|
NO1:求解:分支1和总部的服务器无法互访:求解: 【处理过程】
1、分支测试电脑192.168.70.1,总部测试server 172.16.20.7;
2、总部的AF上路由写错r,如下图,重新修改回包路由,目的地址是172网段,下一跳指向直连的核心交换机; 3、重新写了路由,AF到服务器依旧不通,检查下面两个交换机的配置,怀疑为内网路由哪里不通的问题,继续分析各个设备的路由表并且做测试;
4、在AF上看到有一个vlan子接口,子接口地址为172.16.20.X,下一跳为172.16.20.254,为AF的直连路由,这样分支过来的数据包,到达AF之后,直接匹配这个子接口的直连路由,但是此接口未接线导致找不到下一跳而丢弃。
5.删除此vlan接口路由即可,分支正常访问总部
【结论】 1、AF上回包路由的下一条写错 2、AF上启用了VLAN子接口,在设备上产生了直连路由,直连路由优先级最高,导致数据过来找不到下一跳而丢弃。 【客户需求】MIG下面两个网段,分别为192.168.68.0和10.10.68.0,其中192.168.68.0只能访问总部的业务网段,无需上网,10.10.68.0只能通过MIG上互联网,无需通过VPN访问总部的业务。 配置步骤 1、分支MIG配置LAN(只允许访问VPN)和DMZ(只允许访问外网)接口地址 为什么使用DMZ作为LAN2? MIG设备上的两个物理LAN口实际上互相为二层逻辑接口,两个lan口不能实现三层隔离,所以启用DMZ作为第二个lan口。
2、配置LAN口和DMZ口的DHCP,在选择接口那个地方切换一下即可到DMZ口的设置 3、配置默认路由 4、配置代理上网(只配置DMZ口也就是10.10.68.0)网段的代理上网。 5、配置某公司 VPN的连接管理 【测试效果】 VPN连接状态正常 Vpn用户(192段)正常访问总部的内网,无法访问互联网(未截图) 上网用户(10断)正常访问互联网,无法访问VPN(未截图) 至此,分支1功能都已实现
NO3:求解:分支2配置之后VPN数据不通:求解:
配置略(配置方法跟分支1一样,功能需求也一样) 【排错步骤】 1、首先再AF上抓包查看,分支2的数据还没有到总部的AF上,怀疑分支2本身有问题(忘记截图) 2、查看MIG上的配置,从配置上暂时没看出什么问题 3、思考。。。。。。懵逼。。。。。。放空。。。。。。 4、。。。。。。 5、继续。。。。。。 6、脑子突然清醒,这个分支貌似配置的时候VPN数据走的是DMZ口,需要修改两个地方 防火墙过滤规则(默认VPN-DMZ未放通) VPN内网口(默认内网口是LAN口),改成DMZ口
这个时候再到总部防火墙上看下,通了(激动。。。。。。)
NO4:求解:两个分支互相访问:求解: 这个就比较简单了,直接两个分支的MIG设备写隧道间路由即可。分支1配置 分支2配置 至此,所有功能故障全部排除以及解决,在中间,还有其他一些小问题,比如地址冲突,比如内网路由指向不对等。
重点已经标红处理
| 
发表于 2019-8-15 14:29
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-8-16 09:37
技术研究员1级 
