Introduction

Virtual Connect est une option supplémentaire pour la connectivité du Cloud à l’instance dédiée Webex Calling (Instance dédiée). Virtual Connect permet aux clients d’étendre en toute sécurité leur réseau privé sur Internet en utilisant un VPN IP point à point. Cette option de connectivité offre une installation rapide de la connexion réseau privée en utilisant l’équipement clientèle sur site (CPE) et la connectivité Internet existante.

Cisco héberge, gère et assure le VPN IP redondant et l’accès Internet requis dans la/les région(s) des centres de données dédiés de Cisco où le service est requis. De même, les administrateurs sont responsables de leurs services CPE et Internet correspondants qui sont requis pour l’installation de Virtual Connect.

Chaque ordre Virtual Connect dans une région d’instance dédiée particulière comprend deux algorithmes de routage génériques (GRE) protégés par un chiffrement IPSec (GRE sur IPSec), un à chaque centre de données Cisco dans la région sélectionnée.

Virtual Connect a une limite de bande passante de 250 Mbps par tunnel et est recommandé pour les déploiements plus petits. Puisque deux VPN point à point sont utilisés tout le trafic vers le Cloud doit passer par l’en-tête du client CPE, et il peut donc ne pas être approprié lorsqu’il y a beaucoup de sites distants. Pour d’autres options de peering (peering), reportez-vous à connectivité sur le Cloud.

Avant d’envoyer la demande d’appairage pour Virtual Connect, assurez-vous que le service Instance dédiée est activé dans cette région respective.

Conditions préalables

Les prérequis pour l’établissement de Virtual Connect incluent :

  • Le client fournit

    • Connexion Internet avec bande passante disponible suffisante pour prendre en charge le déploiement

    • Adresse(s) IP publique(s) pour deux IPSec

    • Adresses IP de transport GRE côté client pour les deux GRE

  • Partenaire et Client

    • Travaillez ensemble pour évaluer les besoins en bande passante

    • Assurez-vous que le(s) périphérique(s) réseau(s) Border Gateway Protocol de routage (BGP) et une conception de tunnel GRE sur IPSec

  • Le partenaire ou le client fournit

    • Équipe réseau avec connaissance des technologies de tunnel VPN de site à site

    • Une équipe réseau approfondie des principes de BGP, eBGP et de routage général

  • Cisco

    • Cisco a attribué des numéros de système auto-annonce privés (ASN) et une adresse IP transitoire pour les interfaces tunnel GRE

    • Cisco a attribué un réseau de classe C (/24) public mais pas Internet routable pour l’adresse Dedicated Instance Cloud

Si un client a uniquement 1 périphérique CPE, alors le 2 vers les centres de données Cisco (DC1 et DC2) dans chaque région, seront de ce périphérique CPE. Le client a également une option pour 2 périphériques CPE, chaque périphérique CPE doit se connecter au tunnel 1 uniquement vers les centres de données de Cisco (DC1 et DC2) dans chaque région. Une redondance supplémentaire peut être réalisée en terminant chaque tunnel dans un site physique séparé/emplacement dans l’infrastructure du client.

Détails techniques

Modèle de déploiement

Virtual Connect utilise une architecture de fin à deux niveaux, où les avions de routage et de contrôle GRE sont fournis par un périphérique et le plan de contrôle IPSec est fourni par un autre.

Une fois la connectivité Virtual Connect terminée, deux GRE sur IPSec seront créés entre le réseau d’entreprise du client et les centres de données de l’instance dédiée Cisco. Un à chaque centre de données redondant dans la région respective. Les éléments réseau supplémentaires requis pour l’peering sont échangés par le partenaire ou le client avec Cisco via le formulaire d’activation Control Hub Virtual Connect.

La figure 1 montre un exemple de modèle de déploiement De Virtual Connect pour l’option 2-ct à côté du client.

