FAQ-内网用户无法主动访问ssl vpn网络扩展的用户?

发布时间:  2015-09-20 浏览次数:  117 下载次数:  0
问题描述

内网用户无法主动访问ssl vpn网络扩展的用户?

解决方案

  如果网络扩展地址池和内网在不同网段,必须写到达网络扩展地址池中路由,这个路由只是用来确定出接口所在的域,来做包过滤的,并不做实际的转发,所以这个路由可以根据需要随便配。然而如果设备上不存在这个路由,就会丢包。

  如果网络扩展地址池和内网在同一个网段,则可以不用写路由。

  ssl vpn内网pc主动访问的转发流程

  当内网PC主动访问远端ssl vpn客户端的时候,报文到达防火墙后,数据面按照正常流程处理,只是在查路由时会判断如果当前启动了网络扩展,会判断目的IP是否属于网络扩展地址池, 如果是的话会置一个标志位,有了这个标志位在发送流程时就会上送管理面加vpn头,加完头后,会下发到数据面重走流程。所以第一遍流程所作的包过滤应该是 trust到网络扩展的地址池的路由出接口所在的域。这个路由只是用来确定出接口所在的域,来做包过滤的,并不指导实际的转发,所以这个路由可以根据需要 随便配。然而如果设备上不存在这个路由,就会丢包。由于开启了网络扩展后需要查路由时判断目的IP是否属于网络扩展地址池,所以肯定会影响设备性能,包括不是ssl vpn的报文。

END