Uvod

Virtualno povezivanje dodatna je dodatna opcija dodatka za povezivanje u oblaku s namjenskom instancom za webex pozive (namjenska instanca). Virtual Connect omogućuje korisnicima da sigurno prošire svoju privatnu mrežu putem interneta pomoću IP VPN tunela od točke do točke. Ova opcija povezivanja omogućuje brzu uspostavu veze privatne mreže korištenjem postojeće opreme za korisničku premisu (CPE) i internetske veze.

Cisco hostira, upravlja i osigurava suvišne IP VPN tunele i potreban pristup internetu u cisco-ovim regijama podatkovnih centara namjenskih instanci u kojima je usluga potrebna. Slično tome, Administrator je odgovoran za njihove odgovarajuće CPE i internetske usluge koje su potrebne za uspostavljanje Virtual Connecta.

Svaka narudžba virtualnog povezivanja u određenoj regiji namjenske instance uključivala bi dva generička tunela enkapsulacije usmjeravanja (GRE) zaštićena IPSec enkripcijom (GRE preko IPSec-a), po jedan na svaki Ciscov podatkovni centar u odabranoj regiji.

Virtual Connect ima ograničenje propusnosti od 250 Mbps po tunelu i preporučuje se za manje implementacije. Budući da se koriste dva VPN tunela od točke do točke, sav promet do oblaka mora proći kroz CPE voditelja kupca, pa stoga možda nije prikladan tamo gdje ima puno udaljenih web lokacija. Za ostale alternativne mogućnosti ravnopravnih članova pogledajte povezivost u oblaku.

Prije nego što pošaljete zahtjev za povezivanje za Virtualno povezivanje, provjerite je li usluga namjenske instance aktivirana u toj regiji.

Preduvjeti

Preduvjeti za uspostavljanje Virtualnog povezivanja uključuju:

  • Kupac pruža

    • Internetska veza s dovoljno dostupne propusnosti za podršku implementaciji

    • Javne IP adrese za dva IPSec tunela

    • GRE transportne IP adrese na strani kupca za dva GRE tunela

  • Partner i kupac

    • Surađujte zajedno kako biste procijenili zahtjeve za propusnost

    • Osigurajte da mrežni uređaji podržavaju usmjeravanje protokola Border Gateway Protocol (BGP) i GRE preko dizajna tunela IPSec

  • Partner ili kupac pruža

    • Mrežni tim sa znanjem o tehnologijama VPN tunela od mjesta do mjesta

    • Mrežni tim sa znanjem O BGP-u, eBGP-u i općim principima usmjeravanja

  • Cisco

    • Cisco je dodijelio privatne autonoumne brojeve sustava (ASN-ove) i prolazno IP adresiranje za sučelja GRE tunela

    • Cisco je dodijelio javnu, ali ne i internetsku routable mrežu klase C (/24) za adresiranje namjenskog slučaja u oblaku

Ako kupac ima samo 1 CPE uređaj, tada će 2 tunela prema Ciscoovim podatkovnim centrima (DC1 i DC2) u svakoj regiji biti iz tog CPE uređaja. Kupac također ima opciju za 2 CPE uređaja, a zatim bi se svaki CPE uređaj trebao povezati s 1 tunelom samo prema Ciscoovim podatkovnim centrima (DC1 i DC2) u svakoj regiji. Dodatna redundancija može se postići prekidom svakog tunela na zasebnom fizičkom mjestu/ lokaciji unutar infrastrukture kupca.

Tehničke pojedinosti

Model implementacije

Virtual Connect koristi dvoslojnu headend arhitekturu, gdje upravljačke ravnine usmjeravanja i GRE-a pruža jedan uređaj, a IPSec upravljačku ravninu pruža drugi.

Po završetku povezivanja Virtual Connect stvorit će se dva GRE preko IPSec tunela između poslovne mreže kupca i cisco podatkovnih centara Namjenske instance. Po jedan za svaki suvišni podatkovni centar unutar odgovarajuće regije. Dodatne mrežne elemente potrebne za peering partner ili kupac razmjenjuju ciscu putem obrasca za aktivaciju Control Hub Virtual Connect.

