本帖最后由 adds 于 2022-8-7 21:41 编辑
1、某市局级单位 1.1 现象 IP电话有中断或无信号问题。
1.2 排查 1)网络环境确认 出口是一台启明星辰(天青汉马)防火墙,下连一台交换机。大二层环境,并确认IP电话网段。 2)测试IP电话的网络质量 接入网络会自动获取到一个IP地址。去Ping局外地址未发现问题。 3)怀疑有ARP攻击 比对本机ARP表里的网关MAC和核心交换机ARP表里的MAC,没有问题。 4)抓包 在接口上抓包,发现很多广播包。 初步排查,我们在网络中发现了一台D-Link,一台TP_Link,还发现监控网段的广播出现在了业务网段。 5)广播来源判断 由于只有核心交换机是可网管交换机,其他接入层交换机均为傻瓜交换机,无法判断。 6)环路 后期客户自己发现网线插环路了。
2、某企业单位 2.1 现象 网络中断,PC终端上网不正常。 2.2 排查 1)出口设备排查 刚开始连接不上出口路由器,能获取到IP但ping不通网关IP。 重启PC网卡后,可以登录控制台。 2)网络时断时续 综合排查发现,是环路引起的问题,有一根网线将两端均插在了同一台交换机上。
3、注意 3.1 信锐 有这样一个场景,某单位新设立了个岗亭,有一台PC设备需要联网,但PC只能使用有线,在现有条件下,从主楼拉一条网线过来不现实,想着使用无线AP桥接方式实现。 架构:主楼安置一个中继AP,岗亭安置一个Client AP,AP的LAN口接PC即可。 3.2 AF关于IPv6的事情 AF从8.0.51开始了新架构,新架构从系统层面与之前不同,不能直接从之前的版本直接升级,需要返厂重新刷系统。 AF-1000-D420不支持升级到8.0.51及以上版本,AF-1000-D600支持升级到8.0.51及以上版本。 唯一本地地址(FC00::/7):唯一本地地址是本地全局的,它应用于本地通信,但不通过Internet路由,将其范围限制为组织的边界。 从8.0.51版本开始,该架构下不能配置IPV6大于2000::前缀的IPV6地址 不支持使用ipv6的地址登录防火墙。 3.3 设备升级前检测 AC需要下载专门的工具进行检测,AF使用acheck就行。 AC使用13.0.7的升级检测工具就OK。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-8-8 09:08
技术专家4级 
