两台H3C SECPATH F1050防火墙通过IPSec建立VPN隧道。A端防火墙内部有192.168.0.0/24网段,B端防火墙内部有192.168.1.0/24网段。VPN隧道已建立,一周前两端设备可互相ping通,目前B端ping A端192.168.0.0/24网段均通,但A端ping B端192.168.1.0/24网段时大部分设备不通(仅少数IP可通)。B端内部设备互ping正常。需解决A端ping不通B端大部分设备的问题。
两端防火墙已配置IPSec隧道。
A端扫描B端网段(192.168.1.0/24)时,仅部分IP响应(如下表),其余IP无响应。
B端内部扫描B端网段时,发现大量在线设备(详见下方列表)。
状态 | IP地址 |
---|---|
确定 | 192.168.1.3 |
确定 | 192.168.1.11 |
确定 | 192.168.1.21 |
确定 | 192.168.1.150 |
确定 | 192.168.1.151 |
确定 | 192.168.1.152 |
确定 | 192.168.1.153 |
确定 | 192.168.1.154 |
关机 | 192.168.1.160 |
确定 | 192.168.1.250 |
状态 | 主机名(脱敏) | IP地址 |
---|---|---|
确定 | 192.168.1.1 | 192.168.1.1 |
确定 | 192.168.1.2 | 192.168.1.2 |
确定 | 192.168.1.3 | 192.168.1.3 |
关机 | 192.168.1.7 | 192.168.1.7 |
确定 | 192.168.1.11 | 192.168.1.11 |
确定 | CY-XXXXXXX | 192.168.1.15 |
确定 | DESKTOP-XXXXXXX | 192.168.1.18 |
确定 | CY-XXXXXXX | 192.168.1.19 |
确定 | WIN-XXXXXXX | 192.168.1.21 |
...(略) | ... | ... |
B端可正常访问A端所有IP
A端仅能访问B端少数IP(如1.3、1.11、1.21等),无法访问其他在线设备(如1.224)
两端IPSec隧道状态正常,无错误计数
请问可能是什么原因导致A端只能访问B端部分IP?如何进一步排查或解决?
内网网段:192.168.0.0/24
路由表:已配置静态路由指向B端网段(192.168.1.0/24)下一跳为外网网关
IPSec策略:ACL 3336 允许A端多个网段访问B端192.168.1.0/24
NAT策略:ACL 3335 拒绝A端网段对B端网段做NAT(避免流量绕过VPN)
IKE SA 和 IPSec SA 状态正常
内网网段:192.168.1.0/24
路由表:已配置静态路由指向A端网段(192.168.0.0/24)下一跳为外网网关
IPSec策略:ACL 3336 允许B端网段访问A端多个网段
NAT策略:ACL 3001 拒绝B端网段对A端网段做NAT
IKE SA 和 IPSec SA 状态正常
ACL规则匹配问题
display acl <编号>
查看命中计数)。NAT与IPsec冲突
debug
查看丢包日志,如IPFW/7/IPFW_INFO: MBUF was intercepted!
)。VPN实例绑定错误
inside-vpn vpn-instance <名称>
,指定解密后流量的转发域。ip route-static vpn-instance <名称> ...
)。inside-vpn
导致IPsec SA的Inside VPN为空,解密失败。隧道接口状态异常
display interface tunnel <ID>
确认隧道接口为UP状态。source/destination
地址与物理接口一致且路由可达。分片与MTU问题
ipsec df-bit clear
ipsec fragmentation after-encryption
DPD检测与地址变化
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论