移动用户通过L2TP over IPSec 无法ping通总部内网设备

发布时间:  2015-12-11 浏览次数:  199 下载次数:  0
问题描述

现象描述:

移动用户(LAC)可以从LNSUSG6300)获取到相应的IP地址(10.1.1.0/24),但是从LAC无法ping192.168.2.0网段(即总部内网网段)

拓扑:

 

处理过程

(1)检查安全策略是否正确配置,以防是由于安全策略没放通导致流量不通。结果配置正确。

(2)从用户LAC ping 192.168.2.248不通,在防火墙上对该流量进行抓包,以确定防火墙上是否收到相应的包

acl number 3999 //设置从客户端到总部内网的数据流

rule 5 permit icmp source 10.1.1.X 0 destination 192.168.2.248 0

[USG6300-diagnose]display  firewall statistic  acl

12:42:44  2015/12/08

 Current Show sessions count: 1

 Protocol(ICMP) SourceIp(10.1.1.21) DestinationIp(192.168.2.248)

 SourcePort(4) DestinationPort(2048) VpnIndex(public)

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag

 Obverse(pkts) : 2           0           0           2           0

 Reverse(pkts) : 0           0           0           0           0

 Discard detail information:

  IF_SERVICE_MANAGER_PACKET_FILTER:     2 

发现防火墙确实收到了从LAC侧的包,但同时全部丢掉了,丢弃的原因是:IF_SERVICE_MANAGER_PACKET_FILTER 即有可能是因为service_manager未设置导致的。

(3)检查192.168.2.248所在接口的配置,发现其允许ping放通:

service-manage ping permit

(4)检查相应的VTVirtual-Template)接口,发现其确实没有允许ping放通,添加‘service-manage ping permit,然后查看

[USG6300-diagnose]display firewall statistic acl

12:45:26  2015/12/08

   Current Show sessions count: 1

   Protocol(ICMP) SourceIp(10.1.1.21) DestinationIp(192.168.2.248)

 SourcePort(4) DestinationPort(2048) VpnIndex(public)

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag

 Obverse(pkts) : 46          0           15          31          0

 Reverse(pkts) : 15          0           0           0           0

    Discard detail information:

 IF_SERVICE_MANAGER_PACKET_FILTER:     31

 

[USG6300-diagnose]display firewall statistic acl

12:45:32  2015/12/08

 

 Current Show sessions count: 1

 Protocol(ICMP) SourceIp(10.1.1.21) DestinationIp(192.168.2.248)

 SourcePort(4) DestinationPort(2048) VpnIndex(public)

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag

 Obverse(pkts) : 52          0           21          31          0

 Reverse(pkts) : 21          0           0           0           0

 Discard detail information:

 IF_SERVICE_MANAGER_PACKET_FILTER:     31

发现防火墙转发包(forward)开始增加,而不再丢弃包(disnfrag)。然后查看ping的情况,发现可以ping通。

根因

VTVirtual-Template)接口禁ping

解决方案

VT接口下,增加命令行:service-manage ping permit,放通ping功能

END