Úvod

Virtual Connect je další možnost doplněk pro připojení cloudu k vyhrazené instanci pro Webex Calling (vyhrazená instance). Virtual Connect umožňuje zákazníkům bezpečně rozšířit jejich soukromou síť přes internet pomocí dvoubodových IP VPN tunelů. Tato možnost připojení poskytuje rychlé navázání připojení k soukromé síti pomocí stávajícího zařízení zákazníka (CPE) a připojení k internetu.

Cisco hostuje, spravuje a zajišťuje redundantní IP VPN tunely a požadovaný přístup k Internetu v regionech datového centra vyhrazené instance Cisco, kde je služba vyžadována. Podobně je správce odpovědný za své odpovídající CPE a internetové služby, které jsou vyžadovány pro zřízení virtuálního připojení.

Každá objednávka virtuálního připojení v konkrétní oblasti vyhrazené instance by zahrnovala dva tunely generického směrování zapouzdření (GRE) chráněné šifrováním IPSec (GRE over IPSec), a to po jednom do každého datového centra společnosti Cisco ve vybrané oblasti.

Aplikace Virtual Connect má omezení šířky pásma na 250 Mb/s na tunel a doporučuje se pro menší nasazení. Protože se používají dva dvoubodové tunely VPN , veškerý provoz do cloudu musí jít přes CPE koncové stanice zákazníka, a proto nemusí být vhodné tam, kde se nachází mnoho vzdálených pracovišť. Další alternativní možnosti partnerského vztahu viz Připojení ke cloudu .

Požadavky

Předpoklady pro zřízení virtuálního připojení:

  • Zákazník poskytuje

    • Připojení k Internetu s dostatečnou dostupnou šířkou pásma pro podporu nasazení

    • Veřejné adresa IP pro dva tunely IPSec

    • Přenosové IP adresy GRE na straně zákazníka pro dva tunely GRE

  • Partner a zákazník

    • Spolupracujte na vyhodnocení požadavků na šířku pásma

    • Ověřte, že síťové zařízení podporují směrování s protokolem Border Gateway Protocol (BGP) a design tunelu GRE over IPSec .

  • poskytne partner nebo zákazník

    • Síťový tým se znalostí technologií tunelu VPN Site-to-site

    • Síťový tým se znalostí protokolu BGP, eBGP a obecných zásad směrování

  • Cisco

    • Společnost Cisco přiřadila rozhraní tunelu GRE čísla privátních autonomních systémů (ASN) a přechodné adresování IP

    • Cisco přiřadila veřejnou síť třídy C (/24), ale nikoliv internetovou směrovatelnou síť pro vyhrazené cloudové adresování instance

Pokud má zákazník pouze 1 zařízení CPE, pak 2 tunely směrem k datovým centrům Cisco (DC1 a DC2) v každé oblasti budou pocházet z tohoto zařízení CPE. Zákazník má také možnost pro 2 zařízení CPE, přičemž každé zařízení CPE by se mělo připojovat pouze k 1 tunelu směrem k datovým centrům Cisco (DC1 a DC2) v každé oblasti. Další redundance lze dosáhnout ukončením každého tunelu v samostatném fyzickém pracovišti/pobočce v rámci infrastruktury zákazníka.

Technické údaje

Model nasazení

Virtual Connect používá dvouvrstvou architekturu koncové stanice, kde směrování a řídicí rovinu GRE poskytuje jedno zařízení a řídicí rovinu IPSec poskytuje jiné.

Po dokončení Virtuální připojení připojení, budou vytvořeny dva tunely GRE over IPSec mezi podnikovou sítí zákazníka a vyhrazenými datovými centry společnosti Cisco. Jedno pro každé redundantní datové centrum v příslušné oblasti. Další síťové prvky požadované pro partnerský vztah sděluje partner nebo zákazník společnosti Cisco prostřednictvím aktivačního formuláře Control Hub Virtual Connect.

Obrázek 1 ukazuje příklad model nasazení virtuálního připojení pro možnost 2 koncentrátorů na straně zákazníka.

