为什么即使IPsec隧道已下线,Socket中的IPsec站点路由仍然存在?

问题

为什么即使IPsec隧道已下线,Socket中的IPsec站点路由仍然存在?

例如,一个IPsec站点配置了一个原生范围为10.80.80.0/24


该站点目前已下线。


在CMA中,在监控>路由表中,我们没有看到10.80.80.0/24网络


然而,在Socket用户界面中,它仍然显示该路由:

回答

Sockets可以测试其可达性,其范围通常存在于其他Sockets的路由表中仅当它们可达时。 否则,这些范围在Socket用户界面的监控页面上显示为灰色。 这些可ping的范围属于远程站点类型,可达性通过Sockets互相发送的ping进行测试。

相比之下,IPsec站点无法“ping”,因此,Sockets认为这些远程IPsec站点始终已连接,其静态范围始终可达。 这些被视为远程范围。 这是一个已知的限制,因为静态远程范围的可达性无法测试。

案例分析

如果客户有以下设计,这将成为一个问题:

IPsec站点有一个子网为10.10.10.0/24,Socket站点有一个BGP局域网子网为10.10.0.0/16网络。 意图是当IPsec隧道下线时,发往10.10.0.0/16的流量应通过Socket站点路由。 但是,这是不可行的。 由于Socket路由表中仍然有通过IPsec站点的10.10.10.0/24路由(即使IPsec隧道已经下线),Socket将丢弃数据包。 

解决方法

  1. 通过BGP动态发布10.10.10.0/24范围
  2. 或者,在IPsec站点上使用一个不与其他站点网络范围重叠的原生范围 

 

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论