遇到问题,要不就正向排查,找到具体问题。要不就反向排查,看看问题和什么相关。
不断切割,缩小范围。
1. 业务有什么特殊性
(1)全部业务,还是部分业务,能的具体到哪些业务吗?
(2)这部分业务的IP地址、所处位置、网络部署有没有特殊
(3)是一直卡顿还是间歇性卡顿?
(4)这部分业务的流量有什么特点,是否对应特别的fw配置?
(5)是否存在来回路径不一致,分析拓扑
(6)是否存在二次过墙的组网。使用zone应对
(8)是否存在分片比较多?
(9)MSS确认,通过ping和业务协商SYN抓包
(10)抓包分析是否有重传、丢包、时延大等特点
(11)业务是否存在长连接,长连接是否超时
2. 防火墙可能存在的测试配置
(0)配置全通安全策略,判断业务是否恢复
(1)关闭严格状态检查。针对TCP业务
(2)关闭快转?清除会话
(3)业务流量不大的时候,关闭快转?清除会话
(4)无ALG业务,关闭全部ALG安全选项
3. 设备性能是否满足
(0)新建、并发、吞吐大小。设备CPU、内存、磁盘使用率
(1)网口或者线缆持续丢包,ifconfig ethx看看统计啥的
4. 配合分析协议交互过程
(0)基于“业务正常时的报文”,在防火墙上回放或接入现网,进一步确认防火墙的处理行为。
(1)通过wireshark或者tcpdump抓包分析