Uvod

Virtualno povezivanje dodatna je opcija za povezivanje u oblaku s namjenskom instancom za Webex Calling (namjenska instanca). Virtual Connect omogućuje korisnicima da sigurno prošire svoju privatnu mrežu putem interneta koristeći IP VPN tunele od točke do točke. Ova opcija povezivanja omogućuje brzo uspostavljanje veze s privatnom mrežom korištenjem postojeće korisničke opreme (CPE) i internetske veze.

Cisco hostira, upravlja i osigurava redundantne IP VPN tunele i potreban pristup internetu u regijama podatkovnog centra Cisco Dedicated Instance gdje je usluga potrebna. Slično, administrator je odgovoran za njihove odgovarajuće CPE i internetske usluge koje su potrebne za uspostavljanje Virtual Connecta.

Svaka narudžba Virtual Connect u određenoj regiji Dedicated Instance uključivala bi dva tunela generičke enkapsulacije usmjeravanja (GRE) zaštićena IPSec enkripcijom (GRE preko IPSec), po jedan za svaki Ciscov podatkovni centar u odabranoj regiji.

Virtual Connect ima ograničenje propusnosti od 250 Mbps po tunelu i preporučuje se za manje implementacije. Budući da se koriste dva VPN tunela od točke do točke, sav promet u oblaku mora proći kroz CPE glavnog računala korisnika, pa stoga možda neće biti prikladan tamo gdje ima puno udaljenih mjesta. Za druge alternativne opcije peeringa, pogledajte Povezivost u oblaku .

Prije nego što pošaljete peering zahtjev za Virtual Connect, provjerite je li usluga Namjenske instance aktivirana u toj odgovarajućoj regiji.

Preduvjeti

Preduvjeti za uspostavljanje Virtual Connect uključuju:

  • Kupac pruža

    • Internetska veza s dovoljno dostupne propusnosti za podršku implementacije

    • Javna IP adresa(e) za dva IPSec tunela

    • GRE transportne IP adrese na strani korisnika za dva GRE tunela

  • Partner i kupac

    • Radite zajedno kako biste procijenili zahtjeve za propusnost

    • Osigurajte da mrežni uređaj(i) podržavaju usmjeravanje Border Gateway Protocola (BGP) i dizajn tunela GRE preko IPSec

  • Partner ili kupac osigurava

    • Mrežni tim sa znanjem o tehnologijama VPN tunela od lokacije do mjesta

    • Mrežni tim sa poznavanjem BGP-a, eBGP-a i općih principa usmjeravanja

  • Cisco

    • Cisco je dodijelio privatne brojeve autonomnog sustava (ASN) i prolazno IP adresiranje za GRE tunelska sučelja

    • Cisco je dodijelila javnu, ali ne i internetsku mrežu klase C (/24) koja se može usmjeriti za namjensko adresiranje u oblaku

Ako korisnik ima samo 1 CPE uređaj, tada će 2 tunela prema Ciscovim podatkovnim centrima (DC1 i DC2) u svakoj regiji biti s tog CPE uređaja. Kupac također ima opciju za 2 CPE uređaja, tada bi se svaki CPE uređaj trebao spojiti na 1 tunel samo prema Ciscovim podatkovnim centrima (DC1 i DC2) u svakoj regiji. Dodatna redundantnost može se postići završavanjem svakog tunela na zasebnom fizičkom mjestu/lokaciji unutar infrastrukture Kupca.

Tehničke pojedinosti

Model implementacije

Virtual Connect koristi dvoslojnu arhitekturu glavnog uređaja, gdje je usmjeravanje i GRE upravljačke ravnine osigurava jedan uređaj, a IPSec kontrolnu ravninu osigurava drugi.

Po završetku Virtualno povezivanje povezivost, dva GRE preko IPSec tunela će se stvoriti između korisničke poslovne mreže i namjenskih Ciscovih podatkovnih centara. Jedan za svaki redundantni podatkovni centar unutar odgovarajuće Regije. Dodatne mrežne elemente potrebne za peering partner ili korisnik razmjenjuje s Cisco putem obrasca za aktivaciju Control Hub Virtual Connect.

