前言

昨天发现子公司A无法访问子公司B的服务器。已知之前是可以的。经过tracert及ping的简单排查。发现，A没有经过飞塔200F的防火墙出去。
已知集团使用两套防火墙。思科2110以及飞塔200F。并且在上方都做了VPN的配置。200F承接SD-WAN。
我们知道，当A公司的终端到A公司的防火墙是通的、B公司终端到B公司防火墙也是通的话，只需要在两边的防火墙上配置VPN则可以做到终端A访问终端B。
接下来就按照这个思路排查各个节点。

排查一（飞塔策略）

检查200F上的配置及策略是否有丢失？

发现并没有异常。所有的策略都属于active状态。
那么是不是到子公司B的路由当时不是走的飞塔呢。通过子公司C的协查，发现C到B直接从默认路由出去也就是走的思科防火墙出去了。

排查二

检查思科2110上的配置。
发现到公司B的VPN也是active的。那么前言分析的A防火墙到B防火墙是有策略的。问题大概就不出在两个防火墙之间的VPN。
那么，是不是终端到防火墙这一条链路出现问题。

排查三（核心交换机配置）

终端能ping通防火墙。那么问题是不是出在核心交换机上。也就是接着200F的思科C9500。

ip route 0.0.0.0 0.0.0.0 10.111.8.9
ip route vrf INTERNET 0.0.0.0 0.0.0.0 10.111.8.9
ip route vrf INTERNET 10.0.10.0 255.255.255.0 10.108.5.22 name zibo_fortinet2
ip route vrf INTERNET 10.1.0.0 255.255.254.0 10.108.5.22 name zibo_fortinet3
ip route vrf INTERNET 10.96.0.0 255.255.0.0 10.108.5.22 name huaibei_fortinet1
ip route vrf INTERNET 192.168.32.0 255.255.240.0 10.108.5.22 name huaibei_fortinet2
ip route vrf INTERNET 192.168.64.0 255.255.192.0 10.108.5.22 name zibo_fortinet1
ip route vrf INTERNET 192.168.128.0 255.255.192.0 10.108.5.22 name qingzhou_fortinet_vpn
ip route vrf Iot 10.108.128.0 255.255.128.0 10.108.128.1
ip route vrf Iot 10.108.160.0 255.255.240.0 10.108.128.1
ip route vrf Iot 192.168.10.0 255.255.255.0 10.108.128.1
ip route vrf OOB 0.0.0.0 0.0.0.0 10.110.8.254
ip route vrf SERVER 10.108.0.0 255.255.252.0 10.108.5.10
ip route vrf SERVER 10.108.5.3 255.255.255.255 10.108.5.10
ip route vrf SERVER 10.108.5.4 255.255.255.255 10.108.5.12
ip route vrf underlay 10.108.5.3 255.255.255.255 10.108.5.10
ip route vrf underlay 10.108.5.4 255.255.255.255 10.108.5.12

检查了核心交换机里的路由配置。发现了问题所在。这个路由表怎么没有我需要的ip策略。也即如果目标地址是xxxx下一跳就到10.108.5.22（A公司的飞塔防火墙）。那么问题就出在这了。

ip route vrf INTERNET 192.168.48.0 255.255.240.0 10.108.5.22 name shanghai_fortinet2

进入特权模式配置上这个路由，问题解决。