事情是这样,有一个客户反馈他们有两台ac,配置差不多,都用于做用户访问服务器的日志审计。后来客户把两台ac对调使用,配置稍微调整了一下,后来发现其中一台ac记录的日志有问题,记录的日志源地址和目的地址都是同一个,另一台ac记录的日志正常。
某公司我的排查过程~
一、确认问题以及环境 登录日志中心查看日志,发现正如用户所说,ac上记录的日志正如用户所说,日志均为源地址和目的地址是同一个地址,且为服务器地址。分析:这里其实一开始用户说只是用于审计日志的时候以为是旁路部署,理论上旁路部署是通过镜像网口抓包,此时ac上的策略造成这种情况的概率很小,可以优先排查数据包是否异常。但是注意到一些情况:1.服务器访问正常;2.记录的所有日志都有问题。若是数据包有问题,服务器不可能发送的数据包都有问题的情况下保持正常业务,因此可以优先把排查方向转移到ac的配置上。
二、登录ac检查 登录上ac注意到一点,在首先有在线用户流量的显示,在其中看到的用户流量用户均为服务器,没有其他ip地址,检查设备的部署方式为网桥模式,检查ac在线用户均为服务器。分析:在看到在线用户流量显示中只显示服务器的地址流量,并且ac为网桥模式部署,这种情况说明用户很可能将ac的lan和wan弄反了。通常场景中ac都是用于用户上网审计的场景,目标是审计用户对外网的范文,此时我们配置的lan口是用户区域,wan口是外网区域;当作为服务器审计的时候,我们审计的是用户对服务器的访问,因此我们配置的lan口也应该是服务器区域,wan口是服务器区域。(到这里已经有了这次故障的判断)
三、综合分析 设备是网桥模式部署,有lan和wan区域的区别。ac审计的是用户访问服务器的行为,是lan到wan方向的行为。当设备接反,用户反过来变成审计服务器“访问”用户的行为,因此在线用户中在线的都是服务器。至于为什么ac记录的日志源地址跟目的地址都是服务器呢?ac记录用户的上网行为,必须记录一个完整的tcp3此次握手的数据。ac记录的是从lan到wan方向的数据,由于是用户访问服务器,在当前环境中三次握手中的sys请求是从wan口到lan口,ac没有记录到,ac只记录到服务器回复用户的ack包,因此没有记录完整的三次握手,造成记录的日志出问题。
四、验证 跟客户沟通一下情况,让用户将设备lan和wan口对调接一下,登录设备检查,ac正常识别到用户访问服务器的流量;登录日志中心查看,ac记录的日志也都正常了,源地址为用户ip,目的地址为服务器。 |