网络问题排障专题-AF网络问题排障

目录

一、数据交换基本原理

1、ARP协议工作原理

数据包如图：

2、二层交换工作原理

简述核心概念：

二层交换原理-VLAN标签

3、三层交换工作原理

二、AF各种部署模式数据转发流程

1、路由模式数据转发流程

三、分层/分组逐一案例讲解

1、问题现象分组说明

2、双向地址转换不生效案例讲解

AF收到请求后未转换数据包，或收到回包后未回包给客户端--AF自身问题判断依据：

外网口是拨号口如何抓包？

3、终端应用客户端访问异常案例讲解

思考：如果是一个应用联网异常，相比于访问公网网站等问题，难点在哪？

4、应用控制策略不生效案例讲解

AF收到请求后未拦截或放通数据--AF自身问题：

5、应用控制策略不生效案例讲解————基于域名

原理

方式

条件

新架构可在命令行中查看域名的对应关系：

封堵恶意域名

僵尸网络防护原理

DNS Snooping

问题

问题1：防火墙有双向地址转换，或者环境中有双向地址转换的情况下，如何判断真实IP是谁，快速溯源到日志。

问题2：如果客户通过双向地址映射内网服务器至公网，但不允许公网源ip:5.5.5.1来访问此服务器，请问NAT、ACL分别需要如何配置 ? 条件：公网ip:1.1.1.2、服务器ip:172.16.1.1、AF内网口ip:192.168.1.1、业务端口8083

---

一、数据交换基本原理

1、ARP协议工作原理

• 以PC A向PC B发送数据为例：当发送数据时，PC A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了。
• 如果在ARP缓存表中没有找到相对应的IP地址，PCA就会在网络上发送一个广播，目标MAC地址是“FF FF FF FF.FF FF”，这表示向同一网段内的所有主机发出这样的询问：“192.200.121.253的MAC地址是什么?”网络上其他主机并不响应ARP询问，只有PCB接收到这个帧时，才向PC A做出这样的回应。
• “192.200.121.253的MAC地址是28:51:32:04:ff:45”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了，ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

数据包如图：

• ARP请求包：

• ARP应答包：

2、二层交换工作原理

• 二层交换原理是指在计算机网络中，通过使用二层交换设备（如交换机）来实现数据包的转发和交换的原理。
• 在二层交换原理中，数据包是根据其目标MAC地址进行转发的当一个数据包到达交换机时，交换机会查看数据包中的目标MAC地址，并将其与交换机的转发表进行比对。转发表中记录了与交换机相连的各个接口与对应的MAC地址。如果目标MAC地址在转发表中有对应的记录，交换机就会将数据包转发到相应的接口上;如果没有对应记录，交换机会将数据包广播到所有其他接口上，以便找到目标设备。
• 二层交换原理的核心思想是建立和维护一个“转发表”，通过学习和更新来实现数据包的快速转发。当交换机接收到一个数据包时，它会检查源MAC地址，并将其与转发表进行比对。如果源MAC地址在转发表中没有对应记录，交换机会将该地址添加到转发表中，并将数据包转发到其他接口上。这样，交换机逐渐学习到网络中各个设备的位置，并能够根据目标MAC地址快速转发数据包。
• 二层交换原理的优点是转发速度快、效率高，因为它只关注数据包的MAC地址，不需要进行复杂的网络层或传输层处理。这使得二层交换设备成为构建局域网中的核心设备，提供高速、可靠的数据传输。

简述核心概念：

（1）、数据到了设备，先会记录源MAC与入接口关系，下次转发就会知道这个MAC设备在这个接口下面。

（2）、如果查不到目的MAC往哪转发，就泛洪所有接口（除入接口外），如果收到了这个目前MAC的回包，就会按照第一步记录下来，之后的数据知道MAC与接口的对应关系了。

二层交换原理-VLAN标签

在二层交换中，VLAN （Virtual local Area Network，虚拟局域网）是一种逻辑上划分网络的技术。它可以将一个物理局域网划分为多个逻辑上独立的虚拟局域网，每个VLAN内的设备可以进行通信，而不受其他VLAN的影响。

• Access口（访问口）：Access口是用于连接终端设备（如计算机、IP电话、打印机等）的端口。它只能属于一个VLAN（虚拟局域网），并且只能传输属于该VLAN的数据包。Access口通常用于连接终端设备到交换机，并将其划分到相应的VLAN中。当数据包从Access口进入交换机时，交换机会将其标记上对应的VLAN ID，然后将其转发到该VLAN的其他端口。
• Trunk口（干道口）：Trunk口是用于连接交换机之间的端口，用于传输多个VLAN的数据包。它可以同时传输多个VLAN的数据，通过使用标记(Tagging)来区分不同的VLAN。Trunk口通常用于连接交换机之间，以实现VLAN的扩展和互联。当数据包从Trunk口进入交换机时，交换机会根据标记的VLAN ID将其转发到相应的VLAN。

上述图中，假如A、B、C都在同一个网段，如何让处于不同VLAN之间的主机互访？

• 方法1：利用Trunk链路的收发标签特性，交换机之前的Trunk口，左边连接A和B的交换机中继本征vlan设置为10，右边连接C的交换机中继本征vlan设置为20，这样由于A和B上来会打上VLAN10的标签，到了中继链路由于本征VLAN是VLAN 10会把vlan 10的Tag剥离发送，到了对端由于数据流没打标签，这边本征VLAN是20，就会打上VLAN 20的Tag发走，最终到达主机C，主机C的回包也是一样。
• 方法2：利用Access链路的收发标签特性，交换机之间设置Access接口，左边连接A和B的交换机的Access设置为10，右边连接C的交换机Access设置为20，这样根据Access收发标签的特性，A交换机左边接口收到了A的流量打上Tag 10的标记，通过Vlan 10的接口发走会剥离掉vlan 10的标签，此时数据流不带标签，到了对端由于没标签，会打了vlan 20的标签，然后最终到达主机C，主机C的回包也是一样。

3、三层交换工作原理

• 三层交换原理是指在计算机网络中，通过使用三层交换设备（如三层交换机或路由器）来实现数据包的转发和交换的原理。
• 在三层交换原理中，数据包是根据其目标IP地址进行转发的。当一个数据包到达三层交换设备时，设备会查看数据包中的目标IP地址并将其与路由表进行比对。路由表中记录了与设备相连的各个网络和对应的下一跳地址。如果目标IP地址在路由表中有对应的记录设备就会将数据包转发到相应的下一跳地址上，如果没有对应记录设备会将数据包丢弃或转发到默认路由。

如图所示，A访问B属于二层交换，A访问C则属于三层交换A访问C具体过程如下：（假设路由器已有相应的ARP表的情况）

（1）、A把自己的IP地址和C的IP地址比较，发现不在同一子网内:由发送给A自己的网关进行处理

（2）、此时数据包源IP为121.235，目的IP为1.1，源MAC为b1-2f目的MAC为34-45

</