Virtuální připojení – VPN je designového centra, kde jsou zákazníkova centra připojena k DC1 a DC2 datových center vyhrazené instance v rámci konkrétní oblasti.

Kvůli lepší redundanci se doporučují dva uzly, ale podporovaný model nasazení je také jedno centrum se dvěma tunely.

Šířka pásma na jeden tunel je omezena na 250 Mb/s.

Vzdálené weby zákazníka ve stejné oblasti se budou muset připojit zpět k webům rozbočovače přes síť WAN zákazníka a za toto připojení není odpovědná společnost Cisco.

Očekává se, že partneři budou se zákazníky úzce spolupracovat a zajistí, že pro oblast služby „virtuální připojení“ bude vybrána nejoptimálnější cesta.

Obrázek 2 ukazuje oblasti partnerského vztahu ke cloudu vyhrazené instance Cloud Connectivity.

Směrování

doplněk Směrování pro Virtual Connect je implementován pomocí externího protokolu BGP (eBGP) mezi vyhrazenou instancí a zařízením CPE (Customer Premise Device). Cisco oznámí svou síť pro každý redundantní řadič řadičů v rámci oblasti na CPE zákazníka, přičemž toto zařízení CPE je nutné k inzerování výchozího směrování do společnosti Cisco.

  • Cisco spravuje a přiřazuje

    • Přidělování IP rozhraní rozhraní Tunelu (přechodné spojení pro směrování) Cisco přiřadí z vyhrazeného sdíleného adresního prostoru (neveřejně směrovatelný)

    • Cílová adresa dopravního tunelu (na straně společnosti Cisco)

    • Čísla privátních autonomních systémů (ASN) pro konfiguraci směrování zákazníka BGP

      • Cisco přiřadí z určeného rozsahu pro soukromé použití: 64512 až 65534

  • Protokol eBGP se používá k výměně směrování mezi vyhrazenou instancí a zařízení CPE

    • Cisco rozdělí přiřazenou síť /24 na 2 /25 jednoho pro každého DC v příslušné oblasti

    • Ve službě Virtual Connect je každá síť /25 inzerována zpět do CPE od společnosti Cisco přes příslušné tunely VPN typu bod-bod (přechodné spojení)

    • CPE je nutné nakonfigurovat s příslušnými sousedy eBGP. Pokud používáte jedno CPE, budou použiti dva sousedé eBGP, z nichž jeden bude směřovat do každého vzdáleného tunelu. Pokud používáte dvě CPE, každé CPE bude mít jednoho souseda eBGP směřujícího na jeden vzdálený tunel pro CPE.

    • Strana Cisco každého tunelu GRE ( IP rozhraní tunelu) je nakonfigurována jako soused BGP na zařízení CPE.

    • K inzerování výchozího směrování přes každý z tunelů je vyžadován CPE

    • CPE je odpovědné za podle potřeby opětovnou distribuci naučených směrování v rámci podnikové sítě zákazníka.

  • Za stavu selhání spojení bez selhání bude mít jedno CPE dva aktivní/aktivní tunely. Pro dva uzly CPE bude mít každé CPE jeden aktivní tunel a oba uzly CPE by měly být aktivní a procházet kolem provozu. Podle scénáře bez selhání se provoz musí rozdělit do dvou tunelů vedoucích do správných /25 cílů. Pokud jeden z tunelů přestane fungovat, zbývající tunel může přenést provoz z obou. V takovém případě selhání a síť /25 je mimo provoz, pak se síť /24 použije jako záložní trasa. Cisco bude odesílat provoz zákazníka přes svou interní síť WAN směrem k DC, který ztratil připojení.

Proces připojení

Následující kroky na vysoké úrovni popisují, jak vytvořit připojení s virtuálním připojením Connect pro vyhrazenou instanci.

1

Zadat objednávku ve službě Cisco CCW
2

Aktivujte aplikaci Virtual Connect z centra Control Hub
3

Cisco provede konfiguraci sítě
4

Zákazník provede konfiguraci sítě

Krok 1: Příkaz CCW

Virtual Connect je doplněk pro vyhrazenou instanci v prostředí CCW.

