扑图：   出口设备是防火墙路由模式部署，下联是AC网桥模式部署，再下联就是核心

让客户找台电脑给我远程登录防火墙和AC看看，查看两台设备的配置居然不是我想象的那样

客户的拓扑图：出口设备是H3C的MSR的路由器，防火墙和AC网桥模式部署在H3C MSR和核心之间

处理步骤：

1、让客户给我登录核心，查看一下新添加的网段（新增网络192.168.69.0/24、192.168.79.0/24、192.168.89.0/24、192.168.99.0/24），通过使用新添加网段为源IP去pingMSR路由器看是否能通

命令     ping -a 192.168.89.1 172.16.100.1         （172.16.100.1是MSR路由器的IP地址）发现不通

3、查看H3C MSR路由器是否有回包路由，发现已经是写了一个16位掩码的回包路由

4、把AC和防火墙都开直通再ping发现通了，查看AC没有拦截日志，AF有拦截日志，显示是应用控制拦截了，找到应用控制策略，查看策略发现没有放通LAN-WAN新增的IP通过，添加上新网段的IP地址

3、关闭直通再ping，发现还是不通，再看直通看看是不是还有拦截，发现又被DOS模块拦截了

查看DOS模式发现也是一样没有添加新网段，手动给他加上

4、再关闭直通发现能ping  172.16.100.1  但是无法ping通公网，这个应该是路由器的问题了

查看了一下路由器的配置发现NAT没有新添加的网段，进入ACL访问控制列表给他加上，一定要加在deny前面，不然还是被拒绝的