欢迎进入华为社区论坛，与200万技术人员互动交流 >>进入     没动工之前的的情况是这样的
    ABC三地，A华为100E，BC各是华为的AR2811，作了gre vpn，ping值稳定在10MS。但就是打开内网erp软件的时候非常慢。这软件是web型式的，当时那俩从北京请来的工程师想了半天，加了条“tcp mss 1024”，问题解决。
    这是一年前的事了，前几天又收购了一家子公司D，想把这家子公司也加到这个vpn里面。摧的比较急，市场上找不到ar2811了，只好找了台USG2160。下面让哥头痛了6天的麻烦事就开始了。
    第一天，从A 地任意pc机ping   D地pc可以通。 从2160上ping  A地任意也可以通。就是2160下任何pc机ping不通A地。
    第二天，上级供货商联系工程师调，没结果。没办法打400找了华为工程师，华为在他们的实验室调试的结果是可以通的，让我们查查局域网是不是有毛病。
    第三天，经过哥推理吧，局域网没问题。再找华为工程师，这时换了另一位工程师，他查了半天，把
    acl number 3000
    rule 5 permit ip source 192.168.4.208 0.0.0.15
    改写成
    acl number 3000
    rule 0 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
    rule 5 permit ip source 192.168.4.208 0.0.0.15
    这时vpn通了，ping值平均8ms。本来以为大功告成，可以收钱了。顺手试了下那该死的erp软件，他良的，密码验证不过去……
    第四天，联系软件商，逼着他们查了半天，结果是软件OK。华为那边也一直在想办法，晚上华为在D地pc机上抓包。
    第五天，问题转到了北京华为专门研发usg产品部门，根据抓包分析，加了条
    firewall tcp-mss 1024
    不通，再加
    firewall defend syn-flood enable
    firewall defend syn-flood interface Vlanif1 tcp-proxy on
    谢天谢地，那该死的软件终于可以登录了。
    这个问题比较特殊，可能碰到的少。我想还是跟大家分享一下，W一哪天用得到呢。
    另外就是想问问，红色的几条命令都是啥意思，小弟嘛都不懂。
    写作水平太低，不知道表达清楚没有，大家将就着看吧。
    相关配置在http://bbs.51cto.com/thread-814482-1.html，有兴趣可以去看看。