深信服ip/mac绑错致终端无法上网

Posted 2022-03-11 超凡脫俗

今天是2022年3月10日星期三，今天22楼与23楼都有多台pc无法上网，经查发现由于ac绑定了ip/mac，但主机久未使用，但是设备ip/mac仍然绑定导致无法上网，

网络问题处理头疼，需要懂协议、经验才能更好定位问题所在，这可以慢慢积淀，总归结局是令人欣喜的，我以往很少使用博客来记录工作遇到的事情，从今天起开始记录一些遇到的有意思的问题。

路由器与核心交换机间透明部署深信服全网行为管理（简称“AC”），以下简述这件事情：今早上几台主机无法上外网（百度等无法访问，内网正常），打开网页总提示：“连接已重置，请检查代理 ”一系列云云，在这几台设备中，分别是两个不同网段的设备，配置的同vlan的IP，且trunk上放行各个需要vlan id，就配置正常，理论是可以的，内网可以ping通到ac,却无法ping通路由器，还有一个比较奇怪的现象，如果我为他们dhcp分配地址则完全正常，但手工配置静态ip则容易失败，由于这边研发部与测试部工作需要，都是使用手工配置静态ip作为终端配置IP。

初始我还以为是网络攻击，抑或是我的dhcp做的有问题，反复检查了配置，没有任何发现，哪怕我将dhcp关闭也无济于事，于是我通过静态配置却无法上网的主机，在主机上Ping，看主机流量在何处丢失，最终发现丢在ac之后，通过抓包发现，imcp报文的echo只有request，却没有回应的releay报文，此处原因待查。

于是，我登陆ac查看，通过网络故障排除设置处，输入源ip地址（终端），发现是用户认证策略导致丢包，

打开认证策略发现，是由于ip与mac绑定错导致，我将ip/mac绑定列表删除就恢复了，由于这几台是较早前的设备，放了很长一段时间未使用，当初的ip/mac绑定仍然保存着，这时拿出来修改IP使用就导致了此次的问题。

还是那句话，处理网络故障大部分时间都是在收集有用的信息，而这一过程最耗费时间精力，所以，工作需要仔细，配置变更时，更需要考虑它的影响，否则后面处理起来就急急忙忙。