Introducción

Virtual Connect es una opción adicional del complemento para la conectividad en la nube a la instancia de uso exclusivo Webex Calling (instancia de uso exclusivo). Virtual Connect permite a los clientes extender en forma segura sus redes privadas a través de Internet mediante tuneles de VPN de IP de punto a punto. Esta opción de conectividad ofrece una imagen rápida de la conexión de red privada mediante el uso del equipo local del cliente (CPE) existente y la conectividad a Internet.

Los hosts de Cisco, administran y asegura túneles de VPN de IP redundantes y el acceso a Internet requerido en la región(s) de centro de datos de la Instancia de uso exclusivo de Cisco en donde se requiere el servicio. Del mismo modo, Administrator es responsable de sus CPE y los servicios de Internet correspondientes, que se requieren para Virtual Connect.

Cada pedido de Virtual Connect en una región de Instancia de uso exclusivo en particular incluiría dos tunelarios de enrutamiento genéricos (RSA) protegidos por cifrado IPSec (RSA sobre IPSec), uno con el algoritmo de datos de Cisco en la región seleccionada.

Virtual Connect tiene un límite de ancho de banda de 250 Mbps por túnel y se recomienda para implementaciones más pequeñas. Debido a que se utilizan dos túneles de VPN de punto a punto todo el tráfico hacia la nube tiene que pasar por el CPE de cabecera del cliente, y por lo tanto, es posible que no sea adecuado donde hay gran cantidad de sitios remotos. Para otras opciones alternativas de emparejamiento, consulte Conectividad a la nube.

Antes de enviar la solicitud de emparejamiento para la conexión virtual, asegúrese de que el servicio de instancia dedicada esté activado en esa respectiva región.

Requisitos previos

Los requisitos previos para establecer Virtual Connect incluyen:

  • El cliente proporciona

    • Conexión a Internet con suficiente ancho de banda disponible para admitir la implementación

    • Dirección IP pública para dos túneles IPSec

    • Direcciones IP de transporte MÁS QUE EL cliente para los dos túnelesGRAO

  • Socio y cliente

    • Trabaje juntos para evaluar los requisitos de ancho de banda

    • Garantice el soporte para dispositivos de red Protocolo de puerta de enlace perimetral enrutamiento (BGP) y un diseño de túnel SSH sobre IPSec

  • El socio o el cliente proporciona

    • Equipo de red con conocimiento de las tecnologías de túnel de VPN de un sitio a otro

    • Equipo de red con conocimientos de BGP, eBGP y principios de enrutamiento generales

  • Cisco

    • Cisco asignó números de sistema privados autonoumos (ASN) y direcciones IP transitorias para las interfaces del túnel VPN

    • Cisco asignó una red pública, pero no enrutable a Internet clase C (/24) para la asignación de direcciones de la nube de la instancia dedicada

Si un cliente tiene solo 1 dispositivo CPE, los 2 túneles hacia los centros de datos de Cisco (DC1 y DC2) en cada región, serán de ese dispositivo CPE. El cliente también tiene una opción para 2 dispositivos CPE; luego, cada dispositivo CPE debe conectarse al tunel 1 solo hacia los centros de datos de Cisco (DC1 y DC2) de cada región. Se puede lograr redundancia adicional terminando cada túnel en un sitio físico/ubicación separado dentro de la infraestructura del cliente.

Detalles técnicos

Modelo de implementación

Virtual Connect utiliza una arquitectura de cabecera de doble nivel, donde un dispositivo proporciona los planes de control DE direccionamiento y SION Y el plano de control IPSec es provisto por otro.

Cuando haya finalizado la conectividad de conexión virtual , se crearán dos túneles SSH sobre IPSec entre la red empresarial del cliente y los centros de datos de Cisco de la instancia de uso exclusivo. Uno a cada centro de datos redundante dentro de la Región respectiva. El socio o cliente de Cisco intercambia los elementos de red adicionales requeridos para el emparejamiento a través del formulario de activación de la Conexión virtual del concentrador de control.

