一、某公司 事情是酱紫的:总部一台Sangfor VPN需要跟对端设备(看截图是山石的设备)建立vpn隧道,项目测试阶段前期需求是一个网段互通就可以。沟通了相关参数对接非常顺利,业务互访正常而且跨运营商,经测试并未存在高丢包高延迟现象。 某天大领导窜门喝多了非得要看下面的某个业务,对方一个电话接着一个电话的打。劳资正忙的焦头烂额呢!拒接都不管事了,听了需求是要增加一个新的网段互访。趁着这边客户出去赶忙远程处理,这才发现某公司创建第一阶段时对端设备IP地址相同的只能创建一个。有点不太习惯呢!就直接在第二阶段添加匹配网段了。。。 二、故障现象Sangfor这边是直接添加的感兴趣流,对方是新增的一条隧道,说是协商不起来。考虑到隧道一直保持着,关闭后重新协商。第一阶段起来后,第二阶段一直起不来。大佬们都等着呢!然后赶紧想其他办法,特殊事情特殊处理。跟多方沟通后先把原来的业务网段停掉,临时保障这个网段通信。对方也是保持一条隧道,只是在第二阶段直接更改的感兴趣流。怎么着就是协商不成功。。。 三、解决方案就这样反复的对比各项参数,尴尬了好一会!刚准备全删了重来,对方说他们那边多线路要不用那一条试试。发过地址贴进去隧道立马建起来了。 好吧!我是不能解释为什么,不知道这种情况有做过的吗?能够实现sangfor一条隧道,对端设备创建多条隧道。第一阶段参数相同的情况下,第二阶段能够正常协商?当时确实没时间排查,还得处理眼下的问题呢!! (吐槽下,交换机环路了怎么还能和交换机上其他设备通信。后来在运行商专线上的设备发现后封堵了,运营商的技术发现不了吗?这边客户也是水的一塌糊涂,纯二层环境都能弄出环路来。都怪我没早点抓包发现,好吧!怪我咯!!) 提改掩码然后用内网服务或者防火墙管控来解决的同学就不要说出来了!!如果碰见下面网段划的五花八门,得是什么样的超网能够满足? 某公司防火墙,第二阶段不能够新增网段。
|