- Home
- /
- Articolo
Virtual Connect è un'opzione aggiuntiva aggiuntiva per la connettività cloud all'istanza dedicata Webex Calling. Virtual Connect consente ai clienti di estendere in modo sicuro la rete privata su Internet utilizzando tunnel IP VPN da punto a punto. Qui vengono fornite informazioni su ordinazione, attivazione e configurazione per la connessione virtuale.
Introduzione
Virtual Connect è un'opzione aggiuntiva aggiuntiva per la connettività cloud all'istanza dedicata per Webex Calling (istanza dedicata). Virtual Connect consente ai Clienti di estendere in modo sicuro la propria rete privata su Internet utilizzando tunnel VPN IP point-to-point. Questa opzione di connettività consente di stabilire rapidamente la connessione alla rete privata utilizzando il CPE (Customer Premise Equipment) e la connettività Internet esistenti.
Cisco ospita, gestisce e garantisce tunnel VPN IP ridondanti e l'accesso Internet richiesto nelle regioni dei centri dati dell'istanza dedicata di Cisco in cui è richiesto il servizio. Analogamente, l'amministratore è responsabile dei servizi CPE e Internet corrispondenti richiesti per l'installazione di Virtual Connect.
Ciascun ordine di connessione virtuale in una determinata regione dell'istanza dedicata includerebbe due tunnel di incapsulamento di indirizzamento generico (GRE) protetti da crittografia IPSec (GRE su IPSec), uno per il centro dati di ciascun Cisco nella regione selezionata.
Virtual Connect ha un limite di larghezza di banda di 250 Mbps per tunnel ed è consigliato per distribuzioni più piccole. Poiché vengono utilizzati due tunnel VPN punto a punto, tutto il traffico verso il cloud deve passare attraverso il CPE dell'headend del cliente, e quindi potrebbe non essere adatto dove ci sono molti siti remoti. Per altre opzioni di peering alternative, fare riferimento a Connettività cloud.
Prima di inviare la richiesta di peering per Virtual Connect, accertarsi che il servizio di istanza dedicata sia attivato nella rispettiva regione. |
Prerequisiti
I prerequisiti per stabilire la connessione virtuale includono:
-
Il cliente fornisce
-
Connessione Internet con larghezza di banda disponibile sufficiente per supportare la distribuzione
-
Indirizzi IP pubblici per due gallerie IPSec
-
Indirizzi IP di trasporto GRE lato cliente per i due tunnel GRE
-
-
Partner e cliente
-
Collaborare per valutare i requisiti di larghezza di banda
-
Assicurarsi che i dispositivi di rete supportino l'indirizzamento BGP (Border Gateway Protocol) e un GRE sulla progettazione del tunnel IPSec
-
-
Il partner o il cliente fornisce
-
Team di rete con conoscenza delle tecnologie tunnel VPN site-to-site
-
Team di rete con conoscenza di BGP, eBGP e principi generali di routing
-
-
Cisco
-
Numeri di sistema Cisco assegnati con sistema autonomo privato (ASN) e indirizzamento IP transitorio per interfacce tunnel GRE
-
Rete di Classe C (/24) di Cisco assegnata al pubblico ma non instradabile Internet per l'indirizzamento cloud dell'istanza dedicata
-
Se un cliente dispone solo di 1 dispositivo CPE, i 2 tunnel verso i centri dati di Cisco (DC1 e DC2) in ogni regione provengono da tale dispositivo CPE. Il cliente ha anche un'opzione per 2 dispositivi CPE, quindi ciascun dispositivo CPE dovrebbe connettersi a 1 tunnel solo verso i centri dati Cisco (DC1 e DC2) in ogni regione. È possibile ottenere una ridondanza aggiuntiva terminando ogni tunnel in una sede/posizione fisica separata all'interno dell'infrastruttura del Cliente. |
Dettagli tecnici
Modello di distribuzione
Virtual Connect utilizza un'architettura headend a due livelli, in cui i piani di indirizzamento e controllo GRE sono forniti da un dispositivo e il piano di controllo IPSec è fornito da un altro.
Al termine della connettività Virtual Connect, verranno creati due tunnel GRE su IPSec tra la rete aziendale del cliente e i centri dati Cisco dell'istanza dedicata. Uno a ciascun centro dati ridondante all'interno della rispettiva regione. Ulteriori elementi di rete richiesti per il peering vengono scambiati dal partner o dal cliente a Cisco tramite il modulo di attivazione della connessione virtuale Control Hub.
