为什么我无法Ping我IPSec HA站点的次要PoP?

问题

对于已设置主要和次要隧道以实现高可用性(HA)的IPSec站点,当两条隧道都上线时,为什么我只能从我的防火墙(VPN网关)Ping主要PoP,而不能Ping次要PoP?

路由如何工作

Cato Socket与IPSec站点和隧道中所述,IPSec站点仅支持主动-被动配置。 这意味着即使两条隧道都已建立,流量也只会通过主要隧道发送。 在回答为什么在两条隧道都上线时对次要PoP的Ping会失败的问题之前,首先要了解这种部署方式的路由工作原理。

两条隧道已建立

上行流量(站点到PoP)

对于运行HA的IPSec站点,客户的防火墙决定使用哪个隧道来传输流量。 建议启用BGP路由协议,这样它会通过首选(主要)隧道路由流量。 

下行流量(PoP到站点)

PoPs检测到主要隧道上的入站流量,因此会通过相同的隧道返回流量。 这是为了防止不对称路由。

主要隧道断开

上行流量(站点到PoP)

客户的防火墙检测到主要隧道已断开,并将所有流量引导到次要隧道。 如果在站点上运行BGP,它将检测到主要上行链路已断开,并动态通过次要隧道路由流量。 

下行流量(PoP到站点)

PoPs检测到次要隧道上的入站流量,因此也会通过相同的隧道返回流量。

回答

为了验证IPSec隧道的连接性和正确配置,客户可以通过相应的隧道Ping远程PoP IP地址。 但是,当两条隧道都上线时,如果从次要隧道执行的ICMP ping到次要PoP IP地址,PoP将不返回ICMP响应,因为返回流量应该通过主要隧道。

为验证次要隧道上的连接性和正确设置,建议启用BGP并Ping次要BGP(私有)IP。 有关配置详细信息,请参阅为IPSec连接配置BGP邻居。 

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论