لماذا لا أستطيع إرسال إشارة إلى PoP الثانوي لموقع IPsec HA الخاص بي؟

سؤال

لموقع IPsec الذي قام بإنشاء أنفاق أساسية وثانوية لتوافر عالي (HA)، عندما تكون كلا النفقين نشطين، لماذا أستطيع إرسال إشارة فقط إلى PoP الأساسي وليس إلى PoP الثانوي من جدار الحماية الخاص بي (بوابة VPN)؟

كيف تعمل التوجيهات

كما هو مذكور في Cato Socket vs IPsec Sites and Tunnels، تدعم مواقع IPsec فقط التكوينات النشطة البلاغة. هذا يعني أنه حتى عند إنشاء كلا النفقين الأساسي والثانوي، سيتم إرسال حركة المرور فقط عبر النفق الأساسي. قبل الإجابة عن سؤال لماذا سيفشل إرسال إشارة إلى PoP الثانوي عندما يكون النفقين نشطين، من الضروري فهم كيفية عمل التوجيهات لهذا النوع من التكوين.

تم إنشاء كلا النفقين

حركة المرور الصاعدة (من الموقع إلى PoP)

لموقع IPsec الذي يشغل HA، يحدد جدار الحماية الخاص بالعميل أي نفق يستخدم لحركة المرور. يوصى بتمكين بروتوكول توجيه، مثل BGP، بحيث يتم توجيه حركة المرور عبر النفق المفضل (الأساسي). 

حركة المرور الهابطة (من PoP إلى الموقع)

تكتشف PoPs حركة المرور الواردة على النفق الأساسي، وبالتالي تعود بحركة المرور عبر نفس النفق. يتم القيام بذلك لمنع التوجيه اللامتماثل.

عطل النفق الأساسي

حركة المرور الصاعدة (من الموقع إلى PoP)

يكتشف جدار حماية العميل أن النفق الأساسي غير نشط وسيوجه كل حركة المرور إلى النفق الثانوي. إذا كان BGP يعمل في الموقع، فإنه يكتشف أن الارتباط العلوي الأساسي غير نشط ويوجه حركة المرور ديناميكيًا عبر النفق الثانوي. 

حركة المرور الهابطة (من PoP إلى الموقع)

تكتشف PoPs حركة المرور الواردة على النفق الثانوي، وبالتالي تعود بحركة المرور عبر نفس النفق.

إجابة

للتحقق من الاتصال والتكوين الصحيح لأنفاق IPsec، يمكن للعميل إرسال إشارة إلى عنوان IP البعيد من النفق المعني. ومع ذلك، عندما تكون كلا النفقين نشطين، إذا تم تنفيذ إشارة ICMP من النفق الثانوي إلى عنوان IP PoP الثانوي، فلن يعيد PoP الاستجابة ICMP لأن التدفق العكسي يجب أن يكون عبر النفق الأساسي.

للتحقق من الاتصال والتكوين الصحيح على النفق الثانوي، يوصى بتمكين BGP وإرسال إشارة إلى عنوان IP BGP الخاص (الخاص). لتفاصيل التكوين، ارجع إلى تكوين-الجيران-BGP-للاتصال-IPsec

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات