Introduzione

Connessione virtuale è un'ulteriore opzione componente aggiuntivo per la connettività cloud a un'istanza dedicata per Webex Calling (istanza dedicata). Virtual Connect consente ai clienti di estendere in modo sicuro la propria rete privata su Internet utilizzando tunnel IP VPN point-to-point. Questa opzione di connettività consente di stabilire rapidamente una connessione di rete privata utilizzando l'apparecchiatura locale cliente (CPE) e la connettività Internet esistenti.

Cisco ospita, gestisce e garantisce tunnel VPN IP ridondanti e l'accesso a Internet richiesto nelle regioni del centro dati di istanza dedicata Cisco in cui è richiesto il servizio. Allo stesso modo, l'amministratore è responsabile dei servizi CPE e Internet corrispondenti richiesti per l'istituzione di Virtual Connect.

Ogni ordine di connessione virtuale in una determinata regione di istanza dedicata include due tunnel di incapsulamento dell'instradamento generico (GRE) protetti dalla crittografia IPSec (GRE su IPSec), uno per ciascun centro dati Cisco nella regione selezionata.

Virtual Connect ha un limite di larghezza di banda di 250 Mbps per tunnel ed è consigliata per distribuzioni di piccole dimensioni. Poiché vengono utilizzati due tunnel VPN point-to-point, tutto il traffico verso il cloud deve passare attraverso il CPE di testa del cliente e pertanto potrebbe non essere adatto in presenza di molti siti remoti. Per altre opzioni di peering alternative, vedere Connettività cloud .

Prima di inviare la richiesta di peering per Virtual Connect, assicurarsi che il servizio di istanza dedicata sia attivato nella rispettiva regione.

Prerequisiti

I prerequisiti per stabilire la connessione virtuale includono:

  • Il cliente fornisce

    • Connessione Internet con larghezza di banda disponibile sufficiente per supportare la distribuzione

    • indirizzo IP pubblici per due tunnel IPSec

    • Indirizzi IP di trasporto GRE lato cliente per i due tunnel GRE

  • Partner e cliente

    • Collaborare per valutare i requisiti di larghezza di banda

    • Assicurarsi dispositivo di rete supportino il routing Border Gateway Protocol (BGP) e un design del tunnel GRE su IPSec

  • fornisce il Partner o il cliente

    • Team di rete con conoscenza delle tecnologie di tunnel VPN da sito a sito

    • Team di rete con conoscenza di BGP, eBGP e dei principi di instradamento generali

  • Cisco

    • Cisco ha assegnato i numeri di sistema autonomo (ASN) e l'indirizzamento IP transitorio per le interfacce del tunnel GRE

    • Cisco ha assegnato una rete di classe C (/24) pubblica ma non indirizzabile a Internet per l'indirizzamento cloud di istanza dedicata

Se un cliente dispone di un solo dispositivo CPE, i due tunnel verso i centri dati Cisco (DC1 e DC2) in ciascuna regione saranno da quel dispositivo CPE. Il cliente ha anche un'opzione per 2 dispositivi CPE, quindi ciascun dispositivo CPE deve connettersi a 1 solo tunnel verso i centri dati Cisco (DC1 e DC2) in ciascuna regione. È possibile ottenere una ridondanza aggiuntiva terminando ciascun tunnel in un sito/ubicazione fisica separata all'interno dell'infrastruttura del cliente.

Dettagli tecnici

Modello di distribuzione

Virtual Connect utilizza un'architettura di headend a doppio livello, in cui i piani di controllo di instradamento e GRE sono forniti da un dispositivo e il piano di controllo IPSec è fornito da un altro dispositivo.

Al termine del Connessione virtuale connettività, verranno creati due tunnel GRE su IPSec tra la rete aziendale del cliente e i centri dati di Cisco di istanza dedicata. Uno per ciascun centro dati ridondante all'interno della rispettiva regione. Ulteriori elementi di rete richiesti per il peering vengono scambiati dal partner o dal cliente con Cisco tramite il modulo di attivazione di Control Hub Virtual Connect.

La figura 1 mostra un esempio del modello di distribuzione di Virtual Connect per l'opzione a 2 concentratori sul lato cliente.

Connessione virtuale - VPN è un progetto di hub, in cui i siti hub del cliente sono connessi a DC1 e DC2 dei centri dati di istanza dedicata all'interno di una determinata regione.