La Figura 1 mostra un esempio del modello di distribuzione di Virtual Connect per l'opzione 2-concentrator sul lato cliente.
Connessione virtuale: la VPN è un design Hub in cui i siti Hub del cliente sono connessi al DC1 e al DC2 dei centri dati dell'istanza dedicata all'interno di una determinata regione.
Due siti Hub sono consigliati per una migliore ridondanza, ma il sito One Hub con due tunnel è anche un modello di distribuzione supportato.
La larghezza di banda per tunnel è limitata a 250 Mbps. |
Le sedi remote del Cliente all'interno della stessa regione devono riconnettersi ai siti Hub tramite la WAN del Cliente e non è responsabilità di Cisco per tale connettività. |
Ci si aspetta che i partner lavorino a stretto contatto con i clienti, garantendo che venga scelto il percorso più ottimale per la regione del servizio "Virtual Connect".
La Figura 2 mostra le regioni di peering della connettività cloud dell'istanza dedicata.
Indirizzamento
L'indirizzamento per il componente aggiuntivo Virtual Connect viene implementato utilizzando BGP esterno (eBGP) tra l'istanza dedicata e l'apparecchiatura locale del cliente (CPE). Cisco annuncia la propria rete per ciascun DC ridondante all'interno di una regione al CPE del cliente e il CPE è richiesto per pubblicizzare un indirizzamento predefinito a Cisco.
-
Cisco mantiene e assegna
-
Indirizzamento IP interfaccia tunnel (collegamento transitorio per l'indirizzamento) Cisco assegna da uno spazio indirizzo condiviso designato (non indirizzabile pubblicamente)
-
Indirizzo di desitinizzazione trasporto tunnel (lato Cisco)
-
Numeri di sistema autonomo privato (ASN) per la configurazione di indirizzamento BGP del cliente
-
Cisco assegna dall'intervallo di utilizzo privato designato: da 64512 a 65534
-
-
-
eBGP utilizzato per lo scambio di percorsi tra istanza dedicata e CPE
-
Cisco suddividerà la rete /24 assegnata in 2 /25 una per ogni centro distribuzione nella rispettiva regione
-
In Virtual Connect ogni rete /25 viene pubblicizzata nuovamente a CPE da Cisco sui rispettivi tunnel VPN punto a punto (collegamento transitorio)
-
CPE deve essere configurato con i vicini eBGP appropriati. Se si utilizza un CPE, verranno utilizzati due vicini eBGP, uno che punta a ciascun tunnel remoto. Se si utilizza due CPE, ciascun CPE avrà un eBGP adiacente che si collega al singolo tunnel remoto per il CPE.
-
Il lato Cisco di ciascun tunnel GRE (IP interfaccia tunnel) è configurato come adiacente BGP sul CPE
-
CPE è richiesto per pubblicizzare un percorso predefinito su ciascuna galleria
-
CPE è rispondibile per ridistribuire, come richiesto, i percorsi appresi all'interno della rete aziendale del cutomer.
-
-
In caso di guasto del collegamento, un singolo CPE avrà due tunnel attivi/attivi. Per due nodi CPE, ciascun CPE avrà un tunnel attivo e entrambi i nodi CPE devono essere attivi e passare il traffico. In caso di non-guasto, il traffico deve essere diviso in due tunnel che vanno verso le destinazioni corrette /25, se uno dei tunnel va giù, il tunnel restante può trasportare il traffico per entrambi. In uno scenario di errore di questo tipo, quando la rete /25 è inattiva, la rete /24 viene utilizzata come percorso di backup. Cisco invierà il traffico del cliente tramite la WAN interna al DC che ha perso la connettività.
Processo di connettività
1 | |
2 | |
3 | |
4 |
Passaggio 1: Ordine CCW
Virtual Connect è un componente aggiuntivo per l'istanza dedicata in CCW.
