[i=s] 本帖最后由 network123 于 2025-12-6 14:56 编辑 [/i]
本次案例中给大家介绍一个非常有趣的项目小案例,话不多说,先上拓扑
拓扑介绍
1,总部采用双出口:电信,移动;分支采用单出口:移动
2,分支机构和总部电信出口之间建立IPsec VPN隧道,保护两端内网相关数据流。
配置说明
两端设备配置简单,都是基本的IPsec VPN 配置,两端都用的是锐捷设备。
故障现象
两端的IPsec VPN配置参数一致,同时IPsec VPN两个阶段的SA都有,但总部和分支机构之间的终端电脑始终无法ping通!!!这就奇怪啦。
此时,细心的小伙伴已经发现问题所在。
我也是在排查过程中偶然发现的:分支移动出口IP和总部移动出口IP竟然在同一个地址段内,真坑。
各位小伙伴都知道,从总部到分支的数据流,IPsec VPN封装数据的外层公网IP报文头,,源IP是总部电信出口IP,目标IP是分支移动出口IP。总部路由器转发数据时,会执行基于目标IP的路由查找,发现目标IP匹配直连路由,发送ARP请求,直接请求目标IP对应的MAC地址,但由于这一地址在移动运营商设备上不存在,因此运营商设备无法做ARP应答,从而导致网络不通!!!
解决办法
路由器接收到数据包,在查找路由表执行三层转发时,将数据包的目标IP地址按照“从左到右,逐位匹配”的原则与每条路由条目进行比对,直至匹配到前缀长度最长的路由表项,然后转发,这就是最长匹配原则。
根据这一原则,我们需要让总部路由器把目标IP是分支出口移动IP的数据包强制从电信出口转发,因此在总部路由器上,配置如下静态主机路由,下一跳为电信的默认网关地址。
ip route 2.2.2.10 255.255.255.255 1.1.1.2
我们再查看总部路由器的路由表
这样配置完成之后,问题完美解决!!!