En la siguiente figura, se muestra el ejemplo del modelo de implementación de conexión virtual para la opción de 2 concentradores del lado del cliente.

Conexión virtual : vpn es un diseño de concentrador, donde los sitios del concentrador del cliente están conectados a DC1 y DC2 de los centros de datos de la instancia dedicada dentro de una región en particular.

Se recomienda utilizar dos sitios de concentradores para una mejor redundancia, pero el sitio de Un concentrador con dos túneles también es un modelo de implementación compatible.

El ancho de banda por túnel está limitado a 250 Mbps.

Los sitios remotos del cliente dentro de la misma región, tendrían que conectarse de nuevo a los sitios concentradores a través de la WAN del cliente y no es responsable de Cisco por esa conectividad.

Se espera que los socios trabajen en estrecha colaboración con los Clientes, lo que garantiza que se elija la ruta más óptima para la región de servicio de Conexión virtual .

La siguiente figura muestra las regiones de emparejamiento de conectividad en la nube de la instancia dedicada.

Regiones de conexión virtual

Enrutamiento

El enrutamiento para el complemento de Virtual Connect se implementa mediante BGP (eBGP) externo entre la instancia de uso exclusivo y el equipo local del cliente (CPE). Cisco anunciará sus redes respectivas para cada DC redundante dentro de una región al CPE del cliente y el CPE debe anunciar una ruta predeterminada a Cisco.

  • Cisco mantiene y asigna

    • Dirección IP de la interfaz de túnel (enlace transitorio para el enrutamiento) Cisco asigna desde un Espacio de dirección compartido designado (no enrutado públicamente)

    • Dirección desitinación del transporte del túnel (del lado de Cisco)

    • Números de sistema autónomos (ASN) privados para la configuración de enrutamiento BGP del cliente

      • Cisco asigna desde el rango de uso privado designado: 64512 a 65534

  • eBGP se utiliza para intercambiar rutas entre la Instancia de uso exclusivo y el CPE

    • Cisco dividirá la red /24 asignada en una red 2/25 para cada DC en la región respectiva

    • En Virtual Connect, Cisco anuncia cada /25 red de nuevo a CPE en los túneles de VPN punto a punto (enlace transitorio) respectivos

    • El CPE debe configurarse con el eBGP correcto. Si se utiliza un CPE, se utilizarán dos eBGP ssh, uno apuntando a cada túnel remoto. Si está utilizando dos CPE, cada CPE tendrá un elemento vecino de eBGP que aparecerá en el túnel remoto único para el CPE.

    • Se configura el lado de Cisco de cada túnel BGP (IP de la interfaz de túnel) como el vecino de BGP en el CPE

    • CPE debe anunciar una ruta predeterminada en cada uno de los túneles

    • CPE es responsable de redistribuir, según sea necesario, las rutas aprendidas dentro de la red empresarial del administrador.

  • En condición de falla de enlace de no falla, un solo CPE tendrá dos tuneles activos/activos. Para dos nodos de CPE, cada CPE tendrá un túnel activo y ambos nodos CPE deberían estar activos y su tráfico de paso. En una situación de no falla, el tráfico debe dividirse en dos túneles que van a los /25 destinos correctos; si uno de los túneles queda fuera de servicio, el túnel restante puede llevar el tráfico para ambos. En dicha situación de falla, cuando la red /25 está abajo, la red /24 se utiliza como ruta de copia de seguridad. Cisco enviará el tráfico del cliente a través de su WAN interna hacia el CENTRO de datos que perdió la conectividad.

Proceso de conectividad

Los siguientes pasos de alto nivel describen cómo establecer la conectividad con la Conexión virtual para la instancia de uso exclusivo.
1

Realizar un pedido en Cisco CCW

2

Activar conexión virtual desde el Control Hub

3

Cisco realiza la configuración de red

4

El cliente realiza la configuración de red

Paso 1: Pedido de CCW

Virtual Connect es un complemento para la instancia de uso exclusivo de CCW.

