网络问题排障专题 网络问题排障专题研究

目录

1. 数据交换的基本原理

1.ARP协议的工作原理

数据包如图所示。

2、二层交换工作原理

简单解释一下核心概念。

二层交换原理-VLAN标签

3、三层交换工作原理

2、不同AF部署方式的数据传输流程

1.路由模式数据传输处理

3. 每层/组的具体情况说明

1、问题现象分组描述

2. 双向地址转换不起作用时的说明

AF收到请求后没有对数据包进行变换，或者收到响应包后没有将数据包返回给客户端——AF自身的问题判断标准：

外网端口为拨号端口时如何抓包？

3、终端应用客户端访问异常时的说明

思考：如果您的应用程序出现网络异常，与访问公共网站等问题相比，挑战是什么？

4. 应用控制策略无效的案例描述

AF收到请求后没有拦截或传递数据——AF自身的问题：

5、应用控制策略不生效基于域名————的案例描述

原则

方法

情况

新的架构允许您在命令行查看域名之间的对应关系。

拦截恶意域名

僵尸网络防护原理

DNS 窥探

问题

问题1：如果我的防火墙有双向地址转换，或者我的环境有双向地址转换，我如何确定真实IP是谁并快速追踪来源到日志？

问题2：如果客户将内网服务器通过双向地址映射到公网，但不允许公网源ip:5.5.5.1访问该服务器，NAT和ACL分别该如何配置？条件：公网ip:1.1.1.2，服务器ip:172.16.1.1，AF内网端口ip:192.168.1.1，业务端口8083

一、数据交换基本原理

1、ARP协议工作原理

例如，PC A 向PC B 发送数据。当发送数据时，PC A 在其ARP 缓存表中查找目标IP 地址。如果找到了，我们也知道了目标MAC地址，所以我们只需将目标MAC地址写入帧中并发送即可。如果在ARP 缓存表中找不到相应的IP 地址，则PCA 在网络上发送广播。目标MAC地址是“FF FF FF FF.FF FF”。这意味着该广播将被发送到网络中的所有主机。查询：“192.200.121.253 的MAC 地址是多少？”网络上的其他主机只有收到此帧才会响应PC A。 “192.200.121.253的MAC地址是28:51:32:04:ff:45”这样，主机A就知道了主机B的MAC地址，可以向主机B发送信息。同时，它也更新自己的ARP缓存表，下次向主机B发送信息时，ARP缓存表采用老化机制。该表在一定时间内发送给主机B。如果一行未被使用，它将被删除。这显着减少了ARP 缓存表的长度并加快了查询速度。

数据包如图：

ARP请求包：

ARP响应包：

2、二层交换工作原理

二层交换原理是指在计算机网络内部利用二层交换设备（如交换机）转发和交换数据包的原理。二层交换的原理是数据包根据目的MAC地址进行转发。当数据包到达交换机时，交换机会检查数据包中的目标MAC 地址，并将其与交换机的转发表进行比较。转发表记录了与交换机连接的每个接口及其对应的MAC地址。如果转发表中存在目标MAC地址对应的记录，则交换机将数据包转发到相应的接口。如果没有对应的记录，交换机将向所有其他接口广播该数据包以查找目标。设备。二层交换原理的中心思想是建立并维护一张“转发表”，通过学习和更新实现数据包的快速转发。当交换机收到数据包时，它会检查源MAC 地址并将其与其转发表进行比较。如果转发表中没有该源MAC地址对应的记录，则交换机将该地址添加到转发表中，并将报文转发到另一个接口。这样，交换机逐渐获知网络中各个设备的位置，并可以根据目的MAC地址快速转发数据包。二层交换原理的优点是只关注数据包的MAC地址，不需要复杂的网络或传输层处理，从而传输速度更快，效率更高。这使得二层交换设备成为构建局域网的核心设备，提供高速、可靠的数据传输。

简述核心概念：

(1) 当数据到达设备时，首先记录源MAC和接收接口之间的关系，下次传输时，MAC设备就会知道是在这个接口下。

（2）如果没有找到转发MAC，则泛洪所有接口（入接口除外），当收到当前MAC的响应报文时，按照第一步记录，然后按照后续步骤记录。马苏。数据就会知道MAC和接口的对应关系。