1 |
Navigare fino al sito per gli ordini di CCW e fare clic su Accedi per accedere al sito: | ||
2 |
Creare un preventivo. | ||
3 |
Aggiungere la SKU "A-FLEX-3". | ||
4 |
Selezionare le opzioni di modifica. | ||
5 |
Nella scheda di abbonamento visualizzata, Seleziona opzioni e componenti aggiuntivi. | ||
6 |
In Componenti aggiuntivi aggiuntivi, selezionare la casella di controllo accanto a "Connessione virtuale per istanza dedicata". Il nome della SKU è "A-FLEX-DI-VC". | ||
7 |
Immettere la quantità e il numero di regioni in cui è richiesta la connessione virtuale.
| ||
8 |
Una volta soddisfatti delle proprie selezioni, Fare clic su Verifica e Salva nella parte superiore destra della pagina. | ||
9 |
Fare clic su Salva e continua per finalizzare l'ordine. L'ordine finalizzato ora viene visualizzato nella griglia dell'ordine. |
Passaggio 2: Attivazione della connessione virtuale in Control Hub
1 |
Accedi a Control Hub https://admin.webex.com/login. | ||
2 |
Nella sezione Servizi, vai a Chiamata > Instacnce dedicato > Connettività cloud. | ||
3 |
Nella scheda Virtual Connect, viene elencata la quantità di Virtual Connect acquistata. L'amministratore ora può fare clic su Attiva per avviare l'attivazione di Virtual Connect.
| ||
4 |
Facendo clic sul pulsante Attiva, viene visualizzato il modulo Attiva connessione virtuale per consentire all'amministratore di fornire i dettagli tecnici di connessione virtuale richiesti per le configurazioni di peering sul lato di Cisco.
| ||
5 |
Una volta compilati tutti i campi obbligatori fare clic sul pulsante Attiva. | ||
6 |
Una volta completato il modulo di attivazione della connessione virtuale per una regione con particelle, il cliente può Esportare il modulo di attivazione da Control Hub, Chiamata > Istanza dedicata > Connettività cloud e fare clic su Esporta impostazioni.
|
Passaggio 3: Cisco esegue la configurazione di rete
1 |
Una volta completato il modulo di attivazione della connessione virtuale, lo stato verrà aggiornato in Attivazione in corso in Chiamata > Istanza dedicata > scheda Connessione virtuale connettività cloud. |
2 |
Cisco completerà le configurazioni richieste sull'apparecchiatura lato Cisco entro 5 giorni lavorativi. Una volta completato con successo, lo stato verrà aggiornato in “Attivato” per quella particolare regione in Control Hub. |
Passaggio 4: Il cliente esegue la configurazione di rete
Lo stato viene modificato in "Attivato" per informare l'amministratore del Cliente che il lato Cisco delle configurazioni per la connettività IP VPN è ben completato in base agli input forniti dal Cliente. Tuttavia, l'amministratore del cliente deve completare il lato delle configurazioni sui CPE e testare i percorsi di connettività per il tunnel Virtual Connect in modo da essere online. In caso di problemi riscontrati al momento della configurazione o della connettività, il cliente può contattare Cisco TAC per assistenza. |
Risoluzione dei problemi
Risoluzione dei problemi e convalida prima fase (negoziazione IKEv2) di IPsec
La negoziazione del tunnel IPsec prevede due fasi, la fase IKEv2 e la fase IPsec. Se la negoziazione della fase IKEv2 non viene completata, non è possibile avviare una seconda fase IPsec. Innanzitutto, emettere il comando "mostra crypto ikev2 sa" (sull'apparecchiatura Cisco) o un comando simile sull'apparecchiatura di terze parti per verificare se la sessione IKEv2 è attiva. Se la sessione IKEv2 non è attiva, i motivi potenziali potrebbero essere:
-
Il traffico interessante non attiva il tunnel IPsec.
-
L'elenco di accesso tunnel IPsec è configurato in modo errato.
-
Nessuna connettività tra il cliente e l'endpoint del tunnel IPsec dell'istanza dedicata.
-
I parametri della sessione IKEv2 non corrispondono tra il lato istanza dedicata e il lato cliente.
-
Un firewall sta bloccando i pacchetti UDP IKEv2.
Innanzitutto, controllare i registri IPsec per eventuali messaggi che mostrano l'avanzamento della negoziazione del tunnel IKEv2. I registri possono indicare dove si è verificato un problema con la negoziazione IKEv2. La mancanza di messaggi di registrazione potrebbe anche indicare che la sessione IKEv2 non è attivata.
Alcuni errori comuni con la negoziazione IKEv2 sono:
-
Le impostazioni per IKEv2 sul lato CPE non corrispondono al lato Cisco; ricontrollare le impostazioni indicate:
-
Verificare che la versione IKE sia la versione 2.
