AR2200为LAC,LAC内网用户无法访问LNS侧服务器

发布时间:  2016-06-14 浏览次数:  314 下载次数:  0
问题描述
AR2200为LAC,LAC内网用户无法访问LNS侧服务器。但是LNS侧服务器能ping 通AR内网口地址。
告警信息


处理过程
1.查看L2TP VPN 隧道正常建立

<LAC> display l2tp tunnel

 Total tunnel : 1
 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName
 1        102        60.X.X.2         1701   1        lns
 
<LAC> display l2tp session

 Total session : 1
 LocalSID  RemoteSID  LocalTID
  1         1          1

2.查看两端设备路由配置,都互指目标网段路由,下一条指向Virtual-Template接口

3.在AR侧带内网口源IP ping 服务器能通

4.在PC ping 服务器,查看NAT流表信息
<LAC>display  nat session protocol icmp
  NAT Session Table Information:
     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 172.168.3.100  //服务器地址
     DestAddr  Vpn     : 192.168.2.3    //PC地址
     Type Code IcmpId  : 8   0   43981
     NAT-Info
       New SrcAddr     : 192.168.2.1 //PC网关,AR内网口IP
       New DestAddr    : ----
       New IcmpId      : 12060
根因

AR内网口配置了NAT转换,PC的ICMP报文查路由走VPN隧道转发到服务器侧,服务器查路由回给LAC;

但是在内网口出方向匹配了ACL规则,做了NAT转换导致PC不识别丢弃。

acl name GigabitEthernet0/0/1 2999 
 rule 5 permit

interface GigabitEthernet0/0/1
 ip address 192.168.2.1 255.255.255.0
 nat outbound 2999

解决方案
取消内网口的NAT outbound问题解决。
建议与总结

关于走VPN的流量异常,需查看隧道是否正常建立,查看相关表项是否正常,可结合抓包排查。

END