问题描述
组网:Server------------------LNS--------------------------LAC-------------------PC
从PC一侧ping不通LNS网关,在LAC上以PC网关做源地址ping不通LNS,在LNS上却能ping通PC的网关地址。
告警信息
无
处理过程
通过检查相关设备的配置,没有发现单向ping的策略应用,问题一度陷入僵局。
进一步检查LNS设备,查看会话表发现收到了对端的请求报文,但没有响应报文计数。 如下会话表中的发送给192.168.1.1的报文计数是0.
icmp VPN:public --> public
Zone: untrust--> local TTL: 00:00:20 Left: 00:00:20
Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00
<--packets:0 bytes:0 -->packets:5 bytes:420
192.168.1.1:43993-->99.1.1.1:2048
进一步查看路由发现了异常。
从路由表中发现192.168.1.1 是一个本地地址。在LNS端ping的192.168.1.1 不是远端的192.168.1.1 而是本地的192.168.1.1.
[LNS]disp ip rout
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif1
192.168.1.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
[LNS]
进一步检查 LNS端这个192.168.1.1 是一个无用的地址,将该地址删除后,LAC和LNS端都能相互正常ping通了。
根因
一般单向ping 通问题多数情况下属于防火墙策略控制问题,即只允许了某个方向发起ping请求,拒绝了另一个方向的ping请求,形成单向ping,单向ping 只能在基于状态处理的设备上实现,一般的逐包转发的设备无法实现单向ping。
建议与总结
无
END