• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MER8300 VLAN上不了网

4天前提问
  • 0关注
  • 0收藏,140浏览
粉丝:0人 关注:0人

问题描述:

 

 

把WAN出接口修改了一下顺序,其中VLAN10上不了,VLAN10用于WIFI和监控,监控能正常外网实时查看,WIFI上不了网。很奇怪,删掉4网口WiFi就能正常上网,但是默认走的路线是WAN0,正常应该会走WAN2。

 

1.AP是从路由器分配IP的。

2.核心交换机是H3C S5500V2-28C-EI,3网口是监控主机,4网口是WIFI,接线是没有动过的。

3.其他VLAN20和VLAN30都正常。

 

 

 

2 个回答
粉丝:8人 关注:10人

怀疑是这个原因。之前配置的、意图让VLAN10走WAN2的策略路由(PBR)规则不完整或应用位置不当,导致只有部分流量(如监控的固定IP)被正确匹配并从WAN2转发。而Wi-Fi客户端的流量因未被PBR捕获,转而遵循了默认的、优先级更高的通往WAN0的路由。

哎呀,找到原因了,路由器VLAN10的网关填错了。。

zhiliao_j2DY5r 发表时间:4天前 更多>>

还没找到原因,Untagged端口把4网口添加上去之后,就上不了网。不添加能正常,但是IP是直接从路由器获取的。变成1段了。3网口监控是正常的,就是4网口不正常。我只把WAN0和WAN2出接口顺序调换了。

zhiliao_j2DY5r 发表时间:4天前

而且我没有配置策略路由啊

zhiliao_j2DY5r 发表时间:4天前

哎呀,找到原因了,路由器VLAN10的网关填错了。。

zhiliao_j2DY5r 发表时间:4天前
粉丝:19人 关注:2人

一、先拆解你现象里的核心矛盾点

  1. VLAN10 内监控主机正常外网访问、同 VLAN 下 WiFi 终端无法上网;
  2. 删除 MER8300 的 4 口 WiFi 相关配置后,WiFi 立刻正常;
  3. 预期 VLAN10 路由走 WAN2,实际流量跑到 WAN0;
  4. VLAN20/30 全部正常,仅 VLAN10 异常;
  5. 物理线路、交换机接线未改动,仅调整过 MER8300 WAN 接口顺序。

关键结论前置

故障根源集中 3 个方向:
  1. MER8300 多 WAN 策略 / 源地址路由 / 负载均衡规则冲突,VLAN10 WiFi 网段匹配到错误 WAN0 出口;监控网段路由规则优先级更高,优先匹配 WAN2 所以正常;
  2. MER8300 针对 4 口 WiFi 做了ACL / 上网管控 / 带宽限制 / 防火墙阻断,仅拦截无线终端,同 VLAN 监控主机不受限;
  3. VLAN10 DHCP 地址池、网关、DNS 下发异常,无线终端拿到错误 DNS / 网关,监控为静态 IP 不受影响;
  4. 交换机侧接口 VLAN 透传 / 组播 / ARP 抑制拦截无线报文(监控静态 IP 抗干扰更强)。

二、分层分步排查(从 MER 路由器优先,问题 90% 在路由策略)

(一)MER8300 多 WAN 出口策略排查(最核心,路由走错 WAN0)

调整 WAN 顺序后,原有策略路由 / 应用路由 / 多 WAN 负载均衡规则匹配逻辑错乱:
  1. 进入 MER8300 后台:【高级】→【多 WAN 设置】→【策略路由 / 流量分流】
  • 查看是否存在两条规则:
    • 规则 A:监控静态 IP 段 → 出口 WAN2(优先级高,监控正常)
    • 规则 B:VLAN10 整体网段 → 出口 WAN0(优先级低,无线匹配这条,走错出口断网)
  • 现象印证:删掉 4 口 WiFi 配置后,第二条冲突路由规则自动失效,流量回归默认 WAN2,WiFi 恢复。
  1. 修正操作:
    • 删除针对 VLAN10 网段指向 WAN0 的错误分流规则;
    • 新建规则:源地址 VLAN10 完整网段,出口指定 WAN2,优先级调至最高;
    • 关闭「自动负载均衡」,改用基于源 VLAN 的固定分流,避免 WAN 顺序变动打乱路由。
  2. 兜底默认路由校验:
    【路由管理】→【静态路由】,确认默认路由::0.0.0.0/0 下一跳为 WAN2 网关,不要双默认路由冲突。

