• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

内网可以访问互联网?

2024-03-03提问
  • 0关注
  • 0收藏,796浏览
粉丝:0人 关注:0人

问题描述:

 

公司搭建内网设备、外网设备各一套,两套设备之间没有物理连接。正常内网用户只能通过专线访问集团内网业务,不能访问互联网;外网用户专门用与访问互联网。现出现内网用户可以访问互联网的现象,并且是通过ipv6的地址去访问的,如果在主机的网卡设置中禁用掉ipv6的协议,则访问正常。内网接入下联口为vlan,核心为trunk当二层透传,无ipv6配置。网络拓扑如下:

内网核心                       外网核心

      |                                    |

内网接入                       外网接入

      |                                     |

内网用户                       外网用户

 

组网及组网描述:

 

 

2 个回答
粉丝:237人 关注:8人

从您描述的问题来看,内网用户本应该只能通过专线访问集团内网业务,但现在却能够访问互联网,并且是通过IPv6地址进行的访问。当在主机网卡设置中禁用IPv6协议后,访问恢复正常。核心交换机配置为trunk二层透传,没有IPv6配置。

基于这些信息,我们可以进行以下分析:

  1. IPv6配置检查:首先,需要确保内网设备上没有启用IPv6或者没有配置任何IPv6地址。即使核心交换机没有IPv6配置,但如果有设备在内网中配置了IPv6地址并启用了IPv6,它仍有可能通过某种方式连接到IPv6网络。
  2. IPv6路由检查:检查内网设备的路由表,确保没有IPv6的默认路由指向外网。即使内网设备没有配置IPv6地址,如果路由表中有IPv6的默认路由指向外网,数据包仍然可能会被路由到外网。
  3. 中间设备检查:检查内网和外网之间的所有中间设备,如防火墙、路由器等。这些设备可能配置了IPv6转发或NAT规则,导致内网用户可以访问外网。
  4. 物理隔离检查:确保内网和外网之间的物理隔离是完整的。有时候,物理隔离可能被意外地打破,比如错误的布线、交换机配置错误等。
  5. 用户行为检查:检查是否有用户在内网设备上启用了IPv6或者配置了IPv6地址。
  6. IPv6隧道技术:尽管您提到内网和外网之间没有物理连接,但还是要检查是否有使用IPv6隧道技术(如6to4、Teredo等)的配置。这些技术可以在没有直接物理连接的情况下建立IPv6连接。
  7. 软件/应用问题:某些软件或应用可能会自动配置IPv6,导致内网用户能够访问外网。检查内网用户使用的所有软件和应用,确保它们没有启用IPv6或配置IPv6地址。

为了解决这个问题,您可以采取以下措施:

  • 在内网设备上禁用IPv6或完全卸载IPv6协议栈。
  • 确保内网和外网之间的物理隔离是完整的。
  • 检查并更新中间设备的配置,确保没有启用IPv6转发或NAT规则。
  • 监控内网设备的行为,确保没有用户私自配置IPv6。
  • 考虑在边界设备上实施更严格的IPv6过滤策略,防止内网用户通过IPv6访问外网。

希望这些建议能帮助您解决问题。如果问题仍然存在,请提供更多的信息和日志,以便更深入地进行分析和排查。

暂无评论

粉丝:0人 关注:0人

根据您描述的情况,似乎存在一个IPv6的相关问题。在不具有IPv6配置的情况下,内网用户不应该通过IPv6地址访问互联网。在这种情况下,建议您检查以下几个可能的原因和解决方案:

  1. 内网设备的IPv6配置:检查内网设备,确保已经禁用或正确配置了IPv6协议。即使在内网设备不直接使用IPv6的情况下,IPv6的默认启用可能导致了问题。

  2. 外网设备的IPv6配置:同样地,确保外网设备已正确禁用IPv6或者进行了适当的配置,以避免涉及IPv6地址。

  3. IPv6流量控制:检查防火墙、路由器或交换机等设备上的IPv6流量控制规则,确保没有意外地允许了IPv6流量通过内网到外网的访问。

  4. 安全策略检查:对网络设备的安全策略进行审查,确保没有意外地允许了IPv6流量访问互联网。

  5. 网络设备更新:考虑检查网络设备的固件或软件是否需要更新,以解决潜在的IPv6相关问题。

  6. 抓包分析:可以使用抓包工具分析内部网络中的数据包,以查看IPv6流量的来源和目的地,从而进一步确定问题所在。

以上是一些可能的原因和解决方案,如果问题仍然存在,请提供更多的信息和日志,以便更深入地进行分析和排查。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明