“当前已有100+用户参与分享,共计发放奖励60000+“
问题:有客户反馈新购买的AF无法和总部的AF建立sangforvpn,表示已经按照正确配置去做,但仍然建立不了,于是乎远程去探究一番;
版本:AF8.0.26 (挺久没排dlan的错了,有点恍惚,但问题不大)
众所周知DLAN的整个建立过程都可以在系统日志观察得到,包括错误提醒,第一步来了
【查看系统日志】
客户称自己查看日志没有看出端倪,其实是因为系统一般默认不会显示【告警】内容,不手动勾选的情况下,大部分都只看一下错误就百思不得其解了 这里点击日志选型设置,可以全部勾选,然后选中DLAN,确定即可看到整个DLAN建立过程,失败终止点
筛选完毕后,很刺眼的红色【告警】提醒你,DLAN在哪一步失败了,原因是什么,这里就可以看到是一个很简单的错误——共享密钥不一致 于是客户赶紧修改密钥,很快的dlan就协商成功建立起来了
在dlan运行状态可以看见总部的关系建立成功,对端的子网有哪些也一目了然,包括建立时间之类的,但这只是完成了一个初步排错; 客户还有一个问题:虽然dlan建立了,但是我的内网仍然无法访问总部!
dlan建立的情况下,无法访问总部内网,有很多可参考的思路: 1、策略(我不喜欢把这个放在首要考虑的位置) 2、路由 3、DLAN设置
以官方的说法来看,在DLAN配置正确的情况下,推荐从策略阻拦入手排错
这是为什么呢?这就要回忆一下DLAN的一些概念了: DLAN建立以后,会生成vpn路由,下一跳指向vpn接口 而AF路由的优先级默认是:【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】 因此,不用担心什么内网会因为SNAT走去公网啦、路由优先级的问题啦…… 但是站在网工的身份,看路由还是习惯,以防万一
查看是否策略阻拦很简单,开启定向数据分析即可查明 如果策略都没有,还是老规矩,看日志
发现DLAN建立后,没有报错,检查DLAN配置,果不其然,客户内网接口没有配置 (建议选择正确的内网接口,eth0勾进来如果没用这个口也是没意义的啦) 仅供参考 之后便是愉快的通信时间,问题解决,也小小地回忆了一下DLAN的配置
=========================我是分割线==========================
总结一下: 无论什么厂商,在ipsecvpn上的差异都不算很大,重点首先还是掌握ipsecvpn的知识,交互过程,两个联盟之类的; 再往上去熟悉各种花样的基于ipsec的vpn配置。 DLAN的内容其实也不算复杂,但是没有实战过的朋友肯定还是会感到无从下手,说实话有点绕,哪怕是对着用户手册去配也或多或少会有各种其他问题导致失败。 回归原点,以路由交换的角度去看待问题,其实一切都是网络问题哈哈。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-9-18 09:41
发表于 2020-9-18 10:07
技术员2级 