Virtual Connect - VPN est une conception de concentrateur, où les sites du concentrateur du client sont connectés au CD1 et au CD2 des centres de données de l’instance dédiée dans une région particulière.

Deux sites Hub sont recommandés pour une meilleure redondance, mais le site One Hub avec deux autres sites est également un modèle de déploiement pris en charge.

La bande passante par tunnel est limitée à 250 Mbps.

Les sites distants du client dans la même région, auraient besoin de se connecter au(s) site(s) du concentrateur sur la réseau WAN du client et Cisco n’est pas responsable de cette connectivité.

Les partenaires sont attendus à travailler en collaboration étroite avec les clients, garantissant ainsi que la voie la plus optimale est choisie pour la région de service « Virtual Connect ».

La figure 2 montre les régions de peering d’instance dédiée de connectivité du Cloud.

Routage

Le routage pour l’add-on Virtual Connect est implémenté en utilisant le BGP (eBGP) externe entre l’instance dédiée et l’équipement du client sur site (CPE). Cisco publiera leur réseau respectif pour chaque CD redondant dans une région vers l’IE du client et celui-ci est requis pour publier un route par défaut vers Cisco.

  • Cisco conserve et attribue

    • Adresse IP de l’interface Tunnel (lien transitoire pour le routage) Cisco attribue à partir d’un espace d’adresse partagée désigné (non routable publiquement)

    • Adresse de désitination du transport tunnel (du côté de Cisco)

    • Numéros de système autonomes privés (ASN) pour la configuration de routage BGP du client

      • Cisco attribue à partir de la plage d’utilisation privée désignée : 64512 à 65534

  • EBGP utilisé pour échanger les routes entre l’instance dédiée et CPE

    • Cisco divisera le réseau attribué /24 en 2/25 un pour chaque CD dans la région respective.

    • Dans Virtual Connect, chaque /25 réseau est à nouveau annoncé sur CPE par Cisco sur le VPN de point à point respectif (lien transitoire)

    • CPE doit être configuré avec la configuration eBGP appropriée. Si vous utilisez un CPE, deux champs eBGP seront utilisés, un pointant vers chaque tunnel distant. Si vous utilisez deux CPE, alors chaque CPE aura un point de ponitage eBGP voisin au tunnel distant unique pour le CPE.

    • Le côté Cisco de chaque tunnel GRE (interface IP de tunnel) est configuré en tant que BGP voisin sur le CPE

    • CPE est obligatoire pour publier un route par défaut sur chacun des navigateurs

    • CPE ne peut pas redistribuer, si nécessaire, les routages appris dans le réseau d’entreprise du cutomer.

  • En cas de situation de d’échec de non-échec, un seul CPE aura deux CPE actifs/actifs. Pour deux nodes CPE, chaque CPE aura un tunnel actif et les deux nodes CPE doivent être actifs et passer le trafic. En cas de situation de non panne, le trafic doit être divisé par deux vers les destinations correctes /25, si l’une des destinations est en panne, le tunnel restant peut transporter le trafic des deux. Dans un tel scénario de panne, lorsque le réseau /25 est à l’arrêt alors le réseau /24 est utilisé comme route de sauvegarde. Cisco enverra le trafic client via son WAN interne vers le CD qui a perdu la connectivité.

Processus de connectivité

Les étapes de haut niveau suivantes décrivent comment établir une connectivité avec Connect virtuelle pour l’instance dédiée.
1

Commandez dans Cisco CCW

2

Activer La connexion virtuelle à partir de Control Hub

3

Cisco effectue la configuration réseau

4

Le client effectue la configuration réseau

Étape 1 : Commande CCW

Virtual Connect est un add-on pour l’instance dédiée dans CCW.

1

Accédez au site de commande CCW, puis cliquez sur Connexion pour vous connecter au site :

https://apps.cisco.com/Commerce/guest.
2

Création d’une estimation.

3

Ajouter un SKU « A-FLEX-3 ».

4

Sélectionnez Modifier les options.

