最近收到一个朋友的请求,说他所在的公司网络,在做了一个网络设定之后,无法访问子公司VPN客户端那边的设备,而对方却可以访问我朋友所在服务端的设备,但把那个设定去掉之后,依旧无法访问VPN客户端,不知道是什么问题,查了很久也查不出来,想让我帮忙。
收到朋友的请求后,我认为很有可能是子公司那边的问题,于是就到子公司所在现场进行了查看,了解了一下大致的网络拓扑情况,具体类似如下:
核心交换机有三个VLAN,分别是:
一、VLAN 1 :网段:172.16.1.0,子网掩码:255.255.255.0,VLAN IP:172.16.1.1
该网段主要是连接路由器,且连接了两个路由器,一个是访问Internet使用的,另一个则是VPN专线,主要与总部的网络相连。
二、VLAN 2:网段:172.16.2.0,子网掩码:255.255.255.0,VLAN IP:172.16.2.1
该网段主要是与网内的PC及其它办公终端相连,为办公使用;
三、VLAN 3:网段:172.16.3.0,子网掩码:255.255.255.0,VLAN IP:172.16.3.1
该网段为监控系统专用网段,数据以视频流为主。
两个路由器里面,其中一个是VPN路由器,LAN地址为:172.16.1.254,使用OpenVPN与朋友那边的总部相连(服务器都在总部),拨号后,固定了VPN的IP地址为10.6.6.2(总部VPN服务器由路由器担当,VPN网关地址为10.6.6.1)。
总部服务器网段为:172.17.1.0,子网掩码:255.255.255.0 网关IP:172.17.1.1
总部路由器LAN所在网段:172.17.0.0,子网掩码255.255.255.0 网关IP:172.17.0.1,LAN IP为172.17.0.2
为了能让两个厂区相互连接,同时让子公司的Internet流量走Internet专用线路,我们需要写几条静态路由:
在子公司处写:
目标网段:172.17.1.0 子网掩码:255.255.255.0 下一跳:172.16.1.254
默认路由: 0.0.0.0 0.0.0.0 下一跳172.16.1.253
然后,在总部的VPN服务器中,写几条回程路由,分别是:
目标网段:172.16.1.0 子网掩码:255.255.255.0 下一跳:10.6.6.2
目标网段:172.16.2.0 子网掩码:255.255.255.0 下一跳:10.6.6.2
目标网段:172.16.3.0 子网掩码:255.255.255.0 下一跳:10.6.6.2
做完这几条静态路由后,子公司这边就可以顺利地访问总部的网段,在子公司执行traceroute应该会经过这下面这几个地址所在的设备(以子公司VLAN2为例,访问IP地址为172.17.1.2的服务器):
172.16.2.1(核心交换机的VLAN IP,该VLAN的网关)
172.16.1.254(子公司路由器)
10.6.6.1(总部VPN服务器)
172.17.0.1(总部VPN服务器所在网段的核心交换机VLAN网关)
172.17.1.2(服务器,访问终点)
正常情况下总部也应该能访问子公司的网段,事实上之前一直是这么配置的,但是很奇怪,最近在总部突然就无法访问子公司的终端了,在IP地址为172.17.1.2的服务器执行traceroute,可顺利经过的有如下节点
172.17.1.1 (服务器所在网段的网关,即核心交换机)
172.17.0.2 (总部路由器,同时也是VPN服务器)
10.6.6.2 (子公司VPN路由器)
然后就跑不下去了。既然到了子公司VPN路由器,且在总部能访问子公司VPN路由器的管理页面,说明至少是从总部到子公司VPN路由器之间的路由是没有问题的,但再往下就跑不下去,可能是子公司VPN路由器到子公司核心交换机的路由存在问题。于是再仔细看了一下静态路由的配置,又望了一下总部路由器相关的IP地址,突然想到,难道是子公司的默认路由配置与从总部访问的回程路由存在冲突?于是在子公司的核心交换机里面,增加了两条静态路由:
目标网段:10.6.6.0 子网掩码:255.255.255.0 下一跳:172.16.1.254
目标网段:172.17.0.0 子网掩码:255.255.255.0 下一跳:172.16.1.254
写完之后测试,问题果然解决了!
但是一直想不通的是,之前没有写这两条静态路由上去的,互访很正常,但是为什么突然间就不行了呢?
