一、适用场景

适用于办公场景中分部需要通过VPN的方式访问总部的业务服务器，总分部建立Easy VPN后，查看VPN状态显示连接，但总分部终端无法互访。

二、网络拓扑

1、检查总分部地址段

2、检查策略配置问题

3、检查外网稳定性

（1）检查总分部地址段

在EasyVPN可视化界面，查看VPN通信状态，确认总分部互访网段设置正确。

登陆MACC首页，选择“组件”→“EasyVPN”，分别点击总分部图标，检查两端互访的网络的地址是否正确，如不正确，可通过点击“修改配置”直接进行修改。

本文演示修改总部网络配置，点击总部网络图标后，填写分支可访问的总部IP段后，选择“确定”进行保存。

（2）检查策略路由配置

在总部存在多外网线路情况下，检查策略路由的配置中是否存在指定内网服务器通过某个固定外网线路进行上网，如果存在，可删除策略路由进行测试。

选择：“网络”→“路由/负载”→“策略路由”找到内网服务器的对应条目后，进行删除测试。

【注意】策略路由是一种根据用户指定的策略进行路由转发的机制，可以实现指定用户业务上网走指定出口。

（3）检查总部外网稳定性

1、排查分部外网出口宽带是否满载，进入网关首页，选择“行为管理”→“流量控制”→“实时流量”，勾选建立VPN的出口“Gi0/7”，查看实时流量是否满载，影响到访问总部的服务器业务。

如是，需要做流控配置，对分布业务进行流量保障，配置参考文档:

2、EasyVPN可以基于不固定的公网IP进行总分部隧道建立，因此当总部公网IP发生变化时，会存在瞬时抖动情况，可以查看公网IP变化情况和实际业务出现互访问题时间是否匹配，如匹配，则排查外网稳定性情况。