发布时间:2023-04-11
点击量:306
如上拓扑所示,NGFW做出口设备,核心和防火墙中间是三层接口互联。
故障:PC上不了网。
防火墙/核心配置问题
1、从PC上ping网关地址(核心),如不可达,检查是否存在IP地址冲突,可以在核心或者汇聚交换机上查看MAC表和ARP表,是否有电脑mac和IP的对应关系。
2、在核心交换机上ping防火墙内网口地址是否可达。
3、从核心上带源ping防火墙外网口地址(ping 221.102.45.289 source 192.168.1.1 )。
如果核心上带源ping不通,检查以下配置
a、核心需要配置默认路由指向防火墙,下一跳地址是防火墙的内网口地址。
b、防火墙上需要配置回指路由指向核心,目的网段是内网的局域网网盾啊,下一跳是核心的三层口地址。
c、查看防火墙的策略,配置放通内网口→外网口的策略,并检查NAT配置。
4、问题3排查完之后再从防火墙上的运维工具ping运营商网关地址和外网DNS,如果运营商网关不可达,联系运营商侧检查外网线路问题。
防火墙上需要注意回指路由的配置,如下图目标IP写内网的详细网段,接口选择内网口,网关地址是核心三层口的IP地址。
局域网上网排查思路都是一样的,从PC---网关---防火墙---运营商,逐级排查,可以ping或者tracert的方式检查故障点发生于哪个节点,然后针对故障节点做排查。
