“当前已有100+用户参与分享,共计发放奖励50000+“
由于上网行为管理简称AC,无线控制器也简称AC,下文为了区别上网行为管理称之为上网行为管理,无线控制器称之为AC无线控制器
网络拓扑: 此网络为客户无线网络,分公司出口使用上网行为管理作为出口设备,下挂POE交换机,POE交换机下面挂无线AP,上网行为管理与总部出口设备建立sangfor VPN。分公司没有AC无线控制器,是通过sangfor VPN连接总部的AC无线控制器。并且行为管理也需要通过sangfor vpn加入总部BBC集中管理。
问题现象: 无线厂商反映无线AP无法上线,意思就是无法与总部AC无线控制器建立连接,通过POE交换机ping总部AC无线控制器会出现如下情况;在上网行为管理的控制台ping该AC无线控制器地址也是同样情况。
解决思路: 1、 查看VPN状态,VPN已经与总部建立,并且看流量看不出异常,需要进一步查看VPN的日志 2、 查看系统日志界面,只查看VPN的日志,发现没有告警信息(此处日志太多未截图) 3、 经过上述排查怀疑是AC无线控制器的问题,但是也没有办法证明就是AC无线控制器的问题,所以就尝试ping总部BBC的地址发现也会出现dup这种包。由此可以推断不可能AC无线控制器和BBC设备同时出问题,问题大概率出现是VPN问题。 4、 确定是VPN问题后回头查看VPN的配置,发现配置没有大问题,否则sangfor vpn也不会建立成功,唯一的配置问题可能就出现在 “启动封堵穿透”这个功能:尝试去掉此功能后,在上网行为管理的控制台ping总部AC无线控制器发现正常,ping总部BBC地址也正常了。随后无线AP能够正常上线,无线wifi也可以正常使用了。
问题原因: 封堵穿透是指以UDP的自适应模式(适应为ESP模式)或UDP的ESP模式与总部建立SangforVPN,客户的宽带IP为100.x开头的运营商内网IP,不是真正公网IP,根据提示,NAT环境下不建议使用ESP穿透。如果出现sangfor vpn对接问题,建议检查下“封堵穿透”选项,可以尝试关闭查看业务状态。 |