请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1922|回复: 3

【原创故障案例分享】路由可达故障案例一则

[复制链接]
发表于 2018-3-16 16:44:26 | 显示全部楼层 |阅读模式
本帖最后由 YilinChen 于 2018-3-16 16:49 编辑

真人真事,前段时间搭建VMWARE NSX的测试环境,出口一台防火墙,开启SSLVPN拨入功能,内部3台物理服务器和3台交换机;

规划了5个网段:
172.16.0.0/24 用于 服务器带外管理及网络设备带外管理;
172.16.1.0/24 用于 服务器ESXI主机管理地址;
172.16.2.0/24 用于 VC 管理地址;
172.16.3.0/24 172.16.4.0/24 2个网段 用于 VMotion 地址段 (为了验证跨3层,跨物理主机迁移 是否存在BUG或其它问题);

周六在家进行部署测试,
1、通过 服务器带外管理,安装ESXI镜像,正常;
2、可正常通过Web Client 管理ESXI主机;
3、在一台ESXI主机安装VC(VM),分配172.16.2.0/24网段内地址;

接着,问题出现了,无法登陆VC,通过WEB Clinet 登陆 VC CLI 控制台,发现能VC 能够PING 通网关,也可以PING通 ESXI主机地址 (172.16.1.0/24);
推测在安装过程中参数配置存在问题,反复多次通过安装后问题依然存在;
重新思考可能存在的问题点,有一个现象是 操作电脑无法PING通 VC 虚机的IP地址;
CMD下 Route Print 了一把,终于发现了问题的根源;
因为是采用SSLVPN拨号远程进行部署的,PC拨SSLVPN后,防火墙推给了客户端明细路由地址,但是,PC机本身局域网内所属于的IP地址段,也是172.16.2.0/24 内网段,根据路由选路原则 ,本地地址的优先级高于 SSLVPN推过来的明细路由,所以PC根本就没有将访问 VC IP 数据包 转发到 SSLVPN Tunnel上;

找到问题根源就好解决了,一种方法是变更 VC的管理IP地址段,另一种是变更PC局域网的IP地址段,考虑便利性,修改了本地局域网段为172.16.100.0/24后故障解决;

总结:
在SSLVPN拨入后,依然需要考虑PC本地网络是否存在路由可达性问题,特别要注意检查 SSLVPN推送的路由条目是否会和PC本地局域网内部地址段存在重叠;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (6 评价)
发表于 2018-3-16 17:03:07 | 显示全部楼层
学习了,很有用
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2018-3-17 10:51:06 | 显示全部楼层
学习了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-3-17 20:31:41 | 显示全部楼层
虚拟化真是个好东西
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-21 04:05 , Processed in 0.098666 second(s), 36 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表