旁路模式（VLAN环境）数据中心查询不到日志

打卡学习，感谢大佬分享！

打卡学习，感谢大佬分享！

感谢分享，学习一下~

感谢分享，学习一下~

一、 问题描述

某客户网络拓扑如下图所示：AC设备旁路模式部署，需要通过交换机镜像流量到AC来完成radius单点登录，同时审计用户的上网行为且匹配到用户名。

二、 告警信息/故障现象

客户配置了radius单点登录并转发到AC设备上，但是，检查在线用户为0。日志从4月2日及以后都查询不到日志。

三、 处理排查过程

1，检查日志中心发现从4月2日及之后都没有日志。

2，检查在线用户发现在线用户为0导致没有日志

3，检查设备磁盘，发现磁盘正常（这一步协让400即可）

4，检查radius单点登录配置正常

5，检查旁路模式部署监控网段配置正常

6，沟通得知客户为VLAN环境，检查网络扩展协议，协议剥离配置错误，客户配置为PPPoE剥离，应配置为VLAN剥离

四、 故障分析结论

由于客户是VLAN环境，所以镜像过来的数据包需要剥离VLAN协议才可以识别。客户配置网络协议剥离为PPPoE，所以无法识别镜像过来的数据包，导致客户都未上线，所以审计不到用户的行为日志，继而查询不到用户的行为日志。

五、 解决方案

1，修改网络协议扩展中的协议剥离，由PPPoE修改为VLAN

2，检查发现在线用户中用户已单点登录上线

3，后台排查发现数据中心数据表索引恢复

六、 建议与总结

1，旁路模式下检查数据中心日志查询先排查设备磁盘是否有问题

2，由于旁路模式下数据都是镜像过来的，所以要和客户了解客户网络环境，是否数据有被特殊封装