1

Navegue hasta el sitio del pedido de CCW y, a continuación, haga clic en Conectar para iniciar sesión en el sitio de :

https://apps.cisco.com/Commerce/guest.
2

Crear estimación.

3

Agregue el SKU de "A-FLEX-3".

4

Seleccione Editar opciones.

5

En la ficha de suscripción que aparece, seleccione Opciones y complementos.

6

En Complementos adicionales, seleccione la casilla de verificación al lado de "Conexión virtual para la instancia de uso exclusivo". El nombre SKU es "A-FLEX-DI-VC".

7

Introduzca la cantidad y la cantidad de regiones en las que se requiere Virtual Connect.

La cantidad de Virtual Connect no debe exceder la cantidad total de regiones adquiridas para la instancia de uso exclusivo. Además, solo se permite un pedido de Conexión virtual por región.
8

Cuando esté satisfecho con sus selecciones, haga clic en Verificar y guardar en la parte superior derecha de la página.

9

Haga clic en Guardar y continuar para finalizar su pedido. Ahora, su pedido finalizado se aplica en la cuadrícula de pedidos.

Paso 2: Activación de conexión virtual en el Control Hub

1

Inicie sesión en Control Hub https://admin.webex.com/login.

2

En la sección Servicios , diríjase a Llamadas > Instacnce > conectividad a la nube.

3

En la tarjeta Virtual Connect, aparecerá la cantidad de Virtual Connect comprada. El administrador ahora puede hacer clic en Activar para iniciar la activación de la Conexión virtual.

El proceso de activación solo pueden ser desencadenados por administradores con el rol de "Administrador completo del cliente". Mientras que un administrador con el rol de "Administrador de solo lectura del cliente" solo puede ver el estado.
4

Al hacer clic en el botón Activar, se muestra el formulario Activar conexión virtual para que el administrador proporcione los detalles técnicos de Virtual Connect requeridos para las configuraciones de emparejamiento del lado de Cisco.

El formulario también proporciona información estática del lado de Cisco, en función de la región seleccionada. Esta información será útil para que los administradores de clientes configuren el CPE en su lado para establecer la conectividad.

  1. Dirección IP del transporte de túnel de GRE: El cliente debe proporcionar las direcciones IP de transporte del túnel del lado del cliente y Cisco asignará dinámicamente las direcciones IP una vez que se complete la activación. La lista IPSec ACL para tráfico importante debe permitir el IP/32 de transporte de tunel local al transporte de tunel remoto IP/32. La ACL también debe especificar solamente el protocolo IP DE MÁSO.

    La dirección IP proporcionada por el cliente puede ser privada o pública.

  2. Pares de IPSec: El cliente debe proporcionar las direcciones IP de origen del IPSec Tunnel y Cisco asigna la dirección IP de destino IPSec. Si se requiere, también se admite la traducción de NAT de una dirección de túnel ICARP interna a una dirección pública.

    La dirección IP proporcionada por el cliente debe ser pública.

    Toda la otra información estática provista en la pantalla de activación es la seguridad del lado de Cisco y los estándares de cifrado seguidos. Esta configuración estática no es personalizable ni modificable. Para obtener más ayuda con respecto a las configuraciones estáticas del lado de Cisco, el cliente tendrá que comunicarse con el TAC.
5

Haga clic en el botón Activar una vez que se completaron todos los campos obligatorios.

6

Una vez completado el formulario de activación de Virtual Connect para una región parcial, el cliente puede exportar el formulario de activación desde Control Hub, la ficha conectividad > la nube de la instancia de > de Calling > y hacer clic en Exportar ajustes.

Debido a motivos de seguridad, la autenticación y la contraseña de BGP no estarán disponibles en el documento Exportado, pero el administrador puede verla en Control Hub haciendo clic en Ver configuración en Control Hub, en la ficha Llamadas > Instancia dedicada > Conectividad en la nube.

Paso 3: Cisco realiza la configuración de red

1

Una vez que se complete el formulario de activación de Virtual Connect, se actualizará el estado a Activación en curso en llamadas de una instancia de > dedicada > de la Conexión virtual de conectividad a la nube.

2

Cisco completará las configuraciones requeridas en el equipo lateral de Cisco en un plazo de 5 días hábiles. Al completarse correctamente, el estado se actualizará a "Activado" para esa región en particular en Control Hub.

Paso 4: El cliente realiza la configuración de red

El estado se cambia a "Activado" para notificar al administrador del cliente que la parte de las configuraciones de Cisco para la conectividad de IP de VPN se ha completado según las entradas proporcionadas por el cliente. Pero se espera que el administrador del cliente complete su lado de las configuraciones en las CPEs y pruebe las rutas de conectividad para que el túnel de Virtual Connect esté en línea. En caso de cualquier problema enfrentado al momento de la configuración o la conectividad, el cliente puede comunicarse con el TAC de Cisco para obtener ayuda.

Solución de problemas

Resolución de problemas y validación de la primera fase de IPsec (negociación IKEv2)

La negociación del túnel de IPsec implica dos fases, la fase IKEv2 y la fase IPsec. Si la negociación de la fase de IKEv2 no se completa, entonces no se iniciará una segunda fase de IPsec. Primero, emita el comando "show crypto ikev2 sa" (en el equipo de Cisco) o un comando similar en el equipo de terceros para verificar si la sesión de IKEv2 está activa. Si la sesión IKEv2 no está activa, las posibles razones podrían ser:

  • El tráfico interesante no activa el túnel de IPsec.

  • La lista de acceso del túnel de IPsec está mal configurada.

  • No hay conectividad entre el cliente y la IP del extremo del túnel de IPsec de instancia dedicada.

  • Los parámetros de la sesión de IKEv2 no coinciden entre el lado de la instancia dedicada y el lado del cliente.

  • Un firewall está bloqueando los paquetes UDP IKEv2.

Primero, compruebe los registros de IPsec para cualquier mensaje que muestre el progreso de la negociación del túnel de IKEv2. Los registros pueden indicar dónde hay un problema con la negociación de IKEv2. La falta de mensajes de registro también puede indicar que la sesión IKEv2 no está siendo activada.

Algunos errores comunes en la negociación de IKEv2 son:

  • La configuración de IKEv2 en el lado de CPE no coincide con la del lado de Cisco, vuelva a comprobar la configuración mencionada:

    • Compruebe que la versión de IKE sea la versión 2.

    • Verifique que los parámetros de cifrado y autenticación coincidan con el cifrado esperado en el lado de la instancia dedicada.

      Cuando el cifrado "GCM" está en uso, el protocolo GCM maneja la autenticación y establece el parámetro de autenticación en NULL.

    • Verifique la configuración de por vida.

    • Verifique el grupo de módulos de Diffie Hellman.

    • Verifique la configuración de la función pseudoaleatoria.

  • La lista de acceso para el mapa criptográfico no está configurada en:

    • Permitir GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (o comando equivalente)

      La lista de acceso debe ser específicamente para el protocolo "GRE" y el protocolo "IP" no funcionará.

Si los mensajes de registro no muestran ninguna actividad de negociación para la fase IKEv2, entonces puede ser necesaria una captura de paquetes.

Es posible que el lado de la instancia dedicada no siempre comience el intercambio de IKEv2 y, en ocasiones, puede esperar que el lado del CPE del cliente sea el iniciador.

Compruebe la configuración del lado del CPE para conocer los siguientes requisitos previos para la iniciación de la sesión de IKEv2:

  • Compruebe si hay una lista de acceso criptográfico de IPsec para el tráfico de GRE (protocolo 50) desde la IP de transporte de túnel de CPE hasta la IP de transporte de túnel de Dedicated Instance.

