【2022争霸赛*干货满满】分支通过MPLS VPN访问总部超融合虚拟机异常

【问题描述】

近期协助某制造业公司处理一个分支通过新建MPLS VPN访问总部超融合集群内虚拟机异常问题，具体的问题现象如下

1.    总部内网访问超融合集群内虚拟机都正常

2.    分支跟总部原来是通过出口设备IPSEC VPN隧道，分支访问总部超融合集群内虚拟机都正常，切换成新建的MPLS VPN线路后发生的异常；

3.    总部网段192.168.201.0/24、192.168.200.0/24

分支网段192.169.x.x/24

（****总部和分支网段已经过处理，非客户真实网段****）

客户原网络架构如下

1.    初步怀疑是深信服AF的原因导致的，在AF上开全局直通并且禁用安全防护策略，然后测试从分支访问总部超融合集群虚拟机，访问不了，问题未解决，排除深信服AF应用控制策略和安全防护策略的原因导致访问异常；

2.    通过在服务器上抓包和HCI底层同时抓包分析

服务器上抓包 ping对应的核心网关是通的，并且回包是带VLAN的

HCI底层

ping vpn不通的时候，回包的VLAN丢了，可能是vpn的处理问题，或者外部交换机配合导致VLAN丢了

3.    根据步骤2中的抓包分析结合当前网络架构，怀疑还是网络架构的原因导致访问异常，做了以下模拟测试

在1-5图标中做了以下操作

核心1图标处，改成hybrid

2-5图标处，改成accessvlan 1

按照上图模拟测试，从分支1访问总部超融合虚拟机都是正常，不丢包，根据模拟测试的情况，得出：当前总部内网网络只能vlan1做通信

4.    按照步骤3测试拓扑的情况，经客户同意之后，在图标1-5处变更客户网络，

4.1核心交换机与深信服AF互联的口，由原来的trunk模式改成了hybrid模式

4.2万兆光口交换机与超融合通信端口，从trunk口 改成access vlan1

4.3 超融合内所有虚拟交换机access标签都改成access vlan 1，虚拟机的网段信息不改变

5.    经过步骤4的修改，从分支1访问总部超融合虚拟机出现时通时不通的情况，对比步骤3和步骤4的拓扑，区别在于多了一台深信服AF，检查深信服AF设备配置，发现客户还开启了一个【地域访问控制】，只允许中国大陆的访问，关闭此策略后访问正常；排查原因是分支1的内网网段192.169.x.x为非标准的私网地址，在百度IP地址查询为美国的一个公网地址导致匹配到【地域访问控制】策略

感谢分享哦，作者以“分支通过MPLS VPN访问总部超融合虚拟机异常”为主线详细介绍了此问题的排查思路和问题处理过程，图文并茂，内容详实，可有效的指导此类问题的排查处理

感谢分享，每日一学！！

感谢分享，每日一学！！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享！每日学习。

感谢分享，每日一学！！

感谢分享有助于工作和学习

感谢分享，每日一学！！

每日学习，感谢分享！

感谢分享有助于工作和学习！