现场需要将SSLVPN的业务通过VRF进行隔离,使用缺省证书
无告警
现场按照如下的配置配置完毕后,正常拨号,但是无法ping通内网资源,debug内网的ip没有任何回显,会话也没有
#
acl advanced 3002
rule 0 permit ip vpn-instance VPN1 destination 内网资源IP 0.0.255.255 counting
#
interface SSLVPN-AC1
description VPN-DHCP
ip binding vpn-instance VPN1
ip address 172.10.1.254 255.255.255.0
#
sslvpn gateway gw
vpn-instance VPN1
ip address 网关IP port 2000
service enable
#
sslvpn context ctx1
vpn-instance VPN1
gateway gw domain domain1
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool sslvpn-pool mask 255.255.255.0
ip-route-list rtlist
include 内网资源IP 255.255.0.0
policy-group pgroup
filter ip-tunnel acl 3002
ip-tunnel access-route ip-route-list rtlist
service enable
检查路由都是正常的,排除路由问题,在检查各个配置绑定VRF的情况时,发现ACL配置也做了VRF的绑定,这个不需要绑定VRF。
具体哪里需要绑定VRF可以参考解决方案
上述案例中,acl配置中去掉VRF即可:
#
acl advanced 3002
rule 0 permit ip destination 内网资源IP 0.0.255.255 counting
配置中绑定VRF的情况如下:
1. SSLVPN网关的物理口要绑定
2. AC口要绑定
3. SSLVPN Gateway下要绑定
4. SSLVPN实例下要绑定
5. SSLVPN实例中的授权ACL不要绑定
6.安全策略需要绑定
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作