客户反馈PDLAN用户接入VPN后,无法访问200.200.101.0和200.200.202.0网段。
二、排查 1、确认现象 下载PDLAN客户端,使用客户提供的测试账号,验证现象。 发现PDLAN账号可以访问到200.200.202.0网段,但无法访问200.200.101.0网段。
2、排查 a.AF配置是否有问题。 <1>200.200.101.0是设备的直连接口,配置在Eth4口上,所以,不需要配置本地子网。 <2>PDLAN账号的内网权限策略没有配置拒绝策略。 <3>有将Eth4口加入VPN的内网口。
b.PDLAN电脑学到的路由是否有问题。 客户端电脑能学到去往内网网段的路由条目。
c.AF到终端是否通信正常。 【系统】--【排障】--【命令行控制台】去ping终端IP,测试正常。
d.有没有可能是是电脑将包发给AF了,而AF又没有收到。 【系统】--【排障】--【抓包取证】,对eth4口(200.200.101.0直连网口)和eth1口(AF的WAN口)进行抓包。
两个接口都没有收到PDLAN客户端发给内网终端的包。(一开始怀疑是AF没有收到,后来了解到,是AF的接口识别不了经过vpntun口封装的包)。
e.开直通并打开日志拦截。 【系统】--【排障】--【数据包拦截日志与直通】,打开日志拦截与数据直通。
修复: 在【策略】--【访问控制】--【应用控制策略】新建一条vpntun到eth4接口的允许策略即可。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-4-2 10:20
技术专家4级 
