【故障现象】 客户反馈:AC突然登录不上控制台,使用虚拟地址1.1.1.3也无法登录
【环境了解】 AC单网桥部署,内网三层环境,无法登录的PC和AC不在同一网段,内网上网不受影响,只是PC无法登录控制台
【处理过程】 1、在PC上pingAC的网桥地址不通,结果如下 2、在PC上telnet 443 51111 22345也不通,结果如下 5、这个时候开始怀疑是内网环境有问题了,会不会他访问10.2的数据根本就没到AC上来呢,当然这只是想,来验证下吧, AC如何抓包: 在【系统诊断】-【抓包工具】里面配置抓包选项就可以抓取数据包了这个,看到之后就慌了,本来是想着结果是数据包没到AC上来,现在来看应该是AC未回包。。。。。。 6、检查配置,发现部署模式的网关写的是上联的防火墙,然而在路由配置确写了一个回包路由指向内网的核心交换机,(当时心想:这是什么鬼操作???),这样的话,在设备上会有两个默认路由,下一跳分别指是自动生成的上联AF,还有默认的下联交换机,AC收到PC发给自己的路由之后,匹配上了自动生成的那条路由,所以回包的时候下一跳给了AF,这样数据包就被丢弃了。
修改配置:将默认路由删除,然后写明细的路由指向内网的交换机
7、测试,内网PC正常登录控制台
【结论】 修改路由配置问题解决
默认如果写的上联防火墙(会自动生成一个默认的路由),那回包必须写明细的路由,如果默认网关指向下面的交换机,那就不用写回包了,会自动生成默认路由,AC也不会拦截自己本身的路由。 回包如何写的话,可以参考我之前发的AF网关部署有详细
|