Въведение

Virtual Connect е допълнителна опция за добавка за свързване в облака към специализиран екземпляр за webex извикване (специализиран екземпляр). Virtual Connect дава възможност на Клиентите сигурно да разширят своята Частна мрежа по интернет с помощта на IP VPN тунели от точка до точка. Тази опция за свързване осигурява бързо установяване на Частна мрежова връзка чрез използване на съществуващото клиентско предварително оборудване (CPE) и интернет свързаност.

Cisco хоства, управлява и уверява излишниТЕ IP VPN тунели и необходимия достъп до интернет в региона(ите) за специализиран център за данни на Cisco, където се изисква услугата. По същия начин Администраторът отговаря за съответните им CPE и Интернет услуги, които се изискват за установяване на Virtual Connect.

Всяка поръчка на Virtual Connect в определен регион "Специален екземпляр" би включвала два генерични тунела за маршрутизиране (GRE), защитени от IPSec криптиране (GRE през IPSec), по един към избрания от Cisco datacentre в Региона.

Virtual Connect има ограничение на честотната лента от 250 Mbps на тунел и се препоръчва за по-малки разгръщания. Тъй като два VPN тунела от точка до точка се използват целия трафик към облака трябва да мине през клиентския headend CPE и затова може да не е подходящ там, където има много отдалечени сайтове. За други алтернативни опции за връстване направете справка с Cloud Connectivity.

Преди да подадете заявката за обмен на данни за виртуално свързване, се уверете, че услугата за специализиран екземпляр е активирана в съответния регион.

Предварителни изисквания

Предпоставките за установяване на Virtual Connect включват:

  • Клиентът предоставя

    • Интернет връзка с достатъчно налична честотна лента в подкрепа на разполагането

    • Публичен IP адрес(и) за два IPSec тунела

    • Клиент страна GRE транспорт IP адреси за двата GRE тунели

  • Партньор и Клиент

    • Работете заедно за оценка на изискванията за пропускателната способност

    • Осигурете маршрутизиране на мрежово(и) устройство(а) за поддръжка на border Gateway Protocol (BGP) и GRE през IPSec тунелен дизайн

  • Партньор или Клиент предоставя

    • Мрежов екип с познания по VPN тунелни технологии от сайт към сайт

    • Мрежов екип със знания за BGP, eBGP и общи принципи на маршрутизиране

  • Cisco

    • Cisco присвоени частни автономни системни номера (ASNs) и преходно IP адресиране за GRE тунелни интерфейси

    • Cisco присвоен публичен, но не интернет рутируем клас C (/24) мрежа за посветен екземпляр облак адресиране

Ако даден клиент има само 1 CPE устройство, то 2-те тунела към дейтацентровете на Cisco (DC1 и DC2) във всеки регион, ще бъдат от това CPE устройство. Клиентът също има опция за 2 CPE устройства, тогава всяко CPE устройство трябва да се свърже с 1 тунел само към Datacenters на Cisco (DC1 и DC2) във всеки регион. Допълнително уволнение може да бъде постигнато чрез прекратяване на всеки тунел в отделен физически обект/местоположение в рамките на инфраструктурата на Клиента.

Технически данни

Модел на разполагане

Virtual Connect използва архитектура с двустепенни глави, където контролните равнини за маршрутизиране и GRE са осигурени от едно устройство, а контролната равнина IPSec се осигурява от друго.

След завършване на свързването с Virtual Connect ще бъдат създадени два GRE през IPSec тунела между корпоративната мрежа на Клиента и дейтацентровете на Dedicated Instance Cisco. По един към всеки излишен datacenter в рамките на съответния Регион. Допълнителни елементи за работа в мрежа, необходими за връстването, се обменят от Партньора или Клиента към Cisco чрез формуляра за активиране на Виртуална връзка на контролния център.

Фигура 1 показва пример за модела за разполагане на Virtual Connect за опцията 2-концентратора от страната на клиента.