Na slici 1 prikazan je primjer modela implementacije Virtual Connect za opciju 2-koncentratora na strani kupca.

Virtual Connect - VPN je hub dizajn, gdje su web stranice Customer's Hub povezane s DC1 i DC2 podatkovnih centara Namjenske instance unutar određene regije.

Za bolju redundanciju preporučuju se dva hub-mjesta, ali web-lokacija One Hub s dva tunela također je podržani model implementacije.

Propusnost po tunelu ograničena je na 250 Mbps.

Udaljena web-mjesta korisnika unutar iste regije trebala bi se povezati s web-mjestima čvorišta preko korisnikovog WAN-a i to nije odgovornost Cisca za tu povezivost.

Od partnera se očekuje bliska suradnja s kupcima, osiguravajući odabir najoptimalnijeg puta za regiju usluge 'Virtual Connect'.

Na slici 2. prikazane su regije ravnopravnih članova povezivanja u oblaku namjenskih instanci.

Usmjeravanje

Usmjeravanje za dodatak Virtual Connect implementirano je pomoću vanjskog BGP-a (eBGP) između namjenske instance i opreme za pretpostavku kupca (CPE). Cisco će oglašavati svoju mrežu za svaki suvišni DC unutar regije CPE-u kupca, a CPE je dužan oglašavati zadanu rutu do Cisca.

  • Cisco održava i dodjeljuje

    • IP adresiranje sučelja tunela (prijelazna veza za usmjeravanje) koje Cisco dodjeljuje iz određenog zajedničkog adresnog prostora (ne-javno routable)

    • Adresa za desitinaciju tunelskog prijevoza (Ciscova strana)

    • Privatni autonomni sistemski brojevi (ASN-ovi) za konfiguraciju BGP usmjeravanja kupca

      • Cisco dodjeljuje iz određenog raspona privatne uporabe: 64512 do 65534

  • eBGP koji se koristi za razmjenu ruta između namjenske instance i CPE-a

    • Cisco će podijeliti dodijeljenu mrežu /24 na 2 /25 po jednu za svaki DC u odgovarajućoj regiji

    • U Virtual Connectu svaku /25 mrežu Cisco oglašava natrag CPE-u preko odgovarajućih VPN tunela od točke do točke (prijelazna veza)

    • CPE mora biti konfiguriran s odgovarajućim eBGP susjedima. Ako koristite jedan CPE, koristit će se dva eBGP susjeda, od kojih jedan pokazuje na svaki udaljeni tunel. Ako koristite dva CPE-a, tada će svaki CPE imati jednog eBGP susjeda koji se približava jednom udaljenom tunelu za CPE.

    • Cisco strana svakog GRE tunela (IP sučelja tunela) konfigurirana je kao BGP susjed na CPE-u

    • CPE je dužan oglašavati zadanu rutu preko svakog od tunela

    • CPE je odgovoran za preraspodjelu, prema potrebi, naučenih ruta unutar mreže poduzeća cutomera.

  • Pod uvjetom kvara veze koja nije uspjela, jedan CPE imat će dva aktivna / aktivna tunela. Za dva CPE čvora svaki CPE će imati jedan aktivni tunel, a oba CPE čvora trebaju biti aktivna i prolazna prometa. Prema scenariju koji nije promašen, promet se mora podijeliti u dva tunela koji idu na ispravna odredišta /25, ako se jedan od tunela sruši, preostali tunel može promet prenositi za oba. Prema takvom scenariju neuspjeha, kada je mreža /25 ugašena, tada se mreža /24 koristi kao sigurnosna kopija. Cisco će poslati promet kupaca putem svog internog WAN-a prema DC-u koji je izgubio povezanost.

Proces povezivanja

Sljedeći koraci na visokoj razini opisuju kako uspostaviti vezu s virtualnim povezivanjem za namjensku instancu.
1

Naručivanje u Cisco CCW

2

Aktiviranje virtualnog povezivanja iz kontrolnog čvorišta

3

Cisco izvodi konfiguraciju mreže

4

Klijent izvodi konfiguraciju mreže

Korak 1: CCW nalog

Virtual Connect je dodatak za namjensku instancu u CCW-u.

