标签归档:MAC

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。

做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.1.2可以ping通时,则192.168.1.1ping不通,在同网段设备上查看arp,发现192.168.1.1和192.168.1.2的MAC地址是一样的。

经确认,深信服防火墙AF做双机时,网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的,所以这个环境中,虚拟ID组都是100,网卡编号都是eth1口,它们的虚拟MAC就是一样的。

这种情况的处理办法非常简单,一是修改其中一个的虚拟ID组即可,还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中,并且每台带外管理口配置成-HA的不同的地址即可。

针对这个问题,建议厂家可以将虚拟MAC的计算方式复杂一点,比较加个随机数或者加个网关编号、硬盘ID等等,使得每个虚拟MAC都不相同。

有的环境下,尤其一个项目中,防火墙设备数量较多的情况下,建议修改默认的虚拟ID组,并且不同的HA设备采用的心跳口都设置成不同的网段,比如A、B用5.5.5.0/24段,C、D用6.6.6.0/24段,来避免一些问题。

关于PING网关TTL值由255变为64的处理过程

目前内网中有台电脑出现了一个很奇怪的现象,该电脑IP为192.168.1.1/25,网关为192.168.1.126,使用某业务软件客户端有时出现卡顿的现象,甚至有连接不上服务端10.X.X.X的情况,但是一般浏览网页又是正常的,更换了交换机端口、网线,更新了网卡驱动,问题依旧。

排查的时候发现,当出现业务软件卡顿的时候,ping网关也不丢包,但是TTL值会从255变为64,TTL如果发生改变,一般是网关有地址冲突,或者arp欺骗等相关情况。

ping网关时当TTL值是255时,使用arp -a可以查看192.168.1.124和192.168.1.126的MAC都是11-22-33-44-55-66,由于启用了VRRP,所以会出现这种情况,并且当TTL变为64时,使用arp -a可以看到假冒的网关的MAC11-22-33-44-55-AA,根据该MAC地址可以查询到网卡厂家,刚好内网中只存在一台该品牌的设备,基本可以定位出假冒网关的设备了,是一台XX品牌的终端设备,并不是一台电脑。

该终端上的菜单里查看到的MAC是11-22-33-44-55-BB,发现并非刚才arp -a看到的MAC地址 11-22-33-44-55-AA,并且其配置的IP是192.168.1.20/25,但是该设备配置的网关是错误的,其配置的网关是192.168.2.254,配置的这个网关和IP都不在同一网段,但是该终端竟然也可以配置上。

拿笔记本直连该终端,笔记本配置192.168.1.X/25,ping通终端192.168.1.20后,查看arp,发现该终端的MAC的确是 11-22-33-44-55-AA ,该终端显示屏上的MAC竟然是错误的。

将终端的网关修改为正确的192.168.1.126后,电脑192.168.1.1上软件客户端使用正常,并且ping网关192.168.1.126的TTL值一直是255,问题解决。

WINDOWS系统抵御ARP攻击绑定MAC的方法

局域网中一台电脑突然无法上网,通过arp -a查看到网关的MAC并不是真实的,判断内网存在arp攻击,此种情况下,只需将网关绑定真实的MAC即可防御。

有时我们使用arp -s并不能实现绑定,这里需要其他的方法来做。

通过netsh i i show in查看本机网卡情况,记住外网网卡的Idx,一般为11,如果Idx为11,然后通过命令netsh -c “i i” add meogjnprs 11 “IP地址” “MAC地址”来绑定网关的MAC,即可恢复上网。

信锐无线网络故障处理说明

网络拓扑大致为出口防火墙,下接上网行为管理,下接核心交换机,交换机上单臂部署信锐无线控制器和AP等。

现有部分用户反应,接入某无线信号后获取不到IP地址,无法上网。

查询无线用户认证日志得知,该终端接入时从vlan 90上获取IP,但是获取不到地址,查看无线控制器配置,得知终端用户获取IP的vlan配置在无线控制器上,但是未配置vlan 90,所以获取不到IP,修改该无线信号的配置,将vlan 90改成其他vlan号。

但是用户仍旧反应不能上网,再次查看无线信号的配置,发现该无线信号还启用了mac白名单的设置,但是未勾选相关的mac白名单,将mac白名单配置好后,用户看正常接入无线信号,正常上网。



H3C无线网络终端MAC白名单问题处理方法

现有一个H3C无线网络,发射无线信号LD,现有一新终端连接LD信号,DHCP获取到IP,但是不能上网,打开任何网页都提示该页无法显示,网关也ping不通。

通过dis cu查看配置,发现该LD信号属于服务模板23,查看服务模板23下面连接的终端,dis wlan client service-template 23,查看到该终端的MAC,但是对应的IP地址显示0.0.0.0,即没有IP地址,继续查看配置dis wlan service-template 23,该服务模板绑定的接口是wlan-ess10口,然后进入interface wlan-ess10下,dis this看下配置,发现该接口下有policy 11,或者通过dis qos policy interface wlan-ess10,可以看到该接口下的policy 11下有一条acl 4020,通过dis acl 4020可以看到设置了MAC白名单,仅放通了相关MAC地址,通过以下配置将新终端的MAC加入后,该新终端即可正常获取到IP地址并且上网。

[H3C-wx]acl number 4020
[H3C-wx]rule x permit source-mac 终端的MAC ffff-ffff-ffff

做好相关配置后做好保存配置操作。

华为交换机获取MAC地址表OID的方法

现有一台华为S5328交换机,需要开启snmp协议并获取其MAC地址表的OID值。

一、开启snmp协议命令如下:

[switch]snmp-agent community read huaweiabc
[switch]snmp-agent community write huaweiabc
[switch]snmp-agent sys-info version all

即只读和可写属性的community值都是huaweiabc。

二、获取MAC地址表的OID值的方法如下:

可以尝试使用BPSNMPUtil、SnmpWalk、MIBBrowser等工具来获得OID值,这里推荐一款工具SugarNMSTool。

使用该工具的搜索功能可以查找到开启snmp协议的华为交换机,根据该工具提供的源码可以得知oid值前几位为1.3.6.1.2.1.4.22.1,再使用BPSNMPUtil工具,填写华为交换机的IP地址、community值(之前在华为交换机上设置的huaweiabc)和OID值1.3.6.1.2.1.4.22.1,即可搜索出我们需要的MAC地址表的OID值。使用这个OID值时,一般取前10位。