1

Přejděte na stránku pro objednávání CCW a potom se kliknutím na tlačítko Přihlásit se přihlaste na webu:

https://apps.cisco.com/Commerce/guest.
2

Vytvořit odhad.
3

Přidejte SKU „A-FLEX-3“.
4

Vyberte Upravit možnosti.
5

Na zobrazené kartě předplatného vyberte možnost Možnosti a Doplňky.
6

V části Další doplňky zaškrtávací políčko vedle položky „Virtuální připojení pro vyhrazenou instanci“. Název SKU je „A-FLEX-DI-VC“.
7

Zadejte množství a počet regionů, ve kterých je vyžadováno virtuální připojení.


 
Množství virtuálního připojení by nemělo překročit celkový počet zakoupených regionů pro vyhrazenou instanci. Také je povolena pouze jedna objednávka virtuálního připojení na oblast.
8

Až jste s výběrem spokojeni, klikněte na Ověřit a uložit v pravé horní části stránky.
9

Objednávku dokončete kliknutím na tlačítko Uložit a pokračovat. Dokončená objednávka se nyní zobrazí v mřížce objednávky.

Krok 2: Aktivace služby Virtual Connect v centru Control Hub

1

Přihlaste se k centru Control Hubhttps://admin.webex.com/login .
2

V Služby části, přejděte do Volání > Vyhrazená instance > Připojení ke cloudu .
3

Na kartě Virtual Connect je uvedeno zakoupené množství aplikace Virtual Connect. Správce nyní může kliknout na Aktivovat inicializaci aktivace služby Virtual Connect.


 
Proces aktivace mohou spustit pouze správci s rolí správce „Zákazník s úplnými právy“. Správce s rolí „správce jen pro čtení“ může stav pouze zobrazit.
4

Při kliknutí na ikonu Aktivovat tlačítko, Aktivujte virtuální připojení Zobrazí se formulář, do kterého správce zadá technické podrobnosti o službě Virtual Connect požadované pro konfigurace partnerského vztahu na straně společnosti Cisco.


 
Formulář také poskytuje statické informace o společnosti Cisco na základě vybrané oblasti. Tyto informace budou užitečné pro správce zákazníka při konfiguraci zařízení CPE na jejich straně za účelem navázání připojení.

  1. adresa IP GRE Tunnel Transport : Zákazník je požádán, aby poskytl IP adresy pro přenosový tunel na jeho straně a Cisco po dokončení aktivace dynamicky přidělí IP adresy. Seznam IPSec ACL pro zajímavý provoz by měl umožňovat místní přenosovou IP/32 v tunelu na vzdálenou IP/32. V seznamu ACL by měl být také uveden pouze protokol GRE IP .


     
    Adresa adresa IP zákazníkem může být soukromá nebo veřejná.

  2. Partnerské zařízení IPSec : Zákazník je požádán, aby poskytl zdrojové IP adresy IPSec Tunelu a Cisco přidělí adresa IP cíle IPSec . V případě potřeby je podporováno také provedení překladu NAT interní adresy tunelu IPSEC na veřejnou adresu.


     

    Adresa adresa IP zákazníkem by měla být veřejná.

     
    Všechny ostatní statické informace zobrazené na aktivační obrazovce vycházejí z bočních bezpečnostních a šifrovacích standardů společnosti Cisco. Tuto statickou konfiguraci nelze přizpůsobit ani upravit. Pokud potřebujete další pomoc týkající se statických konfigurací na straně společnosti Cisco, zákazník se musí obrátit na TAC.
5

Klikněte na možnost Aktivovat Jsou-li všechna povinná pole vyplněna,
6

Po vyplnění formuláře aktivace služby Virtual Connect pro určitou oblast může zákazník exportovat aktivační formulář z centra Control Hub, dále pak na kartě Volání > Vyhrazená instance > Připojení ke cloudu a kliknout na Exportovat nastavení.


 
Z bezpečnostních důvodů nebudou v exportovaném dokumentu k dispozici ověření a heslo BGP, ale správce může je zobrazit v nástroji Control Hub kliknutím na Zobrazit nastavení v části Control Hub, Volání > Vyhrazená instance > karta Připojení ke cloudu.

