USG2110-f L2TP拨号成功后不能访问内网服务器

发布时间:  2014-09-11 浏览次数:  1262 下载次数:  5
问题描述
1.1拓扑

1.2简介
       如图所示,外网PC用户通过L2TP拨号客户端拨号成功后,会获取一个10.0.2.2的私网地址,然后ping内网服务器的网关地址10.0.0.1是成功的,但是ping内网服务器ip地址10.0.0.126就不成功。
 
1.3故障现象描述
(1) 外网PC用户通过L2TP拨号客户端拨号成功后,会获取一个10.0.2.2的私网地址,然后ping内网服务器的网关地址10.0.0.1是成功的,但是ping内网服务器ip地址10.0.0.126就不成功。
 
1.PC机ping内网服务器网关ip地址
ping 10.0.0.1
PING 10.0.0.1: 56  data bytes, press CTRL_C to break
Request time out
Reply from 10.0.0.1: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.1: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.1: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.1: bytes=56 Sequence=1 ttl=255 time=1 ms
 
2. PC机ping内网服务器ip地址
ping 10.0.0.126
 PING 10.0.0.126: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
Request time out
 
    (2)为了确认内网服务器是否配置了网关,在USG2110-f上带源ip:10.0.2.1(VT口ip)ping内网服务器ip地址10.0.0.126,测试是成功的,说明内网服务器是配置了主机路由的。
 
1.USG2110-fping内网服务器ip地址
ping –a 10.0.2.1 10.0.0.126
PING 10.0.0.126: 56  data bytes, press CTRL_C to break
Request time out
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
告警信息
处理过程
(1)根据之前的ping测的情况,依次取消了应用在VT口和vlanif20上的策略路由,再次经过ping测试就成功了
 
1.PC机ping内网服务器ip地址
ping 10.0.0.126
PING 10.0.0.126: 56  data bytes, press CTRL_C to break
Request time out
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 10.0.0.126: bytes=56 Sequence=1 ttl=255 time=1 ms
 
(2)通过这个测试可以肯定问题就是处在策略路由的配置上,仔细检查策略路由的相关配置,最终发现策略路由所关联的ACL设置存在问题,分别在ACL3010和ACL3031添加新的rule。
 
acl number 3010
 rule 2 deny ip source 10.0.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
 rule 3 deny ip source 10.0.0.0 0.0.0.255 destination 10.0.2.0 0.0.0.255
 
acl number 3031
 rule 2 deny ip source 10.0.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
 rule 3 deny ip source 10.0.0.0 0.0.0.255 destination 10.0.2.0 0.0.0.255
 
(3)再将设备的相关配置还原,将之前VT口和vlanif20的策略路由重新应用上去,通过测试确认内网服务器仍然能够ping得通,问题解决
根因
  经过仔细检查设备的配置信息及路由信息,初步怀疑是USG2110-f配置的并应用的策略路由有问题,导致内网服务器收到icmp Request报文后的回程包被丢弃了
建议与总结
  应该掌握网络故障Tshooting的方法与步骤,采用分段检测法初步定位故障点,然后选择最简单有效的测试方案,精确定位故障点,最后再根据故障点设备的相关信息进行相关测试操作,确保找到故障跟因。

END