Si consigliano due siti hub per una migliore ridondanza, ma anche un sito hub con due tunnel è un modello di distribuzione supportato.

La larghezza di banda per tunnel è limitata a 250 Mbps.

I siti remoti del cliente all'interno della stessa regione devono riconnettersi ai siti hub tramite la WAN del cliente e non è responsabilità di Cisco per tale connettività.

I partner devono lavorare a stretto contatto con i clienti, assicurandosi che venga scelto il percorso più ottimale per la regione di servizio 'Virtual Connect'.

La figura 2 mostra le regioni di peering della connettività cloud istanza dedicata.

Indirizzamento

Il routing per il componente aggiuntivo Virtual Connect viene implementato utilizzando BGP esterno (eBGP) tra l'istanza dedicata e CPE (Customer Premise Equipment). Cisco pubblicizzerà la rispettiva rete per ciascun controller di dominio ridondante all'interno di una regione fino al CPE del cliente e il CPE è tenuto a pubblicizzare un indirizzamento predefinito a Cisco.

  • Cisco gestisce e assegna

    • Indirizzamento IP interfaccia tunnel (collegamento transitorio per l'instradamento) Cisco assegnato da uno spazio indirizzi condiviso designato (non indirizzabile pubblicamente)

    • Indirizzo di destinazione trasporto tunnel (lato Cisco)

    • Numeri di sistema autonomi privati (ASN) per la configurazione dell'instradamento BGP del cliente

      • Cisco assegna dall'intervallo per uso privato designato: da 64512 a 65534

  • eBGP utilizzato per scambiare i percorsi tra istanza dedicata e CPE

    • Cisco dividerà la rete /24 assegnata in 2 /25 una per ciascun controller di dominio nella rispettiva regione

    • In Virtual Connect ciascuna rete /25 viene restituita a CPE da Cisco tramite i rispettivi tunnel VPN point-to-point (collegamento transitorio)

    • È necessario configurare CPE con i dispositivi adiacenti eBGP appropriati. Se si utilizza un CPE, verranno utilizzati due elementi adiacenti eBGP, uno che punta a ciascun tunnel remoto. Se si utilizzano due CPE, ciascun CPE avrà un vicino eBGP che indirizza al singolo tunnel remoto per il CPE.

    • Il lato Cisco di ciascun tunnel GRE ( IP interfaccia tunnel) è configurato come vicino BGP sul CPE

    • È obbligatorio CPE per pubblicizzare un indirizzamento predefinito su ciascuno dei tunnel

    • CPE è responsabile della ridistribuzione, come richiesto, dei percorsi appresi all'interno della rete aziendale del cliente.

  • In una condizione di guasto del collegamento non di errore, un singolo CPE avrà due tunnel attivi/attivi. Per due nodi CPE, ciascun CPE avrà un tunnel attivo ed entrambi i nodi CPE devono essere attivi e passare traffico. In uno scenario di non errore, il traffico deve essere suddiviso in due tunnel diretti alle destinazioni corrette /25; se uno dei tunnel scende, il tunnel rimanente può trasportare il traffico di entrambi. In uno scenario di errore di questo tipo, quando la rete /25 è inattiva, la rete /24 viene utilizzata come route di backup. Cisco invierà il traffico del cliente tramite la sua WAN interna al controller di dominio che ha perso la connettività.

Processo di connettività

La procedura generale seguente descrive come stabilire la connettività con la connessione virtuale per un'istanza dedicata.

1

Effettuare un ordine in Cisco CCW
2

Attivare la Connessione virtuale da Control Hub
3

Cisco esegue Configurazione di rete
4

Il cliente esegue la Configurazione di rete

Passaggio 1: Ordine CCW

Virtual Connect è un componente aggiuntivo per l'istanza dedicata in CCW.

1

Andare al sito di ordinazione CCW e fare clic su Accedi per accedere al sito:

https://apps.cisco.com/Commerce/guest.
2

Crea preventivo.
3

Aggiungere lo SKU "A-FLEX-3".
4

Selezionare Modifica opzioni.
5

Nella scheda dell'abbonamento visualizzata, selezionare Opzioni e componenti aggiuntivi.
6

In Componenti aggiuntivi aggiuntivi, selezionare la casella di selezione accanto a "Connessione virtuale per istanza dedicata". Il nome SKU è "A-FLEX-DI-VC".
7

Immettere la quantità e il numero di regioni in cui è richiesta la connessione virtuale.