-
Verificare che i parametri di crittografia e autenticazione corrispondano alla crittografia prevista sul lato istanza dedicata.
Quando viene utilizzata la crittografia "GCM", il protocollo GCM gestisce l'autenticazione e imposta il parametro di autenticazione su NULL.
-
Verificare l'impostazione Durata.
-
Verificare il gruppo modulus Diffie Hellman.
-
Verificare le impostazioni della funzione Pseudo Random.
-
-
L'elenco di accesso per la mappa di crittografia non è impostato su:
-
Consenti GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (o comando equivalente)
L'elenco di accesso deve essere specifico per il protocollo "GRE" e il protocollo "IP" non funzionerà.
-
Se i messaggi del registro non mostrano alcuna attività di negoziazione per la fase IKEv2, potrebbe essere necessaria un'acquisizione di pacchetti.
Il lato istanza dedicata non sempre può avviare lo scambio IKEv2 e talvolta può aspettarsi che sia il lato CPE del cliente a essere l'iniziatore. Controllare la configurazione lato CPE per i seguenti prerequisiti per l'avvio della sessione IKEv2:
|
Una volta configurata correttamente, viene avviato il tunnel IPsec e la prima fase della negoziazione IKEv2:
-
Le guarnizioni GRE dall'interfaccia tunnel GRE lato CPE all'interfaccia tunnel GRE lato Istanza dedicata.
-
Sessione TCP adiacente BGP dal vicino BGP lato CPE al vicino BGP lato Istanza dedicata.
-
Ping dall'indirizzo IP del tunnel laterale del CPE all'indirizzo IP del tunnel laterale dell'istanza dedicata.
Il ping non può essere l'IP per il trasporto del tunnel all'IP per il trasporto del tunnel, deve essere l'IP del tunnel all'IP del tunnel.
Se è necessaria una traccia di pacchetti per il traffico IKEv2, impostare il filtro per UDP e la porta 500 (quando nessun dispositivo NAT è al centro degli endpoint IPsec) o la porta 4500 (quando un dispositivo NAT viene inserito al centro degli endpoint IPsec).
Verificare che i pacchetti UDP IKEv2 con porta 500 o 4500 vengano inviati e ricevuti da e verso l'indirizzo IP DI IPsec.
Il centro dati dell'istanza dedicata potrebbe non iniziare sempre il primo pacchetto IKEv2. Il requisito è che il dispositivo CPE sia in grado di avviare il primo pacchetto IKEv2 verso il lato istanza dedicata. Se il firewall locale lo consente, provare a eseguire il ping anche all'indirizzo IPsec remoto. Se il ping non viene eseguito correttamente dall'indirizzo IPsec locale a quello remoto, eseguire un percorso di traccia per assistenza e determinare dove viene eliminato il pacchetto. Alcuni firewall e apparecchiature Internet potrebbero non consentire tracciamenti. |
Risoluzione dei problemi e convalida della seconda fase (negoziazione IPsec)
Verificare che la prima fase IPsec (ovvero l'associazione di sicurezza IKEv2) sia attiva prima di risolvere i problemi della seconda fase IPsec. Eseguire un comando "show crypto ikev2 sa" o equivalente per verificare la sessione IKEv2. Nell'output, verificare che la sessione IKEv2 sia stata aperta per più di un secondo e che non stia rimbalzando. Il tempo di attività della sessione viene visualizzato come sessione "Tempo attivo" o equivalente in uscita.
Una volta che la sessione IKEv2 viene verificata come attiva e attiva, Investigare la sessione IPsec. Come per la sessione IKEv2, eseguire un comando "show crypto ipsec sa" o equivalente per verificare la sessione IPsec. Sia la sessione IKEv2 che la sessione IPsec devono essere attive prima di stabilire il tunnel GRE. Se la sessione IPsec non viene visualizzata come attiva, controllare i registri IPsec per i messaggi di errore o gli errori di negoziazione.
Alcuni dei problemi più comuni che possono essere incontrati durante i negoziati IPsec sono:
Le impostazioni sul lato CPE non corrispondono al lato Istanza dedicata; ricontrollare le impostazioni:
-
Verificare che i parametri di crittografia e autenticazione corrispondano alle impostazioni sul lato istanza dedicata.
-
Verificare le impostazioni Perfect Forward Secrecy e che le impostazioni corrispondano sul lato Istanza dedicata.