Slika 1 prikazuje primjer model implementacije Virtual Connect za opciju 2-koncentratora na strani korisnika.

Virtual Connect – VPN je dizajn čvorišta, gdje su web-mjesta kupca povezana s DC1 i DC2 podatkovnih centara namjenske instance unutar određene regije.

Za bolju redundantnost preporučuju se dvije Hub stranice, ali jedno mjesto Hub s dva tunela također je podržan model implementacije.

Širina pojasa po tunelu ograničena je na 250 Mbps.

Klijentove udaljene stranice unutar iste regije trebale bi se spojiti natrag na web-mjesta čvorišta preko korisnikovog WAN-a i nije odgovornost Cisca za tu povezanost.

Od partnera se očekuje da blisko surađuju s Kupcima, osiguravajući odabir najoptimalnijeg puta za regiju usluge 'Virtual Connect'.

Slika 2 prikazuje Peering regije namjenske instance za povezivanje u oblaku.

Usmjeravanje

dodatak za usmjeravanje za Virtual Connect implementiran je pomoću vanjskog BGP-a (eBGP) između namjenske instance i korisničke premise opreme (CPE). Cisco će oglašavati svoju odgovarajuću mrežu za svaki redundantni DC unutar regije do CPE-a Kupca, a CPE je dužan oglašavati zadanu rutu do Cisco.

  • Cisco održava i dodjeljuje

    • IP adresiranje tunelskog sučelja (prilazna veza za usmjeravanje) Cisco dodjeljuje iz određenog Zajedničkog adresnog prostora (koji nije javno usmjeravan)

    • Adresa odredišta za transport kroz tunel (Ciscova strana)

    • Brojevi privatnog autonomnog sustava (ASN-ovi) za konfiguraciju BGP usmjeravanja korisnika

      • Cisco dodjeljuje iz označenog raspona za privatnu upotrebu: 64512 do 65534

  • eBGP se koristi za razmjenu ruta između namjenske instance i CPE-a

    • Cisco će podijeliti dodijeljenu /24 mrežu na 2/25 jednu za svaki DC u odgovarajućoj regiji

    • U Virtual Connect svaku /25 mrežu Cisco oglašava natrag u CPE preko odgovarajućih VPN tunela od točke do točke (prolazna veza)

    • CPE mora biti konfiguriran s odgovarajućim eBGP susjedima. Ako se koristi jedan CPE, koristit će se dva eBGP susjeda, jedan koji pokazuje na svaki udaljeni tunel. Ako koristite dva CPE, tada će svaki CPE imati jednog eBGP susjeda koji usmjerava na jedan udaljeni tunel za CPE.

    • Cisco strana svakog GRE tunela ( IP sučelja tunela) konfigurirana je kao BGP susjed na CPE-u

    • CPE je potreban za oglašavanje zadane rute preko svakog od tunela

    • CPE je odgovoran za redistribuciju, prema potrebi, naučenih ruta unutar mreže poduzeća korisnika.

  • Pod uvjetom kvara veze bez kvara, jedan CPE će imati dva aktivna/aktivna tunela. Za dva CPE čvora, svaki CPE imat će jedan aktivni tunel i oba CPE čvora trebaju biti aktivna i prolazni promet. Prema scenariju bez kvara, promet se mora podijeliti u dva tunela koji idu do ispravnih /25 odredišta, ako se jedan od tunela sruši, preostali tunel može prenijeti promet za oba. U takvom scenariju kvara, kada mreža /25 ne radi, tada se /24 mreža koristi kao rezervna ruta. Cisco će slati promet korisnika putem svog internog WAN-a prema DC-u koji je izgubio vezu.

Proces povezivanja

Sljedeći koraci visoke razine opisuju kako uspostaviti povezanost s virtualnim Connect for Dedicated Instance.

1

Naručite u Cisco CCW
2

Aktivirajte Virtual Connect iz Control Huba
3

Cisco obavlja mrežnu konfiguraciju
4

Kupac obavlja mrežnu konfiguraciju

Korak 1: Naredba CCW

Virtual Connect je dodatak za Dedicated Instance u CCW.

