|
-------故障现象------- 客户两边通过sangfor vpn对接成功,总部新增加一个业务10.212段的,分支无法访问
------网络环境------- 总部:AF出口——AC网桥——核心交换机——WOC单臂 分支:AF出口——AC网桥——核心交换机——WOC单臂 两台woc做sangforVPN对接
-------排错思路------- 遇到这种问题,首先想到的就是在总部添加10.212段的本地子网,然后在分支的核心交换机写一条目的地址指向总部的额10.212段,下一跳指向分支的woc的lan口地址。 当然,此步骤在第一时间就告知了客户,并且客户也给卧截图看了下配置(配置如下图),咩有问题,但是这些配置完成之后分支的用户依旧无法访问总部的服务器 总部的woc配置 没问题吧 看下分支的交换机配置 也没问题吧,下一跳是分支的woc的lan口地址,目的地址是总部的10.212的服务器地址段 既然无法访问,那就开始排查问题吧
1、 首先在分支的电脑上tracert下路由看下路由在哪边断开的 并没有断,而是在WOC和交换机之间形成了环路,那么就来看下这两台设备的路由,分析下路由,看下为什么形成环路
2、
WOC上的路由 看到这个路由应该知道为为什么环了吧 来段绕口令 a、分支内网用户发送数据包到10.212,下一跳指向核心交换机,核心交换机匹配上10.212这条路由,下一跳指向woc的lan口地址。(到这边任何问题没有) b、woc收到此数据包去匹配自己的路由表,并没有去往10.212的路由条目,但是他有0.0.0.的路由,所以匹配上了这个默认路由,而这个默认路由的下一跳是交换机,所以交给交换机(那么问题出现了) c、交换机收到woc交给他的数据包之后去匹配去往10.212的路由,下一跳给了woc d、WOC收到之后重复b交给交换机 e。。。。。。 两台设备不停的去交互信息,就形成了环路 既然出现了环路,而且在WOC上没有10.212的明细路由,那么我们就要把思路转到此WOC上了
3、我们知道,两边的VPN建立起来之后,分支的VPN路由是总部的本地子网分发的,那么就去看看本地子网是不是已经加了,如下 发现了吧,并没有 前面已经说过了,刚开始就告诉客户要加本子子网,所以我并没有去验证,只是在分支去检查路由 既然没加就再加一次吧 注意:添加完之后一定要点击保存并生效(此选项会导致VPN服务重启,一定要告知客户此风险),可能是由于没有点击保存生效这个所以路由没生效
-------验证中------- 先看下分支是否有了路由 有了路由,并且问了客户,现在访问已经正常了 分析下路由走向吧 首先内网PC去访问目的地址是10.212的服务器到交换机,交换机根据路由表发给WOC,woc根据路由表的10.212这条路由下一跳交给自己的vpntun口,然后通过VPN隧道送往总部去访问服务器
-------总结------- 其实并没有什么问题,仅仅是总部缺少本子子网导致的,至于为什么没有第一时间去检查总部的本地子网是因为刚开始就告诉了客户去添加本子子网,并且客户也自行添加也截图给我了,所以才会有后面的一连串的排错步骤
此分享的目的是希望传递一种遇到问题先整理下思路,一步一步去排查、分析、很快就会定位问题的所在。
| 
发表于 2018-11-19 16:57
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2018-11-27 11:14
技术研究员1级 
