客戶網絡由總部和(hé)分(fēn)部,總部和α¶(hé)分(fēn)部之間(jiān)建立ipsec vpn♣£<∑,總部內(nèi)部配置nat outbound和(hé&∞♦)nat server,配置完成後,發現(xiàn ±→)內(nèi)部PC間(jiān)互訪沒有(yǒu)問(wèn)題,分♥→₹©(fēn)部PC也(yě)可(kě)以訪問(wèn)總部的(de)se↔>☆rver,但(dàn)是(shì)總部server無法訪問¥♣(wèn)分(fēn)部資源了(le)。
針對(duì)這(zhè)種組網環境和(hé)需求,關鍵在于nat out₩✘ ₽bound和(hé)nat server的(de)配置,因為±×"(wèi)如(rú)果配置nat outbo←≤und沒有(yǒu)排除,進行(xíng)了(le)源♥≥'©nat,nat-server反向server-map表導緻無法命中ac♣÷αl封裝ipsec數(shù)據等。
1、查看(kàn)客戶防火(huǒ)↔←≠牆配置,從(cóng)配置看(kàn)客戶已經将互訪排除,不(≈>γbù)進行(xíng)nat轉換,排除nat outbound≠®導緻的(de)故障。
2、那(nà)繼續測試€××₩,查看(kàn)客戶nat server配₹₽置,是(shì)一(yī)般配置,正常情況下(xià), €×應該沒有(yǒu)問(wèn)題,所以分(fēn)部也(×✔∞yě)可(kě)以正常訪問(wèn)總部,×↓→<但(dàn)是(shì)由于在進行(xí ₽ ng)nat server轉換時(shí),也(yě)會(huφε §ì)生(shēng)成反向server-map表, ✘$導緻內(nèi)部server私網地(dì)址轉換"<為(wèi)公網地(dì)址無法命中acl,導緻總部的∏€(de)server無法訪問(wèn)分←∑✔Ω(fēn)部資源。對(duì)nat serverσ±₹α進行(xíng)優化(huà),配置時(shí)加入no-reverse σ∏£參數(shù),不(bù)生(shēng)成反向server-map表,故障接觸。
無