ASG2050与AR1200开启GRE隧道但是下接业务网段无法互访

发布时间:  2016-12-04 浏览次数:  156 下载次数:  0
问题描述

1,网络拓扑如下

2AR1200配置

 

acl number 3000 

 rule 2 permit ip source 192.168.4.0 0.0.0.255


interface GigabitEthernet0/0/0

 ip address 5x.xx.xx.x6 255.255.255.192

nat outbound 3000


interface Tunnel0/0/200

 ip address 172.18.10.5 255.255.255.252

 tunnel-protocol gre

 source 5x.xx.xx.x6

 destination 2xx.xx.xx.x0


ip route-static 192.168.1.0 255.255.255.0 Tunnel0/0/200


3ASG2050配置

 
interface GigabitEthernet0/0/1  
 ip address 2xx.xx.xx.x0 255.255.255.0 
 
nat address-group 0 公网装换 2xx.xx.xx.x0 2xx.xx.xx.x0
 

policy 0    

action source-nat    

policy source address-set 192.168.1.0192.168.6.0    

address-group 公网装换

 

ip route-static 192.168.4.0 255.255.255.0 Tunnel1

 

interface Tunnel1   

  ip address 172.18.10.6 255.255.255.252

  tunnel-protocol gre  

 source 2xx.xx.xx.x0

  destination 5x.xx.xx.x6


4,故障问题

192.168.1.59上无法ping192.168.4.1


处理过程

1,  检查GRE的连通性,结果显示gre正常

 

[AR1200]ping -a 172.18.10.5  172.18.10.6

  PING 172.18.10.6: 56  data bytes, press CTRL_C to break

    Reply from 172.18.10.6: bytes=56 Sequence=1 ttl=255 time=10 ms

    Reply from 172.18.10.6: bytes=56 Sequence=2 ttl=255 time=13 ms

    Reply from 172.18.10.6: bytes=56 Sequence=3 ttl=255 time=19 ms

    Reply from 172.18.10.6: bytes=56 Sequence=4 ttl=255 time=14 ms

    Reply from 172.18.10.6: bytes=56 Sequence=5 ttl=255 time=13 ms

1,  在终端192.168.1.59ping测试192.168.4.1,在ASG2050上查看会话表项

 

1,  <ASG2050>display firewall session table verbose source inside 192.168.1.59 protocol icmp

 18:24:53  2016/12/02
  Current Total Sessions : 2
   icmp  VPN:public --> public
   Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:20  User: 192.168.1.58
   Interface: GigabitEthernet0/0/1  NextHop: 2xx.xx.xx.1  MAC: 00-25-9e-aa-f2-0f
   <--packets:3 bytes:180   -->packets:3 bytes:180
   192.168.1.59:1[2xx.xx.xx.x0:1]-->180.76.76.76:2048
 
   icmp  VPN:public --> public
   Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:01  User: 192.168.1.58
   Interface: Tunnel1  NextHop: 192.168.4.1  MAC: 00-00-00-00-00-00
   <--packets:0 bytes:0   -->packets:1 bytes:60
   
192.168.1.59:1[2xx.xx.xx.x0:1]-->192.168.4.1:2048


3,会话表项显示 192.168.1.59ping测试192.168.4.1nat转换了,设置192.168.1.59192.168.4.1不被nat转换,测试之后发现正常。

 

ip address-set 192.168.4.0 type group   

address 2 192.168.4.0 mask 24   


nat-policy interzone trust untrust outbound  

 policy 2   

 action no-nat   

 policy destination address-set 192.168.4.0 

 easy-ip GigabitEthernet0/0/1



解决方案
在ASG2050上设置nat转换192.168.1.59去往192.168.4.1的时候不进行nat装换

END