Krok 3: Cisco provede konfiguraci sítě

1

Po vyplnění formuláře Aktivace služby Virtual Connect bude stav aktualizován na Probíhá aktivace v nabídce Volání > Vyhrazená instance > Karta Připojení ke cloudu Virtual Connect.
2

Cisco dokončí požadované konfigurace na bočním zařízení Cisco v rámci 5 pracovních dnů . Po úspěšném dokončení bude stav pro tuto konkrétní oblast v centru Control Hub aktualizován na „Activováno“.

Krok 4: Zákazník provede konfiguraci sítě

Stav se změní na „Activováno“, čímž je správce zákazníka upozorněn, že konfigurace společnosti Cisco pro připojení IP VPN byly dokončeny na základě vstupů zadaných zákazníkem. Očekává se však, že správce zákazníka dokončí svou stranu konfigurací na zařízeních CPE a otestuje trasy připojení pro tunel Virtual Connect, aby byl online. V případě, že zákazník narazí na nějaké potíže během konfigurace nebo připojení, může se obrátit na středisko středisko technické podpory Cisco (TAC) a požádat o pomoc.

Řešení problémů

Řešení potíží a ověřování první fáze protokolu IPsec (IKEv2 Negotiation).

Vyjednávání o tunelu IPsec zahrnuje dvě fáze, fázi IKEv2 a fázi IPsec. Pokud se vyjednávání fáze IKEv2 nedokončí, nedochází k žádné inicializaci druhé fáze IPsec. Nejprve zadejte příkaz „show crypto ikev2 sa“ (na zařízení Cisco ) nebo podobný příkaz na zařízení třetí strany, abyste ověřili, zda je relace IKEv2 aktivní. Pokud relace IKEv2 není aktivní, mohou to být způsobeny následujícími příčinami:

  • Zajímavý provoz neaktivuje tunel IPsec.

  • seznam přístupu tunelového propojení IPsec je nesprávně nakonfigurován.

  • Mezi zákazníkem a IPsec koncovým bodem vyhrazené instance není žádné IP.

  • Parametry relace IKEv2 se na straně vyhrazené instance a na straně zákazníka neshodují.

  • Pakety IKEv2 UDP blokuje brána firewall.

Nejprve zkontrolujte protokoly IPsec, zda se v nich nenachází nějaké zprávy s průběhem vyjednávání tunelu IKEv2. Protokoly mohou naznačovat, kde došlo k problému s vyjednáváním IKEv2. Chybějící zprávy protokolování může také znamenat, že relace IKEv2 není aktivována.

Mezi běžné chyby při vyjednávání protokolu IKEv2 patří:

  • Nastavení pro IKEv2 na straně CPE neodpovídá nastavení Cisco , znovu zkontrolujte uvedená nastavení:

    • Ověřte, zda je verze IKE verze 2.

    • Ověřte, zda parametry Šifrování a Ověřování odpovídají očekávanému šifrování na straně vyhrazené instance.

      Když se používá šifra „GCM“, protokol GCM zpracovává ověření a nastaví parametr ověření na hodnotu NULL.

    • Zkontrolujte nastavení životnosti.

    • Ověřte skupinu modulů Diffie Hellmana.

    • Ověřte nastavení pseudonáhodné funkce.

  • seznam přístupu pro šifrovací mapu není nastaven takto:

    • Povolit GRE (local_tunnel_transport_ip ) 255 255 255,255 (remote_tunnel_transport_ip ) 255.255.255.255" (nebo ekvivalentní příkaz)

      seznam přístupu musí být výslovně pro protokol „GRE“ a protokol „IP“ nebude fungovat.

Pokud zprávy protokolu nezobrazují žádnou aktivitu vyjednávání pro fázi IKEv2, může být nutné zachycení paketu .

Na straně vyhrazené instance se nemusí vždy spustit výměna IKEv2 a někdy se může očekávat, že iniciátorem bude strana CPE zákazníka.

