FAQ-防火墙作为LNS时虚拟接口模板地址和地址池地址是否需要在同一网段

发布时间:  2014-09-18 浏览次数:  142 下载次数:  0
问题描述
防火墙作为LNS时虚拟接口模板地址和地址池地址是否需要在同一网段?
解决方案
虚模板地址可以和地址池地址不在同一个网段。但是需要注意的是如果虚模板地址和地址池地址不在同一网段,而且防火墙配置了默认路由,当VPN用户下线后,此时如果存在有别的用户攻击或者访问此VPN用户,因为防火墙上此用户的路由不存在了,所以就会按照默认路由发给上行设备,而上行设备查路由又把报文回送给防火墙,这样导致报文形成环路直到TTL为0。如果虚模板地址和地址池地址在同一个网段,用户虽然下线了,但是防火墙上还会存在一个与虚模板地址同网段的路由。此时如果有访问此用户和攻击的报文就会被丢弃,所以推荐虚模板地址和地址池地址在同一个网段。

END