Introducción

Virtual Connect es una opción adicional del complemento para la conectividad en la nube a la instancia de uso exclusivo Webex Calling (instancia de uso exclusivo). Virtual Connect permite a los clientes extender en forma segura sus redes privadas a través de Internet mediante tuneles de VPN de IP de punto a punto. Esta opción de conectividad ofrece una imagen rápida de la conexión de red privada mediante el uso del equipo local del cliente (CPE) existente y la conectividad a Internet.

Los hosts de Cisco, administran y asegura túneles de VPN de IP redundantes y el acceso a Internet requerido en la región(s) de centro de datos de la Instancia de uso exclusivo de Cisco en donde se requiere el servicio. Del mismo modo, Administrator es responsable de sus CPE y los servicios de Internet correspondientes, que se requieren para Virtual Connect.

Cada pedido de Virtual Connect en una región de Instancia de uso exclusivo en particular incluiría dos tunelarios de enrutamiento genéricos (RSA) protegidos por cifrado IPSec (RSA sobre IPSec), uno con el algoritmo de datos de Cisco en la región seleccionada.

Virtual Connect tiene un límite de ancho de banda de 250 Mbps por túnel y se recomienda para implementaciones más pequeñas. Debido a que se utilizan dos túneles de VPN de punto a punto todo el tráfico hacia la nube tiene que pasar por el CPE de cabecera del cliente, y por lo tanto, es posible que no sea adecuado donde hay gran cantidad de sitios remotos. Para otras opciones alternativas de emparejamiento, consulte Conectividad a la nube.

Antes de enviar la solicitud de emparejamiento para la conexión virtual, asegúrese de que el servicio de instancia exclusiva esté activado en esa región respectiva.

Requisitos previos

Los requisitos previos para establecer Virtual Connect incluyen:

  • El cliente proporciona

    • Conexión a Internet con suficiente ancho de banda disponible para admitir la implementación

    • Dirección IP pública para dos túneles IPSec

    • Direcciones IP de transporte MÁS QUE EL cliente para los dos túnelesGRAO

  • Socio y cliente

    • Trabaje juntos para evaluar los requisitos de ancho de banda

    • Garantice el soporte para dispositivos de red Protocolo de puerta de enlace perimetral enrutamiento (BGP) y un diseño de túnel SSH sobre IPSec

  • El socio o el cliente proporciona

    • Equipo de red con conocimiento de las tecnologías de túnel de VPN de un sitio a otro

    • Equipo de red con conocimientos de BGP, eBGP y principios de enrutamiento generales

  • Cisco

    • Cisco asignó números de sistema privados autonoumos (ASN) y direcciones IP transitorias para las interfaces del túnel VPN

    • Cisco asignó una red pública, pero no enrutable a Internet clase C (/24) para la asignación de direcciones de la nube de la instancia dedicada

Si un cliente tiene solo 1 dispositivo CPE, los 2 túneles hacia los centros de datos de Cisco (DC1 y DC2) en cada región, serán de ese dispositivo CPE. El cliente también tiene una opción para 2 dispositivos CPE; luego, cada dispositivo CPE debe conectarse al tunel 1 solo hacia los centros de datos de Cisco (DC1 y DC2) de cada región. Se puede lograr redundancia adicional terminando cada túnel en un sitio físico/ubicación separado dentro de la infraestructura del cliente.

Detalles técnicos

Modelo de implementación

Virtual Connect utiliza una arquitectura de cabecera de doble nivel, donde un dispositivo proporciona los planes de control DE direccionamiento y SION Y el plano de control IPSec es provisto por otro.

Cuando haya finalizado la conectividad de conexión virtual , se crearán dos túneles SSH sobre IPSec entre la red empresarial del cliente y los centros de datos de Cisco de la instancia de uso exclusivo. Uno a cada centro de datos redundante dentro de la Región respectiva. El socio o cliente de Cisco intercambia los elementos de red adicionales requeridos para el emparejamiento a través del formulario de activación de la Conexión virtual del concentrador de control.

