#原创分享#关于一次AC无法上网问题处理

项目背景:新增AC部署于现网，采用桥接部署方式放置于出口路由器与内网核心交换机之间。

按照客户需求，我们将AC上架，上电，并部署好桥接模式，管理口IP，然后在中午午休的窗口时间进行了割接。割接非常顺利。。。直到我准备走了之后，才发现了问题所在：

查看在线用户管理之后，发现显示用户IP竟然全都是公网地址？？？（上面这张图是恢复了之后的。。案发当时直接先下手恢复了）

根据经验，这种情况肯定是我们桥接的内网口/外网口插反了，导致外网进来的流量变成了内网流量。。。娴熟得更改线路，然后客户却反馈:内网无法上网了?

这就很奇怪了，毕竟设备使用的是桥接模式而且是新上的设备，没有任何的策略。但是还是检查下吧：

认证策略为默认策略，不需要认证。这个没问题，那检查下上网策略：

上网策略也是默认的，没有启用。只启用了审计策略。这个也没问题。。。问题点真的是在AC上吗？

排查这个问题很简单：开启直通，测试业务。业务通了。。。好吧，确实是AC上的问题，那就继续排障吧：

把我自己的电脑接入内网，开启直通，抓取自己IP的日志信息:

信息显示我自己机子的不能原因是用户认证丢包。

那这个原因就很好排查了：

1、检查【认证策略】是默认策略：不需要认证以ip地址作为用户名，【认证后处理】没有勾选自动录入绑定关系

2、检查【认证策略】-【认证后处理】-【高级选项】也没有启用用户登录限制

3、检查【用户绑定】和【IP/MAC绑定】没有任何绑定关系

4、检查【在线用户管理】有很多公网地址，而【部署模式】当前网桥列表是：eth0<->eth2，询问客户eth2接的是内网交换机，eth0接的是出口防火墙设备，发现客户网桥部署接反线

以上来自https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=57874

在社区上查了下，匹配到了不错的案例，并按照如下方法进行恢复：

【认证高级选项】勾选自动注销无流量的用户，时间设置为10分钟，10分钟后在线用户列表公网地址都消失了

等了几分钟后再查看在线用户信息：

在线用户显示都是内网IP了，关闭直通，再让客户测试，客户反馈：业务已经全部恢复，测试无问题。

这次故障算是比较特殊，因为不是配置问题，而是之前的故障（LAN/WAN线接反）导致的。

在这种情况下，可以好好利用故障排查中的直通，一方面开启直通后可以快速恢复业务，另一方面可以找台内网故障机排查故障根因。知道了故障根因后寻找解决办法就容易得多。

最后一句：社区案例库真香！

感谢楼主分享，网桥场景接反线基本是每个工程师都会遇到的场景了，感谢分享，希望有更多社区的小伙伴学会这个排错方式

感谢您的分享，满满的干货，已将文章放入技术博客中！

社区技术博客征稿活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

接反了  确实就这样

打赏学习，感谢分享

学习了，谢谢分享！

遇事不慌，沉着应对 身经百战

感谢分享

感谢分享

打卡学习！