Zkontrolujte, zda konfigurace na straně CPE nesplňuje následující požadavky pro zahájení relace IKEv2:

  • Zkontrolujte seznam přístupu šifrování IPsec pro provoz GRE (protokol 50) z přenosového IP tunelu CPE do přenosového IP tunelu vyhrazené instance.

  • Zajistěte, aby rozhraní tunelu GRE bylo povoleno pro údržbu GRE. Pokud zařízení nepodporuje údržbu GRE, obdrží oznámení společnost Cisco , protože ve výchozím nastavení bude údržba GRE na vyhrazené instanci povolena.

  • Zajistěte, aby byl protokol BGP povolen a nakonfigurován pomocí adresy souseda IP tunelu vyhrazené instance.

Když je následující konfigurace správně nakonfigurována, zahajuje se tunel IPsec a první fáze vyjednávání IKEv2:

  • Udržování GRE z rozhraní tunelu GRE na straně CPE do rozhraní tunelu GRE na straně vyhrazené instance.

  • Sousední relace BGP BGP od souseda TCP na straně CPE na souseda BGP na straně vyhrazené instance.

  • Proveďte test ping z IP adresy na straně tunelu CPE na adresa IP adresa IP vyhrazené instance.

    Ping nemůže být nastaven na hodnotu IP přenosového tunelu k dopravnímu IP tunelu, ale musí to být hodnota IP tunelu k IP tunelu.

Pokud je pro provoz IKEv2 potřebné trasování paketů, nastavte filtr pro UDP a buď port 500 (pokud není uprostřed koncových bodů IPsec žádné zařízení NAT) nebo port 4500 (pokud je zařízení NAT vloženo doprostřed protokolu IPsec. koncové body).

Ověřte, zda jsou pakety IKEv2 UDP s portem 500 nebo 4500 odesílány a přijímány za na adresa IP IPsec DI.

Datové centrum vyhrazené instance nemusí vždy začínat prvním paketem IKEv2. Požadavek je, aby zařízení CPE bylo schopno inicializovat první paket IKEv2 směrem k vyhrazené instanci.

Pokud to místní brána firewall umožňuje, zkuste také zadat ping na vzdálenou adresu IPsec. Pokud není příkaz ping úspěšný z místní na vzdálenou adresu IPsec, proveďte směrování trasování, abyste mohli pomoci a určit, kde je paket zahodit.

Některé brány firewall a internetová zařízení nemusí umožňovat směrování sledování.

Řešení problémů s druhou fází protokolu IPsec (vyjednávání IPsec) a jeho ověřování

Před řešením potíží s druhou fází protokolu IPsec ověřte, zda je aktivní první fáze protokolu IPsec (tj. přidružení zabezpečení IKEv2). Provedením příkazu „show crypto ikev2 sa“ nebo rovnocenného příkazu ověřte relaci IKEv2. Na výstupu ověřte, zda relace IKEv2 je v provozu déle než několik sekund a že nedochází k jeho skákání. Doba provozuschopnosti relace se na výstupu zobrazuje jako „doba aktivity“ relace nebo ekvivalentně.

Jakmile je relace IKEv2 ověřena, že je spuštěna a aktivní, prozkoumejte relaci IPsec. Stejně jako v případě relace IKEv2 i zde ověřte relaci IPsec zadáním příkazu „show crypto ipsec sa“ nebo rovnocenného příkazu. Relace IKEv2 i relace IPsec musí být aktivní před vytvořením tunelu GRE. Pokud se relace IPsec nezobrazuje jako aktivní, zkontrolujte protokoly IPsec, zda neobsahují chybové zprávy nebo chyby vyjednávání.

Některé z běžnějších problémů, na které lze narazit během vyjednávání IPsec, jsou následující:

Nastavení na straně CPE neodpovídá nastavení vyhrazené instance, znovu zkontrolujte nastavení:

  • Ověřte, zda parametry Šifrování a Ověřování odpovídají nastavení na straně Vyhrazená instance.

  • Ověřte nastavení Perfect Forward Secrecy a že se shodují nastavení na straně vyhrazené instance.

  • Zkontrolujte nastavení životnosti.

  • Ověřte, zda byl protokol IPsec nakonfigurován v režimu tunelového propojení.