  • Asegúrese de que la interfaz del túnel de GRE esté habilitada para los módulos de GRE; si el equipo no proporciona soporte para los módulos de GRE, se notificará a Cisco porque los módulos de GRE estarán habilitados en el lado de la instancia dedicada de manera predeterminada.

  • Asegúrese de que BGP esté habilitado y configurado con la dirección de proximidad de la IP del túnel de la instancia dedicada.

Cuando se configura correctamente, lo siguiente comienza el túnel de IPsec y la primera fase de negociación de IKEv2:

  • Actividad de GRE desde la interfaz del túnel de GRE del lado de CPE hasta la interfaz del túnel de GRE del lado de Dedicated Instance.

  • Sesión TCP de proximidad de BGP desde el vecino BGP del lado de CPE al vecino BGP del lado de Dedicated Instance.

  • Ping desde la dirección IP del túnel lateral de CPE a la dirección IP del túnel lateral de la instancia dedicada.

    Ping no puede ser la IP de transporte de túnel a la IP de transporte de túnel, debe ser la IP de túnel a la IP de túnel.

Si se necesita un seguimiento de paquetes para el tráfico IKEv2, defina el filtro para UDP y el puerto 500 (cuando no hay ningún dispositivo NAT en el medio de los extremos IPsec) o el puerto 4500 (cuando se inserta un dispositivo NAT en el medio de los extremos IPsec).

Compruebe que los paquetes UDP IKEv2 con puerto 500 o 4500 se envíen y reciban desde y hacia la dirección IP de DI IPsec.

Es posible que el centro de datos de la instancia dedicada no siempre comience el primer paquete IKEv2. El requisito es que el dispositivo CPE sea capaz de iniciar el primer paquete IKEv2 hacia el lado de la instancia dedicada.

Si el firewall local lo permite, intente también hacer ping a la dirección IPsec remota. Si el ping no se realiza correctamente desde la dirección IPsec local a la remota, realice una ruta de seguimiento para ayudar y determine dónde se deja caer el paquete.

Es posible que algunos firewalls y equipos de Internet no permitan trazar rutas.

Resolución de problemas y validación de la segunda fase de IPsec (negociación de IPsec)

Verifique que la primera fase de IPsec (es decir, la asociación de seguridad IKEv2) esté activa antes de solucionar los problemas de la segunda fase de IPsec. Realice un comando "show crypto ikev2 sa" o equivalente para verificar la sesión de IKEv2. En la salida, verifique que la sesión de IKEv2 haya funcionado durante más de unos pocos segundos y que no esté rebotando. El tiempo de actividad de la sesión se muestra como la sesión "Tiempo activo" o su equivalente en la salida.

Una vez que la sesión de IKEv2 se verifique como activa, Investigue la sesión de IPsec. Al igual que con la sesión IKEv2, realice un comando "show crypto ipsec sa" o equivalente para verificar la sesión IPsec. Tanto la sesión IKEv2 como la sesión IPsec deben estar activas antes de que se establezca el túnel de GRE. Si la sesión de IPsec no se muestra como activa, compruebe los registros de IPsec para ver si hay mensajes de error o errores de negociación.

Algunas de las cuestiones más comunes que se pueden encontrar durante las negociaciones del IPsec son:

La configuración del lado de CPE no coincide con la del lado de Dedicated Instance; vuelva a comprobar la configuración:

  • Verifique que los parámetros de cifrado y autenticación coincidan con la configuración del lado de la instancia dedicada.

  • Verifique la configuración de secreto perfecto hacia adelante y que la configuración coincida en el lado de la instancia dedicada.

  • Verifique la configuración de por vida.

  • Verifique que IPsec se haya configurado en el modo túnel.

  • Verifique las direcciones IPsec de origen y destino.

