文档编号:566
浏览:8549 评分:14
最后更新于:2009-12-24
环境介绍:
某连锁机构通过VPN技术将各分店与总店互联,形成局域网到局域网无障碍的访问通道,以实现分店营业数据实时上传到总店服务器进行存储。
总店具有双VPN中心端设备,并由两台VPN中心端设备各自承担一部分分店的VPN连接任务。总店的局域网IP地址段是192.168.1.0/24,总店服务器群的局域网IP地址假设为192.168.1.101至192.168.1.110,且统一指定默认网关为其中的一台VPN中心端设备A(为便于区分,给予代号A),A设备的局域网IP地址假设是192.168.1.1/24,另一台VPN中心设备B的局域网IP地址假设是192.168.1.254/24。
分店在VPN部署时划分了两个部分,一部分分店与总店的VPN中心端设备A建立VPN连接,这些分店的局域网IP地址段是192.168.2.0/24至192.168.100.0/24;另一部分分店与总店的VPN中心端设备B建立VPN连接,这些分店的局域网IP地址段是192.168.101.0/24至192.168.200.0/24。
问题以及原因分析:
当分店产生数据通过相应的VPN隧道传输到总店的VPN中心设备,此时无论是A还是B,均可以将数据匹配现有路由表由局域网接口转发给服务器。再当数据从服务器返回时,由于是到与服务器不在相同网段的分店终端设备上,故服务器将数据交给网关处理(服务器指定的网关是A)。总店VPN中心端设备A受到服务器向分店发送的数据时,查找路由表,可以将去往192.168.2.0/24至192.168.100.0/24的分店的数据由VPN隧道进行转发,而无法转发去往另一部分分店192.168.101.0/24至192.168.200.0/24的数据。
因为总店VPN中心端设备A只是与一部分分店建立了VPN连接,这部分分店的IP地址段是192.168.2.0/24至192.168.100.0/24,那么A设备上具有前往这部分分店的路由。而另一部分分店192.168.101.0/24至192.168.200.0/24是与另一台VPN中心端设备B建立的VPN连接,去往这部分分店的路由只是在B设备上有,而A却没有。
解决办法:
在总店的VPN中心端设备A上,添加到与设备B建立VPN隧道的那部分分店的静态路由。在这里,与B建立VPN的分店的IP地址段是192.168.101.0/24至192.168.200.0/24,为减少逐条配置静态路由的工作量,我们可以通过扩大子网掩码的方式,将100个24位掩码的地址段汇总到少量的几条路由:192.168.101.0/24、192.168.102.0/23、192.168.104.0/21、192.168.112.0/20、192.168.128.0/18、192.168.192.0/21、192.168.200.0/24。配置截图如下所示: