发布时间:2023-03-30
点击量:170一、关键字
外置WEB认证
二、故障介绍
【网络拓扑简介】
核心 ---------EG(网桥)--------出口路由器
【故障现象描述】
某单位反馈使用我司EG3000UE作为网桥设备,使用外置web认证场景,没有认证的用户可以上微信,怀疑EG设备没有认证直接访问微信聊天应用导致的。
三、故障处理过程
1、 复现故障现象,抓取信息
(2) 流表显示部分流能拦截,部分都是放通,且有收发
其中微信的流量收发正常
以上通过流表分析数据可能转发出去了,设备确实存在转发微信聊天的可能。
2、 内部复现验证
内部复现了下,网桥开启外置web认证,测试用户未认证是不能上微信的
(1) 只抓包内网的,分析路由器针对未认证用户代理做了三次握手,没有其他http流量
(2) 单独抓外网口,只有放通dns报文
(3) 流表显示可达流,正常web认证显示为不可达流(0.0.0.0)
所以流表判断是否转发出去和过滤是不准确的,最好还是以抓包去判断
(4) 认证成功的情况下,正常内外网同时抓包可以抓到2份报文
(5) 现场回应的报文都是164字节,这个回应我分析是三次握手到rst阶段,应该是没转发出去,理论上微信是不能上网的。
3、 现场抓包分析
分别在外网口和内网口抓包分析
分析内网口有http,但是响应的报文没有经过外网接口。外网接口没有任何用户访问发起的流量。分析可能内网有其他网络接口。
4、现场确定和测试
经过现场确定核心是没有其他出口,当前也只有路由器一个出口。
通过排查测试电脑有IPV6地址,通过关闭IPV6网卡地址,未认证前就无法使用微信。定位导致的原因是由于v6流量访问了微信聊天,在路由器作为网桥场景下,无法拦截v6流量。
-24lc/lc-rg-mux(c)-24lc/lc_b03d4f9e541448d191d93b430bce1c85.webp "RG-MUX/DEMUX极简光透明汇聚系列")
_b519551283d64dc48691c275c7325211.webp "RG-AM5552-SF(V2)全光智分+主机")
 v2_fff0e07d3f06427d98a18d31622a5a5c.webp "RG-AP130(L) V2双射频Wi-Fi 5无线AP")
.jpg "RG-RACC 5000资源访问控制中心一体化硬件")
_947a0b8e46d7404886a362d676d59b47.webp "RG-AP820-A(V3)双射频Wi-Fi 6无线AP")
_ae78f309848d49d8a63fb0306fe297fe.webp "RG-AP850-AR(V3)四射频Wi-Fi 6无线AP")
-1.png "RG-AP820-A(V2)放装型无线AP,千兆电口")
_f3181e547d3b497199cf7546bc096187.webp "RG-AP820-L(V2)双射频Wi-Fi 6无线AP")
_c2d40934a8e349dca69ead9dc63a999f.webp "RG-AP850-I(V2)三射频Wi-Fi 6无线AP")
_892c7ebb7d0d474389fefb455d90b97b.webp "RG-APD-M(EA)零漫游智分单元")
_6e8c38b04c704f679e07b61f63953282.webp "RG-AM5528(ES)智分+主机")
_e70dabb1c538438db4bdb10c01ac2437.webp "RG-ANTx2-2400&5800(O)外置全向天线")
_2412d8c382f346dbaa8b942d5633b86d.webp "RG-MAP752(E)智分+微AP")
_49cbdc43c33546a08eef74effcabea80.webp "RG-AP630(IODA)双射频Wi-Fi 5无线AP")
_13c95396c9f840568c7dd868c3660043.webp "RG-AP630(IDA2)双射频Wi-Fi 5无线AP")
_66715f956d5c4e528f75d33e3f59a689.webp "RG-AP530-I(S1)双射频Wi-Fi 5轨旁AP")
_d558d07319ea4cb9adafe213383ec10d.webp "RG-AP530-I(S2)双射频Wi-Fi 5车载AP")
_e7b07309cb464dd28f5202f12effe1f3.webp "RG-AP530-I(S3)双射频Wi-Fi 5车载AP")
-V2-7 副本.jpg "RG-AP220-E(M)-V2智分二代无线接入点")
_60f542e9ce8f4a68b961daf2b21e1fd5.webp "RG-AP180(V3)双射频Wi-Fi 6无线AP")
_e035d8635fae4d3798763863b4332bc2.webp "RG-MAP852(V3)智分+微AP")
_375f1cad4cb04396b5c278b3644a6bfc.webp "RG-WS7005-A(V2)多业务无线AC")
_5fba27c3e0cb4c4eaa6f3c515f8fbaa8.webp "RG-AP680-O(V3)双射频Wi-Fi 6无线AP")
_452261aa9af541e9aba2cab986abaa3c.webp "RG-AP680-CD(V3)双射频Wi-Fi 6无线AP")
-a_40d4e4a1b3044e1d8452dcd88582a68d.webp "RG-AM5528(ES)-A智分+主机")
_20bdd089d7134e17a8e7eeade04763c7.webp "RG-MAP852-A(V3)智分+微AP")
_8c8abb2d98ae45fb8dd1a064176abc1b.webp "RG-AP180-A(V3)双射频Wi-Fi 6无线AP")
_e2e638a782714ac49cda0e616e4befbd.webp "RG-AP180-L-A(V3)双射频Wi-Fi 6无线AP")
_cf8d7a3b9df2488dabd00a8f9d6e3748.webp "RG-AP180-L(V3)双射频Wi-Fi 6无线AP")
_32821512ef134003a43330892201283e.webp "RG-AP680-CD-A(V3)双射频Wi-Fi 6无线AP")
_043807d99ecc4182b9f8a124760dd432.webp "RG-AP820-AR(V3)三射频Wi-Fi 6无线AP")
 v3_b8b9cfc5e56b43d5a954b4731f50212e.webp "RG-AP130(L) V3双射频Wi-Fi 5无线AP")
_47b3af23d42b49b387c86611308bb21f.webp "RG-AP680-O(P)双射频Wi-Fi 6无线AP")
_741b5c456e974b8a836660d298904eb6.webp "RG-MAP852-SF(V3)4口行星AP")
_f8731d2cca3447f3b7fe30813e95661e.webp "RG-MAP852-SF-M(V3)4口行星AP")
_886fbd5c8cd94b64b19a40c503b67755.webp "RG-AP180(W)双射频Wi-Fi 6无线AP")
_7476379b42ae4298923506cd09dfe4ff.webp "RG-AP850-A(V2)三射频Wi-Fi 6无线AP")