-
Verificare le impostazioni per l'intero ciclo di vita.
-
Verificare che l'IPsec sia stato configurato in modalità tunnel.
-
Verificare gli indirizzi IPsec di origine e di destinazione.
Risoluzione dei problemi dell'interfaccia tunnel e convalida
Quando le sessioni IPsec e IKEv2 vengono verificate come attive e attive, i pacchetti keepalive del tunnel GRE possono fluire tra l'istanza dedicata e gli endpoint del tunnel CPE. Se l'interfaccia del tunnel non mostra lo stato, alcuni problemi comuni sono:
-
Il VRF di trasporto dell'interfaccia tunnel non corrisponde al VRF dell'interfaccia loopback (se viene utilizzata la configurazione VRF sull'interfaccia tunnel).
Se la configurazione VRF non viene utilizzata sull'interfaccia del tunnel, questo controllo può essere ignorato.
-
Le guarnizioni non sono abilitate sull'interfaccia tunnel laterale CPE
Se i keepalive non sono supportati sull'apparecchiatura CPE, è necessario notificare Cisco in modo che anche i keepalive predefiniti sul lato istanza dedicata siano disabilitati.
Se le guarnizioni sono supportate, verificare che le guarnizioni siano abilitate.
-
La maschera o l'indirizzo IP dell'interfaccia tunnel non è corretto e non corrisponde ai valori previsti dell'istanza dedicata.
-
L'indirizzo di trasporto del tunnel di origine o di destinazione non è corretto e non corrisponde ai valori previsti dell'istanza dedicata.
-
Un firewall sta bloccando i pacchetti GRE inviati nel tunnel IPsec o ricevuti dal tunnel IPsec (il tunnel GRE viene trasportato attraverso il tunnel IPsec)
Un test di ping deve verificare che l'interfaccia locale del tunnel sia attiva e che la connettività sia buona per l'interfaccia remota del tunnel. Eseguire il controllo ping dall'IP del tunnel (non dall'IP di trasporto) all'IP del tunnel remoto.
L'elenco di accesso crypto per il tunnel IPsec che trasporta il traffico tunnel GRE consente solo l'attraversamento dei pacchetti GRE. Di conseguenza, i cuscinetti non funzioneranno dall'IP di trasporto del tunnel all'IP di trasporto del tunnel remoto. |
La verifica ping determina un pacchetto GRE generato dall'IP di trasporto tunnel di origine all'IP di trasporto tunnel di destinazione mentre il carico utile del pacchetto GRE (l'IP interno) sarà l'IP tunnel di origine e di destinazione.
Se il test di ping non viene superato e gli elementi precedenti vengono verificati, potrebbe essere necessaria un'acquisizione di pacchetti per assicurarsi che il ping icmp risulti in un pacchetto GRE che viene quindi incapsulato in un pacchetto IPsec e inviato dall'indirizzo IPsec di origine all'indirizzo IPsec di destinazione. I contatori sull'interfaccia tunnel GRE e i contatori sessione IPsec possono anche essere utili per la visualizzazione. Se i pacchetti di invio e ricezione aumentano.
Oltre al traffico ping, l'acquisizione dovrebbe anche mostrare i pacchetti keepalive GRE anche durante il traffico inattivo. Infine, se BGP è configurato, i pacchetti keepalive BGP devono essere inviati anche come pacchetti GRE incapsulati nei pacchetti IPSEC nonché su VPN.
Risoluzione dei problemi e convalida BGP
Sessioni BGP
BGP è richiesto come protocollo di indirizzamento sul tunnel VPN IPsec. Il vicino BGP locale deve stabilire una sessione eBGP con il vicino BGP dell'istanza dedicata. Gli indirizzi IP adiacenti eBGP sono uguali agli indirizzi IP del tunnel locale e remoto. Innanzitutto, assicurarsi che la sessione BGP sia attiva, quindi verificare che i percorsi corretti vengano ricevuti dall'istanza dedicata e che il percorso predefinito corretto venga inviato all'istanza dedicata.
Se il tunnel GRE è attivo, verificare che sia stato eseguito un ping tra l'IP del tunnel GRE locale e quello remoto. Se il ping ha esito positivo ma la sessione BGP non viene visualizzata, esaminare il registro BGP per gli errori di impostazione BGP.
