Вопрос или проблема
Вот ситуация:
У нас есть система контроля доступа S2, которая управляет замками наружных дверей в здании. Когда на замки дверей отправляется новая конфигурация/расписание, они не принимают конфигурацию. Мы можем пинговать и подключаться через telnet к серверу S2. Мы можем пинговать замки дверей, но не можем подключиться к ним через telnet. Замки Assa Abloy POE (я не знаю точную модель). Мы бы подумали, что это неисправный замок, если бы это было всего один или два, но это все, включая совершенно новый.
Сеть:
Сеть разделена на несколько VLAN. Все устройства контроля доступа (сервер S2 и замки) находятся в той же VLAN. Брандмауэр — это брандмауэр PfSense. Во VLAN контроля доступа есть правило, разрешающее всю коммуникацию на порту 2571, через который передают информацию замки. Замки подключены к стеку коммутаторов Netgear, состоящему из следующих элементов:
1x M4300-28G (1)
3x M4300-52G (2-4)
2x M3300-52G PoE+ (5-6)
Все подключено к тому же коммутатору (5), и порты, в которые они подключены, назначены для VLAN контроля доступа и настроены как нетегированные (U). Мы пытались отметить их как тегированные (T), но получили ошибку, что они не могли быть установлены, хотя обновление страницы показывает их как тегированные. Когда они отмечены как тегированные или не отмечены вообще, мы теряем связь с замками (ping) и сервером S2 (ping и telnet). Среди всех настроек Netgear мы не смогли найти ничего, что позволило бы связи осуществляться только в одном направлении или блокировало что-либо из этих портов.
Когда система была впервые установлена, все функционировало как ожидалось. С тех пор в компании сменилось несколько IT-директоров, и система постепенно начала ломаться.
Вопросы:
- Может ли это быть проблемой брандмауэра?
На мой взгляд, это маловероятно, потому что правило для порта существует и, похоже, никто не вмешивался в брандмауэр уже много лет.
- Может ли это быть проблемой с коммутаторами Netgear?
Я не могу найти в системе что-либо, что могло бы вызвать эту проблему. Порты открыты и работают в полном дуплексе без какой-либо фильтрации или блокировки, которую я могу найти. (Оборудование Netgear — это не то, с чем я обычно работаю)
- Если это не проблема в сетевых настройках, то что еще это может быть?
Если требуется другая информация, я могу ее предоставить. Это может занять день или два, чтобы появиться на месте.
Заранее благодарю за любую помощь и советы.
Если вы пытаетесь получить доступ к этим замкам из другой VLAN, и трафик проходит через брандмауэр PfSense, то возможно, что брандмауэр блокирует трафик. Изучите журналы трафика брандмауэра, пока вы пытаетесь подключиться к замкам, и посмотрите, что они показывают.
Если вы можете разместить компьютер в той же VLAN, что и замки, вы можете попробовать подключиться к ним оттуда. Если это работает, значит проблема в PfSense. Если нет, то это исключает проблему брандмауэра.
во VLAN контроля доступа есть правило, разрешающее всю
коммуникацию на порту 2571, через который передают информацию
замки.
Если вы можете временно разрешить весь трафик, вы можете определить, является ли правило VLAN причиной проблемы.
Порты открыты и работают в полном дуплексе без какой-либо фильтрации или блокировки, которую я могу найти.
Это противоречит вашему утверждению, что во VLAN контроля доступа существует правило, разрешающее всю коммуникацию на порту 2571. Либо есть правило, либо его нет, так какое же?
Ответ или решение
Для решения проблемы односторонней связи между S2 системой контроля доступа и дверными замками Assa Abloy, можно рассмотреть несколько возможных причин и процедур для дальнейшего устранения неисправностей. Давайте рассмотрим теоретические аспекты, примеры и потенциальные приложения для этого конкретного случая.
Теория
-
Сетевые настройки и VLAN: Ваша сеть разделена на несколько VLAN, и все устройства контроля доступа находятся в одной VLAN. Это может свидетельствовать о том, что проблемы с сетью сводятся к конкретным настройкам в пределах этой VLAN или сетевых устройствах, таких как коммутаторы.
-
Параметры порта и транспортный протокол: Коммуникация с дверными замками проходит по порту 2571. Вероятно, что именно этот порт использует какой-то специфический протокол передачи, который может подвергаться ограничениям в работе.
-
Сетевое оборудование (коммутаторы и маршрутизаторы): Ваши устройства – это комбинация коммутаторов Netgear, среди которых модели M4300 и M3300, которые поддерживают PoE+ (Power over Ethernet Plus). Эти устройства управляют питанием и сетевой связью с дверными замками и могут нуждаться в дополнительных настройках, чтобы разрешить двустороннюю связь.
-
Использование брандмауэра (PfSense): Брандмауэр может блокировать определенные типы трафика или протоколов, даже если правило для конкретного порта есть. Возможно, есть другие правила, которые перекрывают это разрешение или же другие аспекты конфигурации, которые можно проверить.
Примеры
-
Ситуация с VLAN: Если устройства имеют одинаковую VLAN-идентичность, однако конфигурация портов на уровне коммутатора не совпадает, то это может вызвать потери данных. Например, если необходимо использовать пометки Tagged, а оборудование их отбрасывает, то это может привести к разрыву связи.
-
Ограничения брандмауэра: В случае, если через брандмауэр не проходят определенные типы пакетов, либо не производится NAT (Network Address Translation) для этой связи надлежащим образом, это может приводить в замешательство администраторов и создавать видимость односторонней связи.
Применение
-
Проверка сетевых настроек: Начните с анализа и тестирования конфигурации VLAN для коммутаторов. Убедитесь, что все устройства четко распределены в той VLAN, которая необходима, и что правильность настройки тегов порта компенсирует необходимость в передачах данных.
-
Мониторинг брандмауэра: Посмотрев журнал трафика на брандмауэре PfSense, вы сможете определить, не отклоняются ли отдельные фрагменты данных, что может намекнуть на причину сбоя. Отключите на время все ограничения для проверки, работает ли система в полную силу. Это подтвердит или опровергнет внутренние проблемы настройки брандмауэра.
-
Диагностика локальных подключений: Установите рабочую станцию внутри той же VLAN, что и замки. Это даст возможность попытаться напрямую подключаться и взаимодействовать с устройствами, что полезно для исключения проблемы с между VLAN-маршрутизацией.
-
Поддержка поставщика: Свяжитесь с производителем устройств замков для получения рекомендаций по прошивкам и сетевым настройкам. Иногда обновления или специфичные указания производителя помогают исправить сбои связи.
-
Анализ сетевых пакетов: Продвинуть анализ сетевого трафика можно при помощи снифера, такого как Wireshark, чтобы выявить, есть ли задержки, отказы в передаче или иные аномалии в сетевых пакетах.
-
Калибровка PoE-управления: Убедитесь, что мощности PoE достаточно для всех устройств на каждом коммутаторе, что может повлиять на производительность или вызвать сбой связи.
Таким образом, comprehensive approach to diagnosing and fixing one-way communication issues between the S2 system and door locks requires a multifaceted strategy. By examining network settings, firewall rules, hardware functionality, and supporting infrastructure, a systematic and thorough investigation can pinpoint the root causes and lead to viable solutions.