路由器(qì)ar2200V200R003C01SPC900建立IPSECVPN以後，兩邊局域網互訪，可(kě)以訪問某服務器(qì)的一級頁面，無法訪問2級頁面-昆明耀銘網絡科技有限公司

路由器(qì)ar2200V200R003C01SPC900建立IPSECVPN以後，兩邊局域網互訪，可(kě)以訪問某服務器(qì)的一級頁面，無法訪問2級頁面

2014/12/18 15:27:21點擊：

問題描述

pc1---ar2200-1---------公網ipsec vpn------ar2200-2----內(nèi)網服務器(qì)s1
ar2200-1和(hé)ar2200-2之間(jiān)建立ipsec vpn連接，pc1的內(nèi)網和(hé)s1的內(nèi)網要實現互訪，并且pc1內(nèi)網要訪問內(nèi)網服務器(qì)s1，
內(nèi)網服務器(qì)s1是一個(gè)網頁服務器(qì)，pc終端可(kě)以通(tōng)過網頁的方式登錄s1，并點擊2級頁面連接進行(xíng)ftp下載。
故障現象:ipsec vpn也成功建立，pc1可(kě)以ping通(tōng)s1，pc1可(kě)以通(tōng)過內(nèi)網服務器(qì)s1的ip地址登陸該服務器(qì)的一級頁面，但(dàn)是點擊2級頁面的連接以後，無法訪問。

處理(lǐ)過程

1：确認ipsec vpn建立正常（兩邊網絡可(kě)以互相ping通(tōng)）
2：用s1的內(nèi)網pc去測試看能否訪問s1服務器(qì)（經确認s1內(nèi)網pc可(kě)以正常訪問服務器(qì)的2級頁面---表示服務器(qì)本身沒有(yǒu)問題）
3：更改外網接口tcp adjust-mss值為1200後解決

根因

ipsec vpn頭部+ip頭部+ftp頭部大(dà)于接口MTU值照成的
考慮到TCP報文頭、IP報文頭等開(kāi)銷，使用本命令配置MSS值時(shí)，請(qǐng)保證MSS值加上(shàng)各種開(kāi)銷的報文總長度不超過MTU值，否則會(huì)影(yǐng)響報文傳輸。其中，以太網協議支持的MTU值最大(dà)為1500字節，PPPoE協議支持的MTU值最大(dà)為1492字節。推薦用戶配置MSS值為1200字節。
在使用隧道(dào)模式的IPsec、PPPoE或者使用對報文有(yǒu)加長動作(zuò)的特性時(shí)，需要使用tcp adjust-mss命令配置接口的TCP最大(dà)報文段長度，以保證報文的正常傳輸

解決方案

在路由器(qì)連接公網的接口配置tcp adjust-mss 1200
<Huawei> system-view
[Huawei] interface gigabitethernet 1/0/0
[Huawei-GigabitEthernet1/0/0] tcp adjust-mss 1200

建議與總結

一般情況下2級頁面無法訪問，先檢查內(nèi)網能否訪問，內(nèi)網能夠正常訪問的情況下修改tcp adjust-mss值1200試試。

上(shàng)一篇：AR單闆無法注冊的可(kě)能原因 2014/12/18
下一篇：AR2240路由器(qì)在V200R005C20版本以及之後配置p 2014/12/18