• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某高校局点AC控制器莫名新增业务不涉及的vlan 336问题

2025-05-19 发表
  • 0关注
  • 0收藏 202浏览
粉丝:27人 关注:4人

组网及说明

AC旁挂核心,本地转发和集中转发服务模板均存在

告警信息

问题描述

某高校局点的运维人员每天(工作日)都会核对AC的current-configuration当前配置,在某个周一发现AC上突然新增了一个vlan 336,需要找到为什么会出现这个vlan的新增

过程分析

1. 由于周六日放假没有查看AC,首先检查上周五AC的配置(通过操作日志保存),发现没有这个vlan 336,说明这个vlan是在今天新增出现的;

2. 在AC上通过:display history-command all,但是由于今天在AC上操作了非常多的查看命令,最早的结果仅记录到周日的某个时间,而在已显示的记录范围内发现AC上没有配置:vlan 336相关的命令,因此目前只能排除这段时间范围内有在AC上配置新增vlan 336的操作,而是否有在周日至周五晚进行该操作则无法通过display history-command all查询出来;

3. 运维人员问询了几个拥有相关账号的人员,均表示没有在AC上操作新增vlan 336,运维人员查询了近一周的操作记录也没有发现新增vlan 336的操作;

4. 现场AC上了云简平台(oasis.h3c.com),为了检查是否通过云简下发的配置,在云简的:网络管理->消息->操作日志 路径进行查看,由于当前云简网络的机制是无论人为(前端or后端)还是平台自动下发配置,操作日志都会产生记录,但查询最近几天的日志发现均没有相关的操作记录;

5. 现场的AC被log服务器纳管,能够记录最近一周的AC上的logbuffer,也未发现有新增vlan 336的任何操作记录或命令回显,但是在log日志中按照vlan 336搜索发现:在周六晚上有一条终端连接SSID为eduroam的服务模板,通过了802.1x认证后获取vlan 336上线的记录,只不过这个终端只待了约 1 min就下线了。

这个eduroam是高校联盟的服务模板,可以使用共有账号和密码在联盟高校内部使用无线网络,查看当前AC果然添加了这个服务模板,并且这个服务模板是802.1x认证的,因此产生了这样的可能,即终端连接这个服务模板,并从服务器获取了vlan 336的下发授权vlan,从而导致了AC上自动新增创建了vlan 336。

AC上确实存在这样的机制:① 本地转发模式下,如果终端通过认证后获取了服务器下发的vlan在AP上之前是不存在的,则AP会自动创建这个vlan,而AC上则不会;② 集中转发模式下,如果终端通过认证后获取了服务器下发的vlan在AC上之前是不存在的,则AC会自动创建这个vlan,而AP上则不会。

但是查看当前局点eduroam的配置,发现是本地转发,那么按照上述的机制应该是在AP上创建vlan 336而非AC,

但是请注意这个配置是client forwarding-location ap vlan 113,这种配法的特殊之处在于当终端连接这个服务模板并获取vlan 113时走本地转发,如果获取其它的vlan就会走集中转发!

而这个终端通过服务器获取了授权vlan 336(授权vlan优先级高于服务模板指定或AP radio后绑定服务模板时指定的vlan),因此当这个终端通过dot1x认证获取授权vlan 336后走了集中转发,按照上述机制AC正常自动创建了之前没有出现的vlan 336。

#

 wlan service-template wifi_union
  ssid eduroam

  client forwarding-location ap vlan 113

  akm mode dot1x

  cipher-suite ccmp

  security-ie rsn

  client-security authentication-mode dot1x

  dot1x domain eduroam

  service-template enable

#

解决方法

解释原因即可。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作