总部SR6608直连公网,分支MSR930在NAT设备之后且公网出口地址为拨号出口。
拓扑:MSR930---》TP-link路由器----》NAT路由器------》Internet------》SR6608
SR6608和MSR930上查看设备注册信息正常,但是无法正常建立DVPN隧道。
1、SR66端正常,经过测试可以和其他设备正常建立DVPN隧道;
2、检查VAM Server上所有VAM Client的地址映射信息,发现设备注册没有问题;
[SR6608]display vam server address-map all
VPN name: 1
Total address-map number: 2
Private-ip Public-ip Type Holding time
10.0.1.1 218.70.82.162 Hub 18H 46M 30S
10.0.1.2 222.177.22.245 Spoke 0H 5M 16S
检查MSR上VAM client的地址映射信息:
[MSR]display vam client address-map
Client name: kangda
VPN name: 1
Total address-map number: 1
Private-ip Public-ip Type Remaining-time(s)
10.0.1.1 218.70.82.162 Hub --
3、检查两端隧道建立状况,没有协商成功:
[SR6608]display dvpn session all
Interface: Tunnel1 VPN name: 1 Total number: 0
[MSR]display dvpn session all
Interface: Tunnel1 VPN name: 1 Total number: 1
Private IP: 10.0.1.1
Public IP: 218.70.82.162
Session type: Spoke-Hub
State: DUMB
Holding time: 0h 0m 52s
Input: 0 packets, 0 data packets, 0 control packets
0 multicasts, 0 errors
Output: 12 packets, 0 data packets, 12 control packets
0 multicasts, 0 errors
4、通过抓包确认DVPN隧道协商包被TP-LINK丢弃了。
1、将网络中的TP-LINK家用路由器去掉,MSR直接和NAT出口设备相连;
2、经过测试可以正常建立DVPN隧道链接。
1、很多家用路由器因为性能限制无法承载DVPN协商数据报文,故直接丢弃了协商报文,建议DVPN隧道协商失败的时候将家用级别的路由器去掉测试。
2、如果要用IPSEC对数据进行保护,TP-LINK也会丢弃IKE报文,导致IPSEC无法建立。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作