【萌大爷分享】IPSEC和SSL同时使用下路由冲突的解决方法
  

萌大爷 3030

本帖最后由 萌大爷 于 2017-11-14 12:39 编辑

SSL产品线IPSEC VPN和SSL VPN同时使用导致路由冲突的解决方法
1:拓扑

VPN.jpg

2:背景和问题描述
分支和总部建立VPN,但是分支不用访问192.168.0.0/24段,总部本地VPN设备本地子网没有192.168.0.72;总部vpn设备发布192.168.0.72的L3VPN资源,SSL用户连进来后访问其他段的资源成功,就是访问不了192.168.0.72的资源。

3:问题原因
查看vpn设备路由表,发现由于IPSEC对端设备也是192.168.0.0/24网段,导致IPSEC VPN建立后,VPN设备路由表自动生成192.168.0.0/24下一跳指向VPN接口的路由,当SSL用户访问0段服务器时,数据都跑到VPN接口,而不是正常去访问服务器。

4:解决方法
在VPN设备新增0段服务器的32位掩码的明细路由,下一跳指向核心交换机,例如192.168.0.72 255.255.255.255 192.168.100.254 这样子。设置后SSL用户访问0段服务器正常。

5:使用限制条件
1)分支里不能有192.168.0.72的服务器或者PC,不然总部无法访问分支的0.72或者分支的0.72无法访问到总部。
(客户是通过核心交换机策略路由把vpn互访的流量指定下一跳到vpn设备)

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
1人已打赏

PC9527 发表于 2017-1-4 11:50
  
什么冲突?可以同时使用的啊
Sangfor_闪电回_朱丽 发表于 2017-1-4 14:44
  
机智的楼主,有这种需求场景的小伙伴们可以使用楼主的解决方案试试哦!
感谢分享!
蒜了 发表于 2017-1-4 14:46
  
正解
萌大爷 发表于 2017-1-6 22:00