近期在配置锐捷路由器VPN客户端的时候,发现一个奇怪的问题,一旦开启【允许总部访问分支内网】后在客户端就无法ping通总部网络,而在路由器上是OK;经过分析后,知道了最终原因:开启【允许总部访问分支内网】会采用分支网络的客户端IP作为VPN隧道内的源IP,而总部如果没有配置相应的路由,则会导致网络包无法到达分支网络;

排查思路

  • 步骤1: 开启路由器的telnet功能

在路由器【高级 -> 系统设置】配置【认证Telnet密码配置】的密码,开启后telnet进入,并enable开启更高权限

> telnet 192.168.1.1
> enable
  • 步骤2: 确认路由器上的路由表
show ip route

输出

Ruijie#show ip route

Codes:  C - Connected, L - Local, S - Static
        R - RIP, O - OSPF, B - BGP, I - IS-IS, V - Overflow route
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2
        SU - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
        IA - Inter area, EV - BGP EVPN, * - candidate default

Gateway of last resort is no set
C     10.0.0.0/24 is directly connected, Loopback 1
C     10.0.0.1/32 is local host.
C     192.168.1.0/24 is directly connected, GigabitEthernet 0/0
C     192.168.1.1/32 is local host.

路由表确认无误后,可以通过抓包

  • 步骤3: 抓包

进入【高级 -> 抓包工具】可以配置抓包规则并添加抓包点,抓包后可以直接下载,非常方便,通过Wireshark打开下载后的抓包文件,就可以分析网络包,并且在该例中,Wireshark天然支持L2TP的解析,因此就可以很快对比包差异,从而分析出缘由。

一些收获

  • 隧道技术
用于承载另一种网络协议的技术;常见的协议有PPTP(微软出品)、L2TP(有认证但没加密)、IPSec(有加密,但没有认证)、L2TP IPSec(有加密,有认证)
  • 锐捷路由常见命令
enable - 进入特权模式
show ip interface brief - 查看接口及IP
show ip route - 查看路由表
show clock - 查看系统时间
show arp - 查看ARP表