La Figura 1 muestra un ejemplo del modelo de implementación de Virtual Connect para la opción de 2 concentradores en el lado del cliente.

Conexión virtual : vpn es un diseño de concentrador, donde los sitios del concentrador del cliente están conectados a DC1 y DC2 de los centros de datos de la instancia dedicada dentro de una región en particular.

Se recomienda utilizar dos sitios de concentradores para una mejor redundancia, pero el sitio de Un concentrador con dos túneles también es un modelo de implementación compatible.

El ancho de banda por túnel está limitado a 250 Mbps.

Los sitios remotos del cliente dentro de la misma región, tendrían que conectarse de nuevo a los sitios concentradores a través de la WAN del cliente y no es responsable de Cisco por esa conectividad.

Se espera que los socios trabajen estrechamente con los clientes, lo que garantiza que se elija la ruta más óptima para la región de servicio "Virtual Connect".

En la Figura 2 se muestran las regiones peering de conectividad a la nube de la instancia de dedicada.

Enrutamiento

El enrutamiento para el complemento de Virtual Connect se implementa mediante BGP (eBGP) externo entre la instancia de uso exclusivo y el equipo local del cliente (CPE). Cisco anunciará sus redes respectivas para cada DC redundante dentro de una región al CPE del cliente y el CPE debe anunciar una ruta predeterminada a Cisco.

  • Cisco mantiene y asigna

    • Dirección IP de la interfaz de túnel (enlace transitorio para el enrutamiento) Cisco asigna desde un Espacio de dirección compartido designado (no enrutado públicamente)

    • Dirección desitinación del transporte del túnel (del lado de Cisco)

    • Números de sistema autónomos (ASN) privados para la configuración de enrutamiento BGP del cliente

      • Cisco asigna desde el rango de uso privado designado: 64512 a 65534

  • eBGP se utiliza para intercambiar rutas entre la Instancia de uso exclusivo y el CPE

    • Cisco dividirá la red /24 asignada en una red 2/25 para cada DC en la región respectiva

    • En Virtual Connect, Cisco anuncia cada /25 red de nuevo a CPE en los túneles de VPN punto a punto (enlace transitorio) respectivos

    • El CPE debe configurarse con el eBGP correcto. Si se utiliza un CPE, se utilizarán dos eBGP ssh, uno apuntando a cada túnel remoto. Si está utilizando dos CPE, cada CPE tendrá un elemento vecino de eBGP que aparecerá en el túnel remoto único para el CPE.

    • Se configura el lado de Cisco de cada túnel BGP (IP de la interfaz de túnel) como el vecino de BGP en el CPE

    • CPE debe anunciar una ruta predeterminada en cada uno de los túneles

    • CPE es responsable de redistribuir, según sea necesario, las rutas aprendidas dentro de la red empresarial del administrador.

  • En condición de falla de enlace de no falla, un solo CPE tendrá dos tuneles activos/activos. Para dos nodos de CPE, cada CPE tendrá un túnel activo y ambos nodos CPE deberían estar activos y su tráfico de paso. En una situación de no falla, el tráfico debe dividirse en dos túneles que van a los /25 destinos correctos; si uno de los túneles queda fuera de servicio, el túnel restante puede llevar el tráfico para ambos. En dicha situación de falla, cuando la red /25 está abajo, la red /24 se utiliza como ruta de copia de seguridad. Cisco enviará el tráfico del cliente a través de su WAN interna hacia el CENTRO de datos que perdió la conectividad.

Proceso de conectividad

Los siguientes pasos de alto nivel describen cómo establecer la conectividad con la Conexión virtual para la instancia de uso exclusivo.
1

Realizar un pedido en Cisco CCW

2

Activar conexión virtual desde el Control Hub

3

Cisco realiza la configuración de red

4

El cliente realiza la configuración de red

Paso 1: Pedido de CCW

Virtual Connect es un complemento para la instancia de uso exclusivo de CCW.

