技术文档
当前位置:技术文档

SSL VPN拨入H3C MSR5620后通过设备内网口无法登录WEB界面或者tel

来源:未知 时间:2022-06-01 14:04
 

       设备在PC上拨SSL VPN,正常,现场想在PC上通过MSR5620的内网口地址登录设备WEB或者命令行,但测试无法进行登陆。

  过程分析

        内网口地址能可以ping通,telnet或者SSH失败,WEB无法打开。访问公网口地址是正常的。

  telnet的时候设备上debug只有收,看不到发,尝试修改AC口的MTU值,无效果。

  终端抓包发现,telent的时候,PC与设备tcp建立不成功,PC发出了SYN,没有收到SYN ACK,之后超时断连。

  4. debug tcp看,平台是有发出syn ack的。

  5. 由于终端没收到,需要排查驱动是否发出,debug physical可以看到我们没有发送SYN ACK,因此问题出现在设备上。

  6. debug sslvpn 可以看出,故障是因为主控上没有会话导致无法匹配,而跨设备正常是因为包都在spu板子上进行交互。

  此问题的根本原因是因为:SSLVPN会话起在slot2上,本机登陆telnet(也包括Web登录)会话需要走slot0,这种场景下MSR56设备不支持。

  而通过sslvpn后,直接在终端跨我们的设备去telnt/web登录其他的内部服务器的时候,这样会话不会走slot0,因此现场可以成功登陆内部服务器。

  sslvpn 场景在分布式设备和IRF环境下会出现部分流量不通的问题,此问题的根本原因是SSL VPN的流量不支持跨框和跨板转发,来回流量只能在一个转发板卡上,因此部署SSL VPN的流量一定要在一个转发板上。


上一篇:H3C R4300 G3使用ledctl命令点硬盘灯导致全部硬盘黄灯闪烁
下一篇:华为AC6508外置portal认证失败
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服