拓扑图: A网(192.168.100.x) <-------- > 路由A <-----> 公网 <---------> 路由B(U200-CA) <----> 核心(S7503) <------>(192.168.200.x)B网
路由A已与路由B 成功建立IPSEC隧道, A网PING B网正常。 但A网访问B网时,B网内设备显示的源地址是"路由B" 的内网地址,导致建立连接失败。求支持,感谢!!
(0)
在路由器B上抓包看下源地址是不是192.168.100.x,如果是的话,检查一下应用软件,正常来说,能ping通说明路由没有问题了,但是访问的时候,B侧提示源地址是B的内网地址,看看是不是B的应用软件在检测源地址的时候有问题?
(0)
路由器B(地址10.X) 会话里显示:100.X-> 200.X, B端设备响应200.X - 10.X,而不是100.X
这样的情况,B端访问A端呢,建立的ipsec sa 保护数据流正确吗。
(0)
B端也可以访问A端,不知什么原因,不稳定,PING有时通有时不通。
nat是做在哪儿。
在B端,U200上
哦哦 那这样你在 U200上 nat 的acl中,这个是华三的设备吗。看着不太像
路由器A也做了 NAT是吧。
在双方的NAT ACL中,先写一条拒绝两个私网网段的互访的数据流,后面再是permit其他的。
A端ROS,B端H3C U200 + S7503。 B端已经做了ACL。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
是的。 ACL也设置了兴趣流,但是仍没解决上述问题
内网做了NAT,源地址是会改的,不要用NAT,确保两端的ACL是对称的,然后在出接口NAT ACL中deny掉IPSec的ACL。
能单独关掉去往某网段的NAT吗?如何操作?麻烦指导下......
可以在ACL里面deny掉去某网段的ACL
这个已经做过了。设置ACL后不管用才来请教大家的...