질문

왜 IPsec 터널이 다운되어도 소켓에 IPsec 사이트로 라우트가 여전히 존재하나요？

예를 들어, IPsec 사이트가 10.80.80.0/24 네이티브 범위로 구성되었습니다

이 사이트는 현재 다운되었습니다．

CMA의 모니터링 > 라우팅 테이블에서 10.80.80.0/24 네트워크를 보이지 않습니다

하지만 소켓 UI에서는 여전히 해당 라우트를 표시합니다：

답변하기

소켓은 접근 가능성을 테스트할 수 있으며, 다른 소켓의 라우팅 테이블에 일반적으로 존재하는 것은 접근 가능할 때뿐입니다． 그렇지 않으면, 이 범위는 소켓의 UI 모니터링 페이지에서 회색으로 표시됩니다． 이 핑 가능한 범위는 REMOTE_SITE 유형이며, 소켓이 서로에게 보내는 핑으로 연결 가능성을 테스트합니다．

대조적으로, IPsec 사이트는 "핑"할 수 없습니다. 그러므로 소켓은 이러한 원격 IPsec 사이트가 항상 연결되어 있다고 간주하며, 그것의 정적 범위는 항상 접근 가능합니다． 이것들은 REMOTE_RANGE로 간주됩니다． 이것은 알려진 제한 사항으로, 정적 REMOTE_RANGE의 접근 가능성을 탐색할 수 없습니다．

사례 연구

다음과 같은 디자인이 있는 경우 고객에게 문제가 될 것입니다：

IPsec 사이트는 10.10.10.0/24 서브넷을 가지고 있고, 소켓 사이트는 10.10.0.0/16 네트워크의 BGP LAN 서브넷을 가지고 있습니다． IPsec 터널이 다운되었을 때 10.10.0.0/16으로 가는 트래픽이 소켓 사이트를 통해 라우팅되도록 하는 것이 의도입니다． 그러나 이것은 불가능합니다． 소켓 라우팅 테이블은 IPsec 사이트를 통한 10.10.10.0/24 라우트를 여전히 가지고 있기 때문에 (IPsec 터널이 다운되었음에도 불구하고) 소켓은 패킷을 삭제할 것입니다． 

해결 방법：

1. BGP를 통해 10.10.10.0/24 범위를 동적으로 게시하십시오
2. 또는, 다른 사이트의 네트워크 범위와 겹치지 않는 IPsec 사이트에 네이티브 범위를 사용하십시오