二层交换原理-VLAN标签

在二层交换中，VLAN（虚拟局域网）是一种对网络进行逻辑划分的技术。一个物理局域网可以划分为多个逻辑上独立的虚拟局域网，每个VLAN内的设备可以相互通信，而不受其他VLAN的影响。

接入端口：接入端口是用于连接终端设备（如计算机、IP电话、打印机等）的端口。它只能属于一个VLAN（虚拟LAN），并且只能发送属于该VLAN 的数据包。接入端口通常用于将终端设备连接到交换机并将它们划分到相应的VLAN 中。当数据包从Access端口进入交换机时，交换机会为其打上相应的VLAN ID标签，并将其转发到VLAN内的其他端口。 Trunk端口：Trunk端口用于连接交换机之间的端口，用于发送多个VLAN的数据包。您可以同时发送多个VLAN 的数据，并使用标记来区分不同的VLAN。 Trunk端口通常用于连接交换机，实现VLAN的扩展和互连。当数据包通过Trunk端口进入交换机时，交换机根据标记的VLAN ID将数据包转发到相应的VLAN。

上图中，如果A、B、C都在同一个网段，那么不同VLAN的主机如何相互通信呢？

方法一：使用中继链路收发器标签功能。在交换机的前置Trunk端口上，左侧连接A和B的交换机Trunk专用VLAN设置为10，交换机Trunk专用VLAN设置为10。右侧C连接的VLAN设置为20。这样，当A 和B 到达中继链路时，它们将被标记为VLAN 10。它被标记为VLAN 10，因为它的唯一VLAN 是VLAN 10。当它到达另一端时，数据流没有标记，所以这里唯一的VLAN是20，所以它被标记为VLAN 20并被发送出去，最终到达主机C。这同样适用。对于来自主机C 的回复数据包。方法二：利用接入链路的标签发送/接收功能，配置交换机之间的接入接口，将左边连接A、B的交换机的接入设置为10，将连接C的交换机的接入设置为左边要做的事。因此，根据Access 的标签发送和接收功能，交换机A 的左侧接口接收A 的流量并将其标记为10。当通过Vlan 10 中的接口发送时，它被标记为Switch A。此时的数据流是没有标签的。 Vlan 10 没有标签，因此它被标记为Vlan 20，并最终位于主机C 上。主机C的回复数据包是相同的。

3、三层交换工作原理

三层交换原理是指计算机网络内利用三层交换设备（如三层交换机、路由器）转发和交换数据包的原理。在三层交换原理中，数据包根据目的IP地址进行转发。当数据包到达第3 层交换设备时，该设备会检查数据包中的目标IP 地址并将其与其路由表进行比较。路由表记录了设备连接的每个网络以及对应的下一跳地址。如果路由表中有该目的IP地址对应的记录，则设备将数据包转发到对应的下一跳地址。如果没有对应的记录，设备要么丢弃该数据包，要么将其转发到默认路由。

如图所示，A接入B属于二层交换，A接入C属于三层交换。 A到C访问的具体过程如下（假设路由器有对应的ARP表）：

(1) A将自己的IP地址与C的IP地址进行比较，发现两者不在同一子网。发送到A自己的网关处理。

(2)此时数据包的源IP为121.235，目的IP为1.1，源MAC为b1-2f，目的MAC为34-45。

(3) 收到报文的路由器判断为三层报文，检查报文的目的IP地址，验证是否在自己的直连网段上，并连接相应接口（eth1）中的数据包。路由表的源IP 为121.235，目标IP 为1.1，源MAC 为00-02，目标MAC 为00-01。

