प्रश्न

IPsec साइट्स के लिए रूट अभी भी सॉकेट में क्यों मौजूद हैं, जबकि IPsec टनल डाउन हैं?

उदाहरण के लिए, एक IPsec साइट 10.80.80.0/24 की मूल रेंज के साथ सक्रिय किया गया था

यह साइट वर्तमान में डाउन है।

CMA में, निगरानी > रूटिंग तालिका के अंतर्गत, हम 10.80.80.0/24 नेटवर्क नहीं देखते हैं

फिर भी, सॉकेट UI में, यह अभी भी रूट दिखाता है:

उत्तर दें

सॉकेट की पहुंच योग्यता का परीक्षण किया जा सकता है, उनकी रेंजें सामान्य रूप से अन्य Sockets की रूटिंग तालिकाओं में केवल तभी होती हैं जब वे पहुंच योग्य हों। अन्यथा, ये रेंज सॉकेट के UI के निगरानी पृष्ठ पर ग्रे हो जाती हैं। ये पिंग योग्य रेंजें REMOTE_SITE प्रकार की होती हैं, और सॉकेट्स को एक-दूसरे को भेजे गए पिंग्स द्वारा पहुँच योग्यता का परीक्षण किया जाता है।

इसके विपरीत, IPsec साइट्स "पिंग" नहीं हो सकती हैं; इसलिए, सॉकेट्स इन रिमोट IPsec साइट्स को हमेशा जुड़ा हुआ मानते हैं, और उनकी स्थैतिक रेंज हमेशा पहुंच योग्य होती हैं। इन्हें REMOTE_RANGE के रूप में देखा जाता है। यह एक ज्ञात सीमा है, क्योंकि स्थिर REMOTE_RANGE की पहुँच योग्यता की जाँच नहीं की जा सकती।

मामले का अध्ययन

यह एक समस्या होगी यदि ग्राहक के पास निम्नलिखित डिजाइन है:

IPsec साइट में 10.10.10.0/24 की सबनेट है, और Socket साइट में 10.10.0.0/16 नेटवर्क का BGP LAN सबनेट है। उद्देश्य यह है कि जब IPsec टनल डाउन हो, तो 10.10.0.0/16 के लिए जा रहा ट्रैफिक Socket साइट के माध्यम से रूट किया जाए। हालाँकि, यह संभव नहीं है। क्योंकि सॉकेट रूट टेबल में अभी भी IPsec साइट के माध्यम से 10.10.10.0/24 का रूट है (हालांकि IPsec टनल डाउन है), तो सॉकेट पैकेट को ड्रॉप कर देगा। 

विकल्प:

1. BGP के माध्यम से 10.10.10.0/24 रेंज को गतिशील रूप से प्रकाशित करें
2. या, IPsec साइट पर एक मूल रेंज का उपयोग करें जो किसी अन्य साइट की नेटवर्क रेंज के साथ ओवरलैप न हो