  • Ověřte zdrojovou a cílovou adresu IPsec.

Řešení potíží s rozhraním tunelu a ověřování

Když jsou ověřeny relace IPsec a IKEv2, zda jsou funkční a aktivní, tunel GRE udrží pakety, které mohou proudit mezi koncovými body tunelu vyhrazené instance a CPE. Pokud se nezobrazuje stav rozhraní tunelu, jedná se o běžné problémy:

  • Přenosový VRF rozhraní tunelu neodpovídá VRF rozhraní zpětné smyčky (pokud je na rozhraní tunelu použita konfigurace VRF).

    Pokud není na rozhraní tunelu použita konfigurace VRF, lze tuto kontrolu ignorovat.

  • Udržovací funkce nejsou povoleny v rozhraní bočního tunelu CPE

    Pokud zařízení CPE nepodporuje udržování stavu, je třeba na to upozornit společnost Cisco , aby byly zakázány výchozí udržovací funkce na straně vyhrazené instance.

    Pokud jsou podporovány funkce udržovací, ověřte, zda jsou funkce udržování života povoleny.

  • Maska nebo adresa IP rozhraní tunelu není správná a neodpovídá očekávaným hodnotám vyhrazené instance.

  • Zdrojová nebo cílová adresa přenosu tunelu není správná a neodpovídá očekávaným hodnotám vyhrazené instance.

  • Brána firewall blokuje pakety GRE odesílané do tunelu IPsec nebo přijímané tunelem IPsec (tunel GRE je přenášen tunelem IPsec)

Test ping by měl ověřit, zda je rozhraní místního tunelu aktivní a zda je připojení ke vzdálenému rozhraní tunelu dobré. Proveďte kontrolu ping z IP tunelu (nikoli přenosové IP) do IP vzdáleného tunelu.

seznam přístupu pro šifrování pro tunel IPsec, který přenáší provoz z tunelu GRE, povoluje křížení pouze paketů GRE. V důsledku toho nebudou pingy fungovat z IP přenosového tunelu na přenosový IP IP vzdáleného tunelu.

Výsledkem kontroly pingu je paket GRE, který je vygenerován z přenosové IP IP a cílového tunelu, zatímco datovou zátěží paketu GRE (vnitřní IP adresa) bude adresa IP zdrojového a cílového tunelu.

Pokud není test ping úspěšný a jsou ověřeny předchozí položky, může být vyžadováno zachycení paketu , aby se zajistilo, že icmp ping bude mít za následek paket GRE, který je pak zapouzdřen do paketu IPsec a poté odeslán ze zdrojové adresy IPsec na cílovou adresu IPsec. Čítače v rozhraní tunelu GRE a čítače relací IPsec mohou také pomáhat zobrazovat. pokud se odesílání a příjem paketů zvyšuje.

Kromě provozu pingu by měl záznam také ukazovat pakety GRE udržování naživu, a to i během nečinného provozu. A konečně, pokud je nakonfigurováno BGP, pakety BGP by měly být také odesílány jako pakety GRE zapouzdřené do paketů IPSEC také přes VPN.

Řešení potíží a ověřování BGP

Relace BGP

Jako směrovací protokol pro tunel IPsec VPN je vyžadován protokol BGP. Místní soused s protokolem BGP by měl navázat relaci eBGP se sousedním protokolem BGP vyhrazené instance. Sousední adresy IP eBGP jsou stejné jako adresy IP místního a vzdáleného tunelu. Nejprve se ujistěte, že je relace BGP spuštěna, a pak ověřte, zda jsou z vyhrazené instance přijímány správné směrování a zda je do vyhrazené instance odesláno správné výchozí směrování.

Pokud se tunel GRE napojí, ověřte, zda byl příkaz ping úspěšný mezi místním a vzdáleným IP tunelem GRE. Pokud je ping úspěšný, ale relace BGP se nespustí, prozkoumejte protokol BGP, zda neobsahuje chyby při navazování protokolu BGP.

