本帖最后由 陈铭煌 于 2023-7-1 10:19 编辑
问题背景:
接到客户反馈,AC版本13.0.62旁路部署,IP&MAC地址绑定失效
问题现象:AC通过IP&MAC地址绑定了测试机IP与MAC地址,测试机修改IP后,还是可以正常上网,在AC上面入网失败用户,可以看到已经识别为校验失败了。
排查思路:
1、确认镜像流量是否全,是否有双向流量
2、确认用户IP&MAC校验是否失败
3、AC是否有发送TCP_reset包
1、在AC设备上针对测试机的IP,进行筛选抓取,发现只有单向流量,只有回包,没有请求包。
由于只是镜像了上联口,同时客户内网存在双核心,所以怀疑镜像不全,反馈客户进行排查。
2、经过客户检查后,确认流量镜像完全,同时发现不筛选IP的话,可以抓到双向流量。进一步分析后
确认原因是客户的请求包发送的时候是带有Vlan_id的,因此AC直接筛选IP,是无法抓取vlan报文的。
如果需要抓取vlan报文,带vlan的包抓包时要写vlan and host +IP。这里踩了一个坑,浪费了很多时间,导致一直以为是镜像不全导致的
3、AC抓包发现AC并没有主动发出TCP_reset包,初步判断为AC本身问题,问题上升专家。经过专家确认,该问题为版本机制问题,AC在13.0.47R1版本开始,旁路模式,对于不需要认证的用户不会进行拦截,也不会发送TCP_reset包,需要通过打优化包解决该问题。
4、打包后测试正常,可以准确拦截。
总结:
1、13.0.47R1版本以后,旁路模式不需要认证默认全部放通了,需要打实施优化包解决。
2、抓包的时候,如果有vlan流量,需要通过vlan and host+IP进行抓取,如果直接筛选IP抓取无法抓到。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-9 09:16
工程师1级 
