AR2200作为L2TP LNS端,分部拨号后无法访问

发布时间:  2015-03-18 浏览次数:  180 下载次数:  0
问题描述

AR2200作为L2TP LNS端,分部PC2拨号后无法访问总部内网PC1所在192.168.64.0的网段。

拓扑如下:


处理过程

1、LNS端配置无问题:

#
 l2tp enable                      
#                                        
ip pool l2tpLns1                         
 gateway-list 192.168.100.1              
 network 192.168.100.0 mask 255.255.255.0                       
#                                                                                 
aaa                                      
 authentication-scheme default           
 authorization-scheme default            
 accounting-scheme default               
 domain default                          
 domain default_admin                    
 local-user gjr password cipher %$%$(`qz@(ZIh0umpgDqZ1A7+<Eh%$%$
 local-user gjr privilege level 1        
 local-user gjr service-type ppp                       
#                                                                               
interface Virtual-Template1              
 ppp authentication-mode chap            
 remote address pool l2tpLns1            
 ip address 192.168.100.1 255.255.255.0                      
#                                        
l2tp-group 1                             
 undo tunnel authentication              
 allow l2tp virtual-template 1         

2、客户端能够成功拨号,但是不能访问内网,使用华为客户端拨号,并添加上路由后,同样不能访问,LNS端可以看到L2TP隧道建立成功:

<Huawei>display l2tp tunnel 

 Total tunnel = 1
 LocalTID RemoteTID RemoteAddress   Port  Sessions  RemoteName
 2        1         114.240.xx.xx   1701  1         caiwu-PC

3、排查路由问题,在总部PC1上tracert对端192.168.100.0网段后,路由只有一跳,只能到达总部的核心交换机。

4、查看核心交换机的路由配置,发现有一条静态路由被指向到了其他地方:

该条路由是指向总部网络中新增加投入使用的一个网段,掩码为16位所以匹配上了到分部客户端拨号后获取的192.168.100.0/24地址网段的流量,更改为更明细的24位掩码的路由后解决了该故障。

根因

总部核心交换机上有一条指向总部网络中新增加投入使用的一个网段的路由,目的网段是192.168.0.0,掩码为16位,所以匹配上了到分部客户端拨号后获取的192.168.100.0/24地址网段的流量。

建议与总结

1、配置静态路由时应精确匹配目的网段的掩码。

2、网络拓扑的变更和删减需要合理规划网段和路由。

END