总部MER8300下接192.168.0.0网段,通过GE0/0经过公网对接IPsec对端MER5200下接10.2.0.0网段。
MER8300:183.6.3.62、MER5200:219.137.64.124,测试IP:192.168.0.223-10.2.7.1和192.168.0.223-10.2.7.2。
总部设备MER8300通过模板与分部MER5200建立IPsec:
#
ipsec policy-template WAN0(GE0) 900
transform-set WAN0(GE0)@gz_branches_cd
local-address 183.6.3.62
remote-address 117.174.122.163
description WAN0(GE0)@gz_branches_cd
ike-profile WAN0(GE0)@gz_branches_cd
sa duration time-based 3600
sa duration traffic-based 1843200
reverse-route dynamic
reverse-route preference 50
#
现场在web界面上配置了多WAN出口负载,配置前可以正常建立IPsec且双方通信正常,配置后IPsec可以正常建立但本部侧ping分部侧不通,分部侧ping本部侧正常。
本部侧ping分部目的IP为10.1.0.0/16网段,匹配到路由表中由反向路由注入生成的路由:
10.1.0.0/16 Static 50 0 117.174.122.163 Dia3
但IPsec对端地址219.137.64.124的路由没有明细出口路由可查,只能通过静态缺省路由进行迭代:
0.0.0.0/0 Static 60 0 0.0.0.0 Dia3
Static 60 0 0.0.0.0 Dia1
Static 60 0 183.6.3.61 GE0/0
Static 60 0 183.6.184.161 GE0/4
迭代效果的结果就是下发到FIB表时,IPSEC私网的路由还是4个出口hash负载。
10.1.0.0/16 117.174.122.163 USR Dia3 Null
10.1.0.0/16 117.174.122.163 USR Dia1 Null
10.1.0.0/16 183.6.3.61 USGR GE0/0 Null
10.1.0.0/16 183.6.184.161 USGR GE0/4 Null
10.2.0.0/16 219.137.64.124 USR Dia3 Null
10.2.0.0/16 219.137.64.124 USR Dia1 Null
10.2.0.0/16 183.6.3.61 USGR GE0/0 Null
10.2.0.0/16 183.6.184.161 USGR GE0/4 Null
要解决这个问题,需要明确指定IPSEC对端地址的路由出口。
增加两条单独的静态:
10.2.0.0/16 指向G0/0 接口,优先级50;
219.137.64.124/32 指向G0/0接口,优先级50;
如果MER5200的地址可能重播发生变化,那就需要将MER5200拨号可能获取的网段配置路由指向给0/0。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作