<![CDATA[Проблемы с маршрутизацией после перехода с IKEv1 на IKEv2]]>У клиента есть сеть MPLS с маршрутизацией BGP, которая используется в качестве основного канала связи между головным офисом и 10 небольшими удаленными сайтами. В качестве резервного канала связи используются VPN-туннели между брандмауэром FTD в головном офисе и маршрутизаторами C1111 IOS XE на удаленных сайтах. Все работало без проблем, и VPN-туннель всегда включался, если возникали проблемы с сетью MPLS. Проблема возникла, когда мы попытались изменить VPN-туннели с IKEv1 на IKEv2. Мы обнаружили, что потеряли связь с удаленным сайтом, и при проверке маршрутизации на FTD увидели, что она изменилась после настройки IKEv2. Вот вывод перед переходом с IKEv1 на IKEv2, показывающий правильный маршрут к удаленному сайту через сеть MPLS. ftd-01# show route 10.90.26.129 Запись маршрутизации для 10.90.16.0 255.255.240.0
Известно через «bgp 64900», расстояние 20, метрика 0
Тег 21195, тип внешний
Последнее обновление от 10.63.63.1 19:16:55 назад Блоки
дескрипторов маршрутизации:

  • 10.63.63.1, от 10.63.63.1, 19:16:55 назад
    Метрика маршрута — 0, количество долей трафика — 1
    AS Hops 2
    Тег маршрута 21195
    Метка MPLS: строка метки не указана А вот маршрут после перехода на IKEv2 !
    ftd-01# show route 10.90.26.129 Запись маршрутизации для 10.90.16.0 255.255.240.0
    Известно через «static», расстояние 1, метрика 0 (подключено)
    Перераспределение через bgp 64900 Блоки
    дескрипторов маршрутизации:
  • 10.90.16.0, через OUTSIDE
    Метрика маршрута равна 0, количество долей трафика равно 1 Похоже, что трафик пытается отправить через VPN-туннели вместо использования сети MPLS. Является ли это ожидаемым поведением IKEv2? Как мы можем это исправить? Может быть, с помощью IP SLA на брандмауэре?
]]>https://sla247.ru/forum/topic/2421/проблемы-с-маршрутизацией-после-перехода-с-ikev1-на-ikev2RSS for NodeFri, 15 May 2026 06:11:16 GMTMon, 02 Mar 2026 12:43:20 GMT60<![CDATA[Reply to Проблемы с маршрутизацией после перехода с IKEv1 на IKEv2 on Mon, 02 Mar 2026 12:43:22 GMT]]>Проблема решена, она была связана с RRI, но на самом деле именно его включение и было причиной проблемы. После перехода с IKEv1 на IKEv2 RRI был включен по умолчанию. Однако в предыдущих туннелях IKEv1 RRI не был включен. Поэтому
отключение
Reverse Route Injection решило проблему. Спасибо /Chess

]]>https://sla247.ru/forum/post/16999https://sla247.ru/forum/post/16999Mon, 02 Mar 2026 12:43:22 GMT<![CDATA[Reply to Проблемы с маршрутизацией после перехода с IKEv1 на IKEv2 on Mon, 02 Mar 2026 12:43:21 GMT]]>Мы используем RRI для рекламы IP-адреса туннеля через IKEv1, а затем используем его в BGP. Я думаю, что при переходе на IKEv2 вы упускаете опцию RRI. MHM

]]>https://sla247.ru/forum/post/16998https://sla247.ru/forum/post/16998Mon, 02 Mar 2026 12:43:21 GMT