1

Navegue hasta el sitio del pedido de CCW y, a continuación, haga clic en Conectar para iniciar sesión en el sitio de :

https://apps.cisco.com/Commerce/guest.
2

Crear estimación.

3

Agregue el SKU de "A-FLEX-3".

4

Seleccione Editar opciones.

5

En la ficha de suscripción que aparece, seleccione Opciones y complementos.

6

En Complementos adicionales, seleccione la casilla de verificación al lado de "Conexión virtual para la instancia de uso exclusivo". El nombre SKU es "A-FLEX-DI-VC".

7

Introduzca la cantidad y la cantidad de regiones en las que se requiere Virtual Connect.

La cantidad de Virtual Connect no debe exceder la cantidad total de regiones adquiridas para la instancia de uso exclusivo. Además, solo se permite un pedido de Conexión virtual por región.
8

Cuando esté satisfecho con sus selecciones, haga clic en Verificar y guardar en la parte superior derecha de la página.

9

Haga clic en Guardar y continuar para finalizar su pedido. Ahora, su pedido finalizado se aplica en la cuadrícula de pedidos.

Paso 2: Activación de conexión virtual en el Control Hub

1

Inicie sesión en Control Hub https://admin.webex.com/login.

2

En la sección Servicios , diríjase a Llamadas > Instacnce > conectividad a la nube.

3

En la tarjeta Virtual Connect, aparecerá la cantidad de Virtual Connect comprada. El administrador ahora puede hacer clic en Activar para iniciar la activación de la Conexión virtual.

El proceso de activación solo pueden ser desencadenados por administradores con el rol de "Administrador completo del cliente". Mientras que un administrador con el rol de "Administrador de solo lectura del cliente" solo puede ver el estado.
4

Al hacer clic en el botón Activar, se muestra el formulario Activar conexión virtual para que el administrador proporcione los detalles técnicos de Virtual Connect requeridos para las configuraciones de emparejamiento del lado de Cisco.

El formulario también proporciona información estática del lado de Cisco, en función de la región seleccionada. Esta información será útil para que los administradores de clientes configuren el CPE en su lado para establecer la conectividad.

  1. Dirección IP de transporte de túnel de GRE: El cliente debe proporcionar las direcciones IP de transporte del túnel del lado del cliente y Cisco asignará dinámicamente las direcciones IP una vez que se complete la activación. La lista IPSec ACL para tráfico importante debe permitir el IP/32 de transporte de tunel local al transporte de tunel remoto IP/32. La ACL también debe especificar solamente el protocolo IP DE MÁSO.

    La dirección IP proporcionada por el cliente puede ser privada o pública.

  2. Pares de IPSec: El cliente debe proporcionar las direcciones IP de origen del IPSec Tunnel y Cisco asigna la dirección IP de destino IPSec. Si se requiere, también se admite la traducción de NAT de una dirección de túnel ICARP interna a una dirección pública.

    La dirección IP proporcionada por el cliente debe ser pública.

    Toda la otra información estática provista en la pantalla de activación es la seguridad del lado de Cisco y los estándares de cifrado seguidos. Esta configuración estática no es personalizable ni modificable. Para obtener más ayuda con respecto a las configuraciones estáticas del lado de Cisco, el cliente tendrá que comunicarse con el TAC.
5

Haga clic en el botón Activar una vez que se completaron todos los campos obligatorios.

6

Una vez completado el formulario de activación de Virtual Connect para una región parcial, el cliente puede exportar el formulario de activación desde Control Hub, la ficha conectividad > la nube de la instancia de > de Calling > y hacer clic en Exportar ajustes.

Debido a motivos de seguridad, la autenticación y la contraseña de BGP no estarán disponibles en el documento Exportado, pero el administrador puede verla en Control Hub haciendo clic en Ver configuración en Control Hub, en la ficha Llamadas > Instancia dedicada > Conectividad en la nube.

