我正在使用meraki MX100防火墙设备和几个VLAN。 我设置了Google Cloud VPN来与我的networking协同工作,但是我意识到,尽pipe我只向Google提供了我的子网,但只有主VLAN能够与Google的VPN进行通信。 如果我为我的默认VLAN远程路由,我的下一个VLAN能够与Google的VPN进行通信。 基本上,一次只能有一个VLAN能够与Google通话。 有什么我失踪? 我希望我所有的VLAN能够与Google的VPN通话。 有任何想法吗?
听起来就像是遇到了本文所述的安全关联问题:
云VPN创build单个子安全关联(SA),通告所有与隧道相关的CIDR块。 一些IKEv2对等设备支持这种行为,有些只支持为每个CIDR块创build一个唯一的子SA。 对于这些后面的设备,具有多个CIDR块的隧道可能无法build立。
这个问题有几个解决方法 :
- 使用云路由器创buildBGP协商的路由。 使用此configuration,CIDR不在IKE协议中进行协商。
- configuration对端设备在同一子SA中拥有多个CIDR。 只有一些设备支持这一点,只有在IKEv2中才有可能。
- 如果可能的话,将CIDR聚合成一个更大的CIDR。
- 为每个CIDR块创build一个单独的隧道。 如有必要,您可以为此创build多个VPN网关。
连接到相同隧道的所有子网必须使用相同的子SA。 如果不同的子网不具有相同的SA,则必须连接到不同的隧道。