1

Idite na web-mjesto za naručivanje CCW, a zatim kliknite Prijava za prijavu na stranicu:

https://apps.cisco.com/Commerce/guest.
2

Napravite procjenu.
3

Dodajte "A-FLEX-3" SKU.
4

Odaberite opcije Uredi.
5

Na kartici pretplate koja se pojavi odaberite Opcije i dodaci.
6

U odjeljku Dodatni dodaci potvrdni okvir pored "Virtual Connect for Dedicated Instance". Naziv SKU-a je "A-FLEX-DI-VC".
7

Unesite količinu i broj regija u kojima je potrebno Virtual Connect.


 
Količina Virtual Connect ne smije premašiti ukupan broj regija kupljenih za Namjensku instancu. Također, dopuštena je samo jedna narudžba Virtual Connect po regiji.
8

Kada ste zadovoljni svojim odabirom, kliknite Potvrdi i Spremi u gornjem desnom dijelu stranice.
9

Kliknite Spremi i Nastavi da finalizirate svoju narudžbu. Vaša finalizirana narudžba sada se prikazuje u mreži narudžbi.

Korak 2: Aktivacija Virtual Connect u Control Hubu

1

Prijavite se na Control Hubhttps://admin.webex.com/login .
2

U Usluge odjeljak, idite na Pozivanje > Namjenska instanca > Povezivanje s oblakom .
3

Na kartici Virtual Connect navedena je kupljena količina Virtual Connect. Administrator sada može kliknuti na Aktiviraj za pokretanje aktivacije Virtual Connect.


 
Proces aktivacije mogu pokrenuti samo administratori s ulogom "Customer Full admin". Dok administrator s ulogom "Administrator samo za čitanje" može vidjeti samo status.
4

Klikom na Aktiviraj gumb, Aktivirajte Virtual Connect prikazuje se obrazac kako bi administrator pružio tehničke pojedinosti o Virtual Connectu potrebne za peering konfiguracije na Ciscovoj strani.


 
Obrazac također pruža statičke informacije na Ciscovoj strani, na temelju odabrane regije. Ove informacije će biti korisne administratorima korisnika da konfiguriraju CPE na svojoj strani kako bi uspostavili povezanost.

  1. IP adresa za prijenos tunela GRE : Od korisnika se zahtijeva da dostavi IP adrese za tunelski transport na strani korisnika, a Cisco će dinamički dodijeliti IP adrese nakon dovršetka aktivacije. IPSec ACL za zanimljiv promet trebao bi omogućiti lokalni tunelski transport IP/32 do udaljenog tunelskog transporta IP/32. ACL bi također trebao specificirati samo GRE IP protokol.


     
    IP adresa koju daje korisnik može biti privatna ili javna.

  2. IPSec vršnjaci : Kupac je dužan dati izvorne IP adrese IPSec tunela, a Cisco dodjeljuje IPSec IP adresa odredišta. Izvođenje NAT prijevoda interne IPSEC adrese tunela na javnu adresu također je podržano ako je potrebno.


     

    IP adresa koju daje korisnik treba biti javna.

     
    Sve ostale statičke informacije koje se nalaze na zaslonu za aktivaciju su Ciscovi standardi sigurnosti i šifriranja koji se slijede. Ova statička konfiguracija nije prilagodljiva niti izmjenjiva. Za bilo kakvu daljnju pomoć u vezi sa statičkim konfiguracijama na Ciscovoj strani, korisnik bi se trebao obratiti TAC-u.
5

Kliknite na Aktiviraj gumb nakon što se popune sva obavezna polja.
6

Nakon što je obrazac za aktivaciju virtualnog povezivanja dovršen za određenu regiju, korisnik može izvesti obrazac za aktivaciju iz Control Huba, Calling > Dedicated Instance > Cloud Connectivity i kliknuti na Izvezi postavke.