Paso 3: Cisco realiza la configuración de red

1

Una vez que se complete el formulario de activación de Virtual Connect, se actualizará el estado a Activación en curso en llamadas de una instancia de > dedicada > de la Conexión virtual de conectividad a la nube.

2

Cisco completará las configuraciones requeridas en el equipo lateral de Cisco en un plazo de 5 días hábiles. Al completarse correctamente, el estado se actualizará a "Activado" para esa región en particular en Control Hub.

Paso 4: El cliente realiza la configuración de red

El estado se cambia a "Activado" para notificar al administrador del cliente que la parte de las configuraciones de Cisco para la conectividad de IP de VPN se ha completado según las entradas proporcionadas por el cliente. Pero se espera que el administrador del cliente complete su lado de las configuraciones en las CPEs y pruebe las rutas de conectividad para que el túnel de Virtual Connect esté en línea. En caso de cualquier problema enfrentado al momento de la configuración o la conectividad, el cliente puede comunicarse con el TAC de Cisco para obtener ayuda.

Solución de problemas

Resolución de problemas y validación de la primera fase de IPsec (negociación de IKEv2)

La negociación del túnel IPsec consta de dos fases, la fase IKEv2 y la fase IPsec. Si la negociación de la fase IKEv2 no se completa, no se iniciará una segunda fase IPsec. En primer lugar, emita el comando "show crypto ikev2 sa" (en equipos de Cisco) o un comando similar en equipos de terceros para verificar si la sesión de IKEv2 está activa. Si la sesión de IKEv2 no está activa, las posibles razones podrían ser:

  • El tráfico interesante no activa el túnel IPsec.

  • La lista de acceso al túnel de IPsec está mal configurada.

  • No hay conectividad entre el cliente y la IP del extremo del túnel de IPsec de la instancia dedicada.

  • Los parámetros de la sesión de IKEv2 no coinciden entre el lado de Dedicated Instance y el lado del cliente.

  • Un firewall está bloqueando los paquetes UDP IKEv2.

Primero, compruebe los registros de IPsec para detectar cualquier mensaje que muestre el progreso de la negociación del túnel IKEv2. Los registros pueden indicar dónde hay un problema con la negociación de IKEv2. La falta de mensajes de registro también puede indicar que la sesión de IKEv2 no se está activando.

Algunos errores comunes con la negociación de IKEv2 son:

  • La configuración de IKEv2 en el lado de CPE no coincide con el lado de Cisco; vuelva a comprobar la configuración mencionada:

    • Compruebe que la versión de IKE es la versión 2.

    • Verifique que los parámetros de cifrado y autenticación coincidan con el cifrado esperado en el lado de Dedicated Instance.

      Cuando el cifrado "GCM" está en uso, el protocolo GCM maneja la autenticación y establece el parámetro de autenticación en NULL.

    • Verifique la configuración de vida útil.

    • Verifique el grupo del módulo Diffie Hellman.

    • Verifique la configuración de la función pseudo aleatoria.

  • La lista de acceso para el mapa criptográfico no está configurada en:

    • Permiso GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255.255" (o comando equivalente)

      La lista de acceso debe ser específica para el protocolo "GRE" y el protocolo "IP" no funcionará.

Si los mensajes de registro no muestran ninguna actividad de negociación para la fase IKEv2, es posible que se necesite una captura de paquetes.

Es posible que el lado de Dedicated Instance no siempre inicie el intercambio de IKEv2 y, en ocasiones, espere que el lado de CPE del cliente sea el iniciador.

Compruebe la configuración del lado de CPE para los siguientes requisitos previos para el inicio de sesión de IKEv2:

  • Busque una lista de acceso criptográfico IPsec para el tráfico GRE (protocolo 50) desde la IP de transporte de túnel CPE a la IP de transporte de túnel de Dedicated Instance.

