瞻博网络通过了 Ipsec 隧道的下一跳认证

网络工程 杜松 ipsec
2022-02-19 03:39:04

我有一个 VPN,有 2 个链接从我的 SRX 到 AWS。两条隧道都绑定到 st0。与qualified-next-hop的接口:

route 192.168.0.0/23 { 
qualified-next-hop 169.251.233.29 { 
interface st0.4; 
} 
qualified-next-hop 169.254.233.25 { 
interface st0.5; 
}

我的问题是,即使与接口关联的隧道关闭,该接口也显示为启动,并且流量正试图通过它进行路由。

如何防止流量通过“关闭”IPSec 接口路由?

1个回答

在 SRX 上,下行隧道也应该关闭您的 st0.x 接口,在这种情况下,您的配置应该可以正常工作。

这不起作用的几个原因:我见过几个版本的 Junos 破坏了这个(早期的 12.1X44 版本),所以代码升级可能会解决这个问题。我在 SRX240 上使用 12.1X46D55,当隧道关闭时,它会正确丢弃 st0.x 接口。

此外,请确保您启用了 DPD(死亡对等检测),这样盒子就不会等待重新键入间隔来知道远端已关闭。AWS 默认支持此功能,因此您应该能够在大约 30 秒内进行故障转移。

其它你可能感兴趣的问题
上一篇使用远程 NAT 设备解释端口扫描结果 下一篇VPN 服务是否像固定电话连接一样“匿名”移动连接?