新增USG6580E防火墙导致网络异常的故障处理

在某项目实施过程中，原始拓扑如下图，橘色区域为某ZF部门的设备，蓝色区域为某局的设备，某局所有终端设备的网关地址在ZF部门核心交换机上，为了安全性和可控性方面的考虑，需要对现网进行改造，在核心交换机与汇聚交换机中间新增防火墙USG6580E进行安全管控，同时将某局终端的网关下沉在新增防火墙上边。

按照上述需求进行网络改造后，如下图所示，

新增防火墙有某局网络维护人员进行维护，承担该局点所有终端设备的网关及安全过滤，同时对上三层IP对接并使用静态路由协议与核心进行路由的互相传递，按照上述方案进行改造完毕后，发现该局点所有终端存在上网时断时续，网络质量时好时坏的故障。

存在的故障现象即该局点所有终端都存在上网慢，时断时续，时通时不通的情况，包括终端的ping测试、tracert测试和网页测试。

由于防火墙以上设备属于某ZF局点的设备，原本想登陆核心设备进行相关信息的查看，与ZF人员沟通后备拒绝，理由是可以配合某局进行相关配置调整，但是为了安全性考虑，无法直接让某局的人登陆ZF的设备进行查看。所以只能先从防火墙下手进行排查。
新增防火墙后出现网络卡顿的故障，
1、首先怀疑是否某些报文被防火墙丢弃了，所以查看了对应的安全策略、带宽策略、接口区域、路由指向等配置，发现并未对报文做相关丢弃的动作。
2、其次为了证明报文是否是被防火墙所丢弃，所以在防火墙的诊断视图下使用firewall statistic acl匹配对应的源进行流量统计，发现相关报文并非被防火墙所丢弃。
所以基本排除了是防火墙丢弃的相关报文导致业务时断时续。
在整个网络改造的过程中，除了新增防火墙以外，还做了一个关键性的动作就是业务网关从原本的核心交换机下沉至了新增防火墙。 所以怀疑会不会该动作导致的故障现象。
但是由于核心交换机ZF无法授权登录，所以遇到了瓶颈。经过协商，最后ZF客户授权可以登录出口路由器设备，
首先与ZF运维人员沟通，路由协议如下图所示：

登录到出口路由器上查看关于某局的业务端路由，发现两条等价的路由，下一跳分别一个是丢给了核心交换机，另一条丢给了另外一台不相关的设备，这就发现了业务时断时续的“罪魁祸首”。

由于网关地址下沉，导致路由信息发生改变，影响上行设备路由选路出现错误。

由于核心设备上学习到关于某局业务地址是通过在核心上把静态路由引入到OSPF学习到的，所以在出口路由器上看到相关的两条等价路由优先级都是150，所以解决办法就是在出口路由器行写一条针对于该业务网段的静态路由下一跳丢给核心交换机就可以了，因为静态路由的优先级是60，要比ospf外部路由的150要优先。

通常在网络改造过程中，一旦出现故障后，不要将关注点只放到对应的那一台设备上，要站在宏观全局的角度上看问题。