  • Asegúrese de que la interfaz del túnel de GRE esté habilitada para los keepalives de GRE; si el equipo no admite keepalives de GRE, se notificará a Cisco porque los keepalives de GRE estarán habilitados en el lado de Dedicated Instance de manera predeterminada.

  • Asegúrese de que BGP esté habilitado y configurado con la dirección de proximidad de la IP del túnel de la instancia dedicada.

Una vez configurada correctamente, se inicia el túnel IPsec y la negociación de primera fase de IKEv2:

  • GRE pasa de la interfaz del túnel GRE lateral del CPE a la interfaz del túnel GRE lateral de la instancia dedicada.

  • Sesión TCP del vecino de BGP desde el vecino de BGP del lado de CPE al vecino de BGP del lado de la instancia dedicada.

  • Ping desde la dirección IP del túnel lateral de CPE a la dirección IP del túnel lateral de la instancia exclusiva.

    Ping no puede ser la IP de transporte de túnel a IP de transporte de túnel, debe ser IP de túnel a IP de túnel.

Si se necesita un seguimiento de paquetes para el tráfico IKEv2, configure el filtro para UDP y el puerto 500 (cuando no hay ningún dispositivo NAT en el medio de los extremos IPsec) o el puerto 4500 (cuando se inserta un dispositivo NAT en el medio de los extremos IPsec).

Verifique que los paquetes UDP IKEv2 con puerto 500 o 4500 se envíen y reciban desde la dirección IP de DI IPsec.

Es posible que el centro de datos de Dedicated Instance no siempre comience el primer paquete de IKEv2. El requisito es que el dispositivo CPE sea capaz de iniciar el primer paquete de IKEv2 hacia el lado de Dedicated Instance.

Si el firewall local lo permite, intente también hacer ping a la dirección IPsec remota. Si el ping no tiene éxito desde una dirección IPsec local a una dirección remota, realice una ruta de seguimiento para ayudar y determine dónde se ha caído el paquete.

Es posible que algunos firewalls y equipos de Internet no permitan la ruta de rastreo.

Resolución de problemas y validación de la segunda fase de IPsec (negociación de IPsec)

Verifique que la primera fase de IPsec (es decir, asociación de seguridad IKEv2) esté activa antes de solucionar problemas en la segunda fase de IPsec. Realice un comando "show crypto ikev2 sa" o equivalente para verificar la sesión de IKEv2. En la salida, verifique que la sesión de IKEv2 haya estado encendida durante más de unos segundos y que no esté rebotando. El tiempo de actividad de la sesión se muestra como "Tiempo activo" de la sesión o equivalente en la salida.

Una vez que la sesión de IKEv2 se verifique como activada y activa, Investigue la sesión de IPsec. Al igual que con la sesión de IKEv2, realice un comando "show crypto ipsec sa" o equivalente para verificar la sesión de IPsec. Tanto la sesión IKEv2 como la sesión IPsec deben estar activas antes de establecer el túnel GRE. Si la sesión de IPsec no se muestra como activa, compruebe los registros de IPsec en busca de mensajes de error o errores de negociación.

Algunos de los problemas más comunes que se pueden encontrar durante las negociaciones del IPsec son:

La configuración del lado de CPE no coincide con la de Dedicated Instance; vuelva a comprobar la configuración:

  • Verifique que los parámetros de cifrado y autenticación coincidan con la configuración del lado de Dedicated Instance.

  • Verifique la configuración de Perfect Forward Secrecy (Secreto de reenvío perfecto) y que la configuración coincida en el lado de Dedicated Instance.

  • Verifique la configuración de vida útil.

  • Verifique que el IPsec se haya configurado en modo túnel.

  • Verifique las direcciones IPsec de origen y destino.

