本端------ACG1000------ipsec------友商设备-----对端
无
ACG和对端IPSEC状态正常,但是对端无法ping通ACG内网口地址,内网口已开启ping,并且ping测试数据流在感兴趣流范围内。
进入ACG命令行开启debug dp drop,查看测试流被丢弃原因如下:
H3C#debug dp drop
H3C# display log debug 10.0.0.23
<2024-04-07 14:26:33> Packet dropped 10.0.0.23 -> 11.51.22.254 ICMP len 60: dev tunnel0 local access deny
<2024-04-07 14:26:33> Packet dropped 10.0.0.23 -> 11.51.22.254 ICMP len 60: ip_local_deliver return 0
问题现象与ACG机制相关,虽然ping测试的地址并非ACG IPSEC tunnel本身的地址,但是这类场景需要在tunnel口也开启ping,开启后ping acg内网口地址正常。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作