Virtual Connect - VPN е дизайн на концентратор, където Сайтовете на центъра на клиента са свързани към DC1 и DC2 на дейтацентровете на Dedicated Instance в рамките на определен регион.

Два обекта на Хъб се препоръчват за по-добро съкращаване, но сайтът one Hub с два тунела също е поддържан модел за разполагане.

Честотната лента на тунел е ограничена до 250 Mbps.

Отдалечените сайтове на Клиента в рамките на същия регион, ще трябва да се свържат обратно към сайта(ите) на Хъб над WAN на Клиента и не е отговорност на Cisco за тази свързаност.

Очаква се партньорите да работят в тясно сътрудничество с Клиентите, гарантирайки, че е избран най-оптималният път за сервизния регион 'Virtual Connect'.

Фигура 2 показва връстните региони за свързаност на облака за специализиран екземпляр.

Маршрутизиране

Маршрутизирането за добавка virtual Connect се осъществява с помощта на външен BGP (eBGP) между специализиран екземпляр и клиентската предпоставка за оборудване (CPE). Cisco ще рекламира съответната си мрежа за всеки излишен постоянен ток в рамките на регион към CPE на Клиента и cPE е длъжна да рекламира маршрут по подразбиране до Cisco.

  • Cisco поддържа и възлага

    • Тунелен интерфейс IP адресиране (преходна връзка за маршрутизиране) Cisco присвоява от определен Споделено адресно пространство (непублично рутируем)

    • Адрес за десистинация на тунелния транспорт (страна на Cisco)

    • Частни автономни системни номера (ASNs) за клиент BGP маршрутизиране конфигурация

      • Cisco присвоява от определения диапазон за частно ползване: 64512 чрез 65534

  • eBGP, използвани за обмен на маршрути между специализиран екземпляр и CPE

    • Cisco ще раздели присвоената /24 мрежа на 2 /25 по един за всеки постоянен ток в съответния регион

    • В Virtual Connect всяка /25 мрежа се рекламира обратно към CPE от Cisco през съответните VPN тунели от точка до точка (преходна връзка)

    • CPE трябва да бъде конфигуриран със съответните съседи на eBGP. Ако се използва един CPE, ще се използват два eBGP съседи, по един сочещ към всеки отдалечен тунел. Ако използвате две CPE, тогава всеки CPE ще има един eBGP съсед понитиране към единния отдалечен тунел за CPE.

    • Cisco страна на всеки GRE тунел (тунелен интерфейс IP) е конфигуриран като bgP съсед на CPE

    • CPE е длъжен да рекламира маршрут по подразбиране над всеки от тунелите

    • CPE е откликнато за преразпределяне, както се изисква, на научените маршрути в рамките на корпоративната мрежа на cutomer.

  • При условие за отказ на връзка без отказ, един CPE ще има два активни/активни тунела. За два CPE възела всеки CPE ще има един активен тунел и двата CPE възела трябва да бъдат активни и преминаващи трафик. При сценарий без отказ трафикът трябва да се раздели в два тунела, отиващи на правилните /25 дестинации, ако някой от тунела се спусне, останалият тунел може да пренесе трафика и за двете. При такъв сценарий на повреда, когато мрежата /25 е надолу след това мрежата /24 се използва като резервен маршрут. Cisco ще изпрати трафик на клиенти чрез вътрешния си WAN към DC който загуби свързаност.

Процес на свързване

Следните стъпки на високо ниво описват как да установите свързаност с виртуален Connect for Dedicated Instance.
1

Направете поръчка в Cisco CCW

2

Активиране на виртуално свързване от контролния център

3

Cisco извършва мрежова конфигурация

4

Клиентът извършва мрежова конфигурация

Стъпка 1: Поръчка на CCW

Virtual Connect е добавка за специализиран екземпляр в CCW.