 
Iz sigurnosnih razloga autentifikacija i BGP lozinka neće biti dostupne u izvezenom dokumentu, ali administrator ih može vidjeti u Control Hubu klikom na Prikaži postavke pod Control Hub, Calling > Dedicated Instance > Cloud Connectivity kartica.

Korak 3: Cisco obavlja mrežnu konfiguraciju

1

Nakon što je obrazac za aktivaciju virtualnog povezivanja dovršen, status će se ažurirati na Aktivacija u tijeku u Pozivanje > Namjenska instanca > Virtual Connect Connectivity kartica.
2

Cisco će dovršiti potrebne konfiguracije na Ciscovoj bočnoj opremi unutar 5 radnih dana . Po uspješnom završetku, status će se ažurirati na "Aktivirano" za tu određenu regiju u Control Hubu.

Korak 4: Kupac obavlja mrežnu konfiguraciju

Status se mijenja u "Aktivirano" kako bi se obavijestio administrator korisnika da je Ciscova strana konfiguracija za IP VPN povezivanje dovršena na temelju unosa koje je dao Kupac. No, očekuje se da će administrator korisnika dovršiti svoju stranu konfiguracija na CPE-ovima i testirati rute povezivanja kako bi tunel Virtual Connect bio Online. U slučaju bilo kakvih problema s kojima se susreće tijekom konfiguracije ili povezivanja, korisnik se može obratiti Cisco TAC -u za pomoć.

Rješavanje problema

IPsec prva faza (IKEv2 pregovaranje) Rješavanje problema i provjera valjanosti

Pregovaranje o IPsec tunelu uključuje dvije faze, IKEv2 fazu i IPsec fazu. Ako se pregovaranje faze IKEv2 ne završi, tada nema pokretanja druge IPsec faze. Najprije izdajte naredbu "show crypto ikev2 sa" (na Cisco opremi) ili sličnu naredbu na opremi treće strane kako biste provjerili je li IKEv2 sesija aktivna. Ako IKEv2 sesija nije aktivna, mogući razlozi mogu biti:

  • Zanimljiv promet ne pokreće IPsec tunel.

  • Popis popis za pristup IPsec tunelu je pogrešno konfiguriran.

  • Ne postoji povezanost između korisnika i IPsec krajnje točke tunela namjenske IP.

  • Parametri IKEv2 sesije se ne podudaraju između strane namjenske instance i strane korisnika.

  • Vatrozid blokira IKEv2 UDP pakete.

Najprije provjerite u IPsec zapisnicima bilo kakve poruke koje pokazuju napredak pregovaranja IKEv2 tunela. Dnevnici mogu naznačiti gdje postoji problem s IKEv2 pregovorima. Nedostatak prijavnih poruka također može ukazivati na to da se IKEv2 sesija nije aktivirana.

Neke uobičajene pogreške s IKEv2 pregovaranjem su:

  • Postavke za IKEv2 na CPE strani ne odgovaraju Cisco strani, ponovno provjerite navedene postavke:

    • Provjerite je li verzija IKE verzija 2.

    • Provjerite odgovaraju li parametri šifriranja i provjere autentičnosti očekivanoj enkripciji na strani namjenske instance.

      Kada je šifra "GCM" u upotrebi, GCM protokol obrađuje autentifikaciju i postavlja parametar provjere autentičnosti na NULL.

    • Provjerite postavku vijeka trajanja.

    • Potvrdite Diffie Hellmanov modul modula.

    • Provjerite postavke pseudo slučajne funkcije.

  • Popis popis za pristup za kripto kartu nije postavljen na:

    • Dozvola GRE (local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip ) 255.255.255.255" (ili ekvivalentna naredba)

      Popis popis za pristup mora biti posebno za "GRE" protokol i "IP" protokol neće raditi.

Ako poruke dnevnika ne pokazuju nikakvu aktivnost pregovaranja za fazu IKEv2, tada će možda biti potrebno hvatanje paketa.

Strana namjenske instance možda neće uvijek započeti IKEv2 razmjenu i ponekad može očekivati da strana CPE korisnika bude inicijator.

