核心现象总结
- 有线直连 PC:Web/SSH/telnet 全部正常;
- AP 无线接入 PC:全网三层互通(ping 通所有设备),但 Web、SSH、Telnet 一建立连接立刻断开;
- 无 ACL 拦截,设备服务配置完整。
一、最高概率根因:VLAN / 接口二层隔离 + 终端网关 ARP 代理 / 分片 MTU 不匹配
1. MTU 分片问题(telnet 闪退、SSH 握手断连头号原因)
无线报文默认 MTU=1500,但 Wi-Fi 加密、802.11 报文头会占用额外字节,无线终端实际有效承载 MTU 小于有线。
- 有线 PC:数据包 1500 字节无分片,SSH/Web 握手正常;
- 无线 PC:TCP 握手大包无法完整传输,TCP 会话建立后直接被断连,表现为 telnet 一连接就闪退、SSH 连不上,但小包 ping 不受影响(ping 包默认 64 字节极小)。
验证 & 修复
- 无线 PC 执行长包 ping 测试(Windows cmd):
如果直接提示数据包需要分片但不分片,就是 MTU 不匹配。
2. 修复方案二选一:
- 方案 A(推荐):AC、S5560 三层 VLANIF 接口减小 TCP MSS
interface Vlan-interface XX // AP业务VLAN
tcp mss 1280
- 方案 B:AP 业务 VLAN 下行口修改 MTU
interface GigabitEthernet 1/0/X // POE上联口/AC互联口
mtu 1480
2. AP 业务 VLAN 与 AC 管理 VLAN 跨三层,缺失回程路由 / ARP 代理
拓扑链路:PC (无线业务 VLAN) → POE → S5560 三层 → AC (管理 VLAN)
- ping 通说明双向三层路由可达;
- Web/SSH 断连说明TCP 会话状态拦截,常见两个场景:
1)S5560 全局 / 接口开启了ARP anti-attack 源抑制、TCP 单流限速,无线终端 TCP 频繁握手被设备直接切断会话;
2)AC 开启了无线用户隔离、二层端口隔离,虽然三层互通,但 TCP 应用报文被阻断(仅 ICMP 放行)。
二、第二大概率:无线终端隔离功能开启(AP/AC 侧)
1. AC 全局 / SSID 开启了用户二层隔离
wlan service-template XXX
user-isolation enable // 开启后同VLAN无线终端二层隔离,极端场景会截断跨设备TCP会话
即使 PC 与 AC 不在同一广播域,部分 AC 版本的用户隔离会错误拦截 TCP 控制报文,仅放行 ICMP。
排查:进入服务模板,关闭用户隔离测试
wlan service-template XXX
undo user-isolation enable
2. POE 交换机端口开启端口隔离
POE 下联 AP 的端口配置了 port-isolate,AP 上行到三层的 TCP 应用报文被隔离,ICMP 不受限。
display current-configuration interface GigabitEthernet 1/0/X
# 查看是否存在 port-isolate enable
修复:undo port-isolate enable
三、第三大概率:AC 设备自身安全功能截断 TCP 会话
- AC 开启IP 源防护、单 IP TCP 连接数限制
无线终端接入后建立多条 TCP 会话,超出 AC 限制直接断开连接:
display connection-limit
display ip-source guard
临时关闭测试:
undo connection-limit
2. AC 本地防火墙默认策略拦截无线网段
虽然你说无 ACL,但 H3C 设备有本地防火墙(设备自身 Web/SSH 服务的过滤),区分
域间 ACL和
本地本地策略 ACL:
display local-configuration acl
display packet-filter local
本地 ACL 只放行有线网段,拒绝无线业务网段访问设备本地服务(Web/SSH),但 ICMP 例外。
修复:添加允许无线业务网段访问设备本地服务的本地 ACL 规则。
四、第四大概率:无线终端网关 ARP 代理异常
S5560 作为三层网关,对无线业务 VLAN 做 ARP 代理时,只响应 ICMP ARP,TCP 报文 ARP 转发异常:
排查:
display arp interface Vlan-interface XX
观察无线 PC 的 ARP 条目是否正常、无老化丢失;
临时关闭 ARP 安全类策略:
undo arp anti-attack check send-ack
undo arp anti-attack check gratuitous-arp
五、快速定位排错操作顺序(按优先级执行)
- MTU/MSS 优先验证:无线端长包 ping 测试,配置 tcp mss 1280;
- 关闭无线用户隔离:AC wlan service-template 下 undo user-isolation enable;
- 检查本地防火墙 ACL:确认无线业务网段允许访问 AC / 三层设备本地 SSH/HTTP 服务;
- 排查交换机端口隔离、ARP 防攻击、TCP 连接限速;
- 抓包对比:
- 有线 PC 登录 AC:抓 AC 上联口,完整 TCP 三次握手 + 应用报文;
- 无线 PC 登录 AC:抓同一端口,TCP 握手完成后立即收到 RST 复位报文(设备主动切断会话)。
补充关键区分点
ping 使用 ICMP 无连接协议,很多安全策略只拦截 TCP 应用(SSH/HTTP/Telnet)、放过 ICMP,这就是你能 ping 通但无法登录设备的核心逻辑。
暂无评论