看到一篇关于自己的wifi无法访问自己官网的帖子,刚开始以为是同种原因,后来发现完全不同。废话不多说,直接上案例。
涉及设备: sangfor AF、AC。
背景介绍: 1、为了方便到访客户使用网络,公司A搭建自己的wifi网络; 2、考虑到网络安全,将wifi与内部办公网络逻辑隔离; 3、AF上做映射将内网中的官网服务器映射到公网上; 4、A公司为B公司分公司;A公司与B公司有自己的内网相连接,但是与互联网逻辑隔离。
客户描述: 访问B公司网站没问题,但是访问其中一个功能的时候用自己的wifi无法访问;已经确认过办公网络与外网访问都没问题,是不是对wifi做策略影响到访问了?
排查思路: 1、从外网访问B公司网站没问题,所有功能都可以访问,证明B公司网站没问题; 2、从办公网络访问B公司网站没问题,所有功能可以访问,证明内部策略没问题; 3、从外网可以访问,证明走的不是内网,理论上来说wifi也应该可以访问; 4、同一台电脑从外网或者办公网络访问没问题,证明浏览器插件没问题; 5、由于wifi使用群体的特殊,除了对带宽做了限制,其他几乎没有对wifi组做个策略。 突然想起来前几天由于A公司官网dns解析的问题,在防火墙上设置了dns mapping来帮助内网用户对官网进行访问。
会不会是访问总部网站的时候跳转到分公司的网站上来导致的原因?
由于当时不在现场,直接开视频看他们操作步骤。后来发现确实在操作的时候有一步会跳转到分公司的网站上。至此,终于水落石出。
解决方案: 具体解决办法有两种: 1、将添加的那一条dns Mapping删除掉,自然可以通过wifi正常进行操作。但是内网访问官网的时候会占用出口带宽,所以不建议; 2、增加一条wifi组指向192.168.1.100的静态路由。既可以避免通过wifi访问内网的其他设备,又不会占用出口带宽,建议使用这种方法。 增加了一条静态路由之后,问题解决,网站访问恢复正常。 |