 
La quantità di connessione virtuale non deve superare il numero totale di regioni acquistate per l'istanza dedicata. Inoltre, è consentito un solo ordine di connessione virtuale per regione.
8

Quando si è soddisfatti della selezione effettuata, fare clic su Verifica e salva nella parte superiore destra della pagina.
9

Fare clic su Salva e continua per finalizzare l'ordine. L'ordine finalizzato viene visualizzato nella griglia dell'ordine.

Passaggio 2: Attivazione di Virtual Connect in Control Hub

1

Accedere a Control Hubhttps://admin.webex.com/login .
2

Nel Servizi sezione, passare a Chiamata > Istanza dedicata > Connettività cloud .
3

Nella scheda Virtual Connect, è elencata la quantità di Virtual Connect acquistata. L'amministratore ora può fare clic su Attiva per avviare l'attivazione di Virtual Connect.


 
Il processo di attivazione può essere attivato solo dagli amministratori con ruolo "Cliente di amministrazione completa". Mentre, un amministratore con ruolo "Amministrazione di sola lettura cliente" può solo visualizzare lo stato.
4

Facendo clic su Attiva pulsante, Attivare Connessione virtuale viene visualizzato il modulo che consente all'amministratore di fornire i dettagli tecnici di Virtual Connect richiesti per le configurazioni di peering sul lato Cisco.


 
Il modulo fornisce anche informazioni statiche sul lato di Cisco, in base alla regione selezionata. Queste informazioni saranno utili agli amministratori del cliente per configurare il CPE da parte loro e stabilire la connettività.

  1. indirizzo IP trasporto tunnel GRE : Il cliente deve fornire gli indirizzi IP di trasporto tunnel sul lato del cliente e Cisco allocherà dinamicamente gli indirizzi IP una volta completata l'attivazione. L'ACL IPSec per il traffico interessante deve consentire l' IP di trasporto tunnel /32 locale IP di trasporto tunnel remoto /32. L'ACL deve anche specificare solo il protocollo IP GRE.


     
    L' indirizzo IP fornito dal cliente può essere privato o pubblico.

  2. peer IPSec : Il cliente deve fornire gli indirizzi IP di origine del tunnel IPSec e Cisco alloca l' Indirizzo IP di destinazione IPSec . Se necessario, è supportata anche la traduzione NAT di un indirizzo del tunnel IPSEC interno in un indirizzo pubblico.


     

    L' indirizzo IP fornito dal cliente deve essere pubblico.

     
    Tutte le altre informazioni statiche fornite nella schermata di attivazione corrispondono agli standard di sicurezza e crittografia lato di Cisco seguiti. Questa configurazione statica non è personalizzabile o modificabile. Per ulteriore assistenza relativa alle configurazioni statiche da parte di Cisco, il cliente deve contattare TAC.
5

Fare clic su Attiva dopo aver compilato tutti i campi obbligatori.
6

Dopo il completamento del modulo di attivazione di Virtual Connect per una determinata regione, il cliente può esportare il modulo di attivazione dalla scheda Control Hub, Calling > Istanza dedicata > Connettività cloud e fare clic su Esporta impostazioni.


 
Per motivi di sicurezza, l'autenticazione e la password BGP non saranno disponibili nel documento esportato, ma l'amministratore può visualizzarla in Control Hub facendo clic su Visualizza impostazioni in Control Hub, scheda Chiamata > Istanza dedicata > Connettività cloud.

Passaggio 3: Cisco esegue Configurazione di rete

1

Una volta completato il modulo di attivazione di Virtual Connect, lo stato verrà aggiornato a Attivazione in corso in Chiamata > Istanza dedicata > Connettività cloud virtuale scheda.
2

Cisco completerà le configurazioni richieste sull'apparecchiatura lato Cisco entro 5 giorni lavorativi . In caso di completamento corretto, lo stato verrà aggiornato a "Attivato" per quella particolare regione in Control Hub.

