AC旁挂核心,本地转发和集中转发服务模板均存在
无
某高校局点的运维人员每天(工作日)都会核对AC的current-configuration当前配置,在某个周一发现AC上突然新增了一个vlan 336,需要找到为什么会出现这个vlan的新增
1. 由于周六日放假没有查看AC,首先检查上周五AC的配置(通过操作日志保存),发现没有这个vlan 336,说明这个vlan是在今天新增出现的;
2. 在AC上通过:display history-command all,但是由于今天在AC上操作了非常多的查看命令,最早的结果仅记录到周日的某个时间,而在已显示的记录范围内发现AC上没有配置:vlan 336相关的命令,因此目前只能排除这段时间范围内有在AC上配置新增vlan 336的操作,而是否有在周日至周五晚进行该操作则无法通过display history-command all查询出来;
3. 运维人员问询了几个拥有相关账号的人员,均表示没有在AC上操作新增vlan 336,运维人员查询了近一周的操作记录也没有发现新增vlan 336的操作;
4. 现场AC上了云简平台(oasis.h3c.com),为了检查是否通过云简下发的配置,在云简的:网络管理->消息->操作日志 路径进行查看,由于当前云简网络的机制是无论人为(前端or后端)还是平台自动下发配置,操作日志都会产生记录,但查询最近几天的日志发现均没有相关的操作记录;
5. 现场的AC被log服务器纳管,能够记录最近一周的AC上的logbuffer,也未发现有新增vlan 336的任何操作记录或命令回显,但是在log日志中按照vlan 336搜索发现:在周六晚上有一条终端连接SSID为eduroam的服务模板,通过了802.1x认证后获取vlan 336上线的记录,只不过这个终端只待了约 1 min就下线了。
这个eduroam是高校联盟的服务模板,可以使用共有账号和密码在联盟高校内部使用无线网络,查看当前AC果然添加了这个服务模板,并且这个服务模板是802.1x认证的,因此产生了这样的可能,即终端连接这个服务模板,并从服务器获取了vlan 336的下发授权vlan,从而导致了AC上自动新增创建了vlan 336。
AC上确实存在这样的机制:① 本地转发模式下,如果终端通过认证后获取了服务器下发的vlan在AP上之前是不存在的,则AP会自动创建这个vlan,而AC上则不会;② 集中转发模式下,如果终端通过认证后获取了服务器下发的vlan在AC上之前是不存在的,则AC会自动创建这个vlan,而AP上则不会。
但是查看当前局点eduroam的配置,发现是本地转发,那么按照上述的机制应该是在AP上创建vlan 336而非AC,
但是请注意这个配置是client forwarding-location ap vlan 113,这种配法的特殊之处在于当终端连接这个服务模板并获取vlan 113时走本地转发,如果获取其它的vlan就会走集中转发!
而这个终端通过服务器获取了授权vlan 336(授权vlan优先级高于服务模板指定或AP radio后绑定服务模板时指定的vlan),因此当这个终端通过dot1x认证获取授权vlan 336后走了集中转发,按照上述机制AC正常自动创建了之前没有出现的vlan 336。
#
wlan service-template wifi_union
ssid eduroam
client forwarding-location ap vlan 113
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain eduroam
service-template enable
#
解释原因即可。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作