Introduction

Virtual Connect est une option complémentaire supplémentaire pour la connectivité Cloud à l’instance dédiée pour Webex Calling (instance dédiée). Virtual Connect permet aux Clients d’étendre leur Réseau Privé en toute sécurité sur Internet à l’aide de Tunnels IP VPN point à point. Cette option de connectivité permet d'établir rapidement une connexion au réseau privé en utilisant l'équipement CPE (Customer Premise Equipment) et la connectivité Internet existants.

Cisco héberge, gère et assure les tunnels IP VPN redondants et l’accès Internet requis dans la ou les régions du centre de données Instance dédiée de Cisco où le service est requis. De même, l'administrateur est responsable de leurs services CPE et Internet correspondants qui sont nécessaires à l'établissement de Virtual Connect.

Chaque commande de connexion virtuelle dans une région d’instance dédiée particulière inclurait deux tunnels génériques d’encapsulation de routage (GRE) protégés par chiffrement IPSec (GRE sur IPSec), un vers chaque centre de données de Cisco dans la région sélectionnée.

Virtual Connect a une limite de bande passante de 250 Mbps par tunnel et est recommandé pour les déploiements plus petits. Étant donné que deux tunnels VPN point à point sont utilisés, tout le trafic vers le cloud doit passer par le CPE de tête du client, et il peut donc ne pas convenir là où il y a beaucoup de sites distants. Pour d'autres options de peering alternatives, reportez-vous à Cloud Connectivity.


 

Avant d’envoyer la demande d’appairage pour Virtual Connect, assurez-vous que le service Instance dédiée est activé dans cette région respective.

Conditions requises

Les prérequis pour établir Virtual Connect comprennent :

  • Le client fournit

    • Connexion Internet avec suffisamment de bande passante disponible pour prendre en charge le déploiement

    • Adresse(s) IP publique(s) pour deux tunnels IPSec

    • Adresses IP de transport GRE côté client pour les deux tunnels GRE

  • Partenaire et client

    • Travaillez ensemble pour évaluer les besoins en bande passante

    • Assurez-vous que les périphériques réseau prennent en charge le routage BGP (Border Gateway Protocol) et la conception d'un tunnel GRE sur IPSec

  • Le partenaire ou le client fournit

    • Équipe réseau connaissant les technologies de tunnel VPN de site à site

    • Équipe réseau connaissant BGP, eBGP et les principes généraux de routage

  • Cisco

    • Cisco a attribué des numéros de système autonoumous privés (ASN) et un adressage IP transitoire pour les interfaces du tunnel GRE

    • Cisco a attribué un réseau public de classe C (/24) mais pas Internet routable pour l'adressage Cloud d'instance dédiée


 

Si un client a seulement 1 périphérique CPE, alors les 2 tunnels vers les centres de données de Cisco (DC1 et DC2) dans chaque région, proviendront de ce périphérique CPE. Le client a également une option pour 2 périphériques CPE, alors chaque périphérique CPE doit se connecter à 1 tunnel uniquement vers les centres de données Cisco (DC1 et DC2) dans chaque région. Une redondance supplémentaire peut être obtenue en terminant chaque tunnel sur un site/emplacement physique distinct au sein de l’infrastructure du Client.

Détails techniques

Modèle de déploiement

Virtual Connect utilise une architecture de tête de ligne à deux niveaux, où les plans de contrôle de routage et GRE sont fournis par un périphérique et le plan de contrôle IPSec est fourni par un autre.

À l’issue de la connectivité Virtual Connect, deux tunnels GRE sur IPSec seront créés entre le réseau d’entreprise du client et les centres de données de l’instance dédiée Cisco. Un pour chaque centre de données redondant au sein de la région concernée. Les éléments réseau supplémentaires requis pour le peering sont échangés par le partenaire ou le client à Cisco via le formulaire d’activation de Control Hub Virtual Connect.

La figure 1 montre un exemple du modèle de déploiement de Virtual Connect pour l’option 2 concentrateur côté client.

