我正在使用 Meraki MX100 防火墙设备和几个 VLAN。我设置了 Google Cloud VPN 以与我的网络配合使用,但我意识到,尽管我将所有子网都给了 Google,但只有主 VLAN 能够与 Google 的 VPN 通信。如果我远程控制默认 VLAN 的路由,我的下一个 VLAN 就可以与 Google 的 VPN 通信。基本上一次只有一个 VLAN 能够与 Google 通信。我遗漏了什么吗?我希望我的所有 VLAN 都能够与 Google 的 VPN 通信。有什么想法吗?
答案1
听起来你正在经历本文描述的安全关联问题文章:
Cloud VPN 会创建一个子安全关联 (SA),以通告与隧道关联的所有 CIDR 块。部分 IKEv2 对等设备支持此行为,部分设备仅支持为每个 CIDR 块创建一个唯一的子 SA。对于后一种设备,具有多个 CIDR 块的隧道可能无法建立。
这个问题有几种解决方法:
- 使用 Cloud Router 创建 BGP 协商路由。使用此配置,IKE 协议中不会协商 CIDR。
- 将对等设备配置为在同一个子 SA 中拥有多个 CIDR。只有部分设备支持此功能,并且仅在 IKEv2 中可用。
- 如果可能的话,将 CIDR 聚合为一个更大的 CIDR。
- 为每个 CIDR 块创建单独的隧道。如有必要,您可以为此创建多个 VPN 网关。
连接到同一个隧道的所有子网必须使用相同的子 SA。如果不同的子网没有相同的 SA,则必须连接到不同的隧道。