سؤال

لماذا لا تزال المسارات إلى مواقع IPSec موجودة في Socket حتى عندما تكون الأنفاق IPSec معطلة؟

على سبيل المثال، تم تكوين موقع IPSec بنطاق أصلي 10.80.80.0/24

هذا الموقع معطل حاليًا.

في CMA، تحت المراقبة > جدول التوجيه، لا نرى شبكة 10.80.80.0/24

ومع ذلك، في واجهة Socket، لا يزال يعرض المسار:

إجابة

يمكن اختبار المقابس للتوصل، حيث تكون نطاقاتها موجودة عادة في جداول التوجيه للمقابس الأخرى فقط إذا كانت قابلة للوصول. وبخلاف ذلك، يتم تظليل هذه النطاقات في صفحة المراقبة لواجهة المستخدم الخاصة بالمقبس. هذه النطاقات القابلة للتحريك هي من نوع REMOTE_SITE، ويتم اختبار إمكانية الوصول بواسطة نقرات يرسلها كل مقبس للآخر.

بالمقابل، لا يمكن "النقر" على مواقع IPSec؛ لذلك، تعتبر المقابس هذه المواقع عن بعد دائما متصلة، وتعتبر نطاقاتها الثابتة دائما قابلة للوصول. تُرى هذه كـ REMOTE_RANGE. هذا قيد معروف، حيث أنه لا يمكن اختبار إمكانية الوصول لـ REMOTE_RANGE الثابتة.

دراسة حالة

هذه ستكون مشكلة إذا كان لدى العميل التصميم التالي:

يحتوي موقع IPSec على شبكة فرعية 10.10.10.0/24، ويحتوي موقع Socket على شبكة LAN BGP للشبكة 10.10.0.0/16. النية هي أن توجيه الحركة المخصصة لـ 10.10.0.0/16 يجب أن يتم عبر موقع Socket عندما يكون النفق IPSec معطلاً. ومع ذلك، هذا غير ممكن. نظرًا لأن جدول توجيه Socket لا يزال يحتوي على المسار 10.10.10.0/24 عبر موقع IPSec (حتى لو كان النفق IPSec معطلاً)، فسوف يسقط Socket الحزمة. 

الحل البديل:

1. قم بنشر النطاق 10.10.10.0/24 ديناميكيًا عبر BGP
2. أو، استخدم نطاقًا أصليًا في موقع IPSec لا يتداخل مع نطاق الشبكة لموقع آخر