华为防火墙故障案例:FW已收到正向报文,但将其丢弃了
现象描述
在FW上做流量统计,根据流量统计结果判断是否有丢包。如下所示,DisnFrag(丢弃的非分片报文数)字段显示丢包数为3,Discard detail information(丢包详细信息)字段中Packet default filter packets discarded提示流量命中了默认安全策略导致丢包。
<sysname> system-view
[sysname] acl 3000
[sysname-acl-adv-3000] rule permit tcp source 10.1.1.1 0 destination 10.1.2.1 0
[sysname-acl-adv-3000] quit
[sysname] diagnose
[sysname-diagnose] firewall statistics acl 3000 enable
[sysname-diagnose] display firewall statistics acl
Protocol(tcp) SourceIp(10.1.1.1) DestinationIp(10.1.2.1)
SourcePort(53552) DestinationPort(80) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 3 0 0 3 0
Reverse(pkts) : 0 0 0 0 0
Discard detail information:
Packet default filter packets discarded: 3
相关告警与日志
无
原因分析
- 安全策略丢包
- 流量超过带宽限制
- ARP缺失
- 接口访问控制管理丢包
- 路由缺失
操作步骤
下表仅列出常见丢包原因及操作步骤,更多丢包原因请参考丢包原因速查表 。
|
丢包点 |
操作步骤 |
|---|---|
|
安全策略丢包
|
新建或修改安全策略,将允许的流量放行。有些特殊流量,还需要配置对应的基于承载协议的安全策略。 |
|
流量超过带宽限制
|
流量超过带宽限制,结合实际带宽,合理调整带宽策略。 |
|
ARP缺失
|
通过在对端/本端抓包,确认对端/本端是否发送了ARP请求报文,如果有发送,再确认本端/对端是否回复了请求。 |
|
接口访问控制管理丢包 |
进入接口视图,开启接口访问控制管理功能并开启相应的服务。
<sysname> system-view [sysname] interface GigabitEthernet1/0/3 [sysname-GigabitEthernet1/0/3] service-manage enable [sysname-GigabitEthernet1/0/3] service-manage https permit [sysname-GigabitEthernet1/0/3] service-manage ping permit |
|
路由缺失
|
1. 查看是否存在相关路由 <sysname> system-view [sysname] display ip route-table ip-address 2. 若不存在,则请增加路由或排查路由缺失原因。 |
阅读剩余
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/3393.html
文章版权归作者所有,未经允许请勿转载。
THE END