5

Dans l’onglet Abonnement qui s’affiche, Sélectionnez Options et Add-ons.

6

Sous Add-ons supplémentaires, cochez la case à côté de « Virtual Connect for Dedicated Instance ». Le nom SKU est « A-FLEX-DI-VC ».

7

Entrez la quantité et le nombre de régions dans lesquelles Virtual Connect est nécessaire.

La quantité de Virtual Connect ne doit pas dépasser le nombre total de régions achetées pour l’instance dédiée. En outre, un seul ordre Virtual Connect est autorisé par région.
8

Lorsque vous êtes satisfait de vos choix, cliquez sur Vérifier et enregistrer dans la partie en haut à droite de la page.

9

Cliquez sur Enregistrer et Continuer pour finaliser votre commande. Votre ordre finalisé appose maintenant dans la grille d’ordre.

Étape 2 : Activation de Virtual Connect dans Control Hub

1

Connectez-vous à Control Hub https://admin.webex.com/login.

2

Dans la section Services , accédez à la section Appel > connexion dédiée > connectivitéCloud.

3

Dans la carte Virtual Connect, la quantité de Virtual Connect achetée est répertoriée. L’administrateur peut maintenant cliquer sur Activer pour initier l’activation de Virtual Connect.

Le processus d’activation peut être déclenché uniquement par les administrateurs ayant le rôle « d’administrateur clientèle complet ». Cependant, un administrateur avec le rôle « Admin du client en lecture seule » ne peut voir que le statut.
4

En cliquant sur le bouton Activer, le formulaire Activer Virtual Connect s’affiche pour que l’administrateur fournisse les détails techniques de Virtual Connect nécessaires pour les configurations d’peering (peering) du côté de Cisco.

Le formulaire fournit également des informations statiques du côté de Cisco, en fonction de la région sélectionnée. Ces informations seront utiles pour les administrateurs clients pour configurer l’PE sur leur côté pour établir la connectivité.

  1. Adresse IP de transport du tunnel GRE : Le client est tenu de fournir les adresses IP de transport tunnel latérales du client et Cisco affectera dynamiquement les adresses IP lorsque l’activation sera terminée. L’IPSec ACL pour un trafic intéressant doit autoriser le transport local tunnel IP/32 à distance Transport IP/32. L’ACL doit également spécifier uniquement le protocole IP GRE.

    L’adresse IP fournie par le client peut être privée ou publique.

  2. pairs IPSec : Le client est tenu de fournir les adresses IPSec Tunnel source et Cisco alloue l’adresse IPSec de destination. Effectuer la traduction NAT d’une adresse interne IPSEC tunnel à une adresse publique est également pris en charge si nécessaire.

    L’adresse IP fournie par le client doit être publique.

    Toutes les autres informations statiques fournies dans l’écran d’activation sont le suivi des normes de sécurité et de chiffrement de Cisco. Cette configuration statique n’est pas personnalisable ou modifiable. Pour une assistance supplémentaire concernant les configurations statiques du côté de Cisco, le client doit joindre le CAT.
5

Cliquez sur le bouton Activer lorsque tous les champs obligatoires sont remplis.

6

Une fois que le formulaire d’activation Virtual Connect est rempli pour une région particône, le client peut Exporter le formulaire d’activation à partir de Control Hub, l’onglet Appel > Instance dédiée > Connectivité sur le Cloud et cliquer sur Exporter les paramètres.

Pour des raisons de sécurité, l’authentification et le mot de passe BGP ne seront pas disponibles dans le document exporté, mais l’administrateur peut afficher le même dans Control Hub en cliquant sur Afficher les paramètres sous Control Hub, Appel > Instance dédiée > Connectivité du Cloud onglet.

Étape 3 : Cisco effectue la configuration réseau

1

Lorsque le formulaire d’activation Virtual Connect est terminé, le statut est mis à jour sur Activation en cours dans l’appel > instance dédiée > carte Connexion virtuelle sur le Cloud.