1

Навигирайте до сайта за поръчка на CCW и след това щракнете върху Вход, за да влезете в сайта:

https://apps.cisco.com/Commerce/guest.
2

Създаване на оценка.

3

Добавете "A-FLEX-3" SKU.

4

Изберете Редактиране на опциите.

5

В раздела за абонамент, който се появява, Изберете Опции и Добавки.

6

Под Допълнителни добавки поставете отметка в квадратчето до "Виртуална връзка за специализиран екземпляр". Името на SKU е "A-FLEX-DI-VC".

7

Въведете количеството и броя на регионите, в които се изисква Virtual Connect.

Количеството "Виртуално свързване" не трябва да надвишава общия брой на регионите, закупени за "Специализиран екземпляр". Също така, само една поръчка virtual Connect е разрешена за регион.
8

Когато сте доволни от селекциите си, кликнете върху Потвърждаване и записване в горната дясната част на страницата.

9

Кликнете върху Запазване и продължаване, за да финализирате поръчката си. Финализираната ви поръчка сега кандидатства в мрежата за поръчки.

Стъпка 2: Активиране на виртуално свързване в контролния център

1

Влезте в Control Hub https://admin.webex.com/login.

2

В секцията Услуги навигирайте до Извикване на > специализиран instacnce > свързванев облака.

3

В картата "Виртуално свързване" е изброено закупеното количество "Виртуално свързване". Администраторът вече може да кликне върху Активиране , за да инициира активирането на Virtual Connect.

Процесът на активиране може да бъде задействан само от Администратори с роля "Клиент пълен администратор". като има предвид, че администратор с "Клиент само за четене администратор" Роля може само да видите състоянието.
4

При щракване върху бутона Активиране , Активиране на virtual Connect формуляр се показва за администратора да предостави виртуалната връзка технически подробности, необходими за peering конфигурации от страна на Cisco.

Формулярът също така предоставя статична информация от страна на Cisco, въз основа на избрания Регион. Тази информация ще бъде полезна за администраторите на Клиенти да конфигурират CPE от тяхна страна, за да установят Свързването.

  1. IP адрес на транспортиране на GRE тунела: От клиента се изисква да предостави страничните IP адреси на Tunnel Transport на клиента и Cisco динамично ще разпредели IP адресите, след като активирането приключи. IPSec ACL за интересен трафик трябва да позволи на местния тунел транспорт IP/32 да отдалечен тунел транспорт IP/32. ACL следва също така да посочи само ПРОТОКОЛА GRE IP.

    ПРЕДОСТАВЕНИЯТ ОТ КЛИЕНТА IP адрес може да бъде частен или публичен.

  2. Равнопоставени на IPSec: Клиентът е длъжен да предостави IP адресите източник IP тунел IPSec и Cisco разпределя IP адрес местоназначение IP. Извършване на NAT превод на вътрешен IPSEC тунел адрес на публичен адрес също се поддържа, ако се изисква.

    IP адресът, предоставен от клиента, следва да бъде публичен.

    Цялата друга статична информация, предоставена в екрана за активиране, е следвани страничните стандарти за сигурност и криптиране на Cisco. Тази статична конфигурация не е адаптивна или променяема. За всяка допълнителна помощ по отношение на статичните конфигурации от страна на Cisco, клиентът ще трябва да достигне до ТАС.
5

Кликнете върху бутона Активиране , след като всички задължителни полета бъдат попълнени.

6

След като формулярът "Активиране на виртуалната връзка" е завършен за регион с частици, клиентът може да експортира формуляра за активиране от Контролния център, Call > специализиран екземпляр > Cloud Connectivity раздела и да кликне върху Експортиране на настройките.

Поради съображения за защита паролата за удостоверяване и BGP няма да са налични в експортирания документ, но администраторът може да я прегледа в Control Hub, като щракне върху Преглед на настройките под Control Hub, „Повиквания > Специализиран екземпляр > Раздел „Свързване с облака“.

