Вопрос

Почему маршруты к площадки IPsec все еще существуют в Socket, даже если туннели IPsec отключены?

Например, площадка IPsec была настроена с собственным диапазоном 10.80.80.0/24

Эта площадка в настоящее время отключена.

В CMA, в Мониторинг > Таблица маршрутизации, мы не видим сеть 10.80.80.0/24

Тем не менее, в UI Socket все еще показывает маршрут:

Ответить

Сокеты могут быть протестированы на доступность, диапазоны которых обычно присутствуют в таблицах маршрутизации других сокетов только если они достижимы. В противном случае эти диапазоны отображаются серым на странице мониторинга UI сокета. Эти диапазоны, доступные для пинга, являются типа REMOTE_SITE, и доступность тестируется пингами, которые сокеты отправляют друг другу.

В отличие от них, площадка IPsec не может быть "пингована"; следовательно, сокеты считают эти удаленные площадки IPsec всегда подключенными, и их статические диапазоны всегда достижимы. Они рассматриваются как REMOTE_RANGE. Это известное ограничение, так как достижимость статических REMOTE_RANGE не может быть проверена.

Кейс изучения

Это станет проблемой, если у клиента есть следующий дизайн:

Площадка IPsec имеет подсеть 10.10.10.0/24, а площадка Socket имеет подсеть BGP LAN сети 10.10.0.0/16. Предполагается, что когда туннель IPsec отключен, трафик, предназначенный для 10.10.0.0/16, должен быть маршрутизирован через площадку Socket. Тем не менее, это неосуществимо. Поскольку таблица маршрутизации Socket все еще имеет маршрут 10.10.10.0/24 через площадку IPsec (даже если туннель IPsec отключен), Socket отбросит пакет. 

Решение:

1. Динамически опубликовать диапазон 10.10.10.0/24 через BGP
2. ИЛИ, использовать собственный диапазон на площадке IPsec, который не перекрывается с диапазоном сети другой площадки