2

Cisco effectuera les configurations requises sur l’équipement latéral de Cisco dans les 5 jours ouvrables. Lorsque ce sera terminé, le statut sera mis à jour sur « Activé » pour cette région particulière dans Control Hub.

Étape 4 : Le client effectue la configuration réseau

Le statut est changé en « Activé » pour avertir l’administrateur du client que le côté de la configuration de Cisco pour la connectivité VPN IP a été rempli en fonction des entrées fournies par le client. Mais, l’administrateur du client est attendu de terminer ses configurations sur les CP et de tester les chemins de connectivité pour que le tunnel Virtual Connect soit En ligne. En cas de problèmes rencontrés au moment de la configuration ou de la connectivité, le client peut joindre le CAT Cisco (Centre d’assistance technique) pour obtenir de l’aide.

Dépannage

Dépannage et validation de la première phase IPsec (négociation IKEv2)

La négociation du tunnel IPsec comporte deux phases, la phase IKEv2 et la phase IPsec. Si la négociation de la phase IKEv2 n’est pas terminée, alors il n’y a pas d’initiation d’une seconde phase IPsec. Tout d'abord, émettez la commande « show crypto ikev2 sa » (sur l'équipement Cisco) ou une commande similaire sur l'équipement tiers pour vérifier si la session IKEv2 est active. Si la session IKEv2 n’est pas active, les raisons potentielles peuvent être :

  • Un trafic intéressant ne déclenche pas le tunnel IPsec.

  • La liste d'accès au tunnel IPsec est mal configurée.

  • Il n'y a pas de connectivité entre le client et l'IP du point de terminaison du tunnel IPsec de l'instance dédiée.

  • Les paramètres de session IKEv2 ne correspondent pas entre le côté Instance dédiée et le côté client.

  • Un pare-feu bloque les paquets UDP IKEv2.

Tout d’abord, vérifiez les journaux IPsec pour tout message qui montre l’avancement de la négociation du tunnel IKEv2. Les journaux peuvent indiquer s’il y a un problème avec la négociation IKEv2. Un manque de messages de journalisation peut également indiquer que la session IKEv2 n'est pas activée.

Voici quelques erreurs courantes dans la négociation IKEv2 :

  • Les paramètres de l'IKEv2 du côté CPE ne correspondent pas au côté Cisco, vérifiez à nouveau les paramètres mentionnés :

    • Vérifier que la version IKE est la version 2.

    • Vérifiez que les paramètres de chiffrement et d’authentification correspondent au chiffrement attendu du côté Instance dédiée.

      Lorsque le chiffrement « GCM » est utilisé, le protocole GCM gère l'authentification et définit le paramètre d'authentification à NULL.

    • Vérifiez le paramètre de durée de vie.

    • Vérifiez le groupe de modules Diffie Hellman.

    • Vérifiez les paramètres de la fonction pseudo-aléatoire.

  • La liste d'accès pour la carte cryptographique n'est pas définie sur :

    • Permit GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255" (ou commande équivalente)

      La liste d’accès doit être spécifique au protocole « GRE » et le protocole « IP » ne fonctionnera pas.

Si les messages journaux ne montrent aucune activité de négociation pour la phase IKEv2, une capture de paquets peut être nécessaire.

Le côté Instance dédiée peut ne pas toujours commencer l'échange IKEv2 et peut parfois s'attendre à ce que le côté CPE du client soit l'initiateur.

Vérifiez la configuration côté CPE pour les prérequis suivants pour le lancement de la session IKEv2 :

  • Vérifiez une liste d'accès crypto IPsec pour le trafic GRE (protocole 50) de l'IP de transport du tunnel CPE vers l'IP de transport du tunnel d'instance dédiée.

  • Assurez-vous que l'interface du tunnel GRE est activée pour GRE keepalives, si l'équipement ne prend pas en charge GRE keepalives alors Cisco est averti car GRE keepalives sera activé sur le côté Instance dédiée par défaut.

