有两台H3C secPath F1000-AK135设备,并做了IRF虚拟化,一台slot1接了电信网络、另一台slot2接移动网络
默认路由电信优先级60,移动61。
原先只有一个sslvpn实例,ip接口 10.20.100.0/24
因为从移动访问sslvpn丢包严重,要在移动出口上配置sslvpn实例。
电信sslvpn网关不变,ip接口改为10.20.100.0/25
新增移动sslvpn网关,ip接口为10.20.100.128/25
电信sslvpn网关正常。移动sslvpn网关无法连接,
在移动接口上配置ip last-hop hold,后能正常连接
但仍不能访问内部资源,目前问题如下:
防火墙策略全都放开了,终端防火墙了关了
从内部前往移动sslvpn终端应走slot2才对,为啥会走到slot1,走到slot1为啥不能转到slot2再发出去
在内网接口上配置策略路由使用目的地址为10.20.100.128/25(移动sslvpn客户端地址)的地址从移动出口出去
观察,从内部ping移动vpn终端,solt1、solt2均有流量,从移动vpn终端ping内部没有变化,仍然不通
不知道咋弄了,请求帮助,谢谢!
(0)
首先SSLVPN,IRF场景有问题。。IRF场景不推荐做SSLVPN
单墙测试下,还有问题 就检查配置
(0)
有参考资料不,公司网络不敢瞎搞,谢谢
您好,这种情况,就一定是路由配置的问题了,进一步检查吧
(0)
看起来有点像,在routing-table 中默认路由只有电信出口,策略路由是指向移动出口的,但是sslvpn自己有个ip接口,这个接口的路由没法指定,按设置应该从移动出去
看起来有点像,在routing-table 中默认路由只有电信出口,策略路由是指向移动出口的,但是sslvpn自己有个ip接口,这个接口的路由没法指定,按设置应该从移动出去
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
有参考资料不,公司网络不敢瞎搞,谢谢