背景描述
在AOS8.0版本,使用标准的MM Redundancy + MD架构,用户反馈,当终端连接到Aruba无线网络环境时,无法通过MM VRRP IP地址访问管理页面,也无法通过SSH管理。两台MM的实地址都可以管理。
原因
- MM和MD之间有防火墙
- 由于Aruba控制器和MM VIP建立VPN隧道,控制器的一种内置行为,使用预设的ACLs拦截所有目的地址为master-local Ipsec tunnel IP的流量(这里是MM的VRRP IP), 因此当我们从MD上的终端向VRRP IP发起TCP连接SYN请求时,MD会劫持所有流量并经由隧道转发。
- 当MM回复SYN/ACK时,因为终端处于与VRRP不同的VLAN,因此MM会将数据包发送给自己的默认网关
- 用户的防火墙默认开启了first packet SYN check(首包SYN检测),对于事先没有SYN通过SYN/ACK包,会当成攻击做丢弃处
解决办法
在防火墙(MM和MD之间的防火墙)上,把Aruba无线用户网段的SYN检测功能关闭
在哪改,没找到
MM 和 MD之间的防火墙设备,不是Aruba控制器上的防火墙。