FAQ-MA5200G对于不同用户加入vpn的配置方法

发布时间:  2012-07-26 浏览次数:  65 下载次数:  0
问题描述
Q:
MA5200G对于不同用户加入vpn的配置方法
告警信息

处理过程
1、对于PPPOE拨号用户,需要在地址池、域下绑定相同的VPN实例;用户接入的bas接口不需要绑定VPN实例,假如bas接口绑定和域不同的VPN实例,对于用户无影响。
ip pool vpna local 
 vpn-instance vpna
domain vpna
 vpn-instance  vpna
2、对于DHCP用户,需要在地址池、域、用户接入的bas接口绑定相同的VPN实例,若配置的不一致则用户无法正常上线,且无上线失败历史记录。
前面同PPPOE配置:
interface Ethernet3/0/6.100
user-vlan 100
bas
vpn-instance vpna
3、对于静态用户,需要在地址池、域、接入的bas接口、static-user命令下配置相同的VPN实例,配置错误无法上线,且不产生上线失败记录,debug报文不会有arp detect信息输出。
前面同DHCP用户配置:
static-user 192.168.0.1 vpn-instance vpna domain-name vpna interface Ethernet 3/0/6 detect
4、对于web认证用户,要求web服务器也需要在VPN实例中,否则无法进行web认证;要求配置的地址池、认证域、认证前域、接入的bas接口都绑定相同的VPN实例,注意配置acl的时候需要指定VPN实例。
配置同VLAN用户,需要注意的acl配置如下:
rule ip vpn-instance vpna source user-group web1 destination ip-address 1.1.1.1 0
补充:对于MA5200G 22xx版本都只需要在地址池和域中引用VPN实例,接口或者静态用户配置的命令下均不需要引用实例。
      
根因

建议与总结
对于VLAN用户加入VPN实例,若没有正确配置则MA5200G上虽然可以收到用户主动发送的arp报文,但是不会做任何处理。这样在业务跟踪和上线失败信息中都无记录。

END