Resolución de problemas y validación de la interfaz del túnel

Cuando se verifica que las sesiones IPsec e IKEv2 están activadas y activas, los paquetes keepalive del túnel de GRE pueden fluir entre los extremos del túnel de Dedicated Instance y CPE. Si la interfaz del túnel no muestra el estado, algunos problemas comunes son:

  • El VRF de transporte de interfaz de túnel no coincide con el VRF de la interfaz de bucle invertido (si se utiliza la configuración VRF en la interfaz de túnel).

    Si la configuración del VRF no se utiliza en la interfaz del túnel, se puede ignorar esta comprobación.

  • Los keepalives no están habilitados en la interfaz del túnel lateral del CPE

    Si los keepalives no son compatibles con el equipo CPE, se debe notificar a Cisco para que los keepalives predeterminados en el lado de Dedicated Instance también estén deshabilitados.

    Si los keepalives son compatibles, verifique que estén habilitados.

  • La máscara o la dirección IP de la interfaz del túnel no son correctas y no coinciden con los valores esperados de la instancia dedicada.

  • La dirección de transporte del túnel de origen o destino no es correcta y no coincide con los valores esperados de la instancia dedicada.

  • Un firewall impide que los paquetes GRE se envíen al túnel de IPsec o se reciban desde el túnel de IPsec (el túnel de GRE se transporta a través del túnel de IPsec).

Una prueba de ping debe verificar que la interfaz del túnel local está encendida y que la conectividad es buena con la interfaz del túnel remoto. Realice la comprobación de ping desde la IP del túnel (no la IP de transporte) hasta la IP del túnel remoto.

La lista de acceso criptográfico para el túnel IPsec que lleva el tráfico del túnel GRE solo permite que los paquetes GRE se crucen. Como resultado, los pings no funcionarán desde la IP de transporte por túnel hasta la IP de transporte por túnel remoto.

La comprobación ping da como resultado un paquete GRE que se genera desde la IP de transporte del túnel de origen hasta la IP de transporte del túnel de destino, mientras que la carga útil del paquete GRE (la IP interior) será la IP del túnel de origen y destino.

Si la prueba de ping no tiene éxito y se verifican los elementos anteriores, es posible que se requiera una captura de paquetes para garantizar que el ping icmp está dando lugar a un paquete GRE que luego se encapsula en un paquete IPsec y luego se envía desde la dirección IPsec de origen a la dirección IPsec de destino. Los contadores en la interfaz del túnel de GRE y los contadores de sesiones de IPsec también pueden ayudar a mostrar si los paquetes de envío y recepción están aumentando.

Además del tráfico de ping, la captura también debe mostrar paquetes GRE keepalive incluso durante el tráfico inactivo. Por último, si se configura BGP, los paquetes keepalive de BGP también deben enviarse como paquetes GRE encapsulados en paquetes IPSEC y a través de la VPN.

Resolución de problemas y validación de BGP

Sesiones de BGP

Se requiere BGP como protocolo de enrutamiento a través del túnel VPN IPsec. El vecino local de BGP debe establecer una sesión de eBGP con el vecino de BGP de instancia exclusiva. Las direcciones IP vecinas de eBGP son las mismas que las direcciones IP locales y remotas del túnel. En primer lugar, asegúrese de que la sesión de BGP esté activa y, a continuación, verifique que se reciban las rutas correctas desde Dedicated Instance y que la ruta predeterminada correcta se envíe a Dedicated Instance.

Si el túnel GRE está activado, verifique que haya un ping correcto entre la IP local y la remota del túnel GRE. Si el ping tiene éxito pero la sesión de BGP no está llegando, investigue el registro de BGP para detectar errores de establecimiento de BGP.

Algunas de las cuestiones más comunes de negociación de BGP son:

  • El número de AS remoto no coincide con el número de AS configurado en el lado de Dedicated Instance; vuelva a verificar la configuración del AS vecino.

  • El número de AS local no coincide con lo que espera el lado de la instancia dedictada; verifique que el número de AS local coincida con los parámetros de la instancia dedicada esperados.

