SSL VPN撥入H3C MSR5620后通過(guò)設(shè)備內(nèi)網(wǎng)口無(wú)法登錄WEB界面或者tel

發(fā)布時(shí)間：2024-04-17

設(shè)備在pc上撥ssl vpn，正常，現(xiàn)場(chǎng)想在pc上通過(guò)msr5620的內(nèi)網(wǎng)口地址登錄設(shè)備web或者命令行，但測(cè)試無(wú)法進(jìn)行登陸。
過(guò)程分析
內(nèi)網(wǎng)口地址能可以ping通，telnet或者ssh失敗，web無(wú)法打開(kāi)。訪問(wèn)公網(wǎng)口地址是正常的。
telnet的時(shí)候設(shè)備上debug只有收，看不到發(fā)，嘗試修改ac口的mtu值，無(wú)效果。
終端抓包發(fā)現(xiàn)，telent的時(shí)候，pc與設(shè)備tcp建立不成功，pc發(fā)出了syn,沒(méi)有收到syn ack，之后超時(shí)斷連。
4. debug tcp看，平臺(tái)是有發(fā)出syn ack的。
5. 由于終端沒(méi)收到，需要排查驅(qū)動(dòng)是否發(fā)出，debug physical可以看到我們沒(méi)有發(fā)送syn ack，因此問(wèn)題出現(xiàn)在設(shè)備上。
6. debug sslvpn 可以看出，故障是因?yàn)橹骺厣蠜](méi)有會(huì)話導(dǎo)致無(wú)法匹配，而跨設(shè)備正常是因?yàn)榘荚趕pu板子上進(jìn)行交互。
此問(wèn)題的根本原因是因?yàn)椋簊slvpn會(huì)話起在slot2上，本機(jī)登陸telnet(也包括web登錄)會(huì)話需要走slot0，這種場(chǎng)景下msr56設(shè)備不支持。
而通過(guò)sslvpn后，直接在終端跨我們的設(shè)備去telnt/web登錄其他的內(nèi)部服務(wù)器的時(shí)候，這樣會(huì)話不會(huì)走slot0，因此現(xiàn)場(chǎng)可以成功登陸內(nèi)部服務(wù)器。
sslvpn 場(chǎng)景在分布式設(shè)備和irf環(huán)境下會(huì)出現(xiàn)部分流量不通的問(wèn)題，此問(wèn)題的根本原因是ssl vpn的流量不支持跨框和跨板轉(zhuǎn)發(fā)，來(lái)回流量只能在一個(gè)轉(zhuǎn)發(fā)板卡上，因此部署ssl vpn的流量一定要在一個(gè)轉(zhuǎn)發(fā)板上。