网络拓扑:内网(18网段)---二层交换---AC---AF---外网
|
内网(19网段)
背景:由于内网IP地址不足,而二层交换都为傻瓜交换机,不可做单臂路由模式部署,只能在AF上增加一个网段,来解决IP地址不足的问题。现打算让192.168.18.0/24与192.168.19.0/24两网段可以正常通讯,主要是19网段的PC能够正常访问18网段内的服务器。
下面为配置过程中遇到的问题。
问题1:19网段与18网段无法正常通讯
排查思路:检查AF内网安全中的应用控制,是否允许两网段互通。为方便后续排查问题,建议设置两条策略
问题2:将AF与AC开启直通后,AC直通状态的提示信息总结为:IP为192.168.19.100所有上网流量都为用户认证丢包
排查思路:检查是否为IP/MAC绑定错误,导致用户认证丢包。将该电脑的MAC复制至AC中用户认证与管理的用户组里搜索,若确定IP/MAC绑定错误,将该用户删除即可。
问题3:19网段PC可以与18网段PC正常通讯,但19网段PC无法与18网段的服务器通讯
排查思路:
1、将AF,AC都开启直通状态,排除策略与安全防护拦截问题。若检查出问题点,可以先将策略放通。
2、主要检查19网段的PC与18网段的服务器之前的通讯情况
a.排除服务器网络参数的配置,是否有设置网关,子网掩码是否正确(尝试过由于服务器没有填写网关,导致PC无法跨网段通讯)
b.尝试将服务器重启,或将网络服务重启 service netword restart。可能是服务器通讯协议卡死、异常,重启后恢复正常
c.尝试将服务器防火墙关闭,确定通讯数据是否被防火墙拦截了
d.尝试在AF上做SNAT,让19网段的PC访问服务器时转换为AF的出口IP,制造一个PC与服务器同在一个网段中互相通讯的环境。(在服务器的防火墙与杀毒软件可能会拦截跨网段的数据访问,碰过客户刚好忘记关闭防火墙的密码,可以尝试这方法)
e.尝试将服务器的IP更改为其它的IP或者用另一台PC设置该服务器IP来做测试,因为可能存在防火墙针对部分IP进行拦截。
f.在AC上抓取数据包(AF抓包需要找400协助),查看设备数据包是否有正常转发,是否接收到服务器的回包。在服务器上抓取数据包,查看数据包是否正常接收,是否有正常发送回馈,若服务器没有发出回包,则重点检查服务器可能出现的问题点。
PS:当测试PC与服务器通讯时,不能仅以ping为检查标准。可能是PC或服务器上的防火墙、杀毒软件拦截ping包,但访问应用服务可以正常访问。
| 
发表于 2016-3-16 19:12
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
好帖!
