故障根因快速定位
现象拆解:
内网走 F100-C-HI → 访问客户系统报 ERR_CONNECTION_OUT(连接超时,TCP 握手失败 / 报文被拦截丢包)
手机热点(不走防火墙)能正常访问客户系统
结论:问题 100% 出在 F100-C-HI 防火墙的策略、NAT、会话限制、MTU、路由、应用过滤这几类配置,客户服务器本身无故障。
一、ERR_CONNECTION_OUT 含义
浏览器 TCP 三次握手失败,客户端发 SYN 报文后,收不到客户服务器 SYN+ACK 回复;报文在防火墙被丢弃,或回程路由 / NAT 异常。
分步排查(按优先级从上到下)
1. 检查安全域间访问策略(最常见)
内网终端属于 Trust 域,外网客户系统属于 Untrust 域。
1)登录 F100 Web/CLI,查看 Trust→Untrust 域策略:
是否放通源:内网网段 目的:客户系统 IP 服务:TCP 80/443
策略动作必须是允许,不要只放通部分端口
命令行快速查看:
plaintext
display security-policy source 内网网段 destination 客户IP
2)如果配置了应用控制 / URL 过滤:
ACG 特征库、防火墙应用管控拦截了目标域名 / IP,直接阻断 TCP 连接,导致超时。
临时关闭应用控制策略测试,能通就是应用过滤拦截。
2. 检查出口源 NAT 配置(第二高频故障点)
内网访问外网必须做源 NAT 转换成防火墙公网接口 IP,否则客户服务器回程无路由,SYN+ACK 回包丢在防火墙。
核查两点:
1)是否配置 Easy IP / 地址池 NAT,匹配内网网段访问所有外网;
标准 NAT 示例:
plaintext
nat address-group 1 公网出口IP 公网出口IP
acl number 3000
rule permit source 192.168.0.0 0.0.255.255
nat outbound 3000 address-group 1
2)NAT 是否绑定正确外网接口(移动 / 电信宽带口);
3)测试:关闭 NAT 后内网完全无法上网,说明 NAT 缺失 / 匹配错误。
3. 防火墙会话数、新建连接超限导致丢包
ERR_CONNECTION_OUT 大量出现常是会话耗尽:
plaintext
# 查看当前并发会话、最大会话限制
display session summary
display session limit
F100-C-HI 默认并发会话较小,内网多终端同时访问外网容易打满会话表,新 TCP 连接直接丢弃。
解决:
plaintext
# 调大最大会话(设备支持上限内)
session limit maximum 500000
# 缩短老化时间,释放无效会话
session aging-time tcp 300
4. MTU/MSS 不匹配导致大包丢包(网页能打开、特定系统打不开典型)
客户系统如果传输大包,防火墙默认 MTU1500,PPPoE / 宽带场景会分片失败,握手超时。
修复配置(全局接口下)
plaintext
interface GigabitEthernet 0/0 # 外网出口口
tcp mss adjust 1400
原理:TCP 握手协商最大分片 1400,避免大包分片被运营商丢弃。
5. 路由可达性排查(防火墙到客户服务器不通)
1)防火墙设备上直接 ping 客户系统 IP
plaintext
ping 客户IP
ping 不通:防火墙缺省路由缺失 / 错误,运营商线路拦截目标 IP;
ping 通:路由没问题,问题在策略 / NAT / 会话;
2)跟踪路由看断点
plaintext
tracert 客户IP
观察哪一跳断流,判断是运营商还是防火墙拦截。
6. 防火墙黑名单 / 安全防护拦截
F100 内置攻击防范、IP 黑名单:
1)查看是否内网 IP 被拉黑:
plaintext
display blacklist ip
如有内网 IP,删除黑名单 undo blacklist ip x.x.x.x
2)临时关闭攻击防范测试:
plaintext
undo attack defense enable
关闭后能访问,说明防护策略误拦截正常业务报文。
7. DNS 解析异常(域名访问超时,IP 直连可通)
1)笔记本内网解析客户域名,看返回 IP 是否正确:
plaintext
nslookup 客户域名
2)防火墙是否拦截 DNS 53 端口;
3)替换公共 DNS(223.5.5.5)测试,排除内网 DNS 故障。
8. 抓包定位报文丢弃点(终极定位手段)
防火墙双向抓包
内网接口抓包:确认笔记本 SYN 报文已经发到防火墙;
外网出口抓包:看 SYN 报文是否转发出去;
内网有 SYN、外网无 SYN:安全策略 / NAT 拦截;
外网有 SYN、无 SYN+ACK:运营商拦截 / 客户服务器无回程路由;
收到 SYN+ACK 但不回 ACK:防火墙会话表异常、MSS 问题。
快速验证测试方案(5 分钟定位)
笔记本直连防火墙内网口,绕开交换机 / AP,测试访问客户系统
直连能通:核心交换机 / AP / 接入交换机 ACL 拦截;
直连依旧超时:防火墙本身问题,继续上面排查;
防火墙临时放开所有策略、关闭应用控制、确认 NAT 正常,再访问
放开后恢复:原策略 / 应用管控拦截;
更换出口公网链路(多线场景)测试,区分运营商线路拦截。
高频场景总结(该型号典型坑)
F100-C-HI 默认会话上限低,多终端并发访问外网极易会话打满,出现大量连接超时;
未配置 tcp mss adjust,对接客户专网 / 网站大包丢包,握手超时;
Trust 到 Untrust 仅放通 80,客户系统用非标端口未放行;
应用特征库拦截客户系统域名 / 业务协议,直接阻断 TCP 连接。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论