Virtual Connect - VPN est une conception de Hub, où les Sites Hub du Client sont connectés aux DC1 et DC2 des centres de données de l’Instance dédiée dans une région particulière.

Deux sites Hub sont recommandés pour une meilleure redondance, mais un site Hub avec deux tunnels est également un modèle de déploiement pris en charge.


 

La bande passante par tunnel est limitée à 250 Mbps.


 

Les sites distants du client situés dans la même région doivent se reconnecter au(x) site(s) Hub via le WAN du client et Cisco n’est pas responsable de cette connectivité.

Les partenaires doivent travailler en étroite collaboration avec les clients, en veillant à ce que le chemin le plus optimal soit choisi pour la région de service « Virtual Connect ».

La Figure 2 montre les Régions d’appairage de la connectivité Cloud de l’instance dédiée.

Routage

Le routage du module complémentaire Virtual Connect est mis en œuvre à l’aide d’un BGP externe (eBGP) entre l’instance dédiée et l’équipement sur site du client (CPE). Cisco publiera son réseau respectif pour chaque DC redondant au sein d'une région sur le CPE du client et le CPE est tenu de publier une route par défaut vers Cisco.

  • Cisco maintient et attribue

    • Adressage IP de l’interface du tunnel (lien transitoire pour le routage) Cisco attribue à partir d’un espace d’adresses partagé désigné (non routable publiquement)

    • Adresse de désitination de transport du tunnel (côté Cisco)

    • Numéros de systèmes autonomes privés (ASN) pour la configuration de routage BGP du client

      • Cisco attribue à partir de la plage d’utilisation privée désignée : 64512 à 65534

  • eBGP utilisé pour échanger des routes entre Instance dédiée et CPE

    • Cisco divisera le réseau /24 attribué en 2 /25 pour chaque DC de la région respective

    • Dans Virtual Connect, chaque réseau /25 est annoncé à CPE par Cisco sur les tunnels VPN point à point respectifs (lien transitoire)

    • CPE doit être configuré avec les voisins eBGP appropriés. Si vous utilisez un CPE, deux voisins eBGP seront utilisés, l'un pointant vers chaque tunnel distant. Si vous utilisez deux CPE, alors chaque CPE aura un voisin eBGP qui sera affecté au tunnel distant unique pour le CPE.

    • Le côté Cisco de chaque tunnel GRE (IP de l'interface du tunnel) est configuré comme le voisin BGP sur le CPE

    • CPE est tenu de publier un itinéraire par défaut sur chacun des tunnels

    • Le CPE est responsable de la redistribution, au besoin, des routes apprises au sein du réseau d'entreprise du cutomer.

  • En cas de défaillance de liaison sans défaillance, un seul CPE aura deux tunnels actifs/actifs. Pour deux nœuds CPE, chaque CPE aura un tunnel actif et les deux nœuds CPE devront être actifs et passer du trafic. Dans le scénario de non-défaillance, le trafic doit être divisé en deux tunnels allant vers les bonnes destinations /25, si l’un des tunnels tombe, le tunnel restant peut transporter le trafic pour les deux. Dans un tel scénario de panne, lorsque le réseau /25 est en panne, le réseau /24 est utilisé comme route de secours. Cisco enverra le trafic client via son WAN interne vers le DC qui a perdu la connectivité.

Processus de connectivité

Les étapes de haut niveau suivantes décrivent comment établir la connectivité avec Connect virtuel pour l’instance dédiée.
1

Passer une commande dans Cisco CCW

2

Activer Virtual Connect à partir du Control Hub

3

Cisco effectue la configuration réseau

4

Le client effectue la configuration réseau

Étape 1 : Commande CCW

Virtual Connect est un module complémentaire pour Instance dédiée dans CCW.

1

Accédez au site de commande CCW, puis cliquez sur Connexion pour vous connecter au site :

https://apps.cisco.com/Commerce/guest.
2

Créer une estimation.

