CentOS网关问题总结

　　　　在客户使用派克斯VPN的过程中，有客户反映了一个问题，困扰了很久都没有解决，希望我们的技术人员通过完全模拟他的网络环境，找出问题所在。

　　客户的网路环境如下：

　　公司总部采用了Juniper的硬件防火墙，内网的网关是10.50.201.1，在一台CentOS的服务器(10.50.201.3)上安装了派克斯VPNServer端。新建两个虚拟HUB，一个用于桥架物理网卡，一个用于站点端的拨入。

　　并建立三层交换机，设置桥接用的HUB的虚拟接口地址是10.50.201.2，负责VPN拨入的HUB的接口地址是10.50.203.2，(此HUB提供站点端的VPN拨入，所以是相当于与站点端的一个物理交换机，需要设置成站点端的局域网地址)。

　　公司分部采用了CentOS作为网关服务器。内网网关地址是10.50.203.1，在内网的一台CentOS服务器(10.0.203.3)上安装派克斯VPNBridge端。建立与物理网卡的桥架桥接及与VPNServer端的级联，并级联成功。

　　还需要在两端的物理网关上设置静态路由，指定访问VPN对端网络的数据都转发到VPNServer的三层交换机上。

 

　　此时理论上两个局域网内的所有电脑都应该已经互通，但是派克斯VPN是纯软件的产品，考虑到可能有数据死循环的情况，安装VPNServer(或Bridge)的服务器的IP会出现无法访问的情况，此事无法避免，属正常情况。

　　但是客户反映的问题是：VPNBridge端的电脑要访问Server端的电脑，除了安装VPNServer的服务器不能ping到，其他的地址都正常。这是没有问题的。

　　而VPNServer端要访问Bridge端的电脑，除了安装VPNBridge的服务器不能访问之外，网关地址10.50.203.1也无法ping到。其他电脑正常。这就出现了问题。

　　因为VPNbridge端的网关是采用CentOS的服务器，网络管理员需要进行远程管理。此时却无法ping到，并且无法找出原因。

　　在我们的技术人员模拟搭建客户的网络环境后，确认了这个问题的存在。经过分析，排除了派克斯VPN产品功能上可能会出现的不完善的情况、和各类物理网络可能存在的问题。然后，建议客户不要采用ping的方式测试是否连通，而是直接用IE浏览器访问VPNBridge端网关的管理界面。结果这种方式是可以访问的。

　　虽然ping不到网关的问题还存在，但这不影响实际网络中的应用需求。由于客户习惯采用ping的方式测试网络的连通性，极易忽略其他的测试方式。

　　在实际的网络，ping的这种测试方式是不完全可靠的。很多防火墙默认是不响应ping数据包的，而在这个典型网络环境中，客户的VPNBridge端的网关就是采用了基于Linux的CentOS服务器，防火墙默认是开启的，屏蔽了来自另一个网络的ping数据包。