• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

MSR830 VLAN内windows可以正常访问,centos访问不正常

  • 0关注
  • 0收藏,192浏览
粉丝:0人 关注:0人

问题描述:

远端使用的路由器是MSR830 默认的VLAN1的ip是192.168.20.0/24,划分了VLAN4 IP是192.168.10.0/24 两个vlan没有做隔离

本地是通过VPN连入MSR830 VPN ipsec 中acl配置的是

acl number 3001 

rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.9.0 0.0.0.255  

rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.9.0 0.0.0.255 

rule 15 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.9.0 0.0.0.255


现在的情况是,

通过VPN访问:

1. 10段内的windows机器可以正常访问,正常RDP远程都可以

2. 10段内的linux机器,使用centos1810版本可以通过SSH连接上去,但是如果碰到需要刷新界面的,或者快速刷屏的情况就会卡主。使用centos1503版本直接就连不上,一直在等待,但是都是可以ping通的

3. 把同一台linux机器放入到20网段则是正常的

在20网段内访问:

在这里访问10网段的机器是正常的,windows linux都正常

组网及组网描述:

MSR830的配置附件已经上传了,麻烦老师们指导一下。谢谢

最佳答案

粉丝:10人 关注:1人

没看见配置啊?提交附件了吗?

大神,麻烦帮忙看看,我提交了个回答,配置传不上来,只能一行行的手工换行了

三叶草 发表时间:2019-06-08
1 个回答
三叶草 知了小白
粉丝:0人 关注:0人

好像不支持附件的上传,部分配置如下,一行行手工换行好累啊。。。

# version 5.20, Release 2516P19 

acl number 3000 

rule 0 deny ip source 192.168.20.0 0.0.0.255 

 rule 5 permit ip

 acl number 3001 

 rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.9.0 0.0.0.255 

 rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.9.0 0.0.0.255

 rule 15 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.9.0 0.0.0.255 

acl number 3002  

rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 

rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.30.0 0.0.0.255 

 acl number 3040

 rule 0 permit ip destination 192.168.10.0 0.0.0.255

 rule 5 deny ip 

acl number 3050

 rule 0 deny ip destination 192.168.4.0 0.0.0.255

 rule 5 deny ip destination 192.168.20.0 0.0.0.255 

vlan 1 

vlan 2 to 4 

#

 ike peer company_ipsec 

 proposal 1 pre-shared-key cipher $c$3$nN9PgqUKLxYibey1leCpN8CV3vSE6xuTwjs540ZS

 remote-address 83.36.171.102 

 local-address 39.129.4.172 

 nat traversal dpd company_ipsec ipsec transform-set company_ipsec encapsulation-mode tunnel transform esp esp authentication-algorithm md5 esp encryption-algorithm 3des

 #

 ipsec policy 1048577 1 isakmp 

 connection-name company_ipsec

 security acl 3001

 pfs dh-group2 ike-peer company_ipsec transform-set company_ipsec sa duration traffic-based 1843200 sa duration time-based 28800

 # 

dhcp server ip-pool vlan1 extended 

 network ip range 192.168.20.1 192.168.20.119 

 network mask 255.255.255.0 

 gateway-list 192.168.20.1 

 dns-list 192.168.20.1 

dhcp server ip-pool vlan2 extended

 network ip range 192.168.5.1 192.168.5.254 

 network mask 255.255.255.0 

 gateway-list 192.168.5.1 

 dns-list 192.168.5.1 

dhcp server ip-pool vlan3 extended 

 network ip range 192.168.4.1 192.168.4.254 

 network mask 255.255.255.0 

 gateway-list 192.168.4.1 

 dns-list 192.168.4.1 

dhcp server ip-pool vlan4 extended 

 network ip range 192.168.10.1 192.168.10.254 

 network mask 255.255.255.0 

 gateway-list 192.168.10.1 

dns-list 192.168.10.1 

 attack-defense policy 86 interface GigabitEthernet0/1  

signature-detect action drop-packet signature-detect fraggle enable signature-detect land enable signature-detect winnuke enable signature-detect tcp-flag enable signature-detect icmp-unreachable enable signature-detect icmp-redirect enable signature-detect tracert enable signature-detect smurf enable signature-detect source-route enable signature-detect route-record enable signature-detect large-icmp enable defense scan enable defense scan add-to-blacklist defense syn-flood enable defense syn-flood action drop-packet defense udp-flood enable defense udp-flood action drop-packet defense icmp-flood enable defense icmp-flood action drop-packet 

#

 interface Vlan-interface1 

 ip address 192.168.20.1 255.255.255.0

 tcp mss 1024 

 dhcp server apply ip-pool vlan1 

 ip flow-ordering internal 

interface Vlan-interface2 

 ip address 192.168.5.1 255.255.255.0

 dhcp server apply ip-pool vlan2

 mac-address 9ce8-95fb-a876  

firewall packet-filter 3050 inbound 

#

 interface Vlan-interface3 

 ip address 192.168.4.1 255.255.255.0 

 dhcp server apply ip-pool vlan3 

 mac-address 9ce8-95fb-a877  

firewall packet-filter 3040 inbound

 # interface Vlan-interface4 

 ip address 192.168.10.1 255.255.255.0

 dhcp server apply ip-pool vlan4 

 interface GigabitEthernet0/1 

 port link-mode route 

 nat outbound 3000

 ip address 39.129.4.172 255.255.255.128 

 ipsec no-nat-process enable ipsec policy 1048577 attack-defense apply policy 86 dns server 211.139.29.150 dns server 211.139.29.170 ip flow-ordering external 

interface GigabitEthernet0/5 

 port link-mode bridge 

 port access vlan 4 

interface GigabitEthernet0/6 

 port link-mode bridge 

 port access vlan 2

 # 

interface GigabitEthernet0/7 

 port link-mode bridge 

 port access vlan 3 

#

 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/1 139.189.2.165  

ip route-static 10.0.0.0 255.0.0.0 GigabitEthernet0/0 10.23.228.1 

preference 1 

return

从贴的配置来看,感觉像是出口IPSEC策略的感兴趣流中没有拒绝到10段的流量 # acl number 3000 rule 0 deny ip source 192.168.20.0 0.0.0.255 rule 5 permit ip acl number 3001 rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.9.0 0.0.0.255 rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.9.0 0.0.0.255 rule 15 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.9.0 0.0.0.255 至DENY了20段的流量,具体看下是否可以deny掉10段的感兴趣流进行测试

zhiliao_N5PuY 发表时间:2019-06-08

附件应该是可以上传的吧?再试试?

zhiliao_N5PuY 发表时间:2019-06-08
回复zhiliao_N5PuY:

acl 3000只是为了不允许20段的ip访问外网而已,你意思这里要加上10段?还是说是acl3001里面的10段不起作用?如果是不起作用的话为啥又可以ping通且windows能正常连接,就是ssh连不上

三叶草 发表时间:2019-06-08
回复zhiliao_N5PuY:

实在是找不到附件上传到哪里去了,我点击了上传也显示上传了,但是发布后就没有了

三叶草 发表时间:2019-06-08
回复三叶草:

说的也是。 不行升级下设备的软件版本? 目前来看也不能确定是设备问题还是PC短问题。

zhiliao_N5PuY 发表时间:2019-06-08

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
标杆的神器激活
鼠年的运维 skr skr

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明