Resolución de problemas y validación de la interfaz del túnel

Cuando las sesiones IPsec e IKEv2 se verifican como activas y activas, los paquetes keepalive del túnel de GRE pueden fluir entre los extremos de la instancia dedicada y del túnel de CPE. Si la interfaz del túnel no muestra el estado, algunos problemas comunes son los siguientes:

  • El VRF de transporte de la interfaz del túnel no coincide con el VRF de la interfaz de bucle (si se utiliza la configuración de VRF en la interfaz del túnel).

    Si no se utiliza la configuración de VRF en la interfaz del túnel, se puede ignorar esta comprobación.

  • Los módulos de actividad no están activados en la interfaz del túnel lateral de CPE

    Si los módulos de actividad predeterminados no son compatibles con el equipo de CPE, se debe notificar a Cisco para que también se deshabiliten los módulos de actividad predeterminados del lado de la instancia dedicada.

    Si los módulos de actividad son compatibles, verifique que estén activados.

  • La máscara o la dirección IP de la interfaz del túnel no son correctas y no coinciden con los valores esperados de la instancia dedicada.

  • La dirección de transporte del túnel de origen o destino no es correcta y no coincide con los valores esperados de la instancia dedicada.

  • Un firewall está bloqueando los paquetes de GRE que se envían al túnel de IPsec o se reciben desde el túnel de IPsec (el túnel de GRE se transporta a través del túnel de IPsec)

Una prueba de ping debe verificar que la interfaz del túnel local esté funcionando y que la conectividad sea buena con la interfaz remota del túnel. Realice la comprobación de ping desde la IP del túnel (no la IP de transporte) hasta la IP remota del túnel.

La lista de acceso criptográfico para el túnel de IPsec que transporta el tráfico del túnel de GRE solo permite cruzar los paquetes de GRE. Como resultado, los pings no funcionarán desde el IP de transporte de túnel hasta el IP de transporte de túnel remoto.

La comprobación ping resulta en un paquete GRE que se genera desde el IP de transporte del túnel de origen hasta el IP de transporte del túnel de destino, mientras que la carga útil del paquete GRE (el IP interior) será el IP del túnel de origen y destino.

Si la prueba de ping no es exitosa y se verifican los elementos anteriores, es posible que se requiera una captura de paquetes para garantizar que el ping icmp dé como resultado un paquete GRE que luego se encapsula en un paquete IPsec y luego se envía desde la dirección IPsec de origen a la dirección IPsec de destino. Los contadores en la interfaz del túnel de GRE y los contadores de sesiones de IPsec también pueden ayudar a mostrar si los paquetes de envío y recepción están aumentando.

Además del tráfico ping, la captura también debería mostrar paquetes de GRE keepalive incluso durante el tráfico inactivo. Por último, si se configura BGP, los paquetes keepalive de BGP también deben enviarse como paquetes GRE encapsulados en paquetes IPSEC también a través de la VPN.

Resolución de problemas y validación de BGP

Sesiones de BGP

Se requiere BGP como protocolo de enrutamiento a través del túnel de IPsec de VPN. El vecino de BGP local debe establecer una sesión de eBGP con el vecino de BGP de instancia dedicada. Las direcciones IP vecinas de eBGP son las mismas que las direcciones IP locales y remotas del túnel. En primer lugar, asegúrese de que la sesión de BGP esté activa y, a continuación, verifique que se reciban las rutas correctas de la instancia dedicada y que la ruta predeterminada correcta se envíe a la instancia dedicada.

Si el túnel de GRE está en funcionamiento, verifique que se haya realizado un ping entre la IP local y la remota del túnel de GRE. Si el ping es exitoso pero la sesión de BGP no está apareciendo, investigue el registro de BGP para errores de establecimiento de BGP.

Algunas de las cuestiones más comunes de negociación del BGP son:

  • El número de AS remoto no coincide con el número de AS que está configurado en el lado de la Instancia dedicada; vuelva a comprobar la configuración de AS vecino.

  • El número de AS local no coincide con lo que espera el lado de la Instancia dedicada; verifique que el número de AS local coincida con los parámetros de la Instancia dedicada esperados.

