检查下DNS问题
不是dns问题,ping的域名都解析出IP了
不是dns问题,ping的域名都解析出IP了
多链路 outbound 负载均衡 部分公网地址防火墙内不通、电脑直连可通完整根因
核心矛盾现象拆解
防火墙 4 条外网链路,其中 2 个公网 IP 在设备内 ping 网站 A 超时;
把这两条线路光猫 / ONU 直连笔记本,同公网 IP、同运营商线路,笔记本 ping 网站 A 正常;
排除运营商线路阻断,问题出在负载均衡设备出站转发 / 安全策略 / 会话 / 源 NAT / 链路选路机制。
一、最高概率根因(按排查优先级排序)
1. 链路出接口安全策略拦截(最常见)
笔记本直连是纯二层转发无防火墙管控;
防火墙负载均衡每条外网接口都有域间安全策略:local→untrust、trust→untrust。
不通的两条外网接口缺少放行 ICMP / 网站业务端口的安全策略;
通的两条链路放通了 ICMP、80/443,所以访问正常。
验证命令(F1000/NS 系列 V7 防火墙)
bash
运行
# 查看local到untrust策略(设备自带源ping使用local域流量)
display security-policy source-zone local destination-zone untrust
# 查看内网trust到外网untrust业务策略
display security-policy source-zone trust destination-zone untrust
特征匹配你的场景
设备后台 ping(源为防火墙 local 域)走不通的两条链路时,匹配不到允许 ICMP 的规则,报文丢弃;
笔记本直连运营商线路没有防火墙策略过滤,ICMP 全放行,所以能 ping 通。
2. 多链路负载均衡「就近调度 / 运营商路由选路异常」,出站回程路由不对称
原理
网站 A 服务器针对两条故障链路的运营商 IP,回程路由不回防火墙当前出站接口:
笔记本直连:终端直接从该链路收发,运营商内网回程无多设备转发,路径对称;
防火墙负载均衡:报文从链路 X 发出,服务器回程流量送到防火墙其他外网接口,防火墙识别为非对称路由,默认丢弃非对称会话报文。
关键区分
笔记本:单链路收发,路由对称;
防火墙 4 链路负载:出站选路、回程运营商路由分离,触发非对称丢包。
解决方案
bash
运行
system-view
# 开启多链路非对称路由放行(V7防火墙通用)
session asymmetric-route enable
# 或者针对网站A网段做静态路由强制指定出站链路
ip route-static 网站A公网掩码 下一跳 不通的外网接口
3. 链路出接口绑定的 NAT 地址池 / 出接口 NAT 失效
负载均衡配置基于链路的源 NAT 地址池,不通的两条链路地址池配置缺失、地址耗尽;
访问网站 A 时,流量匹配该链路 NAT 失败,无转换源 IP 直接丢弃;
笔记本直连不需要做 NAT 转换,使用公网原生 IP,无转换环节,正常通信。
排查
bash
运行
# 查看多链路出站NAT配置
display nat outbound multi-link
# 查看地址池占用、空闲地址
display nat address-group all
4. 不通的两条链路开启了「运营商路由识别 / 应用路由黑名单」
负载均衡内置运营商路由库,网站 A 的 IP 被识别为其他运营商,流量匹配链路调度策略被强制切换 / 丢弃:
例如:联通链路配置仅联通流量放行,网站 AIP 识别为电信,联通链路直接阻断转发;
笔记本无链路调度策略限制,直接互通。
bash
运行
# 查看多链路调度策略、运营商路由匹配规则
display loadbalance multi-link policy
display loadbalance isp route
5. 不通链路的接口防攻击 / 会话限制阈值过低,新建会话被拦截
两条故障外网接口配置了会话数上限、ICMP 速率限制:
bash
运行
# 查看接口会话、ICMP防攻击配置
display connection-limit interface GigabitEthernet 0/2
display icmp anti-attack configuration
防火墙自带源 ping、内网访问网站会占用会话,超过阈值直接丢包;笔记本无会话限制,无拦截。
6. 不通链路的 MTU 值不匹配,分片报文丢弃
防火墙外网接口 MTU 过小,访问网站 A 大包报文分片失败;笔记本网卡 MTU 默认 1500 适配运营商线路,无分片丢包。
bash
运行
# 查看外网接口MTU
display interface GigabitEthernet 0/2 | include MTU
# 统一修改为1480/1500适配运营商
interface GigabitEthernet 0/2
mtu 1500
二、快速二分法定位故障链路核心测试
强制所有流量走其中一条不通链路
配置静态路由,网站 A 所有流量固定从故障外网接口出站,测试内网能否访问:
完全不通 → 该接口策略 / NAT / 调度规则拦截;
偶尔通、偶尔断 → 非对称回程路由丢包。
临时放行全量策略测试
新增万能安全策略,local/trust 到 untrust 全部允许,测试 ping:
bash
运行
security-policy
rule 1000 permit
放行后恢复正常 = 原有安全策略缺少 ICMP / 业务放行规则。
3. 关闭多链路 ISP 调度、运营商路由匹配
bash
运行
undo loadbalance multi-link isp enable
关闭后恢复访问 = 运营商路由选路拦截导致不通。
三、最简根治方案(分两类故障)
场景 A:安全策略拦截(90% 场景)
给所有外网接口对应的 local→untrust、trust→untrust 添加放行 ICMP、HTTP/HTTPS 通用规则:
bash
运行
security-policy
rule permit source-zone local destination-zone untrust service icmp
rule permit source-zone trust destination-zone untrust service icmp
rule permit source-zone trust destination-zone untrust service http https
场景 B:回程非对称路由丢包
开启全局非对称会话放行:
bash
运行
system-view
session asymmetric-route enable
场景 C:链路 ISP 调度拦截
关闭运营商路由自动匹配,改用简单加权 / 带宽调度,或针对目标网站配置静态路由绑定指定链路。
四、补充关键说明:为什么笔记本直连一定能通?
笔记本直接接运营商线路,不存在三层防火墙、多链路调度、源 NAT、会话校验、非对称路由五层限制;
防火墙负载均衡设备四层转发会叠加全套安全、调度、NAT 管控,同一运营商线路会出现访问差异,属于多链路负载均衡典型故障场景。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
s四个外网口都开了