1

Idite na web-mjesto za naručivanje CCW-a, a zatim kliknite Prijava da biste se prijavili na web-mjesto:

https://apps.cisco.com/Commerce/guest.
2

Kreirajte procjenu.

3

Dodajte "A-FLEX-3" SKU.

4

Odaberite Mogućnosti uređivanja.

5

Na kartici pretplata koja će se prikazati odaberite Mogućnosti i Dodaci.

6

U odjeljku Dodatni dodaci potvrdite okvir uz stavku "Virtualno povezivanje za namjensku instancu". Naziv SKU-a je "A-FLEX-DI-VC".

7

Unesite količinu i broj regija u kojima je potrebno virtualno povezivanje.

Količina virtualnog povezivanja ne smije premašiti ukupan broj regija kupljenih za namjensku instancu. Također, dopuštena je samo jedna narudžba virtualnog povezivanja po regiji.
8

Kada ste zadovoljni odabirom, kliknite Provjeri i spremi u gornjem desnom dijelu stranice.

9

Kliknite Spremi i nastavi da biste dovršili narudžbu. Vaša finalizirana narudžba sada se primjenjuje u rešetki narudžbi.

Korak 2: Aktivacija virtualnog povezivanja u kontrolnom čvorištu

1

Prijavite se u Kontrolno središte https://admin.webex.com/login.

2

U odjeljku Usluge otvorite Pozivi > Namjenski instacnce > povezivanje u oblaku.

3

Na kartici Virtualno povezivanje navedena je kupljena količina virtualnog povezivanja. Administrator sada može kliknuti na Aktiviraj da bi pokrenuo aktivaciju virtualnog povezivanja.

Postupak aktivacije mogu pokrenuti samo administratori s ulogom "Customer Full Admin". Dok administrator s ulogom "Administrator samo za čitanje klijenta" može vidjeti samo status.
4

Klikom na gumb Aktiviraj prikazuje se obrazac Activate Virtual Connect kako bi administrator pružio tehničke detalje virtualnog povezivanja potrebne za konfiguracije ravnopravnih članova na Ciscovoj strani.

Obrazac također pruža statične informacije na Ciscovoj strani, temeljene na odabranoj regiji. Te će informacije administratorima korisnika biti korisne za konfiguriranje CPE-a na njihovoj strani za uspostavljanje povezivosti.

  1. IP adresa za transport GRE tunela: Kupac je dužan navesti IP adrese tunelskog prijevoza kupca, a Cisco će dinamički dodijeliti IP adrese nakon dovršetka aktivacije. IPSec ACL za zanimljiv promet trebao bi omogućiti lokalnim IP/32 za prijevoz tunela IP/32 za daljinski transport tunela IP/32. ACL bi također trebao navesti samo GRE IP protokol.

    IP adresa koju pruža kupac može biti privatna ili javna.

  2. IPSec kolege: Kupac je dužan navesti ip adrese IPSec tunela, a Cisco dodjeljuje IPSec odredišnu IP adresu. Ako je potrebno, podržano je i izvođenje NAT prijevoda interne IPSEC adrese tunela na javnu adresu.

    IP adresa koju je dostavio kupac trebala bi biti javna.

    Sve ostale statičke informacije koje se nalaze na aktivacijskom zaslonu su Cisco-ovi standardi sigurnosti i šifriranja koji se slijede. Ova statička konfiguracija nije prilagodljiva ili se može mijenjati. Za svaku daljnju pomoć u vezi sa statičkim konfiguracijama na Ciscovoj strani, kupac bi se trebao obratiti TAC-u.
5

Kliknite gumb Aktiviraj nakon što se ispune sva obavezna polja.

6

Nakon dovršetka obrasca za aktivaciju virtualnog povezivanja za particluarnu regiju, kupac može izvesti obrazac za aktivaciju iz kontrolnog središta, pozivajući > namjensku instancu > karticu Povezivanje u oblaku i kliknuti na Postavke izvoza.

