USG6550 双机热备组网 SSL VPN拨入后不能访问备机的管理地址

发布时间:  2016-09-25 浏览次数:  220 下载次数:  0
问题描述
设备型号:USG6550
软件版本:V100R001C30SPC600
问题现象:
远程终端拨入SSL VPN,仅能访问主设备的管理地址,不能访问备设备管理地址
处理过程
终端拨入后获得的地址范围:
  network-extension netpool 10.100.128.101 10.100.128.130 255.255.255.0

主机上到备机管理地址的路由:
 ip route-static 1.1.1.0 255.255.255.0 GigabitEthernet1/0/4

备机上到主机管理地址的路由:
 ip route-static 1.1.1.0 255.255.255.0 GigabitEthernet1/0/4 
根因

远程终端拨入主机后,主机为终端分配了一个IP,以该IP为源访问备机管理地址

备机上没有到该IP的明细路由,转到默认路由导致报文被丢弃

解决方案
SSL VPN网段的路由不能在备机上配置,否则主备切换后,终端从备机拨入会有问题

通过对主备管理地址的访问分别做nat,解决此问题。

主机上:
Nat address-group guanli 
         Section 1.1.1.32
         Nat-mode pat
 
nat-policy rule guanli
         source-address 10.100.128.0 mask 24
         destination-address 1.1.1.33 mask 32
         destination-zone trust
         action address-group guanli
 
 
备机相反
Nat address-group guanli 
         Section 1.1.1.33
         Nat-mode pat
 
nat-policy rule guanli
         source-address 10.100.128.0 mask 24
         destination-address 1.1.1.32 mask 32
         destination-zone trust
         action address-group guanli
建议与总结

在SSL VPN双机热备组网场景下,远程终端需要同时可以访问主备管理地址时,参考此案例解决方案

END