“当前已有100+用户参与分享,共计发放奖励50000+“
问题现象:根据客户和联通提供的配置文档将接口/区域、GRE隧道(Tunnel)、路由配置完成后,隧道连接不成功,手持终端无法ping通和访问内网业务。
原因分析: 反复检查NGAF和核心交换机配置,没有问题。替换H3C路由器,配置后,隧道建立正常,访问业务正常。确定NGAF设备某个方面配置存在问题。
排查思路: 利用一台空配置NGAF,将GRE所有的配置抄到的空配置NGAF上面,将防护策略、NAT、应用控制策略依次放通,当放通到应用控制策略的时候,隧道建立正常,确定问题点为应用控制策略。
解决方法: 配置内网到联通GRE终端和联通GRE终端访问内网业务两条策略的放通后,依然无法正常建立GRE隧道。需要再配置一条联通GRE协商放通的策略(网络对象包括隧道地址和目的端地址)。
问题总结: GRE隧道建立之初,必须首先匹配到联通GRE协商放通的策略,业务才能正常访问。 |