Iz sigurnosnih razloga provjera autentičnosti i lozinka za BGP neće biti dostupne u dokumentu Izvezeno, ali administrator ih može pregledati u okruženju Control Hub klikom na Prikaži postavke u okruženju Control Hub, pozivanje > Namjenska instanca > Povezivanje u oblaku.

Korak 3: Cisco izvodi konfiguraciju mreže

1

Nakon dovršetka obrasca za aktivaciju virtualnog povezivanja, status će se ažurirati na aktivaciju u tijeku u pozivima > namjenske instance > karticu Virtual Connecty Connectivity u oblaku.

2

Cisco će dovršiti potrebne konfiguracije na Ciscovoj strani opreme u roku od 5 radnih dana. Po uspješnom završetku status će se ažurirati na "Aktivirano" za tu određenu regiju u kontrolnom središtu.

Korak 4: Klijent izvodi konfiguraciju mreže

Status se mijenja u "Aktivirano" kako bi se administratora kupca obavijestilo da je Ciscova strana konfiguracija za IP VPN povezivost ben dovršena na temelju ulaza koje je dao Kupac. No, očekuje se da će administrator kupca dovršiti svoju stranu konfiguracija na CPE-ovima i testirati rute povezivanja kako bi tunel Virtual Connect bio na mreži. U slučaju bilo kakvih problema s kojima se suočio u vrijeme konfiguracije ili povezivanja, kupac se može obratiti Cisco TAC-u za pomoć.

Rješavanje problema

Rješavanje problema i provjera valjanosti za IPsec prvu fazu (IKEv2 pregovaranje)

Pregovaranje o IPsec tunelu uključuje dvije faze, IKEv2 fazu i IPsec fazu. Ako se pregovaranje o fazi IKEv2 ne dovrši, tada nema započinjanja druge faze IPsec-a. Prvo izdajte naredbu "prikaži crypto ikev2 sa" (na Cisco opremi) ili sličnu naredbu na opremi treće strane kako biste provjerili je li IKEv2 sesija aktivna. Ako sesija IKEv2 nije aktivna, mogući razlozi mogu biti:

  • Zanimljiv promet ne pokreće IPsec tunel.

  • Popis pristupa IPsec tunelu nije pravilno konfiguriran.

  • Nema veze između korisnika i IP-a krajnje točke tunela IPsec namjenske instance.

  • Parametri sesije IKEv2 ne podudaraju se između strane namjenske instance i strane korisnika.

  • Vatrozid blokira IKEv2 UDP pakete.

Prvo provjerite IPsec zapisnike za sve poruke koje pokazuju napredak pregovora o IKEv2 tunelu. Zapisnici mogu naznačiti gdje postoji problem s pregovorima o IKEv2. Nedostatak evidentiranja poruka također može upućivati na to da se IKEv2 sesija ne aktivira.

Neke uobičajene pogreške s IKEv2 pregovaranjem su:

  • Postavke za IKEv2 na strani CPE-a ne podudaraju se s Ciscovom stranom; ponovno provjerite navedene postavke:

    • Provjerite je li verzija IKE-a verzija 2.

    • Provjerite odgovaraju li parametri šifriranja i provjere autentičnosti očekivanom šifriranju na strani namjenske instance.

      Kada se koristi šifra "GCM", GCM protokol upravlja provjerom autentičnosti i postavlja parametar provjere autentičnosti na NULL.

    • Provjerite postavku trajanja.

    • Provjerite skupinu modula Diffie Hellman.

    • Provjerite postavke pseudo nasumične funkcije.

  • Popis pristupa za kripto mapu nije postavljen na:

    • Dopusti GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255” (ili ekvivalentna naredba)

      Popis pristupa mora biti specifičan za protokol "GRE" i protokol "IP" neće raditi.

Ako poruke zapisnika ne prikazuju nikakvu aktivnost pregovora za fazu IKEv2, možda će biti potrebno snimanje paketa.

Strana namjenske instance možda neće uvijek pokrenuti IKEv2 razmjenu i ponekad može očekivati da će CPE strana korisnika biti pokretač.

