Проблемы с маршрутизацией после перехода с IKEv1 на IKEv2
-
У клиента есть сеть MPLS с маршрутизацией BGP, которая используется в качестве основного канала связи между головным офисом и 10 небольшими удаленными сайтами. В качестве резервного канала связи используются VPN-туннели между брандмауэром FTD в головном офисе и маршрутизаторами C1111 IOS XE на удаленных сайтах. Все работало без проблем, и VPN-туннель всегда включался, если возникали проблемы с сетью MPLS. Проблема возникла, когда мы попытались изменить VPN-туннели с IKEv1 на IKEv2. Мы обнаружили, что потеряли связь с удаленным сайтом, и при проверке маршрутизации на FTD увидели, что она изменилась после настройки IKEv2. Вот вывод перед переходом с IKEv1 на IKEv2, показывающий правильный маршрут к удаленному сайту через сеть MPLS. ftd-01# show route 10.90.26.129 Запись маршрутизации для 10.90.16.0 255.255.240.0
Известно через «bgp 64900», расстояние 20, метрика 0
Тег 21195, тип внешний
Последнее обновление от 10.63.63.1 19:16:55 назад Блоки
дескрипторов маршрутизации:- 10.63.63.1, от 10.63.63.1, 19:16:55 назад
Метрика маршрута — 0, количество долей трафика — 1
AS Hops 2
Тег маршрута 21195
Метка MPLS: строка метки не указана А вот маршрут после перехода на IKEv2 !
ftd-01# show route 10.90.26.129 Запись маршрутизации для 10.90.16.0 255.255.240.0
Известно через «static», расстояние 1, метрика 0 (подключено)
Перераспределение через bgp 64900 Блоки
дескрипторов маршрутизации: - 10.90.16.0, через OUTSIDE
Метрика маршрута равна 0, количество долей трафика равно 1 Похоже, что трафик пытается отправить через VPN-туннели вместо использования сети MPLS. Является ли это ожидаемым поведением IKEv2? Как мы можем это исправить? Может быть, с помощью IP SLA на брандмауэре?
- 10.63.63.1, от 10.63.63.1, 19:16:55 назад
-
Мы используем RRI для рекламы IP-адреса туннеля через IKEv1, а затем используем его в BGP. Я думаю, что при переходе на IKEv2 вы упускаете опцию RRI. MHM
-
Проблема решена, она была связана с RRI, но на самом деле именно его включение и было причиной проблемы. После перехода с IKEv1 на IKEv2 RRI был включен по умолчанию. Однако в предыдущих туннелях IKEv1 RRI не был включен. Поэтому
отключение
Reverse Route Injection решило проблему. Спасибо /Chess
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти