单向ping通问题处理一则

发布时间:  2012-12-07 浏览次数:  853 下载次数:  0
问题描述
组网:Server------------------LNS--------------------------LAC-------------------PC
从PC一侧ping不通LNS网关,在LAC上以PC网关做源地址ping不通LNS,在LNS上却能ping通PC的网关地址。
告警信息
处理过程
通过检查相关设备的配置,没有发现单向ping的策略应用,问题一度陷入僵局。
进一步检查LNS设备,查看会话表发现收到了对端的请求报文,但没有响应报文计数。 如下会话表中的发送给192.168.1.1的报文计数是0.
  icmp  VPN:public --> public                                                 
  Zone: untrust--> local  TTL: 00:00:20  Left: 00:00:20                       
  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00          
  <--packets:0 bytes:0   -->packets:5 bytes:420                               
  192.168.1.1:43993-->99.1.1.1:2048      
进一步查看路由发现了异常。
从路由表中发现192.168.1.1 是一个本地地址。在LNS端ping的192.168.1.1 不是远端的192.168.1.1 而是本地的192.168.1.1.

[LNS]disp ip rout                
Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface      

    192.168.1.0/24  Direct 0    0           D  192.168.1.1     Vlanif1        
    192.168.1.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0    
[LNS]         
进一步检查 LNS端这个192.168.1.1 是一个无用的地址,将该地址删除后,LAC和LNS端都能相互正常ping通了。
根因
一般单向ping 通问题多数情况下属于防火墙策略控制问题,即只允许了某个方向发起ping请求,拒绝了另一个方向的ping请求,形成单向ping,单向ping 只能在基于状态处理的设备上实现,一般的逐包转发的设备无法实现单向ping。
建议与总结

END