|
一、组网场景: 远程用户通过L2TP进入总部内网,访问内部服务器,总部出口路由器由于是多出口场景。
二、排查步骤: 1、隧道及会话均建立成功 ===============display l2tp session=============== ======================================================== Total session : 1 LocalSID RemoteSID LocalTID Interface LclTAddr RmtTAddr LclSAddr RmtSAddr 1 5 33 Virtual-Template1:0 117.141.131.53 139.9.159.61 10.10.10.1 10.10.10.85 ======================================================= ===============display l2tp tunnel=============== ======================================================= Total tunnel : 1 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 33 5 139.9.159.61 1703 1 huawei
2、确认均使用缺省路由 ===============display ip routing-table=============== ============================================================ Route Flags: R - relay, D - download to fib, T - to vpn-instance ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 23 Routes : 25 Destination/Mask Proto Pre Cost Flags NextHop Interface 0.0.0.0/0 Static 60 0 D 117.141.131.1 GigabitEthernet0/0/10 Static 60 0 D 113.17.35.85 Dialer2 Static 60 0 D 100.106.94.182 Dialer1
3、查看配置,发现LAN口有策略路由配置 interface Vlanif1 ip address 172.10.0.1 255.255.255.0 traffic-policy xuanlu inbound
traffic policy xuanlu classifier hutong behavior hutong precedence 5 classifier 172guding behavior 172guding precedence 15 traffic classifier 172guding operator or if-match acl 3002 traffic behavior 172guding redirect ip-nexthop 117.141.131.1
acl number 3002 rule 5 permit ip source 172.10.0.0 0.0.0.63
4、查看报文,确认AR没有封装L2TP报文
三、问题原因:定位为策略路由导致报文直接从物理的外网口出,未经过Virtual-template 封装。
四、解决方法: 增加优先级高的CB对,classifier里放通source 172.10.0.0 0.0.0.63 destination 10.10.10.0 0.0.0.255,behavior不填(默认转发)。
测试结果: 增加默认放通配置后,内网服务器访问成功。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63265
发表于 2023-11-1 20:44:08
置顶卡
喧嚣卡
变色卡
千斤顶