Cisco Cisco Packet Data Gateway (PDG)

SecGW HA supports hot standby redundancy between VMs in a VSM in different ASR 9000 chassis. The
Standby VSM is ready to become active once a switchover is triggered. SA re-negotiation is not required and
traffic loss is minimal.

For additional information, see the Reverse Route Injection (RRI) chapter.

HA involves configuration of both SRP and ConnectedApps (CA) for RRI to work.

HA employs ConnectedApps (CA) communication between the client running on the wsg-service VM and
IOS-XR running on the ASR 9000.

StarOS connectedapps commands configure the CA client parameters, including those associated with HA
mode. For additional information, refer to the oneP Communication chapter.

SecGW supports the following network deployment scenarios:

•

Remote Access Tunnels, on page 10

•

Site-to-Site Tunnels, on page 10

In a RAS scenario, a remote host negotiates a child SA with the SecGW and sends traffic inside the child SA
that belongs to a single IP address inside the remote host. This is the inner IP address of the child SA. The
outer IP address is the public IP address of the remote host. The addresses on the trusted network behind the
SecGW to which the host talks could be a single IP or a network.

In an S2S scenario, the remote peer sets up a child SA to the SecGW. The source of the traffic inside the child
SA can be from multiple IP addresses on the remote peer's side. As in the remote access scenario, the addresses
on the trusted network behind the SecGW can be a single IP or a network.