站点到站点 IPsec 和重新路由到另一个 IPsec 隧道

网络工程 思科 ipsec 感知 站点到站点
2022-02-23 18:42:29

我们有三个不同的地理站点(SITE1、SITE2 和 SITE3),每个站点都安装了 PFSense 防火墙。站点已通过 IPSec 隧道连接在一起。Site2 也通过 IPSec 隧道连接到客户网络。客户确实有 Cisco ASA,但在这种情况下它不支持 VTI。我们可以从 SITE2 访问客户网络,但我们不能从 SITE1 或 SITE2 访问这些网络。当从 SITE1 向客户网络发送数据包时,我们可以看到数据包到达 SITE2,但数据包没有继续到客户网络。数据包是否应该由 PFSense 自动路由到 ipsec 隧道,或者当我们在客户路由器上没有可用的 VTI 时,是否有一些技巧可以将这些数据包静态路由到客户网络?

SITE1 <- ipsec -> SITE2 <- ipsec> SITE3
                  |
                 ipsec (BINAT/NAT)
                  |
                Customer
1个回答

除非您使用某些路由协议(OSPF、RIP,...)与您的客户和您的站点交换路由,否则所有路由都需要静态创建。没有这些,站点路由器只知道连接到它们的子网/路由。

您可以混合使用,例如在您的站点之间使用路由协议,并让 SITE2 将其到客户网络的静态路由注入到交换的路由中,以将路由传播到 SITE1 和 SITE3。

但是,客户的路由器也需要知道您的子网才能使反向路由正常工作。同样,这可以通过静态路由或路由协议来完成。

其它你可能感兴趣的问题
上一篇Cisco 1252AG Aironet 接入点支持什么生成树 IEEE 协议? 下一篇Cisco Nexus 9K 路由映射匹配接口正则表达式