本文主要是介绍ipsec 建立正常后业务端口测试通过但是业务访问故障,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
某公司ipsec 分支和总部对接成功后,检查发现两端业务测试正常。分支和总部服务器可以互访,分支测试总部服务器80端口开放正常,排除两侧因策略的影响。但是总部服务器web业务和数据库业务均出现无法访问,web页面打不开,数据库连接失败。
出现此类问题通过在防火墙侧抓包发现tcp三次握手后又断开了连接。
检查发现分支侧tcp mss长度为1460,总部侧为1350。
怀疑是两端通过esp加密后报文长度超出了公网接口设置的MTU范围,检查总部公网侧端口发现其接口的mtu设置为1400,tcp mss设置为1350,这会导致分支1460的包过来后无法正常分片,将其总部和分支公网侧端口均设置为mtu1400 tcp mss 1200后,故障解除。
另外记录,如果有业务单通情况:如:分支业务网段可以访问总部业务网段(感兴趣流内业务),但是总部业务网段无法访问分支业务网段,出现此类问题许检查:
- 两端NAT是否拒绝了业务流量。
- 检查内部是否有多次nat的情况,如防火墙内网口有做nat等。
- 检查两端感兴趣流是否匹配。
这篇关于ipsec 建立正常后业务端口测试通过但是业务访问故障的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
