USG2210替换路由器后SSL VPN不通

发布时间:  2015-07-22 浏览次数:  626 下载次数:  0
问题描述
本端使用PC上的VPN  client登录。出口设备用路由器时,SSL VPN正常。USG2210替换路由器后SSL VPN不通。
处理过程

<!--[if !support             步骤1  检查配置,确保防火墙上的接口加入安全域,并且包策略和域间安全策略均已放行。

步骤测试路由是否可达。

USG2210 上带源地址为192.168.1.1或者2.2.2.1ping不通友商设备的公网地址,即SSL VPN的网关。可能原因:要么对端禁ping,要么网络不通。



步骤查看由内网PC ping对端SSL 网关的会话信息,发现对端没有回包。

步骤做流量统计,查看防火墙的丢包情况。

丢包原因是找不到ARP,因为接口IP和目的IP在同一网段,需查找ARP

                                    

步骤检查配置,确认接口IP的掩码配置是否正确、目的IP是否可达。

    
interface GigabitEthernet0/0/1

        
ip address 2.2.2.1  255.255.255.0  (对端掩码为255.255.255.252

<!--[i

根因

子网掩码配置错误,导致直连的设备ping不通,没有学习到Arp表项。

解决方案

修改子网掩码,保持IP在同网段。

interface GigabitEthernet0/0/1

ip address 2.2.2.1  255.255.255.252

建议与总结

直连ping不通,可能原因如下:

1.     连线端口是否正确,端口是否up

2.     是否是同网段的IP、子网掩码配置是否正确、PC有没有配置网关。

3.     ARP表项有没有学习到、MAC地址表是否有学习到。

END