  • Assurez-vous que BGP est activé et configuré avec l'adresse voisine de l'adresse IP du tunnel d'instance dédiée.

Lorsqu’il est correctement configuré, le tunnel IPsec et la première phase de négociation IKEv2 commencent :

  • GRE keepalives de l’interface du tunnel GRE côté CPE à l’interface du tunnel GRE côté Instance dédiée.

  • Session TCP du voisin BGP du voisin CPE du côté BGP vers le voisin BGP du côté instance dédiée.

  • Ping de l'adresse IP du tunnel latéral CPE vers l'adresse IP du tunnel latéral de l'instance dédiée.

    Ping ne peut pas être l'adresse IP de transport du tunnel vers l'adresse IP de transport du tunnel, il doit être l'adresse IP du tunnel vers l'adresse IP du tunnel.

Si un suivi de paquet est nécessaire pour le trafic IKEv2, définissez le filtre pour UDP et le port 500 (lorsqu'aucun périphérique NAT n'est au milieu des points de terminaison IPsec) ou le port 4500 (lorsqu'un périphérique NAT est inséré au milieu des points de terminaison IPsec).

Vérifiez que les paquets UDP IKEv2 avec le port 500 ou 4500 sont envoyés et reçus vers et depuis l'adresse IPsec DI.

Le centre de données Instance dédiée ne peut pas toujours démarrer le premier paquet IKEv2. L'exigence est que le périphérique CPE soit capable d'initier le premier paquet IKEv2 vers le côté Instance dédiée.

Si le pare-feu local le permet, alors tentez également un ping vers l’adresse IPsec distante. Si le ping n'a pas réussi à partir de l'adresse IPsec locale vers l'adresse IPsec distante, alors effectuez une route de traçage pour aider et déterminer où le paquet est abandonné.

Certains pare-feu et équipements Internet peuvent ne pas autoriser l'itinéraire de traçage.

Dépannage et validation IPsec Deuxième phase (Négociation IPsec)

Vérifiez que la première phase IPsec (c'est-à-dire l'association de sécurité IKEv2) est active avant de dépanner la deuxième phase IPsec. Effectuez une commande "show crypto ikev2 sa" ou équivalent pour vérifier la session IKEv2. En sortie, vérifiez que la session IKEv2 a été activée pendant plus de quelques secondes et qu'elle ne rebondit pas. La durée de fonctionnement de la session s'affiche en tant que « Durée active » de la session ou équivalent en sortie.

Une fois que la session IKEv2 s'est vérifiée comme active et active, Recherchez la session IPsec. Comme pour la session IKEv2, effectuez une commande "show crypto ipsec sa" ou équivalent pour vérifier la session IPsec. La session IKEv2 et la session IPsec doivent être actives avant que le tunnel GRE ne soit établi. Si la session IPsec ne s'affiche pas comme active, vérifiez les journaux IPsec pour détecter les messages d'erreur ou les erreurs de négociation.

Voici quelques-uns des problèmes les plus courants qui peuvent être rencontrés au cours des négociations IPsec :

Les paramètres du côté CPE ne correspondent pas au côté Instance dédiée, vérifiez à nouveau les paramètres :

  • Vérifiez que les paramètres de chiffrement et d’authentification correspondent aux paramètres du côté de l’instance dédiée.

  • Vérifiez les paramètres Perfect Forward Secrecy et que les paramètres correspondent sur le côté Instance dédiée.

  • Vérifiez les paramètres de durée de vie.

  • Vérifiez que l’IPsec a été configuré en mode tunnel.

  • Vérifiez les adresses IPsec source et de destination.

Dépannage et validation de l’interface du tunnel

Lorsque les sessions IPsec et IKEv2 sont vérifiées comme actives et actives, les paquets keepalive du tunnel GRE peuvent circuler entre les points de terminaison de l'instance dédiée et du tunnel CPE. Si l'interface du tunnel n'affiche pas son statut, certains problèmes courants sont :

  • Le VRF de transport de l’interface tunnel ne correspond pas au VRF de l’interface de rebouclage (si la configuration du VRF est utilisée sur l’interface tunnel).