(二)MER8300 上网管控 / 防火墙拦截(同 VLAN 监控通、WiFi 不通)

监控是静态 IP,WiFi 是 DHCP 自动获取,MER 做了针对无线网段 / 4 口 AP 接口的阻断策略:
  1. 【高级】→【防火墙】→【访问控制策略】
    检查是否存在规则:源接口 LAN4(WiFi AP 接入口)拒绝所有外网访问,监控主机接交换机 3 口不在此规则范围内,不受拦截。
  2. 【上网管理】→【行为管控 / 时段限制 / 终端黑名单】
    • 是否开启 WiFi 终端限速、禁止网页 / 外网;
    • 是否绑定 IP/MAC 黑白名单,无线终端 MAC 被限制;监控主机静态 IP 白名单放行。
  3. NAT 策略检查:【高级】→【NAT 设置】
    确认 VLAN10 网段的 Easy NAT 仅绑定 WAN2,不要同时绑定 WAN0/WAN2,多 NAT 表项冲突会导致无线会话建立失败。

(三)VLAN10 DHCP 下发异常(无线终端参数错误)

监控静态 IP 无依赖,WiFi 依赖 DHCP 获取网关、DNS,配置出错仅无线故障:
  1. MER8300【LAN 设置】→【VLAN 管理】→VLAN10 地址池
    • 网关必须填写 MER VLANIF10 接口 IP;
    • DNS 不能留空,填写公共 DNS 223.5.5.5/114.114.114.114;
    • 地址池网段不能和其他 VLAN 重叠。
  2. 测试验证:手机连接 WiFi,查看获取到的 IP、网关、DNS
    • 网关不对 / DNS 空白 → 无法解析域名,表现 “能连 WiFi 但打不开网页”,监控静态网关正常所以能外网。

(四)H3C S5500V2 交换机侧 VLAN 透传排查(线路没动但无线报文被拦截)

交换机 3 口(监控)、4 口(AP)同属 VLAN10,功能差异来自接口配置:
  1. 查看接口配置
bash
运行
display current-interface GigabitEthernet 1/0/3 display current-interface GigabitEthernet 1/0/4
  1. 高频问题点:
  • 4 口 AP 接口开启了multicast suppression组播抑制,拦截 DHCP、DNS、ARP 报文,无线终端拿不到地址;监控静态 IP 无需 DHCP 不受影响;
  • 4 口配置 ACL,阻断 UDP 53(DNS)、80/443 上网端口;3 口监控无 ACL 限制;
  • 4 口端口安全、MAC 地址学习限制,无线终端 MAC 达到上限无法转发流量;
  1. 修复命令(AP 接入口)
bash
运行
interface GigabitEthernet 1/0/4 undo multicast suppression all undo packet-filter inbound undo port-security

三、快速定位测试方法(一步锁定故障段)

  1. 无线终端手动设置静态 IP(同 VLAN10 网段、网关填 MER VLANIF10 地址、DNS 223.5.5.5)
    • 静态 IP 后 WiFi 能上网 → DHCP 下发 DNS / 网关故障;
    • 静态 IP 依旧无法上网 → 路由分流 / 防火墙策略拦截。
  2. MER 后台抓包:LAN4(AP 口)、WAN2 接口
    • 无线上行报文是否转发至 WAN2;如果报文走到 WAN0,确认分流规则冲突。
  3. 交换机替换测试:把 AP 插到交换机 3 口(监控口)
    • AP 换 3 口后 WiFi 正常 → 交换机 4 口接口策略拦截;
    • 换口依旧故障 → 问题 100% 在 MER 路由器路由 / 防火墙。

四、最简落地修复步骤

  1. 登录 MER8300 多 WAN 分流,删除 VLAN10 指向 WAN0 的错误分流规则,强制 VLAN10 网段出口 WAN2;
  2. 检查防火墙 / 上网管控,删除针对 LAN4(AP 接口)的阻断策略;
  3. 核对 VLAN10 DHCP 地址池,补全正确网关与 DNS;
  4. 交换机 G1/0/4 AP 口关闭组播抑制、端口安全、ACL;
  5. 保存配置,终端重连 WiFi 验证外网访问。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明