AC6005下连无线部分安卓用户不能上网

发布时间:  2016-04-10 浏览次数:  333 下载次数:  0
问题描述
用户反映AC6005用为无线AC同时作为NAT网关,为手机用户提供上网服务。
部分用户不能上网。
处理过程
1.第一反应为该问题为无线问题请用户在AC上ping 手机的IP地址发现能够PING能,并且延时正常不丢包。
[AC6005]ping 192.168.100.249
  PING 192.168.100.249: 56  data bytes, press CTRL_C to break
    Reply from 192.168.100.249: bytes=56 Sequence=1 ttl=64 time=7 ms
    Reply from 192.168.100.249: bytes=56 Sequence=2 ttl=64 time=233 ms
    Reply from 192.168.100.249: bytes=56 Sequence=3 ttl=64 time=218 ms
    Reply from 192.168.100.249: bytes=56 Sequence=4 ttl=64 time=13 ms
    Reply from 192.168.100.249: bytes=56 Sequence=5 ttl=64 time=159 ms

  --- 192.168.100.249 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 7/126/233 ms


2.在AC上带公网源PING手机IP仍然正常。
[AC6005]ping -a 125.x.x.x 192.168.100.249 
  PING 192.168.200.249: 56  data bytes, press CTRL_C to break
    Reply from 192.168.100.249: bytes=56 Sequence=1 ttl=255 time=6 ms
    Reply from 192.168.100.249: bytes=56 Sequence=2 ttl=255 time=3 ms
    Reply from 192.168.100.249: bytes=56 Sequence=3 ttl=255 time=12 ms
    Reply from 192.168.100.249: bytes=56 Sequence=4 ttl=255 time=13 ms
    Reply from 192.168.100.249: bytes=56 Sequence=5 ttl=255 time=1 ms
3.查看用户配置文件发现NAT outbound中调用的ACL内容如下:

acl number 2000  
 rule 0 permit source 192.168.100.0 0.0.1.254 
 rule 1 deny 
interface Vlanif5
 ip address 125.x.x.x 255.255.255.240
 nat outbound 2000 

通过工具计算可以看到2000区域的IP地址为100-101段的偶数IP,而192.168.100.249
正好为奇数IP。请用户更改后上网正常。




根因

NAT ACL配置错误

END