本帖最后由 Sangfor_闪电回_小云 于 2015-11-26 10:37 编辑
两个AC设备网桥部署产生的奇怪问题分析
客户原有环境:如下图,AC1为6.1版本,同时做微信认证,核心是惠普交换机。
内网web服务器:192.168.0.250,扫描机:192.168.0.251,访客网段:192.168.3.0,测试电脑192.168.0.100.
需求:原有的蓝盾审计备案不符合要求,客户计划再买台AC2设备做审计和备案,同时下架蓝盾。
插曲:由于单独购买的AC6.1不符合备案要求(备案需要单独订制或者批量购买),所以只好再次购买一台AC2,且版本5.5R1(一坑),同时为了让客户主观上好受一点,之前已经和客户沟通好,让AC2单独来做内网3.0访客网段的短信认证。另外,其实到客户那 ,蓝盾已经下架,客户并未告知曾有蓝盾设备存在(二坑)。所以AC2用来审计,短信认证,备案。
实施过程:因为短信认证,加上要审计,简单了解拓扑架构后,同时考虑到旁路需要镜像,而HP核心交换机客户不会设置,所以建议继续网桥,把AC2上架,起初一切正常。但随即奇葩问题出来了,当0.100去访问0.250的时候,发现无法访问,还提示AC拒绝浏览网页的对话框,甚至乎去扫描都无法实现,AC2开直通问题依旧。只好把AC1也开了直通,可以正常访问,进去AC1数据中心发现,访问内网网页被识别为:浏览其他网页,访问扫描机被识别为:其他应用。奇葩,访问内网的应用都要先跑一下公网再回来!!!进去HP的交换机查看,同时度娘查看了hp镜像的命令,发现其实有做端口镜像,一共做了四个端口mirror-port……询问之下,客户才说之前有设备做审计的,拿掉了。。。最终,将AC2设置为旁路模式,所有问题都迎刃而解了!
结论:只了解客户现有网络架构可能是不够的,有时候碰到奇怪的问题,得问问之前的环境! | 
发表于 2015-11-9 14:47
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2015-11-11 09:01
技术员2级 