Provjerite konfiguraciju CPE strane za sljedeće preduvjete za pokretanje IKEv2 sesije:

  • Provjerite popis IPsec šifriranog pristupa za GRE promet (protokol 50) od IP-a za prijenos CPE tunela na IP za prijenos tunela namjenske instance.

  • Provjerite je li sučelje GRE tunela omogućeno za GRE keepalives, ako oprema ne podržava GRE keepalives, Cisco će biti obaviješten jer će GRE keepalives biti omogućeni na strani namjenske instance po zadanim postavkama.

  • Provjerite je li BGP omogućen i konfiguriran sa susjednom adresom IP tunela namjenske instance.

Kada je pravilno konfiguriran, sljedeći započinje IPsec tunel i IKEv2 pregovaranje u prvoj fazi:

  • GRE keepalives od sučelja GRE tunela na strani CPE-a do sučelja GRE tunela na strani namjenske instance.

  • Sesija TCP susjedne BGP sesije s susjedne BGP strane CPE na susjednu BGP stranu.

  • Ping signala s IP adrese tunela na strani CPE-a na IP adresu tunela namjenske instance.

    Ping ne može biti IP za prijenos tunela na IP za prijenos tunela, to mora biti IP za tunel.

Ako je za promet IKEv2 potreban praćenje paketa, postavite filtar za UDP i priključak 500 (kada nema NAT uređaja u sredini krajnjih točaka IPsec) ili priključak 4500 (kada je NAT uređaj umetnut u sredini krajnjih točaka IPsec).

Provjerite jesu li IKEv2 UDP paketi s ulazom 500 ili 4500 poslani i primljeni na DI IPsec IP adresu i s nje.

Podatkovni centar namjenske instance možda neće uvijek pokrenuti prvi paket IKEv2. Zahtjev je da CPE uređaj može pokrenuti prvi paket IKEv2 prema strani namjenske instance.

Ako lokalni vatrozid to dopušta, pokušajte i ping na udaljenu IPsec adresu. Ako ping nije uspješan s lokalne na udaljene IPsec adrese, provedite rutu praćenja kako biste pomogli i odredite gdje se paket ispušta.

Neki vatrozidovi i internetska oprema možda neće dopustiti preusmjeravanje praćenja.

Rješavanje problema i provjera valjanosti u drugoj fazi sustava IPsec (IPsec pregovaranje)

Provjerite je li prva faza IPsec (tj. sigurnosna asocijacija IKEv2) aktivna prije rješavanja problema u drugoj fazi IPsec-a. Izvršite naredbu "prikaži crypto ikev2 sa" ili ekvivalentnu naredbu kako biste potvrdili IKEv2 sesiju. U izlazu provjerite je li sesija IKEv2 podignuta više od nekoliko sekundi i da se ne skače. Vrijeme rada sesije prikazuje se kao sesija "Aktivno vrijeme" ili ekvivalent u izlazu.

Nakon što se sesija IKEv2 potvrdi kao up i aktivna, istražite IPsec sesiju. Kao i kod sesije IKEv2, izvršite naredbu "prikaži crypto ipsec sa" ili ekvivalentnu naredbu kako biste provjerili IPsec sesiju. I sesija IKEv2 i IPsec moraju biti aktivne prije uspostave GRE tunela. Ako se IPsec sesija ne prikazuje kao aktivna, provjerite IPsec zapisnike za poruke o pogreškama ili pogreške pregovora.

Neka od uobičajenijih pitanja na koja se može naići tijekom pregovora o IPsec-u su:

Postavke na strani CPE-a ne podudaraju se sa strane Namjenske instance; ponovno provjerite postavke:

  • Provjerite odgovaraju li parametri šifriranja i provjere autentičnosti postavkama na strani namjenske instance.

  • Provjerite postavke tajnosti Perfect Forward i jesu li postavke podudarne na strani namjenske instance.

  • Provjerite postavke trajanja.

  • Provjerite je li IPsec konfiguriran u načinu rada tunela.

  • Provjerite IPsec adrese izvora i odredišta.