Стъпка 3: Cisco извършва мрежова конфигурация

1

След като формулярът за активиране на виртуално свързване завърши, състоянието ще бъде актуализирано до Активиране в ход при извикване > специализиран екземпляр > карта Cloud Connectivity Virtual Connect.

2

Cisco ще завърши необходимите конфигурации на оборудването от страната на Cisco в рамките на 5 работни дни. При успешно завършване състоянието ще бъде актуализирано на "Активиран" за този конкретен регион в контролния център.

Стъпка 4: Клиентът извършва мрежова конфигурация

Състоянието се променя на "Активиран", за да уведоми администратора на Клиента, че страната на Cisco на конфигурациите за IP VPN свързаността е завършена на базата на предоставените от Клиента входове. Но се очаква администраторът на клиента да завърши своята страна на конфигурациите на CPEs и да тества маршрутите за свързване за тунела Virtual Connect, за да бъде Online. В случай на проблеми, пред които е изправено по време на конфигурацията или свързаността, клиентът може да достигне до Cisco TAC за съдействие.

Отстраняване на неизправности

Отстраняване на неизправности и валидиране на IPsec първа фаза (IKEv2 договаряне)

Преговорите по IPsec тунела включват две фази, фаза IKEv2 и фаза IPsec. Ако преговорите във фазата на IKEv2 не завършат, тогава няма започване на втора фаза на IPsec. Първо издайте командата "покажи crypto ikev2 sa" (на оборудването на Cisco) или подобна команда на оборудването на трети страни, за да проверите дали сесията IKEv2 е активна. Ако сесията IKEv2 не е активна, потенциалните причини могат да бъдат:

  • Интересният трафик не задейства тунела на IPsec.

  • Списъкът за достъп до IPsec тунела е неправилно конфигуриран.

  • Няма връзка между клиента и IP адреса на крайната точка на тунела на специализиран екземпляр IPsec.

  • Параметрите на сесията IKEv2 не съвпадат между страната на специализирания екземпляр и страната на клиента.

  • Защитна стена блокира IKEv2 UDP пакетите.

Първо проверете регистрационните файлове на IPsec за съобщения, които показват хода на преговорите по IKEv2 тунела. Регистрационните файлове може да показват къде има проблем с преговорите по IKEv2. Липсата на съобщения в регистрационните файлове може също да означава, че сесията IKEv2 не се активира.

Някои често срещани грешки при договарянето на IKEv2 са:

  • Настройките за IKEv2 от страната на CPE не съвпадат с тази на Cisco, проверете отново посочените настройки:

    • Проверете дали версията на IKE е версия 2.

    • Уверете се, че параметрите за шифроване и удостоверяване съвпадат с очакваното шифроване от страна на специализирания екземпляр.

      Когато се използва шифърът "GCM", протоколът GCM обработва удостоверяването и задава параметъра за удостоверяване на NULL.

    • Потвърдете настройката за цял живот.

    • Проверете модулната група на Дифи Хелман.

    • Проверете настройките на псевдослучайна функция.

  • Списъкът за достъп за крипто картата не е настроен на:

    • Разрешение GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (или еквивалентна команда)

      Списъкът за достъп трябва да е специфичен за протокола „GRE“ и протоколът „IP“ няма да работи.

Ако съобщенията в регистрационния файл не показват никаква дейност по договаряне за фазата на IKEv2, тогава може да е необходимо улавяне на пакети.

Страната на специализирания екземпляр може не винаги да започва обмена на IKEv2 и понякога може да очаква страната на CPE на клиента да бъде инициатор.

Проверете конфигурацията на страната на CPE за следните изисквания за стартиране на сесия IKEv2:

  • Проверете за списък за достъп до криптографски IPsec за GRE трафик (протокол 50) от IP адреса на CPE тунелното транспортиране до IP адреса на тунелното транспортиране на специализиран екземпляр.

