故障描述
客户网络由总部和分部,总部和分部之间建立ipsec vpn,总部内部配置nat outbound和nat server,配置完成后,发现内部PC间互访没有问题,分部PC也可以访问总部的server,但是总部server无法访问分部资源了。
故障分析
针对这种组网环境和需求,关键在于nat outbound和nat server的配置,因为如果配置nat outbound没有排除,进行了源nat,nat-server反向server-map表导致无法命中acl封装ipsec数据等。
处理过程
1、查看客户防火墙配置,从配置看客户已经将互访排除,不进行nat转换,排除nat outbound导致的故障。
2、那继续测试,查看客户nat server配置,是一般配置,正常情况下,应该没有问题,所以分部也可以正常访问总部,但是由于在进行nat server转换时,也会生成反向server-map表,导致内部server私网地址转换为公网地址无法命中acl,导致总部的server无法访问分部资源。对nat server进行优化,配置时加入no-reverse参数,不生成反向server-map表,故障接触。
建议/总结
无