मेरा IPSec HA साइट के लिए द्वितीयक PoP को मैं पिंग क्यों नहीं कर सकता हूं?

प्रश्न

एक IPSec साइट के लिए जिसने उच्च उपलब्धता (HA) के लिए प्राथमिक और द्वितीयक टनल सेट की हैं, जब दोनों टनल अप होती हैं, तो मैं अपने फ़ायरवॉल (VPN गेटवे) से केवल प्राथमिक PoP को पिंग क्यों कर सकता हूं और द्वितीयक PoP को क्यों नहीं?

रूटिंग कैसे कार्य करती है

जैसा कि Cato Socket और IPsec साइट्स और टनल्स में बताया गया है, IPSec साइट्स केवल सक्रिय-निष्क्रिय कॉन्फ़िगरेशन का समर्थन करती हैं। इसका मतलब है कि जब दोनों प्राथमिक और द्वितीयक टनल स्थापित हो जाती हैं, तो ट्रैफ़िक केवल प्राथमिक टनल के माध्यम से भेजा जाएगा। इससे पहले कि हम इस प्रश्न का उत्तर दें कि जब दोनों टनल अप होती हैं, तो द्वितीयक PoP को पिंग क्यों विफल होगा, यह समझना जरूरी है कि ऐसे तैनाती के लिए रूटिंग कैसे काम करती है।

दोनों टनल्स स्थापित

अपस्ट्रीम ट्रैफ़िक (साइट से PoP तक)

HA चलाने वाली IPSec साइट के लिए, ग्राहक का फ़ायरवॉल यह तय करता है कि ट्रैफ़िक के लिए किस टनल का उपयोग करना है। अनुशंसा की जाती है कि BGP रूटिंग प्रोटोकॉल सक्षम किया जाए ताकि यह आदर्श (प्राथमिक) टनल के माध्यम से ट्रैफ़िक रूट करे। 

डाउनस्ट्रीम ट्रैफ़िक (PoP से साइट तक)

PoP मुख्य टनल पर आने वाले ट्रैफ़िक का पता लगाते हैं और इसलिए, ट्रैफ़िक को उसी टनल के माध्यम से वापस भेजते हैं। यह विषम रूटिंग को रोकने के लिए किया जाता है।

प्राथमिक टनल डाउन

अपस्ट्रीम ट्रैफ़िक (साइट से PoP तक)

ग्राहक का फ़ायरवॉल पता लगाता है कि प्राथमिक टनल डाउन है और सभी ट्रैफ़िक को द्वितीयक टनल की ओर निर्देशित करेगा। अगर साइट पर BGP चल रहा होता, तो यह पता लगाता कि प्राथमिक अपलिंक डाउन है और द्वितीयक टनल के माध्यम से ट्रैफ़िक को गतिशील रूट करता। 

डाउनस्ट्रीम ट्रैफ़िक (PoP से साइट तक)

PoP द्वितीयक टनल पर आने वाले ट्रैफ़िक का पता लगाते हैं और इसलिए, ट्रैफ़िक को उसी टनल के माध्यम से वापस भेजते हैं।

उत्तर

IPSec टनल्स की कनेक्टिविटी और उचित सेटअप की पुष्टि करने के लिए, ग्राहक संबंधित टनल से रिमोट PoP IP को पिंग कर सकता है। हालांकि, जब दोनों टनल चालू होती हैं और यदि ICMP पिंग द्वितीयक टनल से द्वितीयक PoP IP पते को किया गया होता है, तो PoP ICMP प्रतिक्रिया वापस नहीं करेगा क्योंकि लौटने वाला प्रवाह प्राथमिक टनल के माध्यम से होना चाहिए।

द्वितीयक टनल पर कनेक्टिविटी और उचित सेटअप को सत्यापित करने के लिए, BGP को सक्षम करना और द्वितीयक BGP (निजी) IP को पिंग करना अनुशंसित है। कॉन्फ़िगरेशन विवरण के लिए, Configuring-BGP-Neighbors-for-an-IPsec-Connection का संदर्भ लें।