Provjerite konfiguraciju CPE strane za sljedeće preduvjete za pokretanje IKEv2 sesije:

  • Provjerite ima li IPsec popis za pristup za GRE promet (protokol 50) od IP -a za prijenos CPE tunela do IP -a za prijenos tunela namjenske instance.

  • Osigurajte da je sučelje GRE tunela omogućeno za GRE održavanje aktivacije, ako oprema ne podržava GRE održavanje aktivnosti, onda će Cisco biti obaviješten jer će GRE održavanje aktivnosti biti omogućeno na strani Namjenske instance prema zadanim postavkama.

  • Provjerite je li BGP omogućen i konfiguriran sa susjednom adresom IP-a tunela namjenske instance.

Kada se ispravno konfigurira, sljedeće započinje IPsec tunel i IKEv2 pregovaranje prve faze:

  • GRE održava aktivaciju od sučelja GRE tunela na strani CPE do sučelja GRE tunela na strani Namjenske instance.

  • BGP susjed TCP sesija od CPE strane BGP susjeda do BGP susjeda na strani Namjenske instance.

  • Ping s IP adrese tunela sa strane CPE na IP adresa IP adresa tunela sa strane namjenske instance.

    Ping ne može biti IP za prijenos u tunel za prijenos IP , to mora biti IP od IP do tunela.

Ako je praćenje paketa potrebno za IKEv2 promet, postavite filtar za UDP i bilo port 500 (kada nijedan NAT uređaj nije u sredini krajnjih točaka IPsec) ili port 4500 (kada je NAT uređaj umetnut u sredinu IPsec-a krajnje točke).

Provjerite da li se IKEv2 UDP paketi s portom 500 ili 4500 šalju i primaju na i s DI IPsec IP adresa.

Datacenter namjenske instance možda neće uvijek započeti prvi IKEv2 paket. Zahtjev je da CPE uređaj može pokrenuti prvi IKEv2 paket prema strani namjenske instance.

Ako lokalni vatrozid to dopušta, pokušajte i ping na udaljenu IPsec adresu. Ako ping nije uspješan s lokalne na udaljenu IPsec adresu, izvršite rutu praćenja kako biste pomogli i odredite gdje je paket ispušten.

Neki vatrozidovi i internetska oprema možda neće dopustiti praćenje rute.

IPsec druga faza (IPsec pregovaranje) Rješavanje problema i provjera valjanosti

Provjerite je li prva faza IPseca (tj. IKEv2 sigurnosna asocijacija) aktivna prije rješavanja problema druge faze IPseca. Izvedite "show crypto ikev2 sa" ili ekvivalentnu naredbu za provjeru IKEv2 sesije. U izlazu provjerite je li sesija IKEv2 pokrenuta više od nekoliko sekundi i da se ne odskače. Vrijeme rada sesije prikazuje se kao "Aktivno vrijeme" sesije ili ekvivalentno u izlazu.

Nakon što se IKEv2 sesija potvrdi da je pokrenuta i aktivna, istražite IPsec sesiju. Kao i kod IKEv2 sesije, izvedite "show crypto ipsec sa" ili ekvivalentnu naredbu za provjeru IPsec sesije. I IKEv2 sesija i IPsec sesija moraju biti aktivne prije nego se uspostavi GRE tunel. Ako se IPsec sesija ne prikaže kao aktivna, provjerite ima li u IPsec zapisnicima poruka o pogreškama ili pogreške u pregovaranju.

Neki od češćih problema koji se mogu susresti tijekom IPsec pregovora su:

Postavke na strani CPE ne odgovaraju strani Namjenske instance, ponovno provjerite postavke:

  • Provjerite odgovaraju li parametri šifriranja i provjere autentičnosti postavkama na strani Namjenske instance.

  • Provjerite postavke savršene prosljeđene tajnosti i podudaranje postavki na strani Namjenske instance.

  • Provjerite postavke životnog vijeka.

  • Provjerite je li IPsec konfiguriran u tunelskom načinu rada.

  • Provjerite izvornu i odredišnu IPsec adresu.