3

Ajouter le SKU "A-FLEX-3".

4

Sélectionnez les options de modification.

5

Dans l'onglet d'abonnement qui s'affiche, Sélectionnez Options et Modules complémentaires.

6

Sous Add-ons supplémentaires, cochez la case à côté de « Virtual Connect for Dedicated Instance ». Le nom du SKU est « A-FLEX-DI-VC ».

7

Saisissez la quantité et le nombre de régions dans lesquelles Virtual Connect est requis.


 
La quantité de Virtual Connect ne doit pas dépasser le nombre total de régions achetées pour l’instance dédiée. De plus, une seule commande Virtual Connect est autorisée par région.
8

Lorsque vous êtes satisfait de vos sélections, cliquez sur Vérifier et enregistrer dans la partie supérieure droite de la page.

9

Cliquez sur Enregistrer et continuer pour finaliser votre commande. Votre commande finalisée s’apaise maintenant dans la grille de commande.

Étape 2 : Activation de Virtual Connect dans Control Hub

1

Connectez-vous au Control Hub https://admin.webex.com/login.

2

Dans la section Services, accédez à Calling > Dedicated Instacnce > Cloud Connectivity.

3

Dans la carte Virtual Connect, la quantité achetée de Virtual Connect est indiquée. L'administrateur peut maintenant cliquer sur Activer pour lancer l'activation de Virtual Connect.


 
Le processus d’activation ne peut être déclenché que par les administrateurs ayant le rôle « Administrateur complet du client ». Alors qu’un administrateur avec le Rôle « Administrateur avec accès en lecture seule du client » ne peut afficher que le statut.
4

En cliquant sur le bouton Activer, le formulaire Activer la connexion virtuelle s’affiche pour permettre à l’administrateur de fournir les détails techniques de connexion virtuelle requis pour les configurations de peering du côté de Cisco.


 
Le formulaire fournit également des informations statiques du côté de Cisco, en fonction de la région sélectionnée. Ces informations seront utiles aux administrateurs clients pour configurer le CPE de leur côté afin d'établir la connectivité.

  1. Adresse IP de transport du tunnel GRE : Le client est tenu de fournir les adresses IP de transport du tunnel côté client et Cisco affectera dynamiquement les adresses IP une fois l’activation terminée. L’ACL IPSec pour le trafic intéressant doit permettre le transport par tunnel local IP/32 vers le transport par tunnel distant IP/32. L'ACL doit également spécifier uniquement le protocole IP GRE.


     
    L’adresse IP fournie par le client peut être privée ou publique.

  2. pairs IPSec : Le client est tenu de fournir les adresses IP sources du tunnel IPSec et Cisco attribue l’adresse IP de destination IPSec. La traduction NAT d’une adresse de tunnel IPSEC interne vers une adresse publique est également prise en charge si nécessaire.


     

    L'adresse IP fournie par le client doit être publique.


     
    Toutes les autres informations statiques fournies dans l’écran d’activation sont conformes aux normes de sécurité et de chiffrement de Cisco. Cette configuration statique n’est ni personnalisable ni modifiable. Pour obtenir une assistance supplémentaire concernant les configurations statiques du côté de Cisco, le client doit contacter le CAT.
5

Cliquez sur le bouton Activer lorsque tous les champs obligatoires sont remplis.

6

Une fois le formulaire d’activation de Virtual Connect complété pour une région de particluar, le client peut Exporter le formulaire d’activation à partir du Control Hub, Calling > Instance dédiée > Onglet Cloud Connectivity et cliquer sur Exporter les paramètres.


 
Pour des raisons de sécurité, l’authentification et le mot de passe BGP ne seront pas disponibles dans le document exporté, mais l’administrateur peut les afficher dans le Control Hub en cliquant sur Afficher les paramètres sous Control Hub, Calling > Instance dédiée > Cloud Connectivity.