Passaggio 4: Il cliente esegue la Configurazione di rete

Lo stato viene modificato in "Attivato" per notificare all'amministratore del cliente che la configurazione Cisco per la connettività IP VPN è stata completata in base agli input forniti dal cliente. Tuttavia, l'amministratore del cliente deve completare la propria parte delle configurazioni sui CPE e testare gli indirizzamenti di connettività affinché il tunnel di connessione virtuale sia online. In caso di problemi riscontrati al momento della configurazione o della connettività, il cliente può centro TAC di Cisco per assistenza.

Risoluzione dei problemi

Risoluzione dei problemi e convalida della prima fase di IPsec (negoziazione IKEv2).

La negoziazione del tunnel IPsec prevede due fasi, la fase IKEv2 e la fase IPsec. Se la negoziazione della fase IKEv2 non viene completata, non viene avviata una seconda fase IPsec. In primo luogo, eseguire il comando "show crypto ikev2 sa" (su apparecchiature Cisco ) o un comando simile su apparecchiature di terze parti per verificare se la sessione IKEv2 è attiva. Se la sessione IKEv2 non è attiva, i possibili motivi potrebbero essere:

  • Traffico interessante non attiva il tunnel IPsec.

  • L' elenco accessi del tunnel IPsec è configurato in modo errato.

  • Non esiste connettività tra il cliente e l' IP dell'endpoint del tunnel IPsec dell'istanza dedicata.

  • I parametri della sessione IKEv2 non corrispondono tra il lato istanza dedicata e il lato cliente.

  • Un firewall sta bloccando i pacchetti IKEv2 UDP .

In primo luogo, controllare i registri IPsec per eventuali messaggi che mostrano l'avanzamento della negoziazione del tunnel IKEv2. I registri possono indicare dove si verifica un problema con la negoziazione IKEv2. Una mancanza di messaggi di registrazione può anche indicare che la sessione IKEv2 non viene attivata.

Alcuni errori comuni con la negoziazione IKEv2 sono:

  • Le impostazioni per IKEv2 sul lato CPE non corrispondono al lato Cisco , ricontrollare le impostazioni menzionate:

    • Verificare che la versione IKE sia la versione 2.

    • Verificare che i parametri di crittografia e autenticazione corrispondano alla crittografia prevista sul lato istanza dedicata.

      Quando la crittografia "GCM" è in uso, il protocollo GCM gestisce l'autenticazione e imposta il parametro di autenticazione su NULL.

    • Verificare l'impostazione della durata.

    • Verificare il gruppo modulo Diffie Hellman.

    • Verificare le impostazioni della funzione pseudocasuale.

  • L' elenco accessi per la mappa di crittografia non è impostato su:

    • Consenti GRE (local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip ) 255.255.255.255" (o comando equivalente)

      L' elenco accessi deve essere specifico per il protocollo "GRE" e il protocollo "IP" non funzionerà.

Se i messaggi di registro non mostrano alcuna attività di negoziazione per la fase IKEv2, potrebbe essere necessaria l' acquisizione pacchetti .

Il lato istanza dedicato potrebbe non iniziare sempre lo scambio IKEv2 e talvolta potrebbe essere previsto che il lato CPE del cliente sia l'iniziatore.

Controllare la configurazione lato CPE per i seguenti prerequisiti per l'avvio della sessione IKEv2:

  • Verificare la presenza di un elenco accessi di crittografia IPsec per il traffico GRE (protocollo 50) IP di trasporto del tunnel CPE IP di trasporto del tunnel dell'istanza dedicata .

  • Assicurarsi che l'interfaccia del tunnel GRE sia abilitata per i keepalive GRE; se l'apparecchiatura non supporta i keepalive GRE, Cisco riceve una notifica poiché i keepalive GRE sono abilitati sul lato istanza dedicata per impostazione predefinita.

  • Assicurarsi che BGP sia abilitato e configurato con l'indirizzo adiacente IP del tunnel istanza dedicato.

Se configurata correttamente, la procedura seguente avvia il tunnel IPsec e la negoziazione IKEv2 della prima fase:

  • GRE keepalive dall'interfaccia tunnel GRE lato CPE all'interfaccia tunnel GRE lato istanza dedicata.

  • Sessione TCP vicina BGP dal vicino BGP lato CPE al vicino BGP lato istanza dedicata.