Rješavanje problema i provjera valjanosti sučelja tunela

Kada se provjere da su sesije IPsec i IKEv2 aktivne i aktivne, paketi GRE tunela koji održavaju aktivnost mogu teći između Namjenske instance i krajnjih točaka CPE tunela. Ako sučelje tunela ne prikazuje status, neki uobičajeni problemi su:

  • Prijenosni VRF sučelja tunela ne odgovara VRF sučelju povratne petlje (ako se VRF konfiguracija koristi na sučelju tunela).

    Ako se VRF konfiguracija ne koristi na sučelju tunela, ova se provjera može zanemariti.

  • Keepalives nisu omogućeni na sučelju CPE bočnog tunela

    Ako CPE oprema nije podržana za održavanje, Cisco mora biti obaviješten kako bi se onemogućili i zadani održavanja na strani namjenske instance.

    Ako su podržani održavanje aktivacije, provjerite jesu li omogućeno održavanje.

  • Maska ili IP adresa sučelja tunela nije točna i ne odgovara očekivanim vrijednostima Namjenske instance.

  • Izvorna ili odredišna transportna adresa tunela nije točna i ne odgovara očekivanim vrijednostima Namjenske instance.

  • Vatrozid blokira slanje GRE paketa u IPsec tunel ili primanje iz IPsec tunela (GRE tunel se prenosi preko IPsec tunela)

Test pinga trebao bi potvrditi da je lokalno sučelje tunela pokrenuto i da je povezanost s udaljenim sučeljem tunela dobra. Izvršite provjeru pinga od IP -a tunela (ne transportnog IP-a) do IP-a udaljenog tunela.

Popis kripto popis za pristup za IPsec tunel koji prenosi promet GRE tunela dopušta samo GRE pakete da prelaze. Kao rezultat toga, pingovi neće raditi s IP -a za prijenos tunela do IP -a za udaljeni tunel za prijenos.

Provjera pinga rezultira GRE paketom koji se generira od izvornog IP - a za prijenos odredišnog tunela, dok će korisni teret GRE paketa (unutarnji IP) biti IP izvornog i odredišnog tunela.

Ako ping test nije uspješan i prethodne stavke su provjerene, tada će možda biti potrebno hvatanje paketa kako bi se osiguralo da icmp ping rezultira GRE paketom koji se zatim inkapsulira u IPsec paket i zatim šalje s izvorne IPsec adrese na odredišnu IPsec adresu. Brojači na sučelju GRE tunela i brojači IPsec sesija također mogu pomoći u prikazivanju. ako se paketi za slanje i primanje povećavaju.

Osim ping prometa, hvatanje bi također trebalo pokazati aktivne GRE pakete čak i tijekom prometa u stanju mirovanja. Konačno, ako je BGP konfiguriran, BGP keepalive paketi također bi se trebali slati kao GRE paketi inkapsulirani u IPSEC pakete, kao i preko VPN-a.

BGP Rješavanje problema i provjera valjanosti

BGP sesije

BGP je potreban kao protokol usmjeravanja preko VPN IPsec tunela. Lokalni BGP susjed trebao bi uspostaviti eBGP sesiju s BGP susjedom Namjenske instance. IP adrese susjeda eBGP-a iste su kao i lokalne i udaljene IP adrese tunela. Prvo provjerite je li BGP sesija pokrenuta, a zatim provjerite primaju li se ispravne rute od Namjenske instance i da se ispravna zadana ruta šalje Namjenskoj instanci.

Ako je GRE tunel otvoren, provjerite je li ping uspješan između lokalnog i udaljenog IP-a GRE tunela. Ako je ping uspješan, ali BGP sesija ne dolazi, istražite u BGP zapisniku greške uspostave BGP-a.

Neki od češćih problema pregovaranja o BGP-u su:

  • Udaljeni AS broj ne odgovara AS broju koji je konfiguriran na strani Namjenske instance, ponovno provjerite konfiguraciju susjednog AS-a.

  • Lokalni AS broj ne odgovara onome što strana Namjenske instance očekuje, provjerite odgovara li lokalni AS broj očekivanim parametrima Namjenske instance.

