问题
对于已设置主要和次要隧道以实现高可用性(HA)的IPSec站点,当两条隧道都上线时,为什么我只能从我的防火墙(VPN网关)Ping主要PoP,而不能Ping次要PoP?
路由如何工作
如Cato Socket与IPSec站点和隧道中所述,IPSec站点仅支持主动-被动配置。 这意味着即使两条隧道都已建立,流量也只会通过主要隧道发送。 在回答为什么在两条隧道都上线时对次要PoP的Ping会失败的问题之前,首先要了解这种部署方式的路由工作原理。
两条隧道已建立
上行流量(站点到PoP)
对于运行HA的IPSec站点,客户的防火墙决定使用哪个隧道来传输流量。 建议启用BGP路由协议,这样它会通过首选(主要)隧道路由流量。
下行流量(PoP到站点)
PoPs检测到主要隧道上的入站流量,因此会通过相同的隧道返回流量。 这是为了防止不对称路由。
主要隧道断开
上行流量(站点到PoP)
客户的防火墙检测到主要隧道已断开,并将所有流量引导到次要隧道。 如果在站点上运行BGP,它将检测到主要上行链路已断开,并动态通过次要隧道路由流量。
下行流量(PoP到站点)
PoPs检测到次要隧道上的入站流量,因此也会通过相同的隧道返回流量。
回答
为了验证IPSec隧道的连接性和正确配置,客户可以通过相应的隧道Ping远程PoP IP地址。 但是,当两条隧道都上线时,如果从次要隧道执行的ICMP ping到次要PoP IP地址,PoP将不返回ICMP响应,因为返回流量应该通过主要隧道。
为验证次要隧道上的连接性和正确设置,建议启用BGP并Ping次要BGP(私有)IP。 有关配置详细信息,请参阅为IPSec连接配置BGP邻居。
0 条评论
请登录写评论。