如果本地兴趣流配置了全 0 ,那么所有本地直连路由都会加入本地兴趣流,在 ip xfrm policy 中体现,
跨节点经 ipsec vpn gw vip,只要满足一个条件: 跨节点某个兴趣流源 ip,走自己的网关,经同网段的 vip 到 ipsec 服务节点进行封包
# ip route show table 220
2.2.168.0/24 via 10.251.174.254 dev bond0.2286 proto static src 192.168.233.102
src 192.168.233.102 只有在本地集节点发包的时候,会使用这个 ip
其他节点发的包,会经过该节点,可以是它本身的任意源 ip
参考:
