#原创分享#冷门排错案例---AC网关模式LAN口通讯排错

问题概述：

      客户新购了上网行为管理替换原有三层交换机（别问为什么，客户就是要这样做:啧啧啧:），发现上网没有问题，但财务部反馈办公电脑连不上网络打印机，也收不到扫描仪发送过来的扫描文件，让我远程查查是什么情况。

网络拓扑：

问题详情：

1.打印机和扫描仪在vlan 10 网段（普通办公网段），vlan 20 （财务部网段），vlan 30（内部服务器网段）；

2.vlan 10 访问 vlan 30 和上网都没有问题，vlan 20 访问 vlan 30 和上网也没有问题；

3.vlan 20 连不上 vlan 10 的打印机，vlan 20 的终端ping vlan 10的终端完全不通，

问题初步分析：

1.vlan 10 和vlan 20 都能与vlan 30 通信，也能正常上网，可以排除接口故障和终端的网关配置错误；

2.vlan 10 和 vlan 20都是直连网关， 不需要另外写路由，可以排除路由错误；

3.AC默认是全允许的策略，有可能是有接口拒绝策略，阻断了相关的通信；

接口策略分析：

跟客户沟通，AC是新购的，没有修改过任何相关的接口策略，接口策略都是默认的，遂让客户发来相关截图进行排查，策略截图见下图：

从截图看，感觉真没什么问题，全是允许策略，没有拒绝策略，而且根据AC的默认配置，只要不拒绝，就都是允许的，这就奇怪了。。。

疑似找到问题关键点：

仔细核对策略截图，发现LAN到LAN的策略截图，与其他区域的策略截图有点不同，其他接口没有带接口序号，而LAN到LAN的策略，带有相关的接口序号，见下图：

难道是因为vlan 10 和vlan 20 分别的 LAN1 和 LAN2 两个不同的接口，然后不同LAN口之间没有对应的允许策略，导致vlan 10 和vlan 20 之间的通信被拦截？

验证相关的猜测：

远程连到AC上检查相关接口配置，相关接口配置见以下截图：

果然 eth0 和 eth3 分别表标记成逻辑接口 LAN 1 和LAN 2，新增两条策略，一条允许LAN 2访问LAN 1（财务部访问打印机），一条允许LAN 1到LAN 2（扫描仪发送扫描文件到财务部），再让客户帮忙验证财务部的打印和扫描是否能用，新增策略配置见下图：

客户反馈财务部打印和扫描都能正常使用了，确实是接口策略导致的

优化相关策略:

跟客户沟通，客户基于安全考虑，明确了vlan 10 只有扫描仪和打印机允许访问 vlan 20，vlan 20 可以访问vlan 10 的任意IP，遂将LAN 1到LAN 2接口访问策略进行优化：

案例排错收获:

原来AC默认的允许策略，并不包含各个LAN口之间的通信，AC默认不允许不同LAN口（如案例中的LAN 1 和 LAN 2）之间的通信。

感谢楼主分享，好的不问，但是要说两句，看到开头基本了解客户应该是只用到了网络配置和防火墙规则这里的功能，这种时候，考验基础知识的时候就来了。
AC的防火墙规则配置很简单，但是习惯写ACL命令还真可能不习惯，看了楼主的分享应该心里有了数，原来AC是这样做的，容易被忽视的地方。谢谢分享

干货满满，感谢楼主的分享！

多lan口的环境下，确实需要注意一下防火墙的LAN口策略
很完整的排错指导，从拓扑图到最终的解决方案，按照思路一步一步的排查，非常有参考价值
感谢楼主，期待您更多的反馈