SD-WAN
集团多分支节点智能化组网
发布时间:2021-11-05 13:05:02 作者:V小编阅读:0
配置路由注入功能仅在IKE动态协商方式建立IPSec隧道情形下可行,手工方式建立IPSec隧道情形下不可行。启用了路由注入功能后,设备会根据安全策略中引用的ACL中各规则的目的地来生成路由,路由的下一跳为本端在IPSec SA协商过程中学习到的IPSec隧道的对端地址。
当分支与总部建立IPSec隧道时,需要在总部网关上配置到分支子网的静态路由才能实现分支子网与总部网络的互通。但当分支子网众多时,总部网关上为此配置的静态路由就非常庞大,并且当分支机构网络发生变化时,总部网关还需要修改静态路由配置,网络维护困难。通过配置此处介绍的路由注入功能,可根据IPSec隧道信息为总部网关注入到达分支子网的路由信息,减少了手工配置的麻烦,提高了正确性。
如图1所示,分支机构网关与总部网关建立IPSec隧道,主机a1代表分支机构子网,主机b1代表公司总部子网。总部网关上配置了一条ACL规则,定义了IPSec保护由b1去往a1的数据流,在未能路由注入功能时,总部网关需要保证去往每个分支机构子网的路由可达。总部网关上使能路由注入功能后,会自动生成目的IP地址为ACL规则的目的地址(若ACL规则的目的地址未配置,则目的IP地址为0.0.0.0/0.0.0.0,表示为缺省路由),下一跳为分支机构网关的IPSec隧道端点IP地址的路由表项。
图1 路由注入功能示意
路由注入功能有静态和动态两种。
使能静态路由注入功能时:路由注入功能生成静态路由配置后立即添加到本地,但路由不随隧道状态变化而变更。
使能动态路由注入功能时:如果IPSec隧道Up,路由注入功能生成的动态路由可以添加到本地;如果IPSec隧道Down,路由注入功能生成的动态路由又可以从本地删除。
与静态路由注入相比,动态路由注入功能将生成的路由与IPSec隧道状态相关联,避免了IPSec隧道Down时对等体仍向IPSec隧道发送流量,造成流量的丢失。
路由注入功能生成的路由也可以为其配置优先级,从而可以更加灵活地应用路由。例如,当设备上还配置有其他的到达相同目的地路由的方式时,如果为它们指定相同优先级,则可实现负载分担。如果指定不同优先级,则可实现路由备份。
路由流入功能的具体配置方法见表1。
表1 配置路由注入功能的步骤
以上就是VPN:配置路由注入功能的介绍。
微云网络作为国内知名的云服务综合解决方案提供商,拥有包括MPLS专线、IPLC专线、云专线以及SD-WAN在内的多种产品,可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询微云网络客服电话 400-028-9798。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:配置路由注入功能
TAG标签:
地址:https://www.kd010.com/cjwt/418.html
全天服务支持
资源覆盖全球
专属优质服务
技术全线支持