本帖最后由 KYLE_K 于 2019-11-19 23:59 编辑
问题概述:
客户新购了上网行为管理替换原有三层交换机(别问为什么,客户就是要这样做:啧啧啧:),发现上网没有问题,但财务部反馈办公电脑连不上网络打印机,也收不到扫描仪发送过来的扫描文件,让我远程查查是什么情况。
网络拓扑:
问题详情: 1.打印机和扫描仪在vlan 10 网段(普通办公网段),vlan 20 (财务部网段),vlan 30(内部服务器网段);
2.vlan 10 访问 vlan 30 和上网都没有问题,vlan 20 访问 vlan 30 和上网也没有问题;
3.vlan 20 连不上 vlan 10 的打印机,vlan 20 的终端ping vlan 10的终端完全不通,
问题初步分析: 1.vlan 10 和vlan 20 都能与vlan 30 通信,也能正常上网,可以排除接口故障和终端的网关配置错误; 2.vlan 10 和 vlan 20都是直连网关, 不需要另外写路由,可以排除路由错误; 3.AC默认是全允许的策略,有可能是有接口拒绝策略,阻断了相关的通信;
接口策略分析: 跟客户沟通,AC是新购的,没有修改过任何相关的接口策略,接口策略都是默认的,遂让客户发来相关截图进行排查,策略截图见下图:
从截图看,感觉真没什么问题,全是允许策略,没有拒绝策略,而且根据AC的默认配置,只要不拒绝,就都是允许的,这就奇怪了。。。
疑似找到问题关键点: 仔细核对策略截图,发现LAN到LAN的策略截图,与其他区域的策略截图有点不同,其他接口没有带接口序号,而LAN到LAN的策略,带有相关的接口序号,见下图:
难道是因为vlan 10 和vlan 20 分别的 LAN1 和 LAN2 两个不同的接口,然后不同LAN口之间没有对应的允许策略,导致vlan 10 和vlan 20 之间的通信被拦截?
验证相关的猜测: 远程连到AC上检查相关接口配置,相关接口配置见以下截图:
果然 eth0 和 eth3 分别表标记成逻辑接口 LAN 1 和LAN 2,新增两条策略,一条允许LAN 2访问LAN 1(财务部访问打印机),一条允许LAN 1到LAN 2(扫描仪发送扫描文件到财务部),再让客户帮忙验证财务部的打印和扫描是否能用,新增策略配置见下图:
客户反馈财务部打印和扫描都能正常使用了,确实是接口策略导致的
优化相关策略: 跟客户沟通,客户基于安全考虑,明确了vlan 10 只有扫描仪和打印机允许访问 vlan 20,vlan 20 可以访问vlan 10 的任意IP,遂将LAN 1到LAN 2接口访问策略进行优化:
案例排错收获: 原来AC默认的允许策略,并不包含各个LAN口之间的通信,AC默认不允许不同LAN口(如案例中的LAN 1 和 LAN 2)之间的通信。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-12-9 19:44
工程师2级 
