上篇文章《华为SD-WAN网络更换公网IP地址之WAN配置》讲了SD-WAN网络更换公网IP地址以后WAN侧的配置，本篇接着说LAN侧碰到的问题及排障过程。

更换公网IP地址以后，所有分支站点没有做任何配置，网络自动恢复了正常。唯有CA分部的内网ping不通业务路由，导致无法连接总部的SAP服务器。

故障现象及定位

通过iMaster NCE Campus远程登陆到CA分部SD-WAN设备（AR6121_M和AR6121_S，两台AR6121采用双网关模式进行部署）的命令行，带vpn实例及带源IP地址（AR6121_GE0/0/8接口的IP地址，此接口带vpnx实例，与LAN侧H3C_S6520核心交换机互联）可以ping通对端的业务路由，说明AR6121到总部的链路及配置正常，故障极有可能是出在AR6121的LAN侧。

需要说明的是S6520也有两台，配置了堆叠。S6520通过VLAN20和VLAN30虚接口地址跟两台AR6121_GE0/0/8接口互联，GE1/0/24和GE2/024接口类型Access，分别属于VLAN20和VLAN30。

通过向日葵远程进入S6520核心交换机的CLI，发现不管带不带源IP地址，都ping不通AR6121_GE0/0/8。看来问题就是出在这里，连直连路由都不通，这就头大了！

排障过程

查看AR6121及S6520上的路由表，均存在去往对端设备的直连路由；再dis arp查看ARP表，没有对端互联接口地址的MAC。这也正常，连路由都不通，怎么会能学到对端的MAC地址呢？

首先更换了S6520至AR6121之间的跳线，故障依旧；检查交换机上的接口IP地址，也没有发现问题。S6520上输入dis ip interface brief，赫然发现GE1/0/24的描述信息指向SD-WAN_2，也也就是AR6120_S。正常来说GE1/0/24是接AR6120_M的，多半是这两条互联的跳线插反了！

我马上打电话给现场的网管，跟他说明了相关情况，他立即把这两条跳线对调了一下。通了！在S6520上直接ping对端的接口IP地址通了！！

还没高兴几分钟，在内网的PC上ping对端的业务IP仍然“Request time out”。不过这个好办，首先在S6520上带源IP（内网电脑的网关IP地址）再ping，也不通，这说明对端没有去往内网IP的路由。

进入AR6121_M，dis ip routing-table vpn-instance vpnx（vpnx为相应的VPN实例名称），查看vpnx实例的路由表，确实没有到对端内网的路由。进入iMaster NCE Campus，配置_虚拟网络_虚拟网络，进入对应的VPN实例，点击LAN-WAN互联，找到对应的CA站点，在互联配置_LAN-WAN互联路由配置，添加“IPv4 Static”，“目的网段/掩码”填内网IP地址段，下一跳填AR6121_GE0/0/8的接口IP。

同样的，AR6121_S也按照以上的步骤，将去往内网IP网段的路由添加到相应vpnx实例的路由表里。

解决方法

1、LAN侧核心交换机去往AR6121的两条跳线对调；

2、AR6121设备上添加回程路由。

总结

大道至简，越是棘手的问题，解决起来往往也越简单。同理，SD-WAN网络的诞生就是为了化繁为简、智能运维。相信这也是它的魅力所在吧！#网络工程师#调试#IT

作者简介：上个世纪90年代入行的通信&网络工程师，拥有26年的从业经验，热爱ICT技术；感谢阅读，欢迎关注！