#干货满满# PC经过NIPS设备去访问出口路由器的1.1.1.2地址不通

【期望】

PC通过telnet或ssh  1.1.1.2访问路由器

【现状】

经过NIPS时使用telnet去访问路由器会连接失败，而直连路由器使用telnet 1.1.1.2则正常访问

【拓扑】

1、PC-----NIPS-----SW-----路由器

【排查步骤】

1、      检查是否有应用控制策略拦截——仅有一条全放通策略，无拦截

2、      针对不能访问路由器的终端PC开启直通，并且PC同时去tcping 1.1.1.2 22345 直通日志显示是终端PC在访问1.1.1.1:81端口。

3、      了解到NIPS的vlan0有1.1.1.1和1.1.1.2作为重定向IP，于是抓包确认是否为NIPS的vlan01.1.1.2回包给了PC————通过后台tcpdump -i指定接口vlan0进行抓包时发现PC访问1.1.1.2的包被转发到vlan0中

4、      由于AF8.0.9版本才支持在web控制台修改vlan0的IP，但是当前版本8.0.7的情况需要打上补丁包：KB-AF-20220105-change-vlan0IP-all.tgz来将vlan0中的1.1.1.2修改为1.1.1.14

5、      打包后PC可以正常访问

【结论】

1、由于AF的认证功能会使用vlan 0中的1.1.1.2作为认证重定向地址，因此客户使用1.1.1.2地址

去登录路由器会被NIPS设备响应。所以需要打上优化包把vlan 0的1.1.1.2地址改成其他的即可。

谢谢分享，有助于工作！

排查的思路还是很清晰，对工作有帮助

感谢分享，学习学习

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享有助于工作和学习！

感谢分享，学习一下~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~