成功解决远端VPN拨入本地不能访问内网客户端的问题！

djh310418

RT，这个问题困扰我大半天，不过最终成功解决！
环境：远端可以正常VPN拨入，但却无法访问内网主机！
远端主机------------INTERNET-------------ROS软路由-------------CISCO3750----------CISCO2960------------内网主机
搜了许多帖子，有说是掩码的问题，有说是ROS软路由版本的问题，但都没有一个成功解决的！
最后，不得已只好靠自己，吃中午饭时，仍然在思考！
远端主机可正常VPN拨入ROS软路由，也可以PING通CISCO3750的三层口，但死活无法连接内网主机，曾经怀疑是CISCO交换机的问题，通过DEBUG命令，ICMP报文从CISCO发出后，竟然没有回复？！
根据多年对CISCO的经验，突然想到了一个问题：
1.CISCO的设备在数据流流入时匹配顺序是：ACL>VPN解密>NAT>策略路由>标准路由
2.CISCO的设备在数据流流出时匹配顺序是：NAT>VPN加密>ACL>策略路由>标准路由
于是一下豁然开朗，ROS软路由在对内网IP地址进行伪装是在路由之前啊，这就是原因！
于是，IP NAT下，伪装VPN获得IP地址段到内网的LAN口，OK，解决！

Doramon

请教一下，我的网络也是跟你一样，我在三层交换机上划分了5个VLAN，都能互通，ROS上建了PPPOE服务器，为什么只有和ROS同一网段的VLAN能拨上PPPOE，其它网段不行呢？

zhu894532094

这个我喜欢啊