Eudemon 1000E Firewall(V100R002)VPN路由配置问题导致客户端设备无法正常连接

发布时间:  2013-09-13 浏览次数:  281 下载次数:  0
问题描述
网络拓扑:
 

SITE01同HQ成功建立IPsec VPN之后,客户反馈通过SITE01的主机ping HQ机房服务器:
1. 当接入后IP地址为奇数的clients,可以ping通对端奇数IP服务器,无法ping通偶数IP服务器
2. 当接入后IP地址为偶数的clients,可以ping通对端偶数IP服务器,无法ping通奇数IP服务器
告警信息
处理过程
1. 查看路由条目,分析路由可达性不存在问题,且每两边都互指路由
2. 通过traceroute命令查看从SITE01到HQ的路由选路,排除由于物理环路导致路由不可达
3. 从SITE01客户端可以正常ping通HQ服务器,说明IPSec VPN隧道本身正常建立

仔细查看路由条目,发现在HQ的E1000E上指向另外一个SITE的路由涵盖部分SITE01地址段,路由配置如下:
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 description For Internet                                                             
ip route-static 10.0.32.0 255.255.224.0 Tunnel0 description To SITE02                                                    
ip route-static 10.0.40.0 255.255.248.0 Tunnel1 description To SITE01

处理结果:
将重复网段重新分配,保证整网无重复网段。再进行测试,SITE01客户端可以正常访问所有服务器。
根因
1. HQ到SITE之间路由配置错误
2. 两端设备中由于访问控制导致奇数偶数IP分离
3. VPN配置有误
建议与总结
在网络规划中IP地址重复问题一定要前期清除,当实施之后发现类似问题再进行整改的话涉及设备过多,排错难度大,工作量大。

END