質問
認証済みの高可用性(冗長化)を設定したIPSecサイトの場合、両方のトンネルがアップしている際に、なぜファイアウォール(VPNゲートウェイ)からプライマリPoPだけをPingできてセカンダリPoPはできないのでしょうか?
ルーティングの仕組み
CatoソケットとIPSecサイトとトンネルで述べたように、IPSecサイトはアクティブ-パッシブ構成のみをサポートしています。 これは、プライマリおよびセカンダリトンネルが確立されている場合でも、トラフィックがプライマリトンネルのみを通過することを意味します。 なぜトラフィックが両方のトンネルを通過している際にセカンダリPoPへのPingが失敗するのかという質問に答える前に、ルーティングがどのように機能するかを理解することが重要です。
両方のトンネルが確立されました
アップストリームトラフィック(サイトからPoPまで)
冗長化を実行しているIPSecサイトの場合、顧客のファイアウォールがトラフィックに使用するトンネルを決定します。 推奨されるのは、BGPというリクエストプロトコルを有効にして、それにより優先(プライマリ)トンネルを通じてトラフィックをルーティングさせることです。
ダウンストリームトラフィック(PoPからサイトまで)
PoPsはプライマリトンネルの受信トラフィックを検出し、同じトンネルを通してトラフィックを返します。 これは非対称ルーティングを防ぐために行われています。
プライマリトンネルダウン
アップストリームトラフィック(サイトからPoPまで)
顧客のファイアウォールがプライマリトンネルのダウンを検知し、すべてのトラフィックをセカンダリトンネルに誘導します。 もしサイトでBGPが実行されている場合、これはプライマリアップリンクがダウンしていることを検出し、セカンダリトンネルを介して動的にトラフィックをルーティングします。
ダウンストリームトラフィック(PoPからサイトまで)
PoPsはセカンダリトンネル上の受信トラフィックを検出し、同じトンネルを通してトラフィックを返します。
回答する
IPSecトンネルの接続性と正しいセットアップを確認するために、顧客は各トンネルからリモートPoP IPへPingを実行することができます。 しかし、両方のトンネルがアップしており、セカンダリトンネルからセカンダリPoP IPアドレスへのICMP pingが実行された場合、PoPはICMP応答を返しません。なぜなら、戻りフローはプライマリトンネルを介して行われるべきだからです。
セカンダリトンネルでの接続性と正しいセットアップを確認するために、BGPの有効化およびセカンダリBGP(プライベート)IPのPingを推奨します。 設定の詳細については、Configuring-BGP-Neighbors-for-an-IPsec-Connection を参照してください。
0件のコメント
サインインしてコメントを残してください。