  • Ping dall'indirizzo IP del tunnel laterale CPE indirizzo IP indirizzo IP del tunnel laterale dell'istanza dedicata .

    Il pinging non può essere l'IP di trasporto da tunnel a IP IP IP .

Se è necessaria una traccia di pacchetto per il traffico IKEv2, impostare il filtro per UDP e la porta 500 (quando nessun dispositivo NAT è in mezzo agli endpoint IPsec) o la porta 4500 (quando un dispositivo NAT viene inserito nel mezzo di IPsec endpoint).

Verificare che i pacchetti IKEv2 UDP con la porta 500 o 4500 vengano inviati e ricevuti da e verso l' indirizzo IP DI IPsec.

Il centro dati dell'istanza dedicata potrebbe non iniziare sempre con il primo pacchetto IKEv2. Il requisito è che il dispositivo CPE sia in grado di avviare il primo pacchetto IKEv2 verso il lato istanza dedicata.

Se il firewall locale lo consente, tentare anche di eseguire un pinging all'indirizzo IPsec remoto. Se il pinging non viene eseguito correttamente dall'indirizzo IPsec locale a quello remoto, eseguire un tracciamento della route per determinare il punto in cui il pacchetto viene abbandonato.

Alcuni firewall e apparecchiature Internet potrebbero non consentire il routing di traccia.

Risoluzione dei problemi e convalida della seconda fase di IPsec (negoziazione IPsec).

Verificare che la prima fase IPSec (ossia, l'associazione di sicurezza IKEv2) sia attiva prima della risoluzione dei problemi della seconda fase IPSec. Eseguire un comando "show crypto ikev2 sa" o equivalente per verificare la sessione IKEv2. Nell'output, verificare che la sessione IKEv2 sia attiva da più di qualche secondo e che non rimbalzi. Il tempo di attività della sessione viene visualizzato come "tempo di attività" o equivalente nell'output.

Quando la sessione IKEv2 è stata verificata come attiva e attiva, esaminare la sessione IPsec. Come con la sessione IKEv2, eseguire un comando "show crypto ipsec sa" o equivalente per verificare la sessione IPsec. Sia la sessione IKEv2 che la sessione IPsec devono essere attive prima che venga stabilito il tunnel GRE. Se la sessione IPsec non viene visualizzata come attiva, controllare i registri IPsec per individuare messaggi di errore o errori di negoziazione.

Alcuni dei problemi più comuni che si possono riscontrare durante le negoziazioni IPsec sono:

Le impostazioni sul lato CPE non corrispondono al lato istanza dedicata, ricontrollare le impostazioni:

  • Verificare che i parametri di crittografia e autenticazione corrispondano alle impostazioni sul lato istanza dedicata.

  • Verificare che le impostazioni di Perfect Forward Secrecy e che corrispondano alle impostazioni sul lato istanza dedicata.

  • Verificare le impostazioni della durata.

  • Verificare che IPsec sia stato configurato in modalità tunnel.

  • Verificare gli indirizzi IPSec di origine e di destinazione.

Risoluzione dei problemi e convalida dell'interfaccia tunnel

Quando le sessioni IPsec e IKEv2 vengono verificate come attive e attive, i pacchetti keepalive del tunnel GRE in grado di fluire tra l'istanza dedicata e gli endpoint del tunnel CPE. Se l'interfaccia del tunnel non mostra lo stato, alcuni problemi comuni sono:

  • Il VRF di trasporto dell'interfaccia tunnel non corrisponde al VRF dell'interfaccia di loopback (se si utilizza la configurazione VRF sull'interfaccia tunnel).

    Se la configurazione VRF non viene utilizzata sull'interfaccia tunnel, questo controllo può essere ignorato.

  • I keepalive non sono abilitati sull'interfaccia del tunnel laterale CPE

    Se i keepalive non sono supportati sull'apparecchiatura CPE, è necessario Cisco in modo che anche i keepalive predefiniti sull'istanza dedicata siano disabilitati.

    Se sono supportati i keepalive, verificare che i keepalive siano abilitati.

  • La maschera o l' indirizzo IP dell'interfaccia tunnel non è corretto e non corrisponde ai valori previsti dell'istanza dedicata.

  • L'indirizzo di trasporto del tunnel di origine o di destinazione non è corretto e non corrisponde ai valori previsti dell'istanza dedicata.