  • Уверете се, че интерфейсът на GRE тунела е активиран за пазители на GRE; ако оборудването не поддържа GRE пазители, тогава Cisco ще бъде уведомен, защото пазителите на GRE ще бъдат активирани от страната на специализирания екземпляр по подразбиране.

  • Уверете се, че BGP е разрешен и конфигуриран с адреса на съседа на IP тунела на специализиран екземпляр.

При правилно конфигуриране започва тунела на IPsec и първата фаза на IKEv2 преговори:

  • GRE поддържа интерфейса на GRE тунела от страната на CPE към интерфейса на GRE тунела от страната на специализирания екземпляр.

  • BGP съседна TCP сесия от CPE страна BGP съседна страна към BGP страна на специализирания екземпляр.

  • Ping от IP адреса на тунела от страната на CPE към IP адреса на тунела от страната на специализирания екземпляр.

    Ping не може да бъде IP на тунелното транспортиране до IP на тунелното транспортиране, той трябва да бъде IP на тунелното транспортиране.

Ако е необходимо проследяване на пакети за трафика IKEv2, задайте филтър за UDP и порт 500 (когато няма NAT устройство в средата на крайните точки на IPsec) или порт 4500 (когато NAT устройство е вмъкнато в средата на крайните точки на IPsec).

Потвърдете, че UDP пакетите IKEv2 с порт 500 или 4500 се изпращат и получават до и от IPsec IP адреса на DI IPsec.

Центърът за данни на специализиран екземпляр може не винаги да започва първия пакет IKEv2. Изискването е CPE устройството да може да инициира първия пакет IKEv2 към страната на специализирания екземпляр.

Ако локалната защитна стена позволява това, опитайте също и ping до отдалечения IPsec адрес. Ако командата ping не успее от локален към отдалечен IPsec адрес, изпълнете маршрут за проследяване, за да помогнете и да определите къде се изпуска пакетът.

Възможно е някои защитни стени и интернет оборудване да не позволяват трасиране.

Втората фаза на IPsec (преговори с IPsec) отстраняване на неизправности и валидиране

Потвърдете, че първата фаза на IPsec (т.е. асоциация за защита IKEv2) е активна, преди да отстраните втората фаза на IPsec. Изпълнете "покажи crypto ikev2 sa" или еквивалентна команда, за да потвърдите сесията IKEv2. В изхода потвърдете, че сесията на IKEv2 е била с продължителност повече от няколко секунди и че не се възстановява. Непрекъснатостта на сесията се показва като сесия „Активно време“ или еквивалент по изходящи данни.

След като сесията IKEv2 се потвърди като активна, проучете сесията на IPsec. Както при сесията IKEv2, изпълнете "показване на crypto ipsec sa" или еквивалентна команда, за да потвърдите сесията IPsec. Сесията IKEv2 и сесията IPsec трябва да са активни преди установяването на GRE тунела. Ако сесията на IPsec не се покаже като активна, проверете регистрационните файлове на IPsec за съобщения за грешки или грешки в преговорите.

Някои от по-често срещаните проблеми, които могат да се срещнат по време на преговорите по IPsec са:

Настройките от страна на CPE не съвпадат със страна на специализирания екземпляр, проверете отново настройките:

  • Уверете се, че параметрите за шифроване и удостоверяване съответстват на настройките от страна на специализирания екземпляр.

  • Потвърдете настройките на Perfect Forward Secrecy и дали съвпадат настройките от страна на специализирания екземпляр.

  • Проверете настройките за целия живот.

  • Проверете дали IPsec е конфигуриран в тунелен режим.

  • Потвърдете IPsec адресите на източника и местоназначението.

