请找到网络图,
我们在以 IPSLA 运行的集线器路由器的一些分支站点中具有 MPLS 和 Internet 连接,以用于故障目的。
这里 MPLS 是主要的,VPN 是次要的。如果主链路出现故障,则会发生故障并通过 VPN 工作。
问题是如果我将路由优先更改为 VPN,我将无法访问我的应用程序服务器。我可以 ping ip,我可以通过 VPN 查看流量,但我可以访问服务器和任何东西。
请帮助我们解决问题。
在某些分支站点中,如果我进行上述更改,则该位置的两个 MPLS 链接都可以正常工作。
非对称路由问题
网络工程
思科
虚拟专用网
防火墙
网络安全
非对称路由
2021-07-19 14:36:16
1个回答
答案很可能在您的问题主题中。
如果您更改辐条处的路由优先级,以便流量通过 VPN/防火墙进入,则返回流量仍然很可能通过 MPLS 网络离开(如果没有其他变化)。
您的 VPN 防火墙很可能是有状态的,并且它的流表中只有半个会话,例如:它会看到 SYN,但不会看到 SYN/ACK,然后当辐条处的客户端发送最终 ACK 时,防火墙将丢弃它因为它与握手不同步。
其它你可能感兴趣的问题