(4) C收到数据包后，以同样的方式向A发回响应数据包。

二、AF各种部署模式数据转发流程

1、路由模式数据转发流程

三、分层/分组逐一案例讲解

1、问题现象分组说明

2、双向地址转换不生效案例讲解

观察1：为什么这种拓扑不能直接使用目的地址映射来实现访问？

原理：当只进行目的地址映射时，数据流程如下： 如果源PC发送的报文与接收报文的五元组信息不匹配，则直接丢弃该报文。

从拓扑数据流分析可以看出，1个目的地址转换+1个源地址转换=双向地址转换

考虑2：如果AF执行双向地址转换，并且该双向地址之前有关联的源地址转换（五元组可以匹配），则该双向地址转换仍然有效吗？另外，转换后的源IP是源吗？双向转换的IP还是源地址转换的源IP？

之所以启用此功能，是因为无论新架构还是旧架构，DNAT 都优先于SNAT。双向NAT与双向地址转换直接匹配，因为一次目的地址转换+一次源地址转换=双向地址转换。

AF收到请求后未转换数据包，或收到回包后未回包给客户端–AF自身问题判断依据：

（1）从整理的问题信息中，查看发送/接收接口和数据流的五元组信息，使用命令tcpdump -i eth1（接收接口）获取主机源IP以及请求数据流是否到达马苏。主机目标IP 和端口目标port-nn -c 100

（2）抓包接口，检查AF是否正确转发请求并转换信息。 tcpdump -i eth2（输出接口）主机转换的源IP 和主机转换的目标IP 以及端口转换的目标端口-nn -c 100 陷阱：在新架构版本85 及更早版本中，对于源地址转换，设备会转换源地址默认端口，导致服务器因会话原因停止响应相关数据。

(3) 如果数据到达AF但没有传输，首先检查nat配置是否正常。 陷阱：自定义服务源端口受限，无法匹配策略。

(4) 检查自动释放数据的NAT策略是否勾选。如果勾选手动发布，则首先启用直接直通测试。

(5) 验证设备到服务器的路由设置是否正确且有效。您可以在防火墙上使用te1net来测试您的服务器是否可以通过。

陷阱：新架构的默认策略路由优先于静态路由，因此内网通过公网IP访问服务器时，数据包会发送到外网端口。

新架构show session 命令总结：show session src-ip xx.xx.xx.xx dst-ip xx.xx.xx.xx

外网口是拨号口如何抓包？

有相应的数据流，将常规ETH1 端口带入PPPoES。主机应该在最后添加一个额外的协议层，即常规主机，它通常能够捕获PPPOES。

tcpdump -i eth1（接收接口）pppoes和主机源IP和主机目的IP和端口目的端口-nn -c 100

3、终端应用客户端访问异常案例讲解

思考：如果是一个应用联网异常，相比于访问公网网站等问题，难点在哪？

最大的问题是应用程序与公共网络交换的五元组信息无法验证，或者五元组信息频繁变化而无法验证。

使用NM34 应用程序捕获应用程序的数据包。

4、应用控制策略不生效案例讲解

AF收到请求后未拦截或放通数据–AF自身问题：

根据判断：

（1）从整理的问题信息中，查看Ingress/Egress接口和数据流的五元组信息，通过以下命令了解请求数据流是否到达AF。

tcpdump -i eth1（输入/输出接口）主机源IP和主机目标IP和端口目标端口-nn -c 100

注意：客户提供的五元组信息发送给AF时可能不是原始的五元组。发起方可以允许固定长度的数据包测试ping。无法ping 通目的地也没关系，只要能将报文发送到AF 即可。数据包长度— Windows 上指定的长度为-l，Linux 上指定的长度为-s。

（2）验证实际的五元组并与AF验证数据后，使用AF专有的策略模拟匹配工具来测试策略配置是否正确或因与其他ACL策略冲突而无效。陷阱：自定义服务源端口受限，无法匹配策略。这样就允许进行TCP握手，这就造成了Telnet无法通过的情况。

(3) 检查是否存在五元组对应的黑/白名单可以通过开启定向透传来检查是否存在黑/白名单拦截/释放。陷阱：二层方式发布的数据不会产生透传日志，并且黑白名单是基于IP进行拦截的，所以如果配置了关联域名，数据是可以匹配并拦截/可能透传的。

