技术文档
当前位置:技术文档

H3C F1070防火墙建立了vpn,但是内网资源无法互通

来源:未知 时间:2022-04-14 16:13
 

      组网及说明:

  VPN1与VPN2建立GRE OVER IPSEC,VPN1与VPN2的GRE的tunnel地址分别为10.0.0.1与10.0.0.2,隧道源目地址分别为11.11.11.11与22.22.22.22,内网分别使用Loopback10与loopback20代替,GRE保护的内网地址通过OSPF打通,建立IPSEC的公网地址通过静态路由打通.

  问题描述:

  现场IPSEC隧道已经建立,但是VPN1与VPN2的LOOPBAKC地址无法互通

  问题分析:

  排查分析发现以tunnel口建立的OSPF邻居一直在down与full之间震荡,查看VPN1的配置,发现VPN1的OSPF将202.0.0.1公网地址network了,

  ospf 1

  area 0.0.0.0

  network 1.1.1.1 0.0.0.0

  network 3.3.3.3 0.0.0.0

  network 10.0.0.0 0.0.0.3

  network 202.0.0.1 0.0.0.0

  具体分析如下:

  当OSPF邻居down的时候,HELLO报文封装IPSEC公网头,通过默认路由发出,但是当OSPF邻居建立之后,因为202.0.0.1被宣告了,所以该地址也要封装,封装之后还是202.0.0.1,然后再走封装,如此无线循环封装.

  解决方案:

  在VPN1设备的OSPF中,将VPN1的公网202.0.0.1不进行宣告,此时VPN1的Loopbakc地址就能ping通VPN2设备的loobpack地址了


上一篇:华为AirEngine 5760-51在控制器上无法上线,无法登录
下一篇:H3C无线控制器URL过滤典型配置举例(V7)
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服