Alcune delle questioni più comuni legate alla negoziazione BGP sono:
-
Il numero AS remoto non corrisponde al numero AS configurato sul lato istanza dedicata; controllare nuovamente la configurazione AS adiacente.
-
Il numero AS locale non corrisponde a quanto previsto dal lato dell'istanza dedicata, verificare che il numero AS locale corrisponda ai parametri dell'istanza dedicata previsti.
-
Un firewall sta bloccando i pacchetti TCP BGP incapsulati nei pacchetti GRE dall'invio nel tunnel IPsec o dalla ricezione dal tunnel IPSEC
-
L'IP adiacente BGP remoto non corrisponde all'IP tunnel GRE remoto.
Scambio di indirizzamento BGP
Una volta verificata la sessione BGP per entrambi i tunnel, assicurarsi che i percorsi corretti siano inviati e ricevuti dal lato Istanza dedicata.
La soluzione VPN istanza dedicata prevede la creazione di due tunnel dal lato cliente/partner. Il primo tunnel punta al centro dati dell'istanza dedicata A e il secondo tunnel punta al centro dati dell'istanza dedicata B. Entrambi i tunnel devono essere in stato attivo e la soluzione richiede una distribuzione attiva/attiva. Ciascun centro dati dell'istanza dedicata pubblicizzerà il percorso /25 locale e un percorso di backup /24. Quando si controllano i percorsi BGP in ingresso dall'istanza dedicata, assicurarsi che la sessione BGP associata al tunnel che punta al centro dati dell'istanza dedicata A riceva il centro dati dell'istanza dedicata A /25 e il percorso di backup /24. Inoltre, assicurarsi che il tunnel che punta al centro dati dell'istanza dedicata B ricetta il percorso locale del centro dati dell'istanza dedicata B /25 e il percorso di backup /24. Tenere presente che il percorso di backup /24 sarà lo stesso percorso annunciato dal centro dati dell'istanza dedicata A e dal centro dati dell'istanza dedicata B.
La ridondanza viene fornita a un centro dati dell'istanza dedicata se l'interfaccia del tunnel a tale centro dati viene disattivata. Se la connettività al centro dati dell'istanza dedicata A viene persa, il traffico viene inoltrato dal centro dati dell'istanza dedicata B al centro dati A. In questo scenario, il tunnel per il centro dati B utilizzerà il percorso del centro dati B /25 per inviare il traffico al centro dati B e il tunnel per il centro dati B utilizzerà il percorso backup /24 per inviare il traffico al centro dati A tramite il centro dati B.
È importante che, quando entrambi i tunnel sono attivi, il centro dati A non venga utilizzato per inviare il traffico al centro dati B e viceversa. In questo scenario, se il traffico viene inviato al centro dati A con una destinazione del centro dati B, il centro dati A inoltra il traffico al centro dati B, quindi il centro dati B tenterà di inviare nuovamente il traffico all'origine attraverso il tunnel del centro dati B. Ciò comporta un instradamento non ottimale e può anche danneggiare il traffico che attraversa i firewall. Pertanto, è importante che entrambe le gallerie siano in configurazione attiva/attiva durante il normale funzionamento.
Il percorso 0.0.0.0/0 deve essere pubblicizzato dal lato cliente al lato centro dati dell'istanza dedicata. Percorsi più specifici non saranno accettati dal lato dell'istanza dedicata. Assicurarsi che il percorso 0.0.0.0/0 sia pubblicizzato dal tunnel A del centro dati dell'istanza dedicata e dal tunnel B del centro dati dell'istanza dedicata.
Configurazione MTU
Sul lato Istanza dedicata, due funzioni sono abilitate per regolare dinamicamente MTU per grandi dimensioni di pacchetti. Il tunnel GRE aggiunge altre intestazioni ai pacchetti IP che passano attraverso la sessione VPN. Il tunnel IPsec aggiunge le intestazioni aggiuntive sopra le intestazioni GRE ridurrà ulteriormente il più grande MTU consentito sopra il tunnel.
Il tunnel GRE regola la funzione MSS e il percorso del tunnel GRE nella funzione di rilevamento MTU è abilitato sul lato Istanza dedicata. Configurare "ip tcp adjustment-mss 1350" o comando equivalente nonché "tunnel path\u0002mtu-discovery" o comando equivalente sul lato cliente per aiutare con la regolazione dinamica di MTU del traffico attraverso il tunnel VPN.