Отстраняване на неизправности и валидиране на тунелния интерфейс

Когато сесиите IPsec и IKEv2 са потвърдени като активни и активни, пакетите за поддържане на GRE тунела могат да протичат между крайните точки на специализирания екземпляр и крайните точки на CPE тунела. Ако тунелният интерфейс не показва състоянието си, някои често срещани проблеми са:

  • Транспортът на тунелния интерфейс VRF не съответства на VRF на интерфейса за обратна връзка (ако на тунелния интерфейс се използва VRF конфигурация).

    Ако конфигурацията на VRF не се използва в тунелния интерфейс, тази проверка може да бъде пренебрегната.

  • Не са активирани поддържащи функции в интерфейса на тунела от страната на CPE

    Ако поддържащите елементи не се поддържат от CPE оборудването, Cisco трябва да бъде уведомен, за да бъдат деактивирани и поддържащите елементи по подразбиране от страна на специализирания екземпляр.

    Ако се поддържат опашки, проверете дали опашките са разрешени.

  • Маската или IP адресът на тунелния интерфейс са неправилни и не съответстват на очакваните стойности на специализирания екземпляр.

  • Адресът за транспортиране на тунела източник или местоназначение е неправилен и не съответства на очакваните стойности на специализирания екземпляр.

  • Защитната стена блокира GRE пакети, изпратени в тунела на IPsec или получени от тунела на IPsec (GRE тунела се транспортира през IPsec тунела)

Тестът за пинг трябва да потвърди, че локалният тунелен интерфейс е готов и свързването е добро с интерфейса на отдалечения тунел. Извършете проверката на ping от IP адреса на тунела (не транспортния IP) към IP адреса на отдалечения тунел.

Списъкът за достъп до крипто за IPsec тунела, който носи трафика на GRE тунела, позволява да се пресичат само GRE пакети. В резултат на това, пинговете няма да работят от IP на тунелното транспортиране до IP на дистанционното тунелно транспортиране.

Проверката на ping води до GRE пакет, който се генерира от IP на източника на тунела за транспортиране до IP на целевия тунел, докато полезният товар на GRE пакета (вътрешния IP) ще бъде IP на източника и на целевия тунел.

Ако тестът за ping не е успешен и предходните елементи са проверени, може да се изисква прихващане на пакет, за да се гарантира, че ping icmp води до GRE пакет, който след това се капсулира в IPsec пакет и след това се изпраща от IPsec адреса на източника до IPsec адреса на местоназначението. Броячите на интерфейса на GRE тунела и броячите на сесиите на IPsec също могат да помогнат за показване. ако пакетите за изпращане и получаване се увеличават.

В допълнение към трафика с пинг, заснемането трябва да показва и поддържащи GRE пакети дори по време на неактивен трафик. И накрая, ако е конфигуриран BGP, поддържащите пакети на BGP трябва да се изпращат и като GRE пакети, капсулирани в IPSEC пакети, както и през VPN.

Отстраняване на неизправности и валидиране на BGP

BGP сесии

BGP се изисква като протокол за маршрутизиране през тунела на VPN IPsec. Местният съсед на BGP трябва да установи сесия на eBGP със съседния BGP на специализирания екземпляр. IP адресите на съседния eBGP са същите като IP адресите на локалния и отдалечения тунел. Първо се уверете, че сесията на BGP е завършена, а след това се уверете, че правилните маршрути се получават от специализирания екземпляр и че правилният маршрут по подразбиране се изпраща до специализирания екземпляр.

Ако GRE тунелът е готов, проверете дали командата ping е успешна между локалния и отдалечения IP тунел на GRE. Ако командата ping е успешна, но сесията на BGP не се появява, проучете регистрационния файл на BGP за грешки при установяването на BGP.

Някои от по-често срещаните проблеми при преговорите с BGP са:

  • Отдалеченият AS номер не съвпада с номера AS, конфигуриран от страна на специализирания екземпляр; проверете отново конфигурацията на съседа AS.

  • Локалният номер за AS не съответства на очакванията на страната на специализирания екземпляр; проверете дали локалният номер за AS съответства на очакваните параметри на специализирания екземпляр.

