某局点使用WX3510H对接绿洲平台,现场AC无法正常注册到绿洲上,并且两条绿洲隧道也建立异常。
无
为分析AC为何无法注册到绿洲上,于是做以下排查:
1.因为绿洲平台是一个公网的服务,所以首先要保证AC设备可以连接互联网并解析绿洲平台地址。
可以看到设备能够正常ping通公网地址,并且解析出绿洲平台的域名,因此公网链路这一块没有什么问题。
2.查看绿洲隧道建立情况
[RBCN_HZ_NCAoTi_AC]dis cloud state
Cloud connection state : Unconnected
Device state : Idle
Cloud server address : N/A
Cloud server domain name : lvzhouv3.h3c.com
Local port : 443
Connected at : Sun Nov 13 03:42:08 2016
Duration : 00d 00h 00m 00s
[RBCN_HZ_NCAoTi_AC]dis cmtunnel state
Cloud management tunnel
Server address : 139.219.8.159
Server name : lvzhou.h3c.com
Local port : 80
Connection state : Established
Device state : Request_success
可以看到cmtunnel已经成功建立,但是cloud state仍然是idle状态,且cloud server的ip地址为N/A,因此怀疑可能是域名解析的问题,所以尝试给设备配置固定的域名地址:
dns proxy enable
ip host lvzhou.h3c.com 139.219.8.159
ip host www.h3c.com 60.191.123.44
ip host lvzhoudev.h3c.com 139.217.22.254
ip host lvzhouv3.h3c.com 139.217.22.79
配置固定域名地址后发现隧道仍然不能正常建立。由于隧道主要是通过设备和上述几个地址进行交互建立的,隧道始终建立不起来,公网链路又是正常的,因此怀疑是否是组网中有地方将这个几个流量给拒绝了。
3.根据现场工程师反馈,现场公网出口为一台深信服的防火墙。查看深信服防火墙上的url日志发现有lvzhoudev.h3c.com域名的拒绝记录,因此很有可能是防火墙拒绝了绿洲的流量导致隧道不能正常建立。
在出口防火墙上放通http://lvzhoudev.h3c.com的域名之后,隧道正常建立,AC成功注册到绿洲上。
在处理AC注册到绿洲平台的问题的时候,首先就是查看设备到公网的链路是否正常,绿洲平台域名能否正常解析,然后再是查看cmtunnel和cloud两条隧道的状态,尝试固定域名地址。通过这两步可以解决大部分绿洲注册的问题。
需要注意的是我司绿洲平台后面实现机制做了修改,域名和绿洲账号都有所不同,当前的绿洲配置建议按照dmp上《绿洲上线及认证业务开局指导书V2.1》来参考操作。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作