1. <dfn id="ewalb"></dfn><ul id="ewalb"></ul>

    3. 

    






    


    


    


    


    





    


    


    



    

    USG2200與USG2100建立IPSEC隧道后,內(nèi)網(wǎng)一個IP地址無法與遠端網(wǎng)段通信
    

    2014/11/10 13:50:44點擊:
    

    

    
	問題描述
	
    
		USG2200與USG2100對接IPSEC VPN已經(jīng)成功,USG2200下連192.168.13.0/24網(wǎng)段與USG2100下連192.168.103.0/24網(wǎng)段已經(jīng)可以互訪,但是USG2200下連IP為192.168.13.11的PC無法訪問遠端的設備,遠端設備主動訪問192.168.13.11可以成功訪問
    
處理過程
	
    

    

    
	
    
		使用192.168.13.11 ping USG2100接口IP 192.168.103.1,在USG2200上查看會話表信息如下:
    

    
 [USG2200]display firewall session table verbose source inside 192.168.13.11
    
 Current Total Sessions : 1
    
   icmp  VPN:public --> public
    
   Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:18
    
   Interface: GigabitEthernet0/0/0  NextHop: 192.168.103.1  MAC: 00-00-00-00-00-00
    

    
   <--packets:0 bytes:0   -->packets:1 bytes:60
    
   192.168.13.11:43827[58.56.90.30:43827]-->192.168.103.1:2048
    
 源IP地址出網(wǎng)時被轉(zhuǎn)換成了公網(wǎng)口IP,檢查nat配置發(fā)現(xiàn)域間nat配置沒有問題
    
 nat-policy interzone trust untrust outbound
    
 policy 2
    
   action no-nat
    
   policy source 192.168.13.0 mask 24
    
   policy source 192.168.12.0 mask 24
    
   policy destination 192.168.100.0 mask 24
    
   policy destination 192.168.101.0 mask 24
    
   policy destination 192.168.102.0 mask 24
    
   policy destination 192.168.103.0 mask 24
    

    
 policy 1
    
   action source-nat
    
   policy source 192.168.10.0 mask 24
    
   policy source 192.168.12.0 mask 24
    
   policy source 192.168.13.0 mask 24
    
   policy source 192.168.1.0 mask 24
    
   easy-ip GigabitEthernet0/0/0
    
 但是客戶在設備上配置了一條nat server命令
    
 nat server 11 protocol tcp global 58.56.90.30 3389 inside 192.168.13.11 3389
    
 導致192.168.13.11去訪問遠端IP時,匹配反向server-map表,直接將源IP地址轉(zhuǎn)換成58.56.90.30
    
 修改nat server命令后問題解決
    
	
    

    

    
	根因
	
    
		nat server后面沒有配置no-reverse參數(shù),就表示正反向server map都創(chuàng)建,且server map的優(yōu)先級高于域間的NAT策略,因此該內(nèi)網(wǎng)IP報文經(jīng)過域間的是時候會命中反向server map表
	
    

    

    
	解決方案
	
    
		修改nat server命令為不創(chuàng)建反向server-map表
    
 修改配置如下:
    
 nat server 11 protocol tcp global 58.56.90.30 3389 inside 192.168.13.11 3389 no-reverse
	
    

    

    
	建議與總結(jié)
	
    
		IPSEC VPN建立成功后兩邊用戶無法互訪需要注意以下幾點:
    
 1.兩邊用戶數(shù)據(jù)是否在感興趣流里面(security acl)
    
 2.域間策略是否放開,一般IPSEC VPN互訪的數(shù)據(jù)是從外網(wǎng)區(qū)域進來的,需要放開外網(wǎng)區(qū)域到內(nèi)網(wǎng)區(qū)域之間的域間策略
    
 3.NAT配置問題,走IPSEC VPN的數(shù)據(jù)不需要做nat,但是nat處理過程是在將數(shù)據(jù)放入隧道之前,所以需要修改配置讓走隧道的數(shù)據(jù)不做nat,除了域間nat,還需要關注nat server的反向server-map表,具體可以通過查看會話表來看數(shù)據(jù)是否被轉(zhuǎn)換了
	
    

    


    





    



    


    


    


    


    






    



不卡人妻在线精品无码_亚洲国产日韩一区二区三区_亚洲AV福利无码无一区二区_国产无码精品一区
亚洲精品91天天久久人人
亚洲国产欧美不卡在线观看
国自产拍av在线天天更新不卡


      

    1. <dfn id="ewalb"></dfn><ul id="ewalb"></ul>

      3.