两个AC设备网桥部署产生的奇怪问题分析

两个AC设备网桥部署产生的奇怪问题分析

       客户原有环境：如下图，AC1为6.1版本，同时做微信认证，核心是惠普交换机。

       内网web服务器：192.168.0.250，扫描机：192.168.0.251，访客网段：192.168.3.0，测试电脑192.168.0.100.

       需求：原有的蓝盾审计备案不符合要求，客户计划再买台AC2设备做审计和备案，同时下架蓝盾。

       插曲：由于单独购买的AC6.1不符合备案要求（备案需要单独订制或者批量购买），所以只好再次购买一台AC2，且版本5.5R1（一坑），同时为了让客户主观上好受一点，之前已经和客户沟通好，让AC2单独来做内网3.0访客网段的短信认证。另外，其实到客户那 ，蓝盾已经下架，客户并未告知曾有蓝盾设备存在（二坑）。所以AC2用来审计，短信认证，备案。

       实施过程：因为短信认证，加上要审计，简单了解拓扑架构后，同时考虑到旁路需要镜像，而HP核心交换机客户不会设置，所以建议继续网桥，把AC2上架，起初一切正常。但随即奇葩问题出来了，当0.100去访问0.250的时候，发现无法访问，还提示AC拒绝浏览网页的对话框，甚至乎去扫描都无法实现，AC2开直通问题依旧。只好把AC1也开了直通，可以正常访问，进去AC1数据中心发现，访问内网网页被识别为：浏览其他网页，访问扫描机被识别为：其他应用。奇葩，访问内网的应用都要先跑一下公网再回来！！！进去HP的交换机查看，同时度娘查看了hp镜像的命令，发现其实有做端口镜像，一共做了四个端口mirror-port……询问之下，客户才说之前有设备做审计的，拿掉了。。。最终，将AC2设置为旁路模式，所有问题都迎刃而解了！

       结论：只了解客户现有网络架构可能是不够的，有时候碰到奇怪的问题，得问问之前的环境！

感谢楼主的分享，遇到问题时，不慌张，一步步排查，总是有解决办法的~~~赞~

一个好玩的事情。感谢张总的分享！又涨知识了~经验值+N~

求助大神解答下，啊

求助大神解答下，啊

路过的朋友动动手赞一下，感谢