S12708升级V200R008后,同网段地址无法互访

发布时间:  2016-07-27 浏览次数:  160 下载次数:  0
问题描述

设备:S12708

现网运行版本:V200R006C00SPC500

待升级版本:V200R008C00SPC500

网络拓扑结构:

业务说明:S12708做为所有VLAN业务网关

问题:

1、S12708升级完版本后,在PC端ping本网段网关可以通;

2、在PC端ping其它网段网关可以通;

3、在PC端ping其它网段主机地址时不通;

告警信息
处理过程

1、核对V200R006与V200R008配置时,发现V200R008配置中存在以下信息:

   acl name Auto_PGM_U0 9998

   rule 1 deny ip source ucl-group 0

2、查看Controller的策略,发现有以下默认的策略存在:

根因

V2R8相比V2R6版本,多了个ucl-group 0(即unknown安全组)和any安全组的默认配置,如果在交换机上匹配不到指定的安全组信息,会匹配到ucl-group 0(即unknown安全组),any安全组顾名思义包含所有的安全组。
这条配置相当于把匹配不到安全组的用户流量全部禁止掉。例如认证上线的用户,如果对应的授权规则里没有下发安全组,那么这些用户会匹配到到unknown安全组,用户报文被丢弃。

解决方案

将Controller中的unkown下的默认规则的访问权限修改为允许;

建议与总结
1、在网络存在认证系统的场景中,建议先停用交换机与认证系统之间网络,以避免交换机与认证系统同步问题;

END