Étape 3 : Cisco effectue la configuration réseau

1

Une fois le formulaire d’activation de Virtual Connect complété, le statut sera mis à jour sur Activation en cours dans Calling > Instance dédiée > Cloud Connectivity Virtual Connect card.

2

Cisco effectuera les configurations requises sur l’équipement latéral de Cisco dans les 5 jours ouvrables. Une fois terminé, le statut sera mis à jour à « Activé » pour cette région particulière dans le Control Hub.

Étape 4 : Le client effectue la configuration réseau

Le statut est modifié en « Activé » pour informer l’administrateur du client que le côté Cisco des configurations pour la connectivité IP VPN est terminé en fonction des entrées fournies par le client. Mais l'administrateur du client est censé terminer son côté des configurations sur les CPE et tester les routes de connectivité pour que le tunnel Virtual Connect soit en ligne. En cas de problèmes rencontrés au moment de la configuration ou de la connectivité, le client peut contacter le CAT Cisco pour obtenir de l’aide.

Dépannage

Dépannage et validation de la première phase IPsec (négociation IKEv2)

La négociation du tunnel IPsec comporte deux phases, la phase IKEv2 et la phase IPsec. Si la négociation de la phase IKEv2 n’est pas terminée, alors il n’y a pas d’initiation d’une seconde phase IPsec. Tout d'abord, émettez la commande « show crypto ikev2 sa » (sur l'équipement Cisco) ou une commande similaire sur l'équipement tiers pour vérifier si la session IKEv2 est active. Si la session IKEv2 n’est pas active, les raisons potentielles peuvent être :

  • Un trafic intéressant ne déclenche pas le tunnel IPsec.

  • La liste d'accès au tunnel IPsec est mal configurée.

  • Il n'y a pas de connectivité entre le client et l'IP du point de terminaison du tunnel IPsec de l'instance dédiée.

  • Les paramètres de session IKEv2 ne correspondent pas entre le côté Instance dédiée et le côté client.

  • Un pare-feu bloque les paquets UDP IKEv2.

Tout d’abord, vérifiez les journaux IPsec pour tout message qui montre l’avancement de la négociation du tunnel IKEv2. Les journaux peuvent indiquer s’il y a un problème avec la négociation IKEv2. Un manque de messages de journalisation peut également indiquer que la session IKEv2 n'est pas activée.

Voici quelques erreurs courantes dans la négociation IKEv2 :

  • Les paramètres de l'IKEv2 du côté CPE ne correspondent pas au côté Cisco, vérifiez à nouveau les paramètres mentionnés :

    • Vérifier que la version IKE est la version 2.

    • Vérifiez que les paramètres de chiffrement et d’authentification correspondent au chiffrement attendu du côté Instance dédiée.


       

      Lorsque le chiffrement « GCM » est utilisé, le protocole GCM gère l'authentification et définit le paramètre d'authentification à NULL.

    • Vérifiez le paramètre de durée de vie.

    • Vérifiez le groupe de modules Diffie Hellman.

    • Vérifiez les paramètres de la fonction pseudo-aléatoire.

  • La liste d'accès pour la carte cryptographique n'est pas définie sur :

    • Permit GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (ou commande équivalente)


       

      La liste d’accès doit être spécifique au protocole « GRE » et le protocole « IP » ne fonctionnera pas.

Si les messages journaux ne montrent aucune activité de négociation pour la phase IKEv2, une capture de paquets peut être nécessaire.


 

Le côté Instance dédiée peut ne pas toujours commencer l'échange IKEv2 et peut parfois s'attendre à ce que le côté CPE du client soit l'initiateur.

Vérifiez la configuration côté CPE pour les prérequis suivants pour le lancement de la session IKEv2 :

  • Vérifiez une liste d'accès crypto IPsec pour le trafic GRE (protocole 50) de l'IP de transport du tunnel CPE vers l'IP de transport du tunnel d'instance dédiée.

  • Assurez-vous que l'interface du tunnel GRE est activée pour GRE keepalives, si l'équipement ne prend pas en charge GRE keepalives alors Cisco est averti car GRE keepalives sera activé sur le côté Instance dédiée par défaut.