  • Защитната стена блокира BGP TCP пакети, капсулирани в GRE пакети, да бъдат изпратени в IPsec тунела или получени от IPSEC тунела

  • Отдалеченият IP адрес на съседен BGP не съответства на IP адреса на отдалечения GRE тунел.

BGP Route Exchange

След като сесията на BGP бъде потвърдена и за двата тунела, се уверете, че правилните маршрути се изпращат и получават от страната на специализирания екземпляр.

Решението Dedicated Instance VPN очаква да бъдат създадени два тунела от страната на клиента/партньора. Първият тунел сочи към центъра за данни A на специализирания екземпляр, а вторият тунел сочи към центъра за данни B на специализирания екземпляр. И двата тунела трябва да са в активно състояние, а решението изисква активно/активно разполагане. Всеки център за данни на специализирания екземпляр ще обяви своя локален /25 маршрут, както и резервен /24 маршрут. Когато проверявате входящите маршрути на BGP от специализирания екземпляр, се уверете, че сесията на BGP, свързана с тунела, сочещ към центъра за данни A на специализирания екземпляр, получава локалния маршрут на центъра за данни на специализирания екземпляр A /25, както и резервния маршрут на /24. Освен това се уверете, че тунелът, сочещ към центъра за данни на специализиран екземпляр B, получава локалния маршрут за център за данни на специализиран екземпляр B /25, както и резервния маршрут за /24. Имайте предвид, че резервният маршрут /24 ще бъде същият маршрут, който се рекламира от центъра за данни на Специализиран екземпляр A и центъра за данни на Специализиран екземпляр B.

Осигурява се резерв за център за данни на специализиран екземпляр, ако тунелният интерфейс към този център за данни отпадне. Ако се загуби връзка с център за данни А на специализиран екземпляр, тогава трафикът ще бъде пренасочен от център за данни B към център за данни A. В този сценарий тунелът към център за данни B ще използва маршрута за данни B /25, за да изпрати трафик към център за данни B, а тунелът към център за данни B ще използва резервния /24 маршрут, за да изпрати трафик към център за данни A чрез център за данни B.

Важно е, че когато и двата тунела са активни, тунелът за данни А не се използва за изпращане на трафик към център за данни В и обратно. В този сценарий, ако трафикът се изпрати към datacenter A с дестинация datacenter B, datacenter A ще препрати трафика към datacenter B и след това datacenter B ще се опита да изпрати трафика обратно към източника чрез тунела на datacenter B. Това ще доведе до неоптимално маршрутизиране и може също така да прекъсне трафика през защитните стени. Поради това е важно и двата тунела да бъдат в активна/активна конфигурация по време на нормална работа.

Маршрутът 0.0.0.0/0 трябва да се рекламира от страната на клиента до страната на центъра за данни на специализирания екземпляр. По-конкретни маршрути няма да се приемат от страната на специализирания екземпляр. Уверете се, че маршрутът 0.0.0.0/0 се рекламира както от тунела на центъра за данни на Специализиран екземпляр A, така и от тунела на центъра за данни на Специализиран екземпляр B.

Конфигурация на MTU

От страна на специализирания екземпляр са активирани две функции, за да регулирате динамично MTU за големи размери пакети. GRE тунелът добавя повече заглавки към IP пакетите, протичащи през VPN сесията. IPsec тунелът добавя допълнителни заглавки в горната част на GRE заглавките допълнително ще намали най-големия разрешен MTU над тунела.

GRE тунелът регулира функцията MSS, а пътят на GRE тунела във функцията за откриване на MTU е активиран от страна на специализирания екземпляр. Конфигурирайте „ip tcp adjust-mss 1350“ или еквивалентна команда, както и „тунелен път\u0002mtu-discovery“ или еквивалентна команда от страната на клиента, за да помогнете при динамичното регулиране на MTU на трафика през VPN тунела.