Rješavanje problema i provjera valjanosti sučelja za tuneliranje

Kada su IPsec i IKEv2 sesije potvrđene kao gore i aktivne, paketi GRE tunela keepalive mogu teći između krajnje točke namjenske instance i CPE tunela. Ako se sučelje tunela ne prikazuje status, neki od uobičajenih problema su:

  • VRF za prijenos sučelja tunela ne odgovara VRF-u sučelja za povratne informacije (ako se na sučelju tunela koristi konfiguracija VRF-a).

    Ako se na sučelju tunela ne koristi VRF konfiguracija, ova se provjera može zanemariti.

  • Keepalives nisu omogućeni na sučelju tunela s CPE strane

    Ako usluge podrške nisu podržane na opremi CPE-a, tada Cisco mora biti obaviješten kako bi zadani servisi podrške na strani Namjenske instance također bili onemogućeni.

    Ako su uslužni programi podržani, provjerite jesu li uslužni programi omogućeni.

  • Maska ili IP adresa sučelja tunela nisu točni i ne odgovaraju očekivanim vrijednostima namjenske instance.

  • Adresa za prijenos s izvornog ili odredišnog tunela nije točna i ne odgovara očekivanim vrijednostima namjenske instance.

  • Vatrozid blokira GRE pakete poslane u IPsec tunel ili primljene iz IPsec tunela (GRE tunel se prenosi preko IPsec tunela)

Provjera pinga trebala bi provjeriti je li sučelje lokalnog tunela gore i je li povezivost dobra s sučeljem udaljenog tunela. Izvršite provjeru ping od IP tunela (ne IP za prijenos) do IP udaljenog tunela.

Popis šifriranih pristupa za IPsec tunel koji nosi promet GRE tunela omogućava križanje samo GRE paketa. Kao rezultat toga, pribadače neće raditi od IP za transport tunela do IP za transport tunela na udaljeni IP za transport tunela.

Provjera ping signala rezultira GRE paketom koji je generiran od IP za transport izvornog tunela do IP za transport odredišnog tunela, dok će korisni teret GRE paketa (unutarnji IP) biti IP za izvorni i odredišni tunel.

Ako ping test nije uspješan i prethodne stavke su potvrđene, tada može biti potrebno hvatanje paketa kako bi se osiguralo da icmp ping rezultira GRE paketom koji se zatim enkapsulira u IPsec paket, a zatim šalje s izvorne IPsec adrese na odredišnu IPsec adresu. Brojači na sučelju GRE tunela i brojači IPsec sesija također mogu pomoći u prikazu. ako se slanje i primanje paketa povećava.

Osim ping prometa, snimanje bi također trebalo pokazivati keepalive GRE pakete čak i tijekom neaktivnosti. Konačno, ako je BGP konfiguriran, BGP keepalive paketi također bi trebali biti poslani kao GRE paketi enkapsulirani u IPSEC pakete, kao i preko VPN-a.

Rješavanje problema i provjera valjanosti za BGP

BGP sesije

BGP je obavezan kao protokol usmjeravanja preko VPN IPsec tunela. Lokalni susjed BGP-a trebao bi uspostaviti eBGP sesiju sa susjednim BGP-om namjenske instance. IP adrese susjednog eBGP-a iste su kao IP adrese lokalnog i udaljenog tunela. Prvo se uvjerite da je BGP sesija podignuta, a zatim provjerite primaju li se ispravne rute iz namjenske instance i šalje li se ispravna zadana ruta u namjensku instancu.

Ako je GRE tunel postavljen, provjerite je li ping uspješan između IP-a lokalnog i udaljenog GRE tunela. Ako je ping uspješan, ali se sesija BGP-a ne pojavljuje, istražite zapisnik BGP-a za pogreške uspostave BGP-a.

Neka od najčešćih pitanja o pregovorima o BGP-u su:

  • Udaljeni AS broj ne odgovara broju AS koji je konfiguriran na strani Namjenske instance; ponovno provjerite susjednu AS konfiguraciju.

  • Lokalni broj AS ne odgovara očekivanim parametrima namjenske instance. Provjerite odgovara li lokalni broj AS očekivanim parametrima namjenske instance.

