我们公司的服务器分布在两个地方——总部和主机托管。为了提供更好的服务,我们正准备将其中一台服务器(PBX)从总部迁移到主机托管,但我们遇到了一些问题。
每个站点都有一个 Juniper SSG5 路由器,它们的本地子网通过站点到站点 VPN 和适当的隧道策略连接。网络图如下所示:
站点 A - 路由器 A - 互联网 - 路由器 B - 站点 B
10.1.0.0/24 10.1.0.1, 69.xxx 71.xxx, 10.0.0.1 10.0.0.0/24
由于站点 A 和站点 B 位于不同的子网,因此 PBX B 的 IP 地址必须更改。
站点 B(PBX 目前所在的位置)的所有电话都已注册到 PBX B。还有其他站点通过自己的站点到站点 VPN 连接到这两个位置。这些电话不是问题,因为我们可以直接或远程连接到它们,并为它们配置新的 IP 地址。
我们还有一些电话未通过站点到站点 VPN 连接到我们的办公室。所有这些电话都连接到路由器 B。路由器 B 在其 WAN 接口上有一个 VIP 条目,用于将 SIP 流量(例如,端口 5060)路由到 PBX B。我们目前无法直接访问其中一些电话,并且可能在一段时间内无法访问(使用这些电话的人对技术非常非常不熟练)。
即使我们在路由器 A 上设置 VIP 以指向新 IP 地址,电话本身仍指向路由器 B。我们希望能够通过 VPN 连接转发端口 5060 上的 SIP 流量,而不是让这些电话失去服务。实际上,我们希望路由器 B 将端口 5060 流量转发到 10.1.0.y,而不是路由器 B 将端口 5060 流量转发到 10.0.0.x。这就是我们最大的问题所在。
我们在站点 A 已经有另一个 PBX(PBX A),我们正在使用它进行测试。我在路由器 B 上设置了第二个 VIP,以将端口 5062 流量转发到 PBX A,但在这里我们遇到了一个问题。路由器 B 无法 ping 通路由器 A 的 LAN 接口(10.1.0.1)。路由器 B 后面的任何设备都可以 ping 通 10.1.0.1,路由器 B 后面的任何设备都可以 ping 通路由器 A 后面的任何设备,但路由器 B 无法 ping 通 10.1.0.1,也无法 ping 通它后面的任何设备,包括 PBX A,它正试图将此流量转发到 PBX A。
在路由器 B 上运行到 10.1.0.1 的跟踪路由表明它正在忽略自己的 VPN 连接,而是尝试通过其 WAN 接口 71.xxx 连接到 10.1.0.1,这正如您想象的那样顺利。
我们试图做的是让 Juniper 隧道将其自己的流量发往通过 VPN 连接的子网,而不是通过其 WAN 接口,就像它对其后面的所有流量所做的那样。我们已制定策略,通过“站点 A VPN”将流量从 10.0.0.0/24 隧道传输到 10.1.0.0/24,我最近为 VIP(eth0/0) 通过“站点 A VPN”到 10.1.0.0/24 创建了一个策略,但出于某种原因,这些策略似乎都不包括从 Juniper 本身路由的流量。
下面列出了跟踪路由的结果:
Send ICMP echos to 10.1.0.1, timeout is 2 seconds, maximum hops are 32,
1 5ms 5ms 5ms 71.x.x.x
2 7ms 7ms 10ms 100.x.x.x
3 10ms 10ms 12ms 130.x.x.x
4 * * *
5 19ms 19ms 19ms 140.x.x.x
6 * * *
7 * * *
(etc)
17 * * *
18 * * Trace aborted
任何关于如何解决此问题的建议都将不胜感激。谢谢!