|
AC6.1网桥多网口惹的祸
一.问题现象:
新加了一台核心交换机,设备版本AC6.1,客户将部署模式变为网桥多网口,出现MAC识别错误,用户认证丢包,而导致上不了网的现象。新加的用户认证不通过直接以临时用户身份上线。IP MAC绑定不生效。
二.处理情况:
上图是客户现在的网络环境,首先检查跨三层MAC识别的配置是否正确。由于在搜索查看时,只能搜索团体名为public的,而xx的新的交换机是不支持把团体名改为public,所以我们通过第三方的搜索工具BPSNMPUtil来搜索,搜索发现确实搜索不到其中一台核心交换机的用户MAC地址。在登录到交换机上去修改了SNMP协议为V2C版本的,修改团体名。在通过第三方工具查看OID,正确的配置好跨三层MAC识别。
经过400的2111号的同事在后台抓包看发现,AC已经正确的获取到用户的MAC地址,至于用户认证丢包是因为网桥多网口的模式导致数据处理异常。需要修改网络部署的模式。
三.讨论的解决方案:
(1)网络部署模式修改为双网桥模式,但是后来客户说上联的思科防火墙不支持双下联。IPS也是网桥模式部署,他们的也是一进一出。
(2) 改为单网桥模式,客户的双核心有做VRRP多组,并且如果另一台交换机的做VRRP的接口down掉的话会一直检测。这个方案有做过测试,实施过程中,现象很奇怪,73网段的可以正常上网,反而其它主在与AC相连的网段上不了网,结果客户那边没办法长时间断网,就把网络切换了会来,回到最初的网络环境和部署模式,回到最初的网络环境和部署模式。但是网络一切正常了。但是过几天之后又出问题了。
(3)改网络环境,客户说很为难,改不了。
(4)不要做IPMAC绑定,但是客户说需要这个功能,因为,有些网段是不让上网的,为了避免用户自己改IP上网。
(5)在和核心和AC之间加一台傻瓜交换机,AC做单网桥模式。
四.问题结果
我建议双核心不要做VRRP,交换机配置策略路由同样做备份,AC路由部署。但是网络配置改动比较大。 后面协调某公司的同事来处理,某公司的同事说就是会存在这个问题,和客户解释过后,客户也很无奈,只好不做绑定。
| 
发表于 2017-12-9 22:20
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
写的棒棒的