  • Vatrozid blokira BGP TCP pakete enkapsulirane u GRE pakete da se šalju u IPsec tunel ili prime iz IPSEC tunela

  • Udaljeni susjedni BGP IP ne podudara se s IP-om udaljenog GRE tunela.

Razmjena BGP usmjeravanja

Nakon što se BGP sesija potvrdi za oba tunela, provjerite šalju li se i primaju li se ispravne rute sa strane namjenske instance.

VPN rješenje namjenske instance očekuje uspostavljanje dva tunela sa strane korisnika/partnera. Prvi tunel upućuje na podatkovni centar namjenske instance A, a drugi tunel upućuje na podatkovni centar namjenske instance B. Oba tunela moraju biti u aktivnom stanju, a rješenje zahtijeva aktivnu/aktivnu implementaciju. Svaki podatkovni centar namjenske instance reklamirat će svoju lokalnu /25 rutu, kao i /24 pričuvnu rutu. Prilikom provjere dolaznih BGP ruta iz namjenske instance, provjerite da sesija BGP-a povezana s tunelom koji upućuje na podatkovni centar namjenske instance A primi lokalnu rutu podatkovnog centra A /25, kao i rutu sigurnosnog kopiranja /24. Osim toga, pobrinite se da tunel koji pokazuje na podatkovni centar namjenske instance B prima lokalnu rutu podatkovnog centra B /25 kao i rutu sigurnosnog kopiranja /24. Imajte na umu da će ruta za sigurnosno kopiranje /24 biti ista ruta koja se oglašava iz podatkovnog centra namjenske instance A i podatkovnog centra namjenske instance B.

Redundancija se osigurava podatkovnom centru namjenske instance ako se sučelje tunela s tim podatkovnim centrom spusti. Ako se izgubi vezu s podatkovnim centrom namjenske instance A, promet će se proslijediti iz podatkovnog centra namjenske instance B u podatkovni centar A. U tom scenariju tunel u podatkovni centar B koristit će rutu podatkovnog centra B /25 za slanje prometa u podatkovni centar B, a tunel u podatkovni centar B koristit će pričuvnu rutu /24 za slanje prometa u podatkovni centar A preko podatkovnog centra B.

Važno je da se, kada su oba tunela aktivna, podatkovni centar A ne koristi za slanje prometa u podatkovni centar B i obratno. U tom scenariju, ako se promet šalje u podatkovni centar A s odredištem podatkovnog centra B, podatkovni centar A će proslijediti promet u podatkovni centar B, a zatim će podatkovni centar B pokušati poslati promet natrag na izvor preko tunela podatkovnog centra B. To će rezultirati neoptimalnim preusmjeravanjem, a može doći i do prekida prometa koji prolazi vatrozidom. Stoga je važno da oba tunela budu u aktivnoj/aktivnoj konfiguraciji tijekom normalnog rada.

Ruta 0.0.0.0/0 mora se oglasiti sa strane korisnika na strani podatkovnog centra namjenske instance. Namjenska instanca neće prihvatiti više određenih ruta. Provjerite je li ruta 0.0.0/0 oglašena iz tunela podatkovnog centra namjenske instance A i podatkovnog centra namjenske instance B.

MTU konfiguracija

Na strani namjenske instance dvije su značajke omogućene za dinamičko prilagođavanje MTU-a za velike veličine paketa. GRE tunel dodaje više zaglavlja IP paketima koji prolaze kroz VPN sesiju. IPsec tunel dodaje dodatna zaglavlja na GRE zaglavlja dodatno će smanjiti najveći dopušteni MTU preko tunela.

GRE tunel prilagođava značajku MSS, a put GRE tunela u značajci otkrivanja MTU omogućena je na strani namjenske instance. Konfigurirajte "ip tcp adjust-mss 1350" ili ekvivalentnu naredbu kao i "tunel path\u0002mtu-discovery" ili ekvivalentnu naredbu na korisničkoj strani kako biste pomogli u dinamičkoj prilagodbi MTU prometa kroz VPN tunel.