設(shè)備在PC上撥SSL VPN，正常，現(xiàn)場(chǎng)想在PC上通過(guò)MSR5620的內(nèi)網(wǎng)口地址登錄設(shè)備WEB或者命令行，但測(cè)試無(wú)法進(jìn)行登陸。

　　過(guò)程分析

內(nèi)網(wǎng)口地址能可以ping通，telnet或者SSH失敗，WEB無(wú)法打開(kāi)。訪問(wèn)公網(wǎng)口地址是正常的。

　　telnet的時(shí)候設(shè)備上debug只有收，看不到發(fā)，嘗試修改AC口的MTU值，無(wú)效果。

　　終端抓包發(fā)現(xiàn)，telent的時(shí)候，PC與設(shè)備tcp建立不成功，PC發(fā)出了SYN,沒(méi)有收到SYN ACK，之后超時(shí)斷連。

　　4. debug tcp看，平臺(tái)是有發(fā)出syn ack的。

　　5. 由于終端沒(méi)收到，需要排查驅(qū)動(dòng)是否發(fā)出，debug physical可以看到我們沒(méi)有發(fā)送SYN ACK，因此問(wèn)題出現(xiàn)在設(shè)備上。

　　6. debug sslvpn 可以看出，故障是因?yàn)橹骺厣蠜](méi)有會(huì)話導(dǎo)致無(wú)法匹配，而跨設(shè)備正常是因?yàn)榘荚趕pu板子上進(jìn)行交互。

　　此問(wèn)題的根本原因是因?yàn)椋篠SLVPN會(huì)話起在slot2上，本機(jī)登陸telnet(也包括Web登錄)會(huì)話需要走slot0，這種場(chǎng)景下MSR56設(shè)備不支持。

　　而通過(guò)sslvpn后，直接在終端跨我們的設(shè)備去telnt/web登錄其他的內(nèi)部服務(wù)器的時(shí)候，這樣會(huì)話不會(huì)走slot0，因此現(xiàn)場(chǎng)可以成功登陸內(nèi)部服務(wù)器。

　　sslvpn 場(chǎng)景在分布式設(shè)備和IRF環(huán)境下會(huì)出現(xiàn)部分流量不通的問(wèn)題，此問(wèn)題的根本原因是SSL VPN的流量不支持跨框和跨板轉(zhuǎn)發(fā)，來(lái)回流量只能在一個(gè)轉(zhuǎn)發(fā)板卡上，因此部署SSL VPN的流量一定要在一個(gè)轉(zhuǎn)發(fā)板上。