双出口打不开网页问题

发布时间:  2014-09-12 浏览次数:  320 下载次数:  19
问题描述

           USG5100              ————    pppoe   2.2.2.2/32     untrust         下一跳 2.2.2.3/32       
V300R001C00SPC700 
                                           ————          1.1.1.1/24              untrust         下一跳 1.1.1.2/24  
    
         

两个公网接口都在untrust区域,nat时对内网172.16.0.0网段用2.2.2.2转换,对172.16.0.0网段策略路由走pppoe出去;其他内网网段默认路由从1.1.1.1下一条出去。
客户称打不开网页,但能ping通网址。
告警信息
无。
处理过程
修改tcp-mss值,还是不能打开。

测试访问百度抓包:

 
没有收到http响应报文。

查看会话:
http  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:10:00  Left: 00:09:58
  Interface: GigabitEthernet0/0/1  NextHop: 1.1.1.2  MAC: 00-23-ff-21-4d-ae
  <--packets:1 bytes:52   -->packets:6 bytes:252
  172.16.255.185:50501[2.2.2.2:2063]-->220.181.111.147:80

 用2.2.2.2 nat转换路由却走1.1.1.1下一条出去了。

 查看策略路由没有命中,修改策略路由配置后解决。
根因
1.pppoe链路,tcp-mss值。
2.双出口可能出现的其他原因。
建议与总结
双出口场景需要注意报文流向。

END