  • Assurez-vous que BGP est activé et configuré avec l'adresse voisine de l'adresse IP du tunnel d'instance dédiée.

Lorsqu’il est correctement configuré, le tunnel IPsec et la première phase de négociation IKEv2 commencent :

  • GRE keepalives de l’interface du tunnel GRE côté CPE à l’interface du tunnel GRE côté Instance dédiée.

  • Session TCP du voisin BGP du voisin BGP du côté CPE vers le voisin BGP du côté instance dédiée.

  • Ping de l'adresse IP du tunnel latéral CPE vers l'adresse IP du tunnel latéral de l'instance dédiée.


     

    Ping ne peut pas être l'adresse IP de transport du tunnel vers l'adresse IP de transport du tunnel, il doit être l'adresse IP du tunnel vers l'adresse IP du tunnel.

Si un suivi de paquet est nécessaire pour le trafic IKEv2, définissez le filtre pour UDP et le port 500 (lorsqu'aucun périphérique NAT n'est au milieu des points de terminaison IPsec) ou le port 4500 (lorsqu'un périphérique NAT est inséré au milieu des points de terminaison IPsec).

Vérifiez que les paquets UDP IKEv2 avec le port 500 ou 4500 sont envoyés et reçus vers et depuis l'adresse IPsec DI.


 

Le centre de données Instance dédiée ne peut pas toujours démarrer le premier paquet IKEv2. L'exigence est que le périphérique CPE soit capable d'initier le premier paquet IKEv2 vers le côté Instance dédiée.

Si le pare-feu local le permet, alors tentez également un ping vers l’adresse IPsec distante. Si le ping n'a pas réussi à partir de l'adresse IPsec locale vers l'adresse IPsec distante, alors effectuez une route de traçage pour aider et déterminer où le paquet est abandonné.

Certains pare-feu et équipements Internet peuvent ne pas autoriser l'itinéraire de traçage.

Dépannage et validation IPsec Deuxième phase (Négociation IPsec)

Vérifiez que la première phase IPsec (c'est-à-dire l'association de sécurité IKEv2) est active avant de dépanner la deuxième phase IPsec. Effectuez une commande "show crypto ikev2 sa" ou équivalent pour vérifier la session IKEv2. En sortie, vérifiez que la session IKEv2 a été activée pendant plus de quelques secondes et qu'elle ne rebondit pas. La durée de fonctionnement de la session s'affiche en tant que « Durée active » de la session ou équivalent en sortie.

Une fois que la session IKEv2 s'est vérifiée comme active et active, Recherchez la session IPsec. Comme pour la session IKEv2, effectuez une commande "show crypto ipsec sa" ou équivalent pour vérifier la session IPsec. La session IKEv2 et la session IPsec doivent être actives avant que le tunnel GRE ne soit établi. Si la session IPsec ne s'affiche pas comme active, vérifiez les journaux IPsec pour détecter les messages d'erreur ou les erreurs de négociation.

Voici quelques-uns des problèmes les plus courants qui peuvent être rencontrés au cours des négociations IPsec :

Les paramètres du côté CPE ne correspondent pas au côté Instance dédiée, vérifiez à nouveau les paramètres :

  • Vérifiez que les paramètres de chiffrement et d’authentification correspondent aux paramètres du côté de l’instance dédiée.

  • Vérifiez les paramètres Perfect Forward Secrecy et que les paramètres correspondent sur le côté Instance dédiée.

  • Vérifiez les paramètres de durée de vie.

  • Vérifiez que l’IPsec a été configuré en mode tunnel.

  • Vérifiez les adresses IPsec source et de destination.

