WX2560X-LI 防火墙日志源 IP 为 AC 地址，完整追溯无线终端 PC 方案

一、先理清组网流量原理（为什么防火墙看到源 IP 是 AC）

1. 无线用户流量到达 AC 后，AC 做三层 NAT / 路由转发，报文出 AC 上联口时源 IP 变成 AC 的三层接口 IP，因此防火墙拦截日志里源地址只显示 AC，看不到真实无线 PC 内网 IP；
2. 追溯核心思路：防火墙拿【海外目的 IP + 拦截时间】→去 AC 查对应会话，拿到真实无线终端 IP/MAC/ 接入 AP，分「实时在线会话追溯」和「历史日志离线追溯」两套流程。

二、场景 1：拦截发生时 PC 还在线（实时追溯，最快）

步骤 1：防火墙提取关键线索（海外目标 IP、拦截时间）

步骤 2：登录 WX2560X-LI AC，查询对应目的 IP 的无线会话，定位终端

① 查看 AC 三层会话表（核心命令，直接拿到无线终端内网 IP）

② 通过终端 IP 查无线用户完整信息（MAC、接入 AP、SSID）

• 终端 MAC 地址
• 接入 AP 名称、AP 管理 IP
• 所属 VLAN、SSID、在线时长、信号、射频
  至此完全定位是哪台无线 PC、连哪个 AP。

补充：按 MAC 查看终端流量统计，确认访问记录

三、场景 2：拦截时 PC 已下线（离线历史追溯，无在线会话）

方案 A：AC 本地安全日志 / 流量日志回溯（优先）

1. AC 开启本地流量日志 / 安全日志，查询对应时间访问海外 IP 的终端记录：

方案 B：iMC EIA/WSM 纳管环境（有终端审计日志最精准）

1. 登录 iMC 平台→【无线业务管理】→【无线日志】/【终端审计】；
2. 按时间 + 目的海外 IP检索，直接输出：终端 IP、MAC、接入 AP、用户账号（802.1X/Portal 认证用户名）；
3. 若做了终端绑定，可直接定位到人。

方案 C：DHCP Snooping 绑定表反查（IP-MAC 永久映射）

四、配套 Web 页面可视化操作（WX2560X-LI 图形化追溯）

1. AC Web →【监控】→【会话管理】，填入海外目的 IP 过滤，直接看到无线终端内网源 IP；
2. 【无线业务管理】→【客户端】，输入查到的终端 IP/MAC，查看接入 AP、终端详情；
3. 【日志管理】→【本地日志】，按时间筛选历史访问记录。

五、优化方案：让防火墙直接看到真实 PC 源 IP（避免后续二次追溯）

方案 1：AC 上联关闭三层转发，改为纯二层桥接（推荐）

方案 2：AC 开启 NAT 日志 / 会话溯源，或防火墙部署镜像流量

1. AC 开启流量日志实时上送到日志服务器，留存终端访问记录；
2. 核心交换机上联防火墙做端口镜像，所有无线原始流量镜像到审计设备，日志原生带终端真实 IP。

六、极简操作速记（现场排障一步到位）

1. 防火墙拿到拦截日志的海外目的 IP；
2. 登 AC 执行display session table destination 海外IP，获取无线 PC 真实内网 IP；
3. AC 执行display wlan client ip 终端IP verbose，拿到 MAC、接入 AP；
4. 若终端已下线：查 AC 本地日志 /iMC 无线审计历史记录回溯。