无线用户无法通过MM VRRP IP访问管理页面和SSH

背景描述

在AOS8.0版本,使用标准的MM Redundancy + MD架构,用户反馈,当终端连接到Aruba无线网络环境时,无法通过MM VRRP IP地址访问管理页面,也无法通过SSH管理。两台MM的实地址都可以管理。

原因

  1. MM和MD之间有防火墙
  2. 由于Aruba控制器和MM VIP建立VPN隧道,控制器的一种内置行为,使用预设的ACLs拦截所有目的地址为master-local Ipsec tunnel IP的流量(这里是MM的VRRP IP), ​因此当我们从MD上的终端向VRRP IP发起TCP连接SYN请求时,MD会劫持所有流量并经由隧道转发。
  3. 当MM回复SYN/ACK时,因为终端处于与VRRP不同的VLAN,因此MM会将数据包发送给自己的默认网关
  4. 用户的防火墙默认开启了first packet SYN check(首包SYN检测),对于事先没有SYN通过SYN/ACK包,会当成攻击做丢弃处

解决办法

在防火墙上把Aruba无线用户网段的SYN检测功能关闭

1 Reply to “无线用户无法通过MM VRRP IP访问管理页面和SSH”

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注