确认VPN隧道状态
-
检查IPSec VPN状态:
show crypto session detail show crypto ipsec sa # 查看IPSec安全关联
确保隧道状态为
ACTIVE,且没有丢包或错误。 -
对于SSL VPN:
show vpn-sessiondb anyconnect # 查看AnyConnect客户端连接
执行Ping测试
-
从本地设备Ping远程内网IP:
ping <远程内网IP> source <本地内网IP或接口>
ping 192.168.2.1 source 192.168.1.1
-
指定源接口(如果设备有多个接口):
ping <目标IP> source <接口名> # 如source GigabitEthernet0/1
常见问题排查
问题1:Ping不通
-
可能原因:
- VPN隧道未建立。
- ACL或防火墙阻止了ICMP。
- 路由缺失(本地或远程设备未添加到达对方内网的路由)。
-
解决方法:
-
检查路由表:
show ip route
确保双方都有到对端内网的路由(如通过隧道接口或下一跳)。
-
验证ACL/NAT:
show access-list # 检查是否允许ICMP show nat translations # 检查NAT是否干扰流量
-
关闭防火墙测试(临时):
configure terminal no access-group <ACL_NAME> in interface <接口名>
-
问题2:VPN隧道不稳定
-
检查日志:
show logging | include IPSEC|CRYPTO
排查Phase 1/2协商失败或密钥不匹配问题。
-
调整MTU:
interface Tunnel0 ip mtu 1400 # 降低MTU避免分片
其他场景
-
通过Site-to-Site VPN Ping: 确保两端加密映射(Crypto Map)和感兴趣流量(ACL)包含ICMP流量。
-
远程用户VPN(AnyConnect): 客户端需分配内网IP,且服务端配置
split-tunnel允许访问内网资源。
示例配置片段
! 允许ICMP通过VPN access-list VPN-ACL permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 crypto map MY_MAP 10 ipsec-isakmp match address VPN-ACL
如果问题持续,建议抓包分析:
debug ip icmp debug crypto ipsec # 谨慎使用,可能输出大量日志
希望这些步骤能帮助您解决问题!如果有具体设备型号或配置片段,可以提供更精准的建议。


