• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

AC出来没有网络

2026-07-08提问
  • 0关注
  • 0收藏,171浏览
粉丝:0人 关注:0人

问题描述:

不连ac有网络,从ac进再出来就没网络了,之前远程给我输入过一串指令就好了

5 个回答
粉丝:23人 关注:2人

不经过 AC(防火墙)网络正常,流量经过 AC 就断网;远程输入一串命令立刻恢复,分两种最常用远程一键修复指令,同时给完整排查根因。

两种远程常用一键修复命令(运维远程临时通网)

方案 1:紧急应急转发(firewall emergency bypass 全网放行,最常用,就是你之前远程输的那串)

V7 防火墙内置紧急直通模式,临时跳过安全策略 / IPS/ACL,所有流量直接转发,马上通网:
plaintext
system-view diagnose # 开启紧急直通,默认5分钟自动失效 firewall emergency bypass enable # 可选延长生效时长到30分钟 firewall emergency bypass timeout 30
执行完立刻恢复网络,适合临时应急。

方案 2:清空调试 / 会话 / 统计,释放 CPU / 会话资源(CPU 高导致丢包不通)

如果是大量 debug、海量会话占满 CPU 导致流量丢弃:
plaintext
undo debugging all reset security-policy statistics ip reset session table all

方案 3:临时全局放通所有域间流量(测试定位)

plaintext
system-view security-policy ip default rule counting enable action pass

二、不通核心四大根因(去掉应急 bypass 后再次断流,就是下面配置缺失)

1. 安全域间缺少放行策略(90% 现场故障)

内网接口划入trust,外网 / 核心划入untrust,没有双向允许策略,流量全部丢弃。
标准放行模板:
plaintext
system-view security-policy ip rule 10 name Trust_To_Untrust source-zone trust destination-zone untrust action pass rule 20 name Untrust_To_Trust source-zone untrust destination-zone trust action pass
查看策略匹配计数:display security-policy statistics ip,无匹配计数就是策略未放行。

2. 缺少回程静态路由,单向通、回程丢包

内网网段、外网网段、服务器网段,防火墙必须双向路由可达:
plaintext
# 去往内网网段 ip route-static 内网网段 255.255.255.0 下一跳交换机IP # 去往外网/核心网段 ip route-static 0.0.0.0 0 对端互联接口IP
查看路由表:display ip routing-table,缺失对应网段路由,回包转发失败。

3. 接口未划分安全域 / 接口 Down/Trunk 拦截报文

接口必须划入对应安全域,否则转发失效:
plaintext
interface GigabitEthernet 0/0/X port link-mode route ip address x.x.x.x 24 security-zone trust
  • 接口未绑定安全域;
  • 中间交换机 Trunk 拦截 CAPWAP、UDP、TCP 报文;
  • 接口物理协议 Down,网线 / 光模块故障。

4. 会话表超限、NAT 会话爆满、IPS 深度检测丢包

  1. 大量 NAT 会话新建,会话表打满,新建流量直接丢弃;
  2. IPS/URL 过滤深度解析消耗 CPU,报文上送 CPU 被丢弃;
plaintext
display session table statistics display ips statistics

三、标准化排查步骤(现场执行)

  1. 执行diagnosefirewall emergency bypass enable,流量通 = 安全策略 / 业务检测拦截;
  2. 查看display security-policy statistics ip,确认双向域间策略有匹配计数;
  3. display ip routing-table核对内网、外网回程路由完整;
  4. 查看接口display interface brief确认接口 Up、已划入安全域;
  5. 查看会话表、IPS 统计,确认无会话表过载。

四、精简总结

  1. 远程一键恢复网络的命令:进入 diagnose 视图执行 firewall emergency bypass enable,就是你之前远程输入的指令,临时直通所有流量;
  2. 临时应急生效后,必须补全双向安全域放行策略、双向静态路由才能永久恢复;
  3. 不通核心三点:安全策略拦截、路由缺失、IPS/NAT 会话过载丢包。

