VPN与专线互备路由-故障切换问题

环境介绍

客户的IDC机房、分支办公室均部署有服务器、防火墙等设备，防火墙都接入了SD-WAN专线与MPLS专线，当前通过调整路由优先级的方式，优先将业务流量引流至MPLS专线，同时使用SD-WAN专线对接sangfor vpn，作为备份线路；要求在MPLS专线故障后业务流量会自动切换至sangfor vpn。

配置截图

（备注：测试环境由Vmware平台搭建）

总部接口，内网网段100.1.0.0/16

分支接口，内网网段100.2.0.0/16

总部MPLS专线接口

分支MPLS专线接口

总部MPLS专线链路检测，均检测本地网关地址与对端防火墙接口地址，确保任意一端故障后两地策略路由同时失效。

分支MPLS专线链路检测

总部策略路由，均指定源目服务器ip并调用链路检测。

分支策略路由

使用自定义模式路由优先级，确保策略路由优于vpn路由。

总部路由表

分支路由表

故障复现

创建虚拟机模拟分支服务器ping总部服务器，使用长ping模拟连续的业务流量。

防火墙后台使用show session命令查看到默认是走的MPLS专线接口。

下面手动禁用分支的MPLS专线接口，模拟MPLS专线故障。

可以看到总部和分支的策略路由同步故障了。

但是长ping却没有自动恢复

此时使用控制台路由测试功能也是显示已经切换到vpn路由

问题分析

首先发现此时从总部服务器ping分支服务器是正常的

使用show session看一下会话，从总部服务器发起的ping包从vpntun接口出去了，是正常的，但是从分支服务器发来的ping包回包依旧是从MPLS专线接口出去，不正常。

在总部MPLS专线接口抓包，确实回包依旧从MPLS专线接口出去了。

处理过程

目前已经找到了故障切换后流量单向不通的原因，但是查了防火墙配置没有明显异常，并且路由测试功能显示路由是已经切换了的。后边只能找研发远程处理。

研发检查配置后认为是MPLS专线接口勾选了【源进源出】，虽然分支接口手动down了，两边策略路由也是失效的状态，但是由于总部MPLS专线接口没有down，【源进源出】会使得对应的session被保留（使用长ping测试，session会一直存在）。

于是手动关闭了总部的接口【源进源出】选项

ping测试恢复正常

问题总结

1、 后续测试在保持开启【源进源出】的情况下，手动同时down分支和总部的MPLS专线接口可以完成自动切换，因为接口down后session就不会保留了；

2、 在多外网线路的情况下，关闭【源进源出】的前提是两地防火墙有配置明细的回包路由。

感谢分享，有助于进步！

感谢分享，有助于进步！

多谢分享，有助于工作。

每天坚持打卡学习签到！！

每天坚持打卡学习签到！！

感谢分享，有助于进步！

感谢分享，有助于进步！

保持开启【源进源出】的情况下，手动同时down分支和总部的MPLS专线接口可以完成自动切换，因为接口down后session就不会保留了； 在多外网线路的情况下，关闭【源进源出】的前提是两地防火墙有配置明细的回包路由。

每天坚持打卡学习签到！！