  • Un firewall está bloqueando el envío de paquetes BGP TCP encapsulados en paquetes GRE al túnel de IPsec o su recepción desde el túnel de IPSEC

  • La IP vecina de BGP remota no coincide con la IP del túnel de GRE remota.

Intercambio de rutas BGP

Una vez verificada la sesión de BGP para ambos túneles, asegúrese de que se envíen y reciban las rutas correctas desde el lado de la Instancia dedicada.

La solución Dedicated Instance VPN espera que se establezcan dos túneles desde el lado del cliente/socio. El primer túnel apunta al centro de datos de la instancia dedicada A y el segundo túnel apunta al centro de datos de la instancia dedicada B. Ambos túneles deben estar en estado activo y la solución requiere un despliegue activo/activo. Cada centro de datos de la instancia dedicada anunciará su ruta local /25, así como una ruta de copia de seguridad /24. Cuando compruebe las rutas de BGP entrantes desde la instancia dedicada, asegúrese de que la sesión de BGP asociada con el túnel que apunta al centro de datos de la instancia dedicada A reciba la ruta local del centro de datos de la instancia dedicada A /25, así como la ruta de copia de seguridad /24. Además, asegúrese de que el túnel que apunta al centro de datos de la instancia dedicada B reciba la ruta local del centro de datos de la instancia dedicada B /25, así como la ruta de copia de seguridad /24. Tenga en cuenta que la ruta de copia de seguridad /24 será la misma ruta anunciada desde el centro de datos de la instancia dedicada A y el centro de datos de la instancia dedicada B.

Se proporciona redundancia a un centro de datos de la instancia dedicada si la interfaz del túnel a ese centro de datos se cae. Si se pierde la conectividad al centro de datos de la instancia dedicada A, el tráfico se reenviará desde el centro de datos de la instancia dedicada B al centro de datos A. En esta situación, el túnel al centro de datos B utilizará la ruta del centro de datos B /25 para enviar tráfico al centro de datos B y el túnel al centro de datos B utilizará la ruta de copia de seguridad /24 para enviar tráfico al centro de datos A a través del centro de datos B.

Es importante que, cuando ambos túneles están activos, el centro de datos Un túnel no se utilice para enviar tráfico al centro de datos B y viceversa. En esta situación, si se envía tráfico al centro de datos A con un destino del centro de datos B, el centro de datos A reenviará el tráfico al centro de datos B y, a continuación, el centro de datos B intentará enviar tráfico de vuelta a la fuente a través del túnel del centro de datos B. Esto dará como resultado un enrutamiento subóptimo y también puede interrumpir el tráfico que atraviesa los firewalls. Por lo tanto, es importante que ambos túneles estén en una configuración activa/activa durante el funcionamiento normal.

La ruta 0.0.0.0/0 debe anunciarse desde el lado del cliente al lado del centro de datos de la instancia dedicada. El lado de la instancia dedicada no aceptará rutas más específicas. Asegúrese de que la ruta 0.0.0.0/0 se anuncie tanto en el túnel del centro de datos de la instancia dedicada A como en el túnel del centro de datos de la instancia dedicada B.

Configuración de MTU

En el lado de la instancia dedicada, se habilitan dos funciones para ajustar dinámicamente MTU para tamaños de paquetes grandes. El túnel de GRE agrega más encabezados a los paquetes IP que fluyen a través de la sesión de VPN. El túnel IPsec agrega los encabezados adicionales en la parte superior de los encabezados GRE reducirá aún más el MTU más grande permitido en el túnel.

El túnel de GRE ajusta la característica de MSS y la ruta del túnel de GRE en la característica de detección de MTU está habilitada en el lado de la instancia dedicada. Configure "ip tcp adjust-mss 1350" o un comando equivalente, así como "tunnel path\u0002mtu-discovery" o un comando equivalente en el lado del cliente para ayudar con el ajuste dinámico de la MTU del tráfico a través del túnel de VPN.