不涉及。
现场配置F100-C-A3防火墙wlan无线功能后,发现内网用户连接无线后无法互访,收到反馈后我们立即展开分析 。
1、
security-zone name Trust
import interface Vlan-interface1
import interface Ethernet1/0/0 vlan 1
import interface GigabitEthernet1/0/4 vlan 1
import interface GigabitEthernet1/0/5 vlan 1
import interface GigabitEthernet1/0/6 vlan 1
#
security-policy ip
rule 0 name trust-untrust
action pass
counting enable
source-zone Trust
source-zone Local
source-zone Untrust
destination-zone Untrust
destination-zone Trust
destination-zone Local
已经将无线业务vlan及绑定的接口均加入了安全域并已放通,检查安全域和策略配置暂时未发现问题。
2、
(debugging ip packet acl;debugging ip info acl ;debugging aspf packet acl;debugging security-policy packet ip acl)
Debug打印信息如下:
*Oct 23 11:46:45:905 2020 H3C ASPF/7/PACKET: The packet was dropped by ASPF for nonexistent zone pair. Src-ZOne=-, Dst-ZOne=-;If-In=WLAN-BSS1/0/2(136), If-Out=WLAN-BSS1/0/2(136), VLAN-In=1, VLAN-Out=1; Packet Info:Src-IP=10.14.16.3, Dst-IP=10.14.16.100, VPN-Instance=none, Src-Port=1, Dst-Port=2048. Protocol=ICMP(1).
通过debug信息我们可知无线用户互访的流量由于不存在的域间实例被aspf丢弃了,接口是WLAN-BSS接口。
3、被策略丢弃,那应该如何放通策略呢?于是后续进一步确认到,对于WLAN-BSS接口,它是无线接口,在安全产品上不可见,所以无线用户互访被策略丢弃,目前的解决办法就是将无线用户的地址对象组加入安全域当中做策略放通以实现无线用户的互访。
将无线用户互访地址加入安全域并做放通后可以互访。
security-zone name Trust
import interface Vlan-interface1
import interface Ethernet1/0/0 vlan 1
import interface GigabitEthernet1/0/4 vlan 1
import interface GigabitEthernet1/0/5 vlan 1
import interface GigabitEthernet1/0/6 vlan 1
import ip 10.14.16.0 24 //增加配置将无线用户互访的地址加入到安全域
并且放通同域之间的安全策略后问题得到解决。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作