  • Vatrozid blokira BGP TCP pakete inkapsulirane u GRE paketima od slanja u IPsec tunel ili primanja iz IPSEC tunela

  • IP IP GRE tunelu.

BGP razmjena ruta

Nakon što je BGP sesija provjerena za oba tunela, osigurajte da se ispravne rute šalju i primaju sa strane namjenske instance.

Rješenje Dedicated Instance VPN očekuje uspostavljanje dva tunela sa strane korisnika/partnera. Prvi tunel upućuje na podatkovni centar Namjenske instance A, a drugi tunel na podatkovni centar Namjenske instance B. Oba tunela moraju biti u aktivnom stanju, a rješenje zahtijeva aktivnu/aktivnu implementaciju. Svaki Datacenter Dedicated Instance će oglašavati svoju lokalnu /25 rutu kao i /24 sigurnosnu rutu. Kada provjeravate dolazne BGP rute iz Namjenske instance, osigurajte da BGP sesija povezana s tunelom koji pokazuje na podatkovni centar Namjenske instance A prima lokalno usmjeravanje Namjenske instance podatkovnog centra A /25 kao i /24 sigurnosnu rutu. Osim toga, osigurajte da tunel koji pokazuje na podatkovni centar Namjenske instance B prima lokalno usmjeravanje Namjenske instance podatkovnog centra B /25 kao i /24 sigurnosnu rutu. Imajte na umu da će /24 sigurnosna ruta biti ista ruta oglašena iz podatkovnog centra Namjenske instance A i podatkovnog centra Namjenske instance B.

Redundantnost se osigurava podatkovnom centru namjenske instance ako se sučelje tunela prema tom podatkovnom centru pokvari. Ako se izgubi veza s podatkovnim centrom Namjenske instance A, tada će se promet proslijediti iz podatkovnog centra Namjenske instance B u podatkovni centar A. U ovom scenariju, tunel do podatkovnog centra B koristit će rutu podatkovnog centra B /25 za slanje prometa u podatkovni centar B i tunel do podatkovnog centra B koristit će sigurnosnu rutu /24 za slanje prometa u podatkovni centar A preko podatkovnog centra B.

Važno je da se, kada su oba tunela aktivna, tunel podatkovnog centra A ne koristi za slanje prometa u podatkovni centar B i obrnuto. U ovom scenariju, ako se promet šalje u podatkovni centar A s odredištem podatkovnog centra B, podatkovni centar A će proslijediti promet u podatkovni centar B, a zatim će podatkovni centar B pokušati poslati promet natrag do izvora putem tunela podatkovnog centra B. To će rezultirati neoptimalnim usmjeravanjem i također može slomiti vatrozide koji prolaze prometom. Stoga je važno da oba tunela budu u aktivnoj/aktivnoj konfiguraciji tijekom normalnog rada.

Ruta 0.0.0.0/0 mora se oglašavati sa strane korisnika na strani podatkovnog centra Namjenske instance. Specifičnije rute neće biti prihvaćene od strane Namjenske instance. Osigurajte da je ruta 0.0.0.0/0 oglašena iz oba tunela podatkovnog centra Namjenske instance A tunela i tunela Namjenske instance podatkovnog centra B.

MTU konfiguracija

Na strani namjenske instance omogućene su dvije značajke za dinamičko podešavanje MTU-a za velike veličine paketa. GRE tunel dodaje više zaglavlja IP paketima koji teku kroz VPN sesiju. IPsec tunel dodaje dodatna zaglavlja na vrh GRE zaglavlja što će dodatno smanjiti najveći dopušteni MTU preko tunela.

GRE tunel prilagođava MSS značajku, a put GRE tunela u značajci otkrivanja MTU je omogućen na strani Namjenske instance. Konfigurirajte "ip tcp adjust-mss 1350" ili ekvivalentnu naredbu, kao i "tunnel path\u0002mtu-discovery" ili ekvivalentnu naredbu na strani korisnika kako biste pomogli u dinamičkom prilagođavanju MTU prometa kroz VPN tunel.