Dépannage et validation de l’interface du tunnel

Lorsque les sessions IPsec et IKEv2 sont vérifiées comme actives et actives, les paquets keepalive du tunnel GRE peuvent circuler entre les points de terminaison de l'instance dédiée et du tunnel CPE. Si l'interface du tunnel n'affiche pas son statut, certains problèmes courants sont :

  • Le VRF de transport de l’interface tunnel ne correspond pas au VRF de l’interface de rebouclage (si la configuration du VRF est utilisée sur l’interface tunnel).


     

    Si la configuration VRF n'est pas utilisée sur l'interface du tunnel, cette vérification peut être ignorée.

  • Les keepalives ne sont pas activées sur l'interface du tunnel côté CPE


     

    Si les keepalives ne sont pas pris en charge sur l'équipement CPE, alors Cisco doit être informé afin que les keepalives par défaut du côté Instance dédiée soient également désactivés.

    Si keepalives est pris en charge, vérifiez que les keepalives sont activés.

  • Le masque ou l’adresse IP de l’interface du tunnel n’est pas correct et ne correspond pas aux valeurs attendues de l’instance dédiée.

  • L’adresse de transport du tunnel source ou de destination n’est pas correcte et ne correspond pas aux valeurs attendues de l’instance dédiée.

  • Un pare-feu bloque les paquets GRE envoyés dans le tunnel IPsec ou reçus du tunnel IPsec (le tunnel GRE est transporté sur le tunnel IPsec)

Un test ping doit vérifier que l'interface du tunnel local est opérationnelle et que la connectivité est bonne par rapport à l'interface du tunnel distant. Effectuez la vérification du ping de l’IP du tunnel (et non de l’IP de transport) vers l’IP du tunnel distant.


 

La liste d’accès crypto pour le tunnel IPsec qui transporte le trafic du tunnel GRE ne permet que les paquets GRE de traverser. Par conséquent, les pings ne fonctionneront pas de l'IP de transport du tunnel à l'IP de transport du tunnel distant.

La vérification du ping aboutit à un paquet GRE qui est généré à partir de l'adresse IP de transport du tunnel source vers l'adresse IP de transport du tunnel de destination alors que la charge utile du paquet GRE (l'adresse IP intérieure) sera l'adresse IP du tunnel source et de destination.

Si le test ping n'est pas réussi et que les éléments précédents sont vérifiés, alors une capture de paquets peut être nécessaire pour s'assurer que le ping icmp aboutit à un paquet GRE qui est ensuite encapsulé dans un paquet IPsec puis envoyé de l'adresse IPsec source à l'adresse IPsec de destination. Les compteurs sur l'interface du tunnel GRE et les compteurs de session IPsec peuvent également aider à afficher si les paquets d'envoi et de réception augmentent.

En plus du trafic ping, la capture doit également afficher les paquets GRE conservés même pendant le trafic inactif. Enfin, si BGP est configuré, les paquets BGP keepalive doivent également être envoyés sous forme de paquets GRE encapsulés dans des paquets IPSEC ainsi que sur le VPN.

Dépannage et validation BGP

Sessions BGP

BGP est requis en tant que protocole de routage sur le tunnel VPN IPsec. Le voisin BGP local doit établir une session eBGP avec le voisin BGP de l'instance dédiée. Les adresses IP voisines de l'eBGP sont les mêmes que les adresses IP locales et distantes du tunnel. Vérifiez tout d’abord que la session BGP est active, puis vérifiez que les itinéraires corrects sont reçus de l’instance dédiée et que l’itinéraire par défaut correct est envoyé à l’instance dédiée.

Si le tunnel GRE est en marche, vérifiez qu'un ping est réussi entre l'IP du tunnel GRE local et distant. Si le ping est réussi mais que la session BGP n'arrive pas, alors recherchez dans le journal BGP les erreurs d'établissement BGP.

Voici quelques-unes des questions les plus courantes de négociation de BGP :

  • Le numéro d’AS distant ne correspond pas au numéro d’AS qui est configuré du côté de l’instance dédiée, revérifiez la configuration d’AS voisine.

