问题

为什么即使IPsec隧道已下线，Socket中的IPsec站点路由仍然存在？

例如，一个IPsec站点配置了一个原生范围为10.80.80.0/24

该站点目前已下线。

在CMA中，在监控>路由表中，我们没有看到10.80.80.0/24网络

然而，在Socket用户界面中，它仍然显示该路由：

回答

Sockets可以测试其可达性，其范围通常存在于其他Sockets的路由表中仅当它们可达时。 否则，这些范围在Socket用户界面的监控页面上显示为灰色。 这些可ping的范围属于远程站点类型，可达性通过Sockets互相发送的ping进行测试。

相比之下，IPsec站点无法“ping”，因此，Sockets认为这些远程IPsec站点始终已连接，其静态范围始终可达。 这些被视为远程范围。 这是一个已知的限制，因为静态远程范围的可达性无法测试。

案例分析

如果客户有以下设计，这将成为一个问题：

IPsec站点有一个子网为10.10.10.0/24，Socket站点有一个BGP局域网子网为10.10.0.0/16网络。 意图是当IPsec隧道下线时，发往10.10.0.0/16的流量应通过Socket站点路由。 但是，这是不可行的。 由于Socket路由表中仍然有通过IPsec站点的10.10.10.0/24路由（即使IPsec隧道已经下线），Socket将丢弃数据包。 

解决方法：

1. 通过BGP动态发布10.10.10.0/24范围
2. 或者，在IPsec站点上使用一个不与其他站点网络范围重叠的原生范围