SVN5530 L2TP OVEER IPSEC拨通通无法访问内网

发布时间:  2014-11-21 浏览次数:  124 下载次数:  0
问题描述
某用户,SVN5530做L2TP OVER IPSEC,专网用户拨号已经获得IP地址,但是不能访问SVN5530本地内网IP。
告警信息
设备告警如下:
%Nov 14 14:15:59 2014 SVN5530-C1 ARP/4/PROXY_SUPPRESSED:Proxy of Eth-Trunk0.1 is suppressed, source IP is 10.0.86.6, destination IP is 10.0.86.216!
%Nov 14 14:15:59 2014 SVN5530-C1 ARP/4/PROXY_SUPPRESSED:Proxy of Eth-Trunk0.1 is suppressed, source IP is 10.0.86.6, destination IP is 10.0.86.200!
处理过程
1、拨号成功,说明L2TP OVER IPSEC配置本身没有问题。检查安全策略,发现没有做什么限制;
2、查看详细会话,发现有发往目的地址的数据包,但是回包为0;
3、设备上带外网口源地址能ping通SVN5530内网地址,排查内网路由及安全设置问题;
4、通过告警日志,提示有ARP代理抑制:Proxy of Eth-Trunk0.1 is suppressed, source IP is 10.0.86.6, destination IP is 10.0.86.216!
5、检查配置,发现L2TP的地址池与客户需要访问的SVN5530本地内网同网段。当LNS端接入的内部网络和LNS为拨号端分配的IP在同一网段时,virtual-l2tpforward enable命令用来和arp-proxy enable配合使用,开启L2TP虚拟转发。但是客户环境连接内网的接口是Eth-Trunk0.1,该接口下不支持配置virtual-l2tpforward enable命令,L2TP虚拟转发无法开启。
根因
当LNS端接入的内部网络和LNS为拨号端分配的IP在同一网段时,必须开启L2TP虚拟转发。在LNS端和内网相连的接口(必须是以太网接口)设置了ARP代理和L2TP虚拟转发后,LNS端的内网对分配到的同一网段的拨号端ARP请求进行应答,内网学习到的MAC地址为LNS端开启ARP代理接口的MAC地址。L2TP隧道将报文从L2TP隧道转发到对端。
解决方案
改用普通以太网口而不是Eth-Trunk连接内网,或者更改L2TP地址池使之与内网不通网段,均可以解决该问题。
建议与总结
无。

END