0X00
通过在总部部署SSLVPN设备,分支出口部署AF8059.来组建sangforVPN,实现分支用户访问,ERP,NAS。 0X01 当前访问是通过华三的SSLVPN拨入访问 0X02拓扑 总部 分支 天翼网关(其实是行为管理) AF(8059) | | | | 华三防火墙 核心 | | | | 核心---------SSL 接入交换机 总部出口2条拨号,一条专线。出口到核心之间是三层互通。 分支出口拨号上网 0X03 曲折过程 机房环境特别差,在一个保安室,虽然是临时的,但核心的口都结油污了。不吐槽一下,心里不爽。分支与总部实际距离2-3公里。 然后就正常配置网络,在出口设备映射端口的时候发现映射不成功,第一反应是华三的防火墙做了限制,然后就加策略,放通。测试端口映射后发现,telnet三次,有一次能通。ping出口设备有掉包,原因没查。然后在分支部署AF,与总部建立sangforVPN通道正常。 VPN建立正常,测试分支访问总部的服务,发现能到ssl的vpntun口后,就没了。想了5分钟没想明白,打电话问了一下,突然反应过来需要在核心加路由(天太热真的影响人思考)。 访问正常后,就来排查端口映射时断时续的问题。长ping出口设备,发现掉包规律有点像是IP冲突。修改总部SSL设备的LAN口地址,发现sangforVPN断了,原因是双方内网网段冲突,想通过隧道间NAT解决,发现隧道间NAT只能解决分支与分支之间的地址冲突,只能再改地址了。总部这边客户不想改,那就只能改分支了。 将分支AF与核心之间的互联地址改为11.11.11.0段后一切正常。 0X04 总结 处理问题不够细心 |