个体户做盈利网站,十大放黄不登录不收费,wordpress 'wp-login.php'安全绕过漏洞,网站常用的js效果关注“IT实战基地”#xff0c;与行业大咖交流学习#xff01;引言不同品牌防火墙在整体更换时#xff0c;实施迁移时除了将防火墙的接口IP地址#xff0c;路由#xff0c;安全策略进行迁移时#xff0c;在实际更换时还可能遇到一切奇怪的问题#xff0c;尤其是在双链路… 关注“IT实战基地”与行业大咖交流学习引言 不同品牌防火墙在整体更换时实施迁移时除了将防火墙的接口IP地址路由安全策略进行迁移时在实际更换时还可能遇到一切奇怪的问题尤其是在双链路的环境下。案例背景 因业务需要需要把正在运行的Juniper ISG-2000换成启明星辰 T12600。防火墙与局域网互联工作在三层路由互联模式防火墙与IDC交换机工作在二层互联模式。实施前准备工作 正式实施前首先测试了整个网络的联通性方便对比实施前后网络的联通情况然后再次核对一下更换前后防火墙的配置确认防火墙IP接口地址路由等重要信息无误。如果割接后出现的重大问题无法在短时间内解决而影响业务需快速回退保护业务在较短时间内恢复。实施中出现的问题以及解决问题思路 核实一些重要配置无误后开始实施。下线ISG2000,上线启明T12600立即进行网络测试。Ø 第一步先要测试的是防火墙与上层网关的联通性先在防火墙测试与局域网互联接口IP之间的联通性在防火墙上尝试PING 10.x.x.3发现PING不通查看对应的ARP表项也不存在。 网络出现故障后按照网络OSI七层架构从下往上逐一排查。 物理层接口指示灯正常闪亮并无告警查看接口对应的标签发现A,B与C,D线路接反了把线路换回去再测试链路发现PING 10.x.x.3可以通。Ø 防火墙与上联局域网链路正常联通接下来要在终端测试IDC区业务在终端PING IDC区业务地址10.x.x.8存在不定时丢包现象。 ØØ 防火墙B接口断开只留A接口然后测试业务发现终端长PING IDC区10.x.x.1业务地址并无丢包。 ØØ因为防火墙与局域网互联的链路采用的是双链路模式可能是防火墙双链路路径来回不一致的问题导致的接下来要验证这个想法。 ØØØ将防火墙B接口断开只留A接口然后测试业务发现终端长PING IDC区10.x.x.1业务地址并无丢包 ØØØ将防火墙A接口断开只留B接口然后测试业务发现终端长PING IDC区10.x.x.1业务地址并无丢包。 ØØØ将防火墙A,B接口都接上然后测试业务发现终端长PING IDC区10.x.x.3业务地址又丢包。Ø 从上述几个测试步骤可以证明是PING测试流量通过防火墙时很可能是由于防火墙的双链路的环境导致来回路径不一致产生的。 为了解决这个问题登陆防火墙T12600找到“参数管理”的子选项“来回路径一致性”勾去掉(来回路径不一致可以从B接口进A接口回也可以A接口进B接口回通过防火墙的数据包都是不会丢的。如果验证来回路径一致只能A接口进A接口回或者只能B接口出B接口回进出接口不一致易出现丢包现象)。 修改防火墙系统参数后将防火墙A,B接口都接上然后测试业务发现终端长PING IDC区10.x.x.3业务地址不丢包。此次实施过程中出现问题的原因是 1. 不同品牌防火墙在双链路的网络环境下系统默认参数设置不一致导致来回数据包在双链路环境下出现丢包现象。 2. 实施时工程师操作上的失误防火墙上联口A,B与下联口C,D接口接反。往期文章推荐网络攻防-网络工程师之防范手册客户体验越来越重要要如何做好客户体验管理中间件运维仅仅只剩下重启吗【经验分享】ARP故障专题案例分享一【经验分享】ARP故障专题案例分享二【经验分享】系统Oracle数据库集群节点启动失败故障处理案例【职场经验】如何写一份得体的职业邮件【经验分享】ARP映射错误处理案例分享【经验分享】使用sqlldr工具导入oracle数据库方法【经验分享】GoldenGate Replicat 进程延迟问题处理案例分享▼更多精彩推荐请关注我们▼
