网络拓扑图如下图所示:(局点A和局点B均为防火墙,并策略未any)
局点B和局点C之间建立ipsec vpn隧道,局点A和局点B建立GRE隧道。隧道均已建立起来。
问题:
1、局点C有一业务系统,80服务,局点A下的终端可以telnet到局点C的终端的80端口,但是无法成功登录。
2、但是将局点A的终端网段迁移到局点B下,再局点B下的终端,就可以正常登录局点C的也业务系统。
求大佬帮忙分析下,这种方案是否可行。
(0)
最佳答案
由于没节点C网络信息。所以不太好准确判断和分析。
初步判断可能存在网段重复或者ipsec包含流问题。
或者建议节点A和C也做一个ipsec隧道方式看看。
(0)
由于B节点只能作为分支,可以同时和A C建立ipsec吗?
您没明白我的意思,A局点对于C局点来说是透明的,不存在的,因此A只能通过B去和C走ipsec,因此A只能B去建立隧道。
所以问题不又绕回来了么,既然A-C没有直接链路联系。要么纯在网段重复导致其它主机应答了A-C请求 要么就是B-C的ipsec隧道保护流可能不包含A-C的流信息 所以建议排查以上2个方面吧
1、网段可以确定不存在重复情况的,因为把A下的网段迁移到B下,这个网段就可以正常访问登录C的服务器。 2、感兴趣流也确实是再B上有配置,匹配的是源地址,目的地址是any的配置。
先修改一下局点C下面终端的MTU值试一试。
(0)
MTU会影响业务不通吗?目前A的终端→C的服务器网络层面是通的,能ping通,端口也能telnet通
会影响,因为我遇到过。我们的网络也是用ipsec来连接的,所有东西都通,就是oracle不行,sqlserver都可以,最后抓包发现是mtu的问题,就把终端的MTU改小了,然后就通了。
谢谢啦,已经找到问题,是客户C那边有限制,不是配置问题
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
A先通过gre到b,再从b通过ipsec到C