路由器ar2200V200R003C01SPC900建立IPSECVPN以后,两边局域网互访,可以访问某服务器的一级页面,无法访问2级页面

发布时间:  2014-12-16 浏览次数:  153 下载次数:  0
问题描述
pc1---ar2200-1---------公网ipsec vpn------ar2200-2----内网服务器s1
ar2200-1和ar2200-2之间建立ipsec vpn连接,pc1的内网和s1的内网要实现互访,并且pc1内网要访问内网服务器s1,
内网服务器s1是一个网页服务器,pc终端可以通过网页的方式登录s1,并点击2级页面连接进行ftp下载。
故障现象:ipsec vpn也成功建立,pc1可以ping通s1,pc1可以通过内网服务器s1的ip地址登陆该服务器的一级页面,但是点击2级页面的连接以后,无法访问。
处理过程
1:确认ipsec vpn建立正常(两边网络可以互相ping通)
2:用s1的内网pc去测试看能否访问s1服务器(经确认s1内网pc可以正常访问服务器的2级页面---表示服务器本身没有问题)
3:更改外网接口tcp adjust-mss值为1200后解决
根因
ipsec vpn头部+ip头部+ftp头部大于接口MTU值照成的
考虑到TCP报文头、IP报文头等开销,使用本命令配置MSS值时,请保证MSS值加上各种开销的报文总长度不超过MTU值,否则会影响报文传输。其中,以太网协议支持的MTU值最大为1500字节,PPPoE协议支持的MTU值最大为1492字节。推荐用户配置MSS值为1200字节。

在使用隧道模式的IPsec、PPPoE或者使用对报文有加长动作的特性时,需要使用tcp adjust-mss命令配置接口的TCP最大报文段长度,以保证报文的正常传输
解决方案
在路由器连接公网的接口配置tcp adjust-mss 1200
<Huawei> system-view
[Huawei] interface gigabitethernet 1/0/0
[Huawei-GigabitEthernet1/0/0] tcp adjust-mss 1200
建议与总结
一般情况下2级页面无法访问,先检查内网能否访问,内网能够正常访问的情况下修改tcp adjust-mss值1200试试。

END