• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

AC有线连接正常,无线连接不通怎么办

2天前提问
  • 0关注
  • 1收藏,90浏览
粉丝:0人 关注:0人

问题描述:

下图接法,当PC接三层或者POE交换机的时候SSH、Web登录、设置AC一切正常。但如果断开有线,通过AP接入时,SSH、Web均无法连通,但此时从PC无论ping三层、POE还是AC都是通的,用telnet连接一接上就闪退。无ACL限制,SSH、Web均已配置,不知问题出在哪里?

组网及组网描述:

5 个回答
粉丝:3人 关注:0人

故障的时候debug看下

暂无评论

粉丝:8人 关注:46人

重新设置下无线控制器

暂无评论

粉丝:132人 关注:11人

抓包分析下吧

暂无评论

粉丝:19人 关注:2人

核心现象总结

  1. 有线直连 PC:Web/SSH/telnet 全部正常;
  2. AP 无线接入 PC:全网三层互通(ping 通所有设备),但 Web、SSH、Telnet 一建立连接立刻断开;
  3. 无 ACL 拦截,设备服务配置完整。

一、最高概率根因:VLAN / 接口二层隔离 + 终端网关 ARP 代理 / 分片 MTU 不匹配

1. MTU 分片问题(telnet 闪退、SSH 握手断连头号原因)

无线报文默认 MTU=1500,但 Wi-Fi 加密、802.11 报文头会占用额外字节,无线终端实际有效承载 MTU 小于有线。
  • 有线 PC:数据包 1500 字节无分片,SSH/Web 握手正常;
  • 无线 PC:TCP 握手大包无法完整传输,TCP 会话建立后直接被断连,表现为 telnet 一连接就闪退、SSH 连不上,但小包 ping 不受影响(ping 包默认 64 字节极小)。

验证 & 修复

  1. 无线 PC 执行长包 ping 测试(Windows cmd):
cmd
ping -f -l 1480 AC设备管理IP
如果直接提示数据包需要分片但不分片,就是 MTU 不匹配。
2. 修复方案二选一:
  • 方案 A(推荐):AC、S5560 三层 VLANIF 接口减小 TCP MSS
h3c
interface Vlan-interface XX // AP业务VLAN tcp mss 1280
  • 方案 B:AP 业务 VLAN 下行口修改 MTU
h3c
interface GigabitEthernet 1/0/X // POE上联口/AC互联口 mtu 1480

2. AP 业务 VLAN 与 AC 管理 VLAN 跨三层,缺失回程路由 / ARP 代理

拓扑链路:PC (无线业务 VLAN) → POE → S5560 三层 → AC (管理 VLAN)
  • ping 通说明双向三层路由可达
  • Web/SSH 断连说明TCP 会话状态拦截,常见两个场景:
    1)S5560 全局 / 接口开启了ARP anti-attack 源抑制、TCP 单流限速,无线终端 TCP 频繁握手被设备直接切断会话;
    2)AC 开启了无线用户隔离、二层端口隔离,虽然三层互通,但 TCP 应用报文被阻断(仅 ICMP 放行)。

二、第二大概率:无线终端隔离功能开启(AP/AC 侧)

1. AC 全局 / SSID 开启了用户二层隔离

H3C AC 典型命令:
h3c
wlan service-template XXX user-isolation enable // 开启后同VLAN无线终端二层隔离,极端场景会截断跨设备TCP会话
即使 PC 与 AC 不在同一广播域,部分 AC 版本的用户隔离会错误拦截 TCP 控制报文,仅放行 ICMP。
排查:进入服务模板,关闭用户隔离测试
h3c
wlan service-template XXX undo user-isolation enable

2. POE 交换机端口开启端口隔离

POE 下联 AP 的端口配置了 port-isolate,AP 上行到三层的 TCP 应用报文被隔离,ICMP 不受限。
h3c
display current-configuration interface GigabitEthernet 1/0/X # 查看是否存在 port-isolate enable
修复:undo port-isolate enable

三、第三大概率:AC 设备自身安全功能截断 TCP 会话

  1. AC 开启IP 源防护、单 IP TCP 连接数限制
    无线终端接入后建立多条 TCP 会话,超出 AC 限制直接断开连接:
h3c
display connection-limit display ip-source guard
临时关闭测试:undo connection-limit
2. AC 本地防火墙默认策略拦截无线网段
虽然你说无 ACL,但 H3C 设备有本地防火墙(设备自身 Web/SSH 服务的过滤),区分域间 ACL本地本地策略 ACL
h3c
display local-configuration acl display packet-filter local
本地 ACL 只放行有线网段,拒绝无线业务网段访问设备本地服务(Web/SSH),但 ICMP 例外。
修复:添加允许无线业务网段访问设备本地服务的本地 ACL 规则。

四、第四大概率:无线终端网关 ARP 代理异常

S5560 作为三层网关,对无线业务 VLAN 做 ARP 代理时,只响应 ICMP ARP,TCP 报文 ARP 转发异常:
排查:
h3c
display arp interface Vlan-interface XX
观察无线 PC 的 ARP 条目是否正常、无老化丢失;
临时关闭 ARP 安全类策略:
h3c
undo arp anti-attack check send-ack undo arp anti-attack check gratuitous-arp

五、快速定位排错操作顺序(按优先级执行)

  1. MTU/MSS 优先验证:无线端长包 ping 测试,配置 tcp mss 1280;
  2. 关闭无线用户隔离:AC wlan service-template 下 undo user-isolation enable;
  3. 检查本地防火墙 ACL:确认无线业务网段允许访问 AC / 三层设备本地 SSH/HTTP 服务;
  4. 排查交换机端口隔离、ARP 防攻击、TCP 连接限速
  5. 抓包对比:
    • 有线 PC 登录 AC:抓 AC 上联口,完整 TCP 三次握手 + 应用报文;
    • 无线 PC 登录 AC:抓同一端口,TCP 握手完成后立即收到 RST 复位报文(设备主动切断会话)。

补充关键区分点

ping 使用 ICMP 无连接协议,很多安全策略只拦截 TCP 应用(SSH/HTTP/Telnet)、放过 ICMP,这就是你能 ping 通但无法登录设备的核心逻辑。

暂无评论

zhl188 七段
粉丝:2人 关注:3人

你看看这个,

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明