欢迎进入华为社区论坛,与200万技术人员互动交流 >>进入 没动工之前的的情况是这样的
ABC三地,A华为100E,BC各是华为的AR2811,作了gre vpn,ping值稳定在10MS。但就是打开内网erp软件的时候非常慢。这软件是web型式的,当时那俩从北京请来的工程师想了半天,加了条“tcp mss 1024”,问题解决。
这是一年前的事了,前几天又收购了一家子公司D,想把这家子公司也加到这个vpn里面。摧的比较急,市场上找不到ar2811了,只好找了台USG2160。下面让哥头痛了6天的麻烦事就开始了。
第一天,从A 地任意pc机ping D地pc可以通。 从2160上ping A地任意也可以通。就是2160下任何pc机ping不通A地。
第二天,上级供货商联系工程师调,没结果。没办法打400找了华为工程师,华为在他们的实验室调试的结果是可以通的,让我们查查局域网是不是有毛病。
第三天,经过哥推理吧,局域网没问题。再找华为工程师,这时换了另一位工程师,他查了半天,把
acl number 3000
rule 5 permit ip source 192.168.4.208 0.0.0.15
改写成
acl number 3000
rule 0 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.4.208 0.0.0.15
这时vpn通了,ping值平均8ms。本来以为大功告成,可以收钱了。顺手试了下那该死的erp软件,他良的,密码验证不过去……
第四天,联系软件商,逼着他们查了半天,结果是软件OK。华为那边也一直在想办法,晚上华为在D地pc机上抓包。
第五天,问题转到了北京华为专门研发usg产品部门,根据抓包分析,加了条
firewall tcp-mss 1024
不通,再加
firewall defend syn-flood enable
firewall defend syn-flood interface Vlanif1 tcp-proxy on
谢天谢地,那该死的软件终于可以登录了。
这个问题比较特殊,可能碰到的少。我想还是跟大家分享一下,W一哪天用得到呢。
另外就是想问问,红色的几条命令都是啥意思,小弟嘛都不懂。
写作水平太低,不知道表达清楚没有,大家将就着看吧。
相关配置在http://bbs.51cto.com/thread-814482-1.html,有兴趣可以去看看。
正在招生
友情链接