• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F100-C-HI防火墙下设备无法访问客户系统,

15小时前提问
  • 0关注
  • 0收藏,47浏览
粉丝:0人 关注:0人

问题描述:

F100-C-HI防火墙下设备无法访问客户系统,报错:ERR_CONNECTION_OUT,但是连自己手机热点就可以访问了!请问下怎么排查处理!

组网及组网描述:

F100-C-HI防火墙下连接h3c核心交换机,核心交换机下挂ac,ap连接接入交换机,笔记本连接ap上网

3 个回答
粉丝:11人 关注:9人

排查步骤及命令:
1. 检查防火墙出方向策略:
display security-policy rule name [策略名] 或 display security-policy all,确认是否允许内网到客户系统的IP/端口访问。
2. 测试防火墙到客户系统连通性:
ping [客户系统IP],traceroute [客户系统IP],检查是否可达。
3. 检查NAT配置(若内网是私网地址):
display nat policy,确认是否有正确的源NAT策略将内网地址转换为出口公网地址。
4. 检查会话表:
display session table destination [客户系统IP],看是否有建立的会话,若没有则策略或NAT可能有问题。
5. 检查DNS配置:
在笔记本上nslookup [客户系统域名],确认解析是否正确,若解析错误需检查防火墙DNS代理或内网DNS服务器。
6. 临时关闭防火墙安全策略测试:
system-view,security-policy disable,测试是否能访问,若能则策略问题;测试后立即恢复。
7. 检查链路MTU:
display interface [出口接口],看MTU是否过小,可尝试调整或在笔记本上ping -f -l 1472 [客户系统IP]测试。

暂无评论

粉丝:132人 关注:11人

检查下有没有被安全策略限制掉

暂无评论

粉丝:18人 关注:2人

故障根因快速定位
现象拆解:
内网走 F100-C-HI → 访问客户系统报 ERR_CONNECTION_OUT(连接超时,TCP 握手失败 / 报文被拦截丢包)
手机热点(不走防火墙)能正常访问客户系统
结论:问题 100% 出在 F100-C-HI 防火墙的策略、NAT、会话限制、MTU、路由、应用过滤这几类配置,客户服务器本身无故障。
一、ERR_CONNECTION_OUT 含义
浏览器 TCP 三次握手失败,客户端发 SYN 报文后,收不到客户服务器 SYN+ACK 回复;报文在防火墙被丢弃,或回程路由 / NAT 异常。
分步排查(按优先级从上到下)
1. 检查安全域间访问策略(最常见)
内网终端属于 Trust 域,外网客户系统属于 Untrust 域。
1)登录 F100 Web/CLI,查看 Trust→Untrust 域策略:
是否放通源:内网网段 目的:客户系统 IP 服务:TCP 80/443
策略动作必须是允许,不要只放通部分端口
命令行快速查看:
plaintext
display security-policy source 内网网段 destination 客户IP
2)如果配置了应用控制 / URL 过滤:
ACG 特征库、防火墙应用管控拦截了目标域名 / IP,直接阻断 TCP 连接,导致超时。
临时关闭应用控制策略测试,能通就是应用过滤拦截。
2. 检查出口源 NAT 配置(第二高频故障点)
内网访问外网必须做源 NAT 转换成防火墙公网接口 IP,否则客户服务器回程无路由,SYN+ACK 回包丢在防火墙。
核查两点:
1)是否配置 Easy IP / 地址池 NAT,匹配内网网段访问所有外网;
标准 NAT 示例:
plaintext
nat address-group 1 公网出口IP 公网出口IP
acl number 3000
rule permit source 192.168.0.0 0.0.255.255
nat outbound 3000 address-group 1
2)NAT 是否绑定正确外网接口(移动 / 电信宽带口);
3)测试:关闭 NAT 后内网完全无法上网,说明 NAT 缺失 / 匹配错误。
3. 防火墙会话数、新建连接超限导致丢包
ERR_CONNECTION_OUT 大量出现常是会话耗尽:
plaintext
# 查看当前并发会话、最大会话限制
display session summary
display session limit
F100-C-HI 默认并发会话较小,内网多终端同时访问外网容易打满会话表,新 TCP 连接直接丢弃。
解决:
plaintext
# 调大最大会话(设备支持上限内)
session limit maximum 500000
# 缩短老化时间,释放无效会话
session aging-time tcp 300
4. MTU/MSS 不匹配导致大包丢包(网页能打开、特定系统打不开典型)
客户系统如果传输大包,防火墙默认 MTU1500,PPPoE / 宽带场景会分片失败,握手超时。
修复配置(全局接口下)
plaintext
interface GigabitEthernet 0/0 # 外网出口口
tcp mss adjust 1400
原理:TCP 握手协商最大分片 1400,避免大包分片被运营商丢弃。
5. 路由可达性排查(防火墙到客户服务器不通)
1)防火墙设备上直接 ping 客户系统 IP
plaintext
ping 客户IP
ping 不通:防火墙缺省路由缺失 / 错误,运营商线路拦截目标 IP;
ping 通:路由没问题,问题在策略 / NAT / 会话;
2)跟踪路由看断点
plaintext
tracert 客户IP
观察哪一跳断流,判断是运营商还是防火墙拦截。
6. 防火墙黑名单 / 安全防护拦截
F100 内置攻击防范、IP 黑名单:
1)查看是否内网 IP 被拉黑:
plaintext
display blacklist ip
如有内网 IP,删除黑名单 undo blacklist ip x.x.x.x
2)临时关闭攻击防范测试:
plaintext
undo attack defense enable
关闭后能访问,说明防护策略误拦截正常业务报文。
7. DNS 解析异常(域名访问超时,IP 直连可通)
1)笔记本内网解析客户域名,看返回 IP 是否正确:
plaintext
nslookup 客户域名
2)防火墙是否拦截 DNS 53 端口;
3)替换公共 DNS(223.5.5.5)测试,排除内网 DNS 故障。
8. 抓包定位报文丢弃点(终极定位手段)
防火墙双向抓包
内网接口抓包:确认笔记本 SYN 报文已经发到防火墙;
外网出口抓包:看 SYN 报文是否转发出去;
内网有 SYN、外网无 SYN:安全策略 / NAT 拦截;
外网有 SYN、无 SYN+ACK:运营商拦截 / 客户服务器无回程路由;
收到 SYN+ACK 但不回 ACK:防火墙会话表异常、MSS 问题。
快速验证测试方案(5 分钟定位)
笔记本直连防火墙内网口,绕开交换机 / AP,测试访问客户系统
直连能通:核心交换机 / AP / 接入交换机 ACL 拦截;
直连依旧超时:防火墙本身问题,继续上面排查;
防火墙临时放开所有策略、关闭应用控制、确认 NAT 正常,再访问
放开后恢复:原策略 / 应用管控拦截;
更换出口公网链路(多线场景)测试,区分运营商线路拦截。
高频场景总结(该型号典型坑)
F100-C-HI 默认会话上限低,多终端并发访问外网极易会话打满,出现大量连接超时;
未配置 tcp mss adjust,对接客户专网 / 网站大包丢包,握手超时;
Trust 到 Untrust 仅放通 80,客户系统用非标端口未放行;
应用特征库拦截客户系统域名 / 业务协议,直接阻断 TCP 连接。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明