暂无评论

粉丝:12人 关注:9人

排查步骤及命令:
1. 检查AC的接口配置是否正确,确认AC的上行接口和下行接口是否配置了正确的IP地址和子网掩码。
2. 检查AC的路由配置,确保AC上有到外部网络的默认路由。
3. 检查AC的NAT配置,确认是否开启了NAT功能,以及NAT规则是否正确。
4. 检查AC的防火墙配置,确认是否有阻止流量的规则。
5. 检查AC的DHCP配置,确认是否为客户端分配了正确的IP地址。
6. 检查AC的VLAN配置,确认VLAN划分是否正确,以及VLAN间路由是否开启。
关键命令:
查看接口配置:display interface brief
查看路由表:display ip routing-table
查看NAT配置:display nat session
查看防火墙配置:display acl all
查看DHCP配置:display dhcp server ip-in-use
查看VLAN配置:display vlan brief
如果之前远程输入指令后恢复,可能是临时调整了路由、NAT或防火墙规则,建议对比当前配置与之前的差异,或联系原远程工程师获取具体指令。

暂无评论

粉丝:133人 关注:11人

还是配置问题

暂无评论

粉丝:6人 关注:1人

还是配置问题,联系工程师,若是设备没过保联系400运也行

暂无评论

粉丝:25人 关注:1人

根据你的描述,这个问题很可能是 AC(无线控制器/防火墙)上的安全策略或路由配置 出了问题。

你之前输入一串命令就能恢复,这很可能是临时放行了所有流量。以下是一些排查思路和解决方法,供你参考。

🚨 两种可能的一键修复命令

根据你“输入一串指令就好了”的回忆,很可能是以下两种命令之一:

  • 方案一:紧急转发模式(最有可能)
    这是V7防火墙内置的应急模式,可以临时跳过所有安全策略、IPS和ACL检查,让流量直接通过

    bash
    system-view diagnose firewall emergency bypass enable # 开启紧急直通,默认5分钟失效[reference:1] # firewall emergency bypass timeout 30 # 可选,延长生效时间到30分钟[reference:2]

    注意:此命令为应急使用,会临时降低设备安全性,通常会在几分钟后自动失效

  • 方案二:清空会话/统计信息
    如果设备因CPU过高或会话表爆满导致丢包,清空相关数据可能恢复网络

    bash
    undo debugging all reset security-policy statistics ip reset session table all

🔍 如果命令失效,按以下步骤排查根因

如果上述命令失效或你需要彻底解决问题,可以按以下步骤排查,这往往是配置层面出了状况

1. 检查安全策略(最常见原因)

这是90%以上此类故障的根源。AC可能因为缺少正确的安全策略,将数据包丢弃了。

  • 查看策略命中情况

    bash
    display security-policy statistics ip

    如果这条流量的统计计数为0,说明流量根本没有匹配到任何策略而被丢弃了

  • 临时放行所有流量(用于测试)

    bash
    system-view security-policy ip default rule counting enable action pass

    如果这样配置后网络恢复,就说明是原有策略配置有误

  • 正确配置示例:确保有从 trust(内网)到 untrust(外网)的双向放行策略

    bash
    security-policy ip rule 10 name Trust_To_Untrust source-zone trust destination-zone untrust action pass rule 20 name Untrust_To_Trust source-zone untrust destination-zone trust action pass

2. 检查路由配置

网络不通的另一半原因是“回程路由”缺失。数据包能去,但回不来。

  • 查看路由表

    bash
    display ip routing-table
  • 检查关键路由:确认AC上是否有指向内网外网的正确路由

    bash
    # 去往内网的路由 ip route-static 内网网段 掩码 下一跳交换机IP # 去往外网的默认路由 ip route-static 0.0.0.0 0 对端互联接口IP

3. 检查接口与安全域

接口本身的状态和所属安全域配置错误也会导致不通

  • 检查接口状态

    bash
    display interface brief

    确保连接AC的接口状态是 Up

  • 检查安全域:确认接口已正确划分到安全域

    bash
    interface GigabitEthernet 0/0/X port link-mode route ip address x.x.x.x 24 security-zone trust # 确保此命令存在

4. 检查性能与资源

如果设备资源耗尽,也可能导致丢包

  • 检查会话表

    bash
    display session table statistics

    如果会话数接近设备规格上限,需排查是否遭受攻击或存在异常流量

  • 检查CPU/内存

    bash
    display cpu-usage display memory

📌 补充:无线网络本身的转发模式问题

如果你的“AC”是无线控制器,还需考虑其转发模式。无线终端的数据默认走“集中转发”,所有流量都经过AC,这可能导致AC成为瓶颈。

  • 本地转发:数据流量由AP直接转发,不经过AC,可减轻AC压力

  • 如何修改:在服务模板下修改转发位置为AP即可

    bash
    wlan service-template 1 client forwarding-location ap vlan 200 # 关键命令

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明