ASG 2050与CONTRLLER通过IPsec VPN做单点凳录对接,服务器检测失败

发布时间:  2017-01-04 浏览次数:  94 下载次数:  0
问题描述


ASG 2050CONTRLLER通过IPsec VPN做单点凳录对接,在ASG2050上做检测,服务器检测失败

处理过程


1、  查询ASG上配置与ASG直接对接CONTRLLER服务器配置一致

2、查询CONTRLLER服务器配置,没发现配置错误

3、在ASG上带源能拼通CONTRLLER服务器地址,不带源地址对端IP拼不通


4、检查ASG会话,发现去CONTRLLER服务器的路由走公网地址,产生的会话信息走的是公网。





根因




USGASG上的感兴趣流,只配置了私网地址的ACL IP



解决方案


1、ASG上配置经公网去CONTRLLER服务器IP地址感兴趣流。

2、在USG上配置经公网去ASG 2050 IP地址感兴趣流。

3、在CONTRLLER上将上网行为管理设备修改为公网地址。

     





建议与总结

ASG 2050CONTRLLER通过IPsec VPN做单点凳录对接时,需增加公网的IP到感兴趣流,同时要求ASG的接口地址需要为固定IP,不然在ASG2050上做检测,会出现服务器检测失败,对接不上的问题





END