질문
높은 가용성(HA)을 위해 기본 및 보조 터널을 설정한 IPSec 사이트에서 두 터널이 모두 활성화될 때, 왜 방화벽(VPN 게이트웨이)에서 기본 PoP만 핑할 수 있고 보조 PoP는 핑할 수 없는가요?
라우팅 작동 방식
Cato Socket vs IPsec Sites and Tunnels에서 언급된 바와 같이, IPSec 사이트는 활성-수동 구성만 지원합니다. 이는 기본 및 보조 터널이 모두 설정되어 있을 때, 트래픽은 오직 기본 터널을 통해서만 전송된다는 것을 의미합니다. 두 터널이 모두 활성화되어 있을 때 보조 PoP로 핑이 실패하는 이유에 대한 질문에 답하기 전에, 그러한 배포에 대한 라우팅이 작동하는 방식을 이해하는 것이 중요합니다.
양 터널 설정됨
업스트림 트래픽(사이트에서 PoP로)
HA를 실행 중인 IPSec 사이트의 경우, 고객의 방화벽이 트래픽에 사용할 터널을 결정합니다. BGP라는 라우팅 프로토콜을 활성화하여 트래픽이 기본 터널을 통해 라우팅되도록 하는 것이 권장됩니다.
다운스트림 트래픽(PoP에서 사이트로)
PoP는 기본 터널에서 수신 트래픽을 감지하고, 같은 터널을 통해 트래픽을 반환합니다. 비대칭 라우팅을 방지하기 위한 조치입니다.
기본 터널 해제
업스트림 트래픽(사이트에서 PoP로)
고객의 방화벽이 기본 터널 해제를 감지하고 모든 트래픽을 보조 터널로 이동시킵니다. 사이트에서 BGP가 실행 중이라면 기본 업링크가 해제된 것을 감지하고 보조 터널을 통해 트래픽을 동적으로 라우팅할 것입니다.
다운스트림 트래픽(PoP에서 사이트로)
PoP는 보조 터널에서 수신 트래픽을 감지하고, 따라서 같은 터널을 통해 트래픽을 반환합니다.
답변하기
IPSec 터널의 연결성과 적절한 설정을 검증하기 위해 고객은 해당 터널에서 원격 PoP IP 주소로 핑을 할 수 있습니다. 그러나 두 터널이 모두 활성화되어 있고 보조 터널에서 수행된 ICMP 핑이 보조 PoP IP 주소로 전송된 경우, PoP는 ICMP 응답을 반환하지 않습니다. 이는 반환 흐름이 기본 터널을 통해 이루어져야 하기 때문입니다.
보조 터널에서의 연결성과 적절한 설정을 확인하기 위해 BGP를 활성화하고 보조 BGP(비공개) IP에 핑을 하는 것이 권장됩니다. 구성 세부 정보는 Configuring-BGP-Neighbors-for-an-IPsec-Connection를 참조하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.