  • Le numéro d’AS local ne correspond pas à ce que le côté instance dédiée attend, vérifiez que le numéro d’AS local correspond aux paramètres d’instance dédiée attendus.

  • Un pare-feu empêche les paquets TCP BGP encapsulés dans des paquets GRE d’être envoyés dans le tunnel IPsec ou d’être reçus du tunnel IPSEC

  • L'IP voisine BGP distante ne correspond pas à l'IP distante du tunnel GRE.

Échange de route BGP

Une fois la session BGP vérifiée pour les deux tunnels, assurez-vous que les itinéraires corrects sont envoyés et reçus du côté de l’instance dédiée.

La solution VPN Instance dédiée prévoit la mise en place de deux tunnels côté client/partenaire. Le premier tunnel pointe vers le centre de données d’instance dédiée A et le second tunnel pointe vers le centre de données d’instance dédiée B. Les deux tunnels doivent être à l’état actif et la solution nécessite un déploiement actif/actif. Chaque centre de données d'instance dédiée publiera sa route locale /25 ainsi qu'une route de sauvegarde /24. Lors de la vérification des routes BGP entrantes de l’instance dédiée, assurez-vous que la session BGP associée au tunnel pointant vers le centre de données de l’instance dédiée A reçoit la route locale de l’instance dédiée A /25 ainsi que la route de secours /24. De plus, assurez-vous que le tunnel pointant vers le centre de données d’instance dédiée B reçoit la route locale du centre de données d’instance dédiée B /25 ainsi que la route de secours /24. Notez que la route de sauvegarde /24 sera la même route annoncée à partir du centre de données d'instance dédiée A et du centre de données d'instance dédiée B.

La redondance est fournie à un centre de données d'instance dédiée si l'interface du tunnel avec ce centre de données tombe en panne. Si la connectivité au centre de données d'instance dédiée A est perdue, le trafic sera transféré du centre de données d'instance dédiée B au centre de données A. Dans ce scénario, le tunnel vers le centre de données B utilisera la route du centre de données B /25 pour envoyer le trafic vers le centre de données B et le tunnel vers le centre de données B utilisera la route de secours /24 pour envoyer le trafic vers le centre de données A via le centre de données B.

Il est important que, lorsque les deux tunnels sont actifs, le tunnel du centre de données A ne soit pas utilisé pour envoyer du trafic vers le centre de données B et vice versa. Dans ce scénario, si le trafic est envoyé vers le centre de données A avec une destination de centre de données B, le centre de données A transmettra le trafic vers le centre de données B, puis le centre de données B tentera de renvoyer le trafic vers la source via le tunnel du centre de données B. Cela entraînera un routage sous-optimal et peut également briser le trafic traversant les pare-feux. Par conséquent, il est important que les deux tunnels soient dans une configuration active/active en fonctionnement normal.

La route 0.0.0.0/0 doit être publiée du côté client vers le côté datacenter d'instance dédiée. Les routes plus spécifiques ne seront pas acceptées par le côté Instance dédiée. Assurez-vous que la route 0.0.0.0/0 est annoncée à la fois à partir du tunnel du centre de données d'instance dédiée A et du tunnel du centre de données d'instance dédiée B.

Configuration MTU

Côté instance dédiée, deux fonctionnalités sont activées pour ajuster dynamiquement MTU pour les grandes tailles de paquets. Le tunnel GRE ajoute plus d'en-têtes aux paquets IP circulant dans la session VPN. Le tunnel IPsec ajoute les en-têtes supplémentaires au-dessus des en-têtes GRE réduira davantage la plus grande MTU autorisée sur le tunnel.

Le tunnel GRE ajuste la fonctionnalité MSS et le chemin du tunnel GRE dans la fonctionnalité de découverte MTU est activé du côté Instance dédiée. Configurez « ip tcp adjust-mss 1350 » ou la commande équivalente ainsi que « tunnel path\u0002mtu-discovery » ou la commande équivalente côté client pour faciliter le réglage dynamique du MTU du trafic à travers le tunnel VPN.