Některé z běžnějších problémů s vyjednáváním protokolu BGP:

  • Číslo vzdáleného AS neodpovídá číslu AS, které je nakonfigurováno na vyhrazené instanci, znovu zkontrolujte konfiguraci sousedního AS.

  • Číslo místního AS neodpovídá tomu, co očekávala strana vyhrazené instance, ověřte, zda číslo místního AS odpovídá očekávaným parametrům vyhrazené instance.

  • Brána firewall blokuje odesílání nebo příjem paketů BGP TCP zapouzdřených v paketech GRE do tunelu IPsec z tunelu IPSEC.

  • IP adresa vzdáleného souseda BGP neodpovídá IP adrese vzdáleného tunelu GRE.

Výměna směrů BGP

Po ověření relace BGP pro oba tunely se ujistěte, že jsou vyhrazené instance odesílány a přijímány správné směrování.

Řešení vyhrazené instance VPN očekává, že budou na straně zákazníka/partnera zřízeny dva tunely. První tunel ukazuje na vyhrazené datové centrum A a druhý tunel ukazuje na vyhrazené datové centrum B. Oba tunely musí být v aktivním stavu a řešení vyžaduje aktivní/aktivní nasazení. Každé datové centrum vyhrazené instance bude inzerovat své místní směrování /25 a také záložní směrování /24. Při kontrole příchozích směrování BGP z vyhrazené instance se ujistěte, že relace BGP přidružená k tunelu směřující do vyhrazeného datového centra A instance přijala místní směrování vyhrazeného datového centra A /25 a také záložní směrování /24. Dále se ujistěte, že tunel směrující do vyhrazeného datového centra B /25 přijme místní směrování k vyhrazenému datovému centru B /25 a také zálohu /24. Upozorňujeme, že směrování zálohy /24 bude stejné směrování, které bylo inzerováno mimo vyhrazené datové centrum A a vyhrazené datové centrum B.

Redundance je poskytována vyhrazené instanci datovému centru, pokud vypadne rozhraní tunelu k tomuto datovému centru. Pokud dojde ke ztrátě připojení k vyhrazenému datovému centru A, bude provoz předán z vyhrazeného datového centra B do datového centra A. V tomto scénáři bude tunel do datového centra B používat trasu datového centra B /25 k odeslání provozu do datového centra B a tunelu do datového centra B použije záložní trasu /24 k odeslání provozu do datového centra A přes datové centrum B.

Je důležité, aby v případě, že jsou oba tunely aktivní, se daný tunel datového centra A nepoužíval k odesílání provozu do datového centra B a naopak. Pokud je v tomto scénáři odeslán provoz do datového centra A s cílem datového centra B, datové centrum A předá provoz do datového centra B a poté se datové centrum B pokusí odeslat provoz zpět do zdroje prostřednictvím tunelu datového centra B. To bude mít za následek neoptimální směrování a může také dojít k narušení provozu přecházejícího přes brány firewall. Proto je důležité, aby oba tunely byly během normálního provozu v konfiguraci aktivní/aktivní.

Směrování 0.0.0.0/0 musí být inzerováno ze strany zákazníka na stranu datového centra vyhrazené instance. Konkrétnější směrování nebude vyhrazená instance přijata. Zajistěte, aby směrování 0.0.0.0/0 bylo inzerováno mimo tunelové propojení vyhrazené instance datového centra A i vyhrazené instance B.

Konfigurace MTU

Na straně vyhrazené instance jsou dvě funkce povoleny pro dynamickou úpravu MTU pro velké velikosti paketů. Tunel GRE přidává další hlavičky do paketů IP procházejících relací VPN . Přidání dalších hlaviček nad hlavičky GRE v rámci tunelu IPsec dále sníží největší MTU povolenou v tunelu.

Tunel GRE pro úpravy MSS a cesta tunelu GRE ve funkci zjišťování MTU je povolena na straně vyhrazené instance. Nakonfigurujte „ip tcp adjust-mss 1350“ nebo ekvivalentní příkaz a také „tunnel path\u0002mtu-discovery“ nebo rovnocenný příkaz na straně zákazníka, které vám pomohou s dynamickou úpravou MTU provozu prostřednictvím tunelu VPN .