SSL VPN撥入H3C MSR5620后通過設(shè)備內(nèi)網(wǎng)口無法登錄WEB界面或者tel

發(fā)布時(shí)間：2024-04-17

設(shè)備在pc上撥ssl vpn，正常，現(xiàn)場想在pc上通過msr5620的內(nèi)網(wǎng)口地址登錄設(shè)備web或者命令行，但測試無法進(jìn)行登陸。
過程分析
內(nèi)網(wǎng)口地址能可以ping通，telnet或者ssh失敗，web無法打開。訪問公網(wǎng)口地址是正常的。
telnet的時(shí)候設(shè)備上debug只有收，看不到發(fā)，嘗試修改ac口的mtu值，無效果。
終端抓包發(fā)現(xiàn)，telent的時(shí)候，pc與設(shè)備tcp建立不成功，pc發(fā)出了syn,沒有收到syn ack，之后超時(shí)斷連。
4. debug tcp看，平臺(tái)是有發(fā)出syn ack的。
5. 由于終端沒收到，需要排查驅(qū)動(dòng)是否發(fā)出，debug physical可以看到我們沒有發(fā)送syn ack，因此問題出現(xiàn)在設(shè)備上。
6. debug sslvpn 可以看出，故障是因?yàn)橹骺厣蠜]有會(huì)話導(dǎo)致無法匹配，而跨設(shè)備正常是因?yàn)榘荚趕pu板子上進(jìn)行交互。
此問題的根本原因是因?yàn)椋簊slvpn會(huì)話起在slot2上，本機(jī)登陸telnet(也包括web登錄)會(huì)話需要走slot0，這種場景下msr56設(shè)備不支持。
而通過sslvpn后，直接在終端跨我們的設(shè)備去telnt/web登錄其他的內(nèi)部服務(wù)器的時(shí)候，這樣會(huì)話不會(huì)走slot0，因此現(xiàn)場可以成功登陸內(nèi)部服務(wù)器。
sslvpn 場景在分布式設(shè)備和irf環(huán)境下會(huì)出現(xiàn)部分流量不通的問題，此問題的根本原因是ssl vpn的流量不支持跨框和跨板轉(zhuǎn)發(fā)，來回流量只能在一個(gè)轉(zhuǎn)發(fā)板卡上，因此部署ssl vpn的流量一定要在一個(gè)轉(zhuǎn)發(fā)板上。