网络隔离为何突然失效?
公司刚上线的访客Wi-Fi本该和内网完全隔离,结果新来的实习生连上后居然能ping通财务部的打印机。这种事在运维现场并不少见。网络隔离策略看似简单,一旦配置出错或环境变动,就可能留下隐患。
先查策略是否真生效
很多人一上来就翻日志,其实第一步应该是确认隔离规则有没有正确下发。比如在防火墙上设置了ACL(访问控制列表),但忘记绑定到对应接口,等于白配。可以登录设备,用命令查看实际生效的规则:
show access-lists GUEST_WIFI_FILTER看看命中计数是否在增长。如果一直为0,说明流量根本没经过这条规则,可能是接口绑定错误,或者路由绕过了防火墙。
VLAN划分是不是出了岔子
常见问题是VLAN配置不一致。比如交换机端口该划入Guest VLAN的,被误设成了Native VLAN,导致数据帧不打标签直接进了内网。检查接入层交换机的端口配置:
interface GigabitEthernet0/24
switchport mode access
switchport access vlan 100 <!-- Guest VLAN -->
switchport trunk native vlan 10 <!-- 内网VLAN,这里做隔离要避免混用 -->特别注意native vlan的设置,别让它和任何业务VLAN重合。
防火墙策略顺序容易踩坑
防火墙规则是按顺序匹配的,一条“放行所有”的规则如果写在前面,后面的隔离策略根本不会生效。某次排查发现,管理员为了临时调试加了条any-to-any允许,之后忘了删,结果整个隔离形同虚设。
务必确保deny规则在allow之前,例如:
deny ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255 <!-- 阻断访客访问内网 -->
permit ip any any <!-- 默认允许其他 -->别忽略无线控制器的特殊配置
很多企业用无线AC做用户隔离。有个细节:客户端间隔离(Client Isolation)功能必须在SSID级别开启。否则即使网络分了VLAN,同一Wi-Fi下的设备还能互相访问。曾遇到过销售部抱怨文件被同事误删,查下来就是因为没开这个开关。
在AC管理界面检查:SSID设置 → 安全 → 客户端隔离 是否启用。
测试方法要贴近真实场景
别只用ping测试,应用层也可能出问题。比如HTTP能通但数据库端口不通,可能是ACL只拦了TCP 3306,而Web代理却走了80端口绕过去。建议用telnet或nc模拟具体服务连接:
telnet 192.168.10.50 3306同时在防火墙侧抓包,确认数据流向是否符合预期。
日志要看懂关键字段
防火墙日志里出现大量"denied"记录不一定是好事——可能策略太激进,误伤正常业务;一条没有也不对,说明没触发。关注源IP、目的IP、协议、端口和动作(permit/deny)这五项,结合时间点比对操作记录。
比如某次发现隔离失效,日志显示来自VLAN 100的流量竟然走了内网路由,最终定位是三层交换机上漏配了VRF,导致跨VLAN转发失控。
变更管理不能省
一次半夜告警,市场部的广告屏突然无法联网。查了一圈发现是上周网络升级时,施工方改了核心交换机的策略模板,把原本独立的IoT网络合并到了办公网。有变更没走审批,也没备份配置。
建议每次调整前备份running-config,用版本工具管理变更记录,出问题能快速回滚。