【正文】 為虛擬網(wǎng)線就通了【排錯步驟】：根據(jù)問題現(xiàn)象，跳過直通和相關模塊，還有物理接口問題對于NGAF，trunk模式上架并放通vlan轉發(fā)范圍后，設備內部并沒有新建對應的vlan，因此，需要建立對應的vlan接口，即使不配置IP 也可以，參考:5/dedecms/plus/?aid=1218【總結】NGAF內置交換機即為普通的軟交換機，對于此類配置問題即使開啟直通也是無效的，類似于案例三，因此需要和客戶詳細溝通環(huán)境，并選擇合適的配置最終總結：設備內的策略放通所有并不保障OSPF等動態(tài)路由協(xié)議能夠放通，在經(jīng)過一個檢測周期后會導致網(wǎng)絡不通，現(xiàn)階段上架需要額外放通OSPF協(xié)議號89在上下鏈路是trunk模式情況下使用access網(wǎng)橋會導致非native vlan的網(wǎng)絡不通，開啟直通也無效，需要使用trunk模式網(wǎng)橋在上下鏈路是trunk模式情況下，使用trunk模式網(wǎng)橋，但是不新建所有vlan的對應vlan接口，會導致所有vlan不通，開啟直通也無效，需要新建對應vlan號接口需要網(wǎng)橋模式上架的情況，在access/trunk上架不通時，請轉為使用虛擬網(wǎng)線模式上架，并切記要新建虛擬網(wǎng)線并關聯(lián)配對網(wǎng)口一般情況下，優(yōu)先推薦虛擬網(wǎng)線上架！二、 目的地址轉換/雙向地址轉換不通問題目的地址轉換排查目的地址轉換問題應首先理解設備工作流程：客戶端到服務器流程：AF收到匹配DNAT轉換條件包224。DNAT轉換目的地址公網(wǎng)IP到內網(wǎng)IP224。匹配應用控制策略224。放通數(shù)據(jù)包并路由到目的接口發(fā)出服務器到客戶端流程：AF收到服務器回包224。匹配應用控制策略連接信息放通224。根據(jù)狀態(tài)表轉向接口224。根據(jù)狀態(tài)表還原服務器源IP到公網(wǎng)IP224。數(shù)據(jù)包回復給客戶端問題排查步驟：開啟拒絕列表并直通；若此時目的地址轉換可以訪問，請根據(jù)拒絕列表提示修改應用控制策略配置，典型配置錯誤為目的IP組配置為公網(wǎng)IP。查看iptables t nat xnvL，在PREROUTING鏈找到配置的DNAT規(guī)則，看是pkts是否為0；若無數(shù)據(jù)包匹配，請抓包確認AF接口配置有DNAT使用的IP，AF收到客戶端請求包，DNAT規(guī)則在順序上不被覆蓋，DNAT規(guī)則條件（源區(qū)域、目的IP、協(xié)議與端口等）設置正確。在NGAF內網(wǎng)口上抓包，確認服務器回復相關數(shù)據(jù)包，若服務器不回復數(shù)據(jù)包，則在AF后臺telnet測試服務器是否正常：a、若AF telnet服務器正常，則檢查服務器是否走AF線路上網(wǎng)，采取更改網(wǎng)絡或采用雙向地址轉換；b、若AF telnet服務器不正常，則檢查服務器是否正常服務、內網(wǎng)是否存在ARP欺騙等問題。雙向地址轉換排查目的地址轉換問題應首先理解設備工作流程，雙向地址轉換被才拆分為DNAT和SNAT兩個過程分別處理：客戶端到服務器流程：AF收到匹配DNAT轉換條件包224。DNAT轉換目的地址公網(wǎng)IP到內網(wǎng)IP224。匹配應用控制策略224。放通數(shù)據(jù)包并路由到目的接口224。匹配SNAT條件轉換224。將轉換后的數(shù)據(jù)包發(fā)送給服務器服務器到客戶端流程：略問題排查步驟：開啟拒絕列表并直通；若此時雙向地址轉換可以訪問，請根據(jù)拒絕列表提示修改應用控制策略配置，典型配置錯誤為目的IP組配置為公網(wǎng)IP。查看iptables t nat xnvL，在PREROUTING鏈找到配置的DNAT部分，看是pkts是否為0；若無數(shù)據(jù)包匹配，請抓包確認AF接口配置有DNAT使用的IP，AF收到客戶端請求包，DNAT規(guī)則在順序上不被覆蓋，DNAT規(guī)則條件（源區(qū)域、目的IP、協(xié)議與端口等）設置正確，若雙向地址轉換tcp 25/110端口，請禁用SMTP/POP3殺毒。查看iptables t nat xnvL，在POSTROUTING鏈找到配置的SNAT部分，看是pkts是否為0；若無數(shù)據(jù)包匹配，請確認SNAT規(guī)則在順序上不被覆蓋，SNAT規(guī)則條件（目的區(qū)域/接口、源/目的IP、協(xié)議與端口等）設置正確，典型配置錯誤為目的區(qū)域配置為wan區(qū)域。在NGAF內網(wǎng)口上抓包，確認服務器回復相關數(shù)據(jù)包，若服務器不回復數(shù)據(jù)包，則在AF后臺telnet測試服務器是否正常，若服務器正常，則可求助總部處理。三、 經(jīng)過AF訪問公網(wǎng)速度變慢問題a、從內網(wǎng)電腦上ping及下載測試，判斷速度是否較慢。b、通過網(wǎng)關升級維護系統(tǒng)登錄AF設備，從AF上ping，測試速度是否較慢。c、在【策略故障排除】處開啟直通，觀察開啟直通后是否速度會變快，查看拒絕列表看數(shù)據(jù)是由設備的哪個模塊丟棄的，建議設置開啟條件，設置源、目標IP等，縮小記錄的拒絕內容便于快速定位問題。d、單機接AF，看是否還存在較慢的問題。e、檢查公網(wǎng)帶寬，看是否是帶寬被耗盡了，如果是這種情況，建議做適當?shù)牧骺兀ＷC正常業(yè)務的數(shù)據(jù)傳輸。f、當設備路由模式部署，并做SNAT的場景下，當系統(tǒng)信息中會話數(shù)達到或超過6W個，或在線人數(shù)達到或超過1000人時，應配置為轉換到多個源IP的SNAT，否則會導致上網(wǎng)慢等問題g、檢查AF的性能是否足夠，您可以查看設備的CPU占用率是否一直持續(xù)較高，另外實際帶寬值是否超過了設備所能支持的帶寬值，AF設備各種型號支持的帶寬值您可以參考sangfor網(wǎng)站上發(fā)布的參數(shù)。h、開啟防DOS攻擊，看內網(wǎng)是否有攻擊。i、檢查AF和直連設備的兼容性，您可以登錄網(wǎng)關升級維護客戶端，查看【工具】【查看網(wǎng)絡配置】，看內外網(wǎng)口是否有很多錯誤的數(shù)據(jù)包，如果有的話可能是設備之間兼容性的問題，請設置并調整網(wǎng)卡的工作模式，通過【工具】【設置網(wǎng)卡工作模式】來設置。