网络疑难问题排障之VPN互联单向不通
网络拓扑
下图是简化的拓扑,如图,两地使用 L2TP 进行互联,配置好了各自的静态路由,此时左侧网络内的 PC1 能 Ping 通右侧网络内的 PC2 ,但是右侧网络内的 PC2 却不能 Ping 通左侧网络内的 PC1
同时网关 192.168.2.1 和 192.168.1.1 能相互 Ping 通,只有 192.168.2.1 下的设备 Ping 通 192.168.1.0/24
排障过程
检查互联路由,确认 L2TP 连接正常,已允许转发 192.168.2.0/24 内的流量
各静态路由设置正确
在互联路由上进行抓包
发现从 192.168.2.2 的 ICMP 数据包到达了 192.168.1.2 ,reply 包已经返回到互联网关,但是没有返回到 PC2
由于互联路由上联到主路由2 (ip route static 0.0.0.0/0 192.168..2.1)考虑在主路由2上被丢包的可能性,在主路由2上抓包
在主路由2上进行抓包
如图,发现返回的数据包被丢弃,原因是未命中会话表
参考华为文档:USG6600 二层组网防火墙丢包问题分析 进行排障
发现 PC2 到 PC1 的 ICMP 数据包是在 GE0/0/6 发出的,回程数据包是在 VLANIF1 发出的,两侧接口并不匹配,请求报文和回应报文的接口不一致,于是被 FW 丢包
解决方案
根据华为文档的提示,请求报文和回应报文的接口不一致,全局开启 FW 的 VLAN 无关联功能,问题解决
vlan obsoue enable |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 LuckyBlogV3!
评论