    Si la configuration VRF n'est pas utilisée sur l'interface du tunnel, cette vérification peut être ignorée.

  • Les keepalives ne sont pas activées sur l'interface du tunnel côté CPE

    Si les keepalives ne sont pas pris en charge sur l'équipement CPE, alors Cisco doit être informé afin que les keepalives par défaut du côté Instance dédiée soient également désactivés.

    Si keepalives est pris en charge, vérifiez que les keepalives sont activés.

  • Le masque ou l’adresse IP de l’interface du tunnel n’est pas correct et ne correspond pas aux valeurs attendues de l’instance dédiée.

  • L’adresse de transport du tunnel source ou de destination n’est pas correcte et ne correspond pas aux valeurs attendues de l’instance dédiée.

  • Un pare-feu bloque les paquets GRE envoyés dans le tunnel IPsec ou reçus du tunnel IPsec (le tunnel GRE est transporté sur le tunnel IPsec)

Un test ping doit vérifier que l'interface du tunnel local est opérationnelle et que la connectivité est bonne par rapport à l'interface du tunnel distant. Effectuez la vérification du ping de l’IP du tunnel (et non de l’IP de transport) vers l’IP du tunnel distant.

La liste d’accès crypto pour le tunnel IPsec qui transporte le trafic du tunnel GRE ne permet que les paquets GRE de traverser. Par conséquent, les pings ne fonctionneront pas de l'IP de transport du tunnel à l'IP de transport du tunnel distant.

La vérification du ping aboutit à un paquet GRE qui est généré à partir de l'adresse IP de transport du tunnel source vers l'adresse IP de transport du tunnel de destination alors que la charge utile du paquet GRE (l'adresse IP intérieure) sera l'adresse IP du tunnel source et de destination.

Si le test ping n'est pas réussi et que les éléments précédents sont vérifiés, alors une capture de paquets peut être nécessaire pour s'assurer que le ping icmp aboutit à un paquet GRE qui est ensuite encapsulé dans un paquet IPsec puis envoyé de l'adresse IPsec source à l'adresse IPsec de destination. Les compteurs sur l'interface du tunnel GRE et les compteurs de session IPsec peuvent également aider à afficher si les paquets d'envoi et de réception augmentent.

En plus du trafic ping, la capture doit également afficher les paquets GRE conservés même pendant le trafic inactif. Enfin, si BGP est configuré, les paquets BGP keepalive doivent également être envoyés sous forme de paquets GRE encapsulés dans des paquets IPSEC ainsi que sur le VPN.

Dépannage et validation BGP

Sessions BGP

BGP est requis en tant que protocole de routage sur le tunnel VPN IPsec. Le voisin BGP local doit établir une session eBGP avec le voisin BGP de l'instance dédiée. Les adresses IP voisines de l'eBGP sont les mêmes que les adresses IP locales et distantes du tunnel. Vérifiez tout d’abord que la session BGP est active, puis vérifiez que les itinéraires corrects sont reçus de l’instance dédiée et que l’itinéraire par défaut correct est envoyé à l’instance dédiée.

Si le tunnel GRE est en marche, vérifiez qu'un ping est réussi entre l'IP du tunnel GRE local et distant. Si le ping est réussi mais que la session BGP n'arrive pas, alors recherchez dans le journal BGP les erreurs d'établissement BGP.

Voici quelques-unes des questions les plus courantes de négociation de BGP :

  • Le numéro d’AS distant ne correspond pas au numéro d’AS qui est configuré du côté de l’instance dédiée, revérifiez la configuration d’AS voisine.

  • Le numéro d’AS local ne correspond pas à ce que le côté Instance dédiée attend, vérifiez que le numéro d’AS local correspond aux paramètres d’Instance dédiée attendus.

