ASA VTI到VPC Transit Gateway的双活隧道(非BGP)
0
【以下的问题经过翻译处理】 根据这里的教程:https://docs.aws.amazon.com/vpc/latest/adminguide/cisco-asa-vti-no-bgp.html,我已经建立了到AWS的双隧道,终结在一个Transit Gateway上。
由于两个隧道都处于活动状态,我注意到流量离开隧道1然后返回到隧道2,这导致了ASA隧道2接口上的“Deny TCP (no connection)”错误。流量无法成功传递到ASA内部的客户端。
是否有一些在指南中遗漏的配置,导致无法工作,或者可以配置Transit Gateway只使用一个隧道吗?
禁用其中一个隧道允许流量传递到ASA内部的客户端。
谢谢,John。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 我是Cohesive Networks的Pat Kerpan。
很高兴如果能有一个更了解TGW(Transit Gateway)的人告诉你一些与我建议所不同的信息,我将鼓励他们加入讨论。
话虽如此,根据我们的经验,目前没有特定的方法来确定你的两个VTI路由隧道中哪一个被视为主要隧道,哪一个是次要隧道,除非像你所做的那样查看流量。
由于流量“返回”到隧道2,那么隧道2实际上是你的主要隧道。答案是在ASA配置中更改你的静态路由指标,以便当前的隧道2成为主要隧道,而隧道1成为次要隧道。
否则有可能会引发问题,允许非对称路由可能不符合你的组织政策——即ASA允许流量从一个隧道“上行”,然后从另一个隧道“下行”。
我建议您尝试更改静态路由。
相关内容
AWS 官方已更新 3 年前- AWS 官方已更新 3 年前
- AWS 官方已更新 5 个月前
- AWS 官方已更新 2 年前
