問題描述:
組網及組網描述:
大致的拓撲是這個樣子,目前出現的情況是,蘇州使用windows遠程桌麵訪問上海的連接WIFI的計算機無法正常使用,但是ping終端IP及路由查詢均可達,有線網絡確是正常的,隻有無線不行,但是上海的無線卻可以任意訪問蘇州的有線網絡及無線網絡,使用windows遠程桌麵,上海的DHCP在防火牆上192.168.188.0,但是網關卻在MPLS VPN設備上是192.168.188.253,VPN優先使用192.168.188.246 ADSL VPN 。查詢了網絡路徑蘇州到上海的時候經過了ADSL VPN後就直接到達188網段的指定地址,而上海到蘇州的時候首先是先到188.253 才到188.246進入ADSL後到達蘇州。無線是本地轉發
就想請教一下這種情況有可能是什麼原因,如果我想抓包分析,有沒有推薦方法
- 2024-08-28提問
- 舉報
-
(0)
上海的火牆是旁掛模式?是交換機劃分vrf然後引流過牆的麼?上海的有線業務和無線業務流量路徑是否有差異?上海的無線業務流量上行、下行路徑是否一致?如果流量單向過牆,火牆上沒有反向報文,無法正確建立會話,造成業務不通。
- 2024-08-28回答
- 評論(3)
- 舉報
-
(0)
上海交換機是傻瓜模式,DHCP在防火牆上隻有默認VLAN1 188.0 網關在MPLS上
1.交換機沒配置,充當普通交換機用的 2.某種程度上,防火牆在內網就充當個DHCP功能 3.有線無線流量走向是一致的 4.188.253那台設備有個作用是充當網關的。所以客戶端的流量先到188.253,然後由它決定流量該往哪走,來蘇州就走ADSLVPN,出去就扔到防火牆
可以tcpdump或者wireshark端到端抓包,篩選對端ip的數據包,看業務流量是否可達,另外測試時在蘇州的火牆上看會話。如果上海WIFI終端的網段和有線終端網段不同,火牆上根據五元組看有無匹配策略,有可能還是火牆安全策略或者有預期外的ACL限製了業務流量。
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
可以tcpdump或者wireshark端到端抓包,篩選對端ip的數據包,看業務流量是否可達,另外測試時在蘇州的火牆上看會話。如果上海WIFI終端的網段和有線終端網段不同,火牆上根據五元組看有無匹配策略,有可能還是火牆安全策略或者有預期外的ACL限製了業務流量。