  • Un firewall impide que los paquetes BGP TCP encapsulados en paquetes GRE se envíen al túnel de IPsec o se reciban desde el túnel de IPSEC

  • La IP remota del vecino de BGP no coincide con la IP remota del túnel de GRE.

Intercambio de rutas BGP

Una vez verificada la sesión de BGP para ambos túneles, asegúrese de que se envían y reciben las rutas correctas desde el lado de Dedicated Instance.

La solución VPN de Dedicated Instance espera que se establezcan dos túneles desde el lado cliente/socio. El primer túnel apunta al datacenter A de instancia dedicada y el segundo túnel apunta al datacenter B de instancia dedicada. Ambos túneles deben estar en estado activo y la solución requiere un despliegue activo/activo. Cada centro de datos de la instancia dedicada anunciará su ruta local /25, así como una ruta de copia de seguridad /24. Al comprobar las rutas BGP entrantes desde la instancia dedicada, asegúrese de que la sesión BGP asociada con el túnel que apunta al datacenter A de la instancia dedicada reciba la ruta local del datacenter A /25 de la instancia dedicada, así como la ruta de copia de seguridad /24. Además, asegúrese de que el túnel que apunta al datacenter B de Dedicated Instance reciba la ruta local de Dedicated Instance B /25, así como la ruta de copia de seguridad /24. Tenga en cuenta que la ruta de copia de seguridad /24 será la misma ruta anunciada desde el datacenter A de instancia dedicada y el datacenter B de instancia dedicada.

Se proporciona redundancia a un centro de datos de instancia exclusiva si la interfaz del túnel con ese centro de datos se interrumpe. Si se pierde la conectividad con el datacenter A de instancia exclusiva, el tráfico se reenviará desde el datacenter B de instancia exclusiva al datacenter A. En esta situación, el túnel al datacenter B utilizará la ruta de datacenter B /25 para enviar tráfico al datacenter B y el túnel al datacenter B utilizará la ruta de copia de seguridad /24 para enviar tráfico al datacenter A a través del datacenter B.

Es importante que, cuando ambos túneles estén activos, el datacenter A no se utilice para enviar tráfico al datacenter B y viceversa. En esta situación, si el tráfico se envía al centro de datos A con un destino del centro de datos B, el centro de datos A reenviará el tráfico al centro de datos B y, a continuación, el centro de datos B intentará enviar el tráfico de vuelta al origen a través del túnel del centro de datos B. Esto dará lugar a un enrutamiento insuficiente y también puede romper los firewalls que atraviesan el tráfico. Por lo tanto, es importante que ambos túneles estén en una configuración activa/activa durante el funcionamiento normal.

La ruta 0.0.0.0/0 debe anunciarse desde el lado del cliente al lado del centro de datos de Dedicated Instance. El lado de Dedicated Instance no aceptará rutas más específicas. Asegúrese de que la ruta 0.0.0.0/0 se anuncie desde el túnel A del centro de datos de la instancia dedicada y el túnel B del centro de datos de la instancia dedicada.

Configuración de MTU

En el lado de Dedicated Instance, se habilitan dos funciones para ajustar dinámicamente la MTU para paquetes de gran tamaño. El túnel GRE agrega más encabezados a los paquetes IP que fluyen a través de la sesión VPN. El túnel IPsec agrega los encabezados adicionales encima de los encabezados GRE reducirá aún más la mayor MTU permitida sobre el túnel.

El túnel GRE ajusta la función MSS y la ruta del túnel GRE en la función de descubrimiento de MTU está habilitada en el lado de Dedicated Instance. Configure el comando "ip tcp adjust-mss 1350" o equivalente, así como el comando "tunnel path\u0002mtu-discovery" o equivalente en el lado del cliente para ayudar con el ajuste dinámico de MTU del tráfico a través del túnel VPN.