  • Un pare-feu empêche les paquets TCP BGP encapsulés dans des paquets GRE d’être envoyés dans le tunnel IPsec ou reçus à partir du tunnel IPSEC

  • L'IP voisine BGP distante ne correspond pas à l'IP distante du tunnel GRE.

Échange de route BGP

Une fois la session BGP vérifiée pour les deux tunnels, assurez-vous que les itinéraires corrects sont envoyés et reçus du côté de l’instance dédiée.

La solution VPN Instance dédiée prévoit la mise en place de deux tunnels côté client/partenaire. Le premier tunnel pointe vers le centre de données d’instance dédiée A et le second tunnel pointe vers le centre de données d’instance dédiée B. Les deux tunnels doivent être à l’état actif et la solution nécessite un déploiement actif/actif. Chaque centre de données d’instance dédiée publiera son routage local /25 ainsi qu’un routage de sauvegarde /24. Lors de la vérification des routes BGP entrantes de l’instance dédiée, assurez-vous que la session BGP associée au tunnel pointant vers le centre de données de l’instance dédiée A reçoit la route locale de l’instance dédiée A /25 ainsi que la route de sauvegarde /24. De plus, assurez-vous que le tunnel pointant vers le centre de données d’instance dédiée B reçoit la route locale du centre de données d’instance dédiée B /25 ainsi que la route de secours /24. Notez que la route de sauvegarde /24 sera la même route annoncée à partir du centre de données d'instance dédiée A et du centre de données d'instance dédiée B.

La redondance est fournie à un centre de données d'instance dédiée si l'interface du tunnel avec ce centre de données tombe en panne. Si la connectivité au centre de données d'instance dédiée A est perdue, le trafic sera transféré du centre de données d'instance dédiée B au centre de données A. Dans ce scénario, le tunnel vers le centre de données B utilisera la route du centre de données B /25 pour envoyer le trafic vers le centre de données B et le tunnel vers le centre de données B utilisera la route de secours /24 pour envoyer le trafic vers le centre de données A via le centre de données B.

Il est important que, lorsque les deux tunnels sont actifs, le tunnel du centre de données A ne soit pas utilisé pour envoyer du trafic vers le centre de données B et vice versa. Dans ce scénario, si le trafic est envoyé vers le centre de données A avec une destination de centre de données B, le centre de données A transmettra le trafic vers le centre de données B, puis le centre de données B tentera de renvoyer le trafic vers la source via le tunnel du centre de données B. Cela entraînera un routage sous-optimal et peut également briser le trafic traversant les pare-feux. Par conséquent, il est important que les deux tunnels soient dans une configuration active/active en fonctionnement normal.

La route 0.0.0.0/0 doit être publiée du côté client vers le côté datacenter d'instance dédiée. Les routes plus spécifiques ne seront pas acceptées par le côté Instance dédiée. Assurez-vous que la route 0.0.0.0/0 est annoncée à la fois à partir du tunnel du centre de données d'instance dédiée A et du tunnel du centre de données d'instance dédiée B.

Configuration MTU

Côté instance dédiée, deux fonctionnalités sont activées pour ajuster dynamiquement MTU pour les grandes tailles de paquets. Le tunnel GRE ajoute plus d'en-têtes aux paquets IP circulant dans la session VPN. Le tunnel IPsec ajoute les en-têtes supplémentaires au-dessus des en-têtes GRE réduira davantage la plus grande MTU autorisée sur le tunnel.

Le tunnel GRE ajuste la fonctionnalité MSS et le chemin du tunnel GRE dans la fonctionnalité de découverte MTU est activé du côté Instance dédiée. Configurez « ip tcp adjust-mss 1350 » ou la commande équivalente ainsi que « tunnel path\u0002mtu-discovery » ou la commande équivalente côté client pour faciliter le réglage dynamique du MTU du trafic à travers le tunnel VPN.