(4) 检查设备是否开启了长期连接。启用长期连接很容易导致设备会话填满并失败。或者，通过配置相关的NAT 策略，NAT 后默认释放数据。

5、应用控制策略不生效案例讲解————基于域名

原理

原理：基于域名的应用控制策略实际上是与IP信息匹配的。一旦设备解析了IP，AF就会匹配之前的IP。将记录的域名和IP信息进行比对匹配，进行拦截或释放。

方式

(1) 主动查询：如果配置主动查询，AF会定期主动解析该域名的IP地址。

（2）被动监控：当与该域名相关的DNS流量经过AF时，AF会记录域名解析结果。

条件

(1)主动查询：AF的DNS与内网DNS服务器一致，保证解析结果一致，对应的域名解析结果不会过多或不断变化。

(2)被动监控：PC DNS解析流量双向经过AF。

新架构可在命令行中查看域名的对应关系：

命令行：show netobj-domain XXX 域名

封堵恶意域名

（1）如果客户指定要拦截的恶意域名，且该域名不在库中，则优先使用自定义僵尸网络。

僵尸网络：检测并拦截基于DNS 的流量。

（2）客户指定域名较多重复（具有相同特征），可根据自定义IPS规则进行拦截。

不使用URL 的原因是因为僵尸网络检测设备检测DNS 域名的流量，而受URL 保护的内容通常是安全的，不能直接拒绝URL 或DNS 解析的流量。在外部网络上进行DNS 解析的唯一方法是拒绝对基于域名的流量进行DNS 解析。

网址方式

自定义IPS可以拦截特定协议

PC访问恶意域名时，通常会首先解析DNS协议的53端口。此时，解析的流量可以检测到其中一台PC LAN正在解析域名。如果解决了，请举报并拦截域名。我们需要想办法拦截他的DNS解析流量。

基于域名拦截的应用控制（不推荐）：基于域名拦截的应用控制无法拦截DNS解析流量。在实现基于域名的应用控制之前，DNS解析流量记录必须到达DNS解析流量对应的IP。它将生效。我们开发了基于主动域名查询的应用控制策略逻辑。防火墙可能会主动访问这个恶意域名，也可能会收到外部网络的通知。

确定恶意域名的三个网站（如果两个网站都报告了，则说明不是误报）：微步、VT（virustotal.com）情报社区（x.threatbook.com）、深信服威胁情报中心。

僵尸网络防护原理

僵尸网络防护的工作原理：基于DNS 流量决策，防火墙确定它正在解析的域名是谁以及是否与规则库匹配。因此，域名的拦截是基于规则的。那。

DNS Snooping

DNS 监听的工作原理：DNS 监听通过监控网络上的DNS 流量来检测潜在的安全威胁和未经授权的访问尝试。具体来说，DNS 监听会在DNS 请求和响应数据包穿越网络时拦截它们并分析其内容。这些数据包中包含域名和对应的IP地址，以及相关的查询信息。

当有DNS请求需要解析时，DNS Snooping会检查该请求的源IP地址、目的IP地址、查询域名、查询类型等信息。通过分析这些信息，DNS窥探可以识别是否存在异常查询行为，例如频繁的大批量查询、伪造域名或DNS劫持，从而使网络管理员能够识别可能的安全威胁。

DNS Snooping帮助网络管理员监控网络中的DNS流量，及时发现潜在的安全问题，并采取相应措施，提高网络安全防御能力。

问题

问题1：防火墙有双向地址转换，或者环境中有双向地址转换的情况下，如何判断真实IP是谁，快速溯源到日志。

版本8.0.85 中的应用程序控制记录的日志包括NAT 前的源地址和NAT 后的地址。

问题2：如果客户通过双向地址映射内网服务器至公网，但不允许公网源ip:5.5.5.1来访问此服务器，请问NAT、ACL分别需要如何配置 ? 条件：公网ip:1.1.1.2、服务器ip:172.16.1.1、AF内网口ip:192.168.1.1、业务端口8083

黑名单：目的地址转换后，源地址转换前，配置防火墙前的公网IP地址为归属防火墙映射前的地址。要完全阻止对您的服务器的访问，请为您的服务器配置私有IP 地址。

# 以上有关排查网络问题的相关内容摘自互联网，仅供参考。相关信息请参见官方公告。