问题描述 总部ssl vpn发布了l3全网 底下员工登陆vpn后ping不通总部某台服务器,然后又创建了tcp资源测试还是不行。 问题原因 后续排查发现虚拟ip固定的内网相同网段地址。 LAN口IP--服务器IP--虚拟IP池 网关部署在VPN上面。 客户要求虚拟IP为自己内网地址 所以服务器跟虚拟IP池和LAN口在一个段的话交换机就发广播是广播不到VPN的。 SSL用户访问的时候走的是VPN TUN口,然后VPN通过LAN口找到服务器,此时回包就出现问题。 这时候服务器跟SSL一个段的话,他就内网广播ssl客户端的那个地址了,VPN设备LAN口是网关,设备的vpntun口收不到这个广播包,然后回包就回不去了。 问题解决方法 需要进行网络改造,将该网段划分成两个段,将虚拟IP池跟服务器IP分成两个段,一个段的话不走三层网络不会去找网关,两个网段的话它就去走三层匹配路由表去了,然后也不需要写网关,因为VPN本身就是网关。 问题扩展1 如果网关部署在核心上需要写回包路由,服务器地址 掩码 下一跳写核心跟VPN互联的那个地址即可。 问题扩展2 如果虚拟IP池可以自拟IP段的话,也就不需要在划分网段了,但是需要写回包路由。 |