最佳答案
核心原因一句话
正确方案:策略路由里加 “例外”
步骤 1:写一个 ACL,放行 SSL VPN 访问内网
acl advanced 3000
# 允许 SSL VPN 访问内网服务器(不走策略路由)
rule permit ip source 192.168.100.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule permit ip source 192.168.100.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule permit ip source 192.168.100.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule permit ip source 192.168.100.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
quit
步骤 2:在策略路由中 先拒绝这条 ACL
- VLAN10/20 → PBR 下一跳 WAN1
- VLAN30/40 → PBR 下一跳 WAN2
policy-based-route policy-1 deny node 1
if-match acl 3000
quit
# 后面再跟上你原来的策略路由节点
policy-based-route policy-1 permit node 10
if-match acl 3010 # 匹配VLAN10/20
apply output-interface Dialer1 # WAN1
quit
policy-based-route policy-1 permit node 20
if-match acl 3020 # 匹配VLAN30/40
apply output-interface Dialer2 # WAN2
quit
步骤 3:确保域间策略放行 SSL VPN
security-policy
rule name sslvpn-to-trust
source-zone Local
destination-zone trust
source-address 192.168.100.0 24
action permit
quit
步骤 4:确保 SSL VPN 本身绑定在正确 WAN 口
ssl vpn vpn-instance (默认即可)
gateway interface Dialer1 # 强制走WAN1
最终效果
- SSL VPN 拨号正常
- 访问 192.168.10.0/24 服务器正常
- 内网 VLAN 分流(10/20→WAN1,30/40→WAN2)不变
- 一开策略路由也不会断 SSL VPN
ssl vpn vpn-instance (默认即可) gateway interface Dialer1 # 强制走WAN1 没有这条命令。请问有详细的视图吗。谢谢感激不尽
策略路由器上需要设置空节点,就是在node节点最前面,再加一个node节点,不执行任何动作(所以叫做空节点)
匹配中SSL VPN:100网段访问访问服务器:10网段的流量,不执行任何动作,让其走默认路由
100网段访问访问服务器:10网段的流量,不执行任何动作 这是在哪里设置?acl?还是策略路由的空节点?
源ip + 目标ip 的acl是不是?我明天试试太谢谢你了
你遇到的情况很典型。问题根源在于,策略路由的规则匹配了 来自SSLVPN用户的流量,并将其错误地转发出公网,而非正常地导向内网服务器。
要解决这个问题,核心思路是:让策略路由“放行”来自SSLVPN地址池访问内网的流量,使其走正常的内网路由。
问题成因分析
策略路由的“越权接管”:当你在防火墙内网接口(如
GigabitEthernet1/0/1)应用策略路由时,所有经过该接口的流量(包括从SSLVPN通道进入的流量)都会被策略路由规则检查。流量的“错误出境”:你的策略路由规则(ACL 3000)很可能匹配了SSLVPN用户(源IP为
192.168.100.0/24)访问内网服务器(目的IP为192.168.10.0/24)的流量。由于规则动作是apply next-hop到公网网关,导致这些流量被错误地引向了公网,自然无法抵达内网服务器。
解决方案:修改策略路由规则
方案一:精确“放行”(推荐)
在你的策略路由ACL 3000中,添加一条规则,明确允许 SSLVPN用户访问内网服务器的流量,并且不指定出口。由于策略路由是顺序匹配的,这条规则需要放置在原有转发规则之前。
rule 5 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 10 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 15 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 20 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 # 原有的内网访问公网规则保持不变
rule 100 permit ip source 192.168.10.0 0.0.0.255
rule 110 permit ip source 192.168.20.0 0.0.0.255
rule 200 permit ip source 192.168.30.0 0.0.0.255
apply next-hop <WAN2-Gateway>
rule 210 permit ip source 192.168.40.0 0.0.0.255
apply next-hop <WAN2-Gateway>
方案二:创建一个“空节点”
创建一个节点编号较小(优先级高)的空策略路由节点,仅匹配SSLVPN流量并放行,不指定任何动作。这样流量就不会被后续的WAN口分流规则匹配。
rule 5 permit ip source 192.168.100.0 0.0.0.255 # 创建策略路由pbr,添加一个节点5,仅匹配ACL 3100,不做任何动作
policy-based-route pbr permit node 5
if-match acl 3100 # 原有的分流规则作为节点10、20等继续使用
policy-based-route pbr permit node 10
if-match acl 3000 apply
next-hop <WAN1-Gateway>
如果修改策略路由后问题依旧,可以按顺序排查:
检查安全策略:确认防火墙已配置从
SSLVPN安全域到Trust安全域的放行策略。检查回程路由:核心交换机需要有指向SSLVPN地址池的路由,下一跳为防火墙的内网口IP。
启用源进源出:在WAN口视图下执行
ip last-hop hold命令,确保流量从哪个接口进就从哪个接口出,避免回程流量因匹配策略路由而出错。检查AC口地址池:确保SSLVPN AC口的IP地址(如有)与内网网段不重叠。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
ssl vpn vpn-instance (默认即可) gateway interface Dialer1 # 强制走WAN1 没有这条命令。请问有详细的视图吗。谢谢感激不尽