S3528P用户网上邻居无法使用

发布时间:  2016-11-07 浏览次数:  191 下载次数:  0
问题描述

客户反映两台不同网段的pc可以相互ping通,但在网上邻居不能发现对方。



处理过程

1.  计算机网上邻居资源共享使用的是netbios/SMB协议,首先将用户PC上的防火墙关闭,进行测试\\192.168.99.22,发现还是无法获取共享资源,抓包如下,可以看到192.168.99.22无响应。

S3528P镜像配置:

全局模式下将0/0/24端囗配置成观察端囗:

[pzh-pg-sw01]observe-port 1 interface ethernet0/0/24

然后再配置ACL将需要镜像的流匹配出来:

acl number 3000

rule 5 permit source 192.168.99.33 0

rule 10 permit source 192.168.99.22 0

#

traffic classifier 1

 if-match  acl 3000

#

traffic behavior 1

mirroring observing-port 1

#

traffic policy 1

classifier 1 behavior 1

进入端囗下发镜像规则:

[pzh-pg-sw01-Ethernet0/0/3]traffic-policy 1 both


2.  此时怀疑S3528P上可能配置了禁止netbios/SMB服务的策略,检查该交换机策略配置,发现交换机上为了防病毒攻击均将该协议禁用。

 

3.将ACL中禁用netbios/SMB服务的规则删除,具体操作命令如下:

     [pzh-pg-sw01]acl number 3000 //删除禁用netbios/SMB服务的规则

undo rule 10

undo rule 30

undo rule 35

undo rule 40

4.抓包发现2PC已经可以交互。问题解决,可以访问\\192.168.99.22用户共享的资源。




根因

防病毒策略禁用netbios/SMB协议端口后导致下挂用户网上邻居无法使用

解决方案

ACL中禁用netbios/SMB服务的规则删除,具体操作命令如下:

    [pzh-pg-sw01]acl number 3000 //删除禁用netbios/SMB服务的规则

undo rule 10

undo rule 30

undo rule 35

undo rule 40


建议与总结

netbios/SMB服务端口为137138139SMB的服务端口445,默认情况下,PC的系统总是会使用445端口进行SMB会话,仅在445端口工作失败的情形下,才会使用139端口作为SessionPort,如果这些端口都被禁用,将无法使用该服务。但是为了安全考虑,一般都会禁用445(震荡波)和139(冲击波)端口。如果一定要在网上邻居共享文件,此时必须要打开这两个端口。而pingicmp报文,网上邻居使用netbios/SMB协议通讯,能ping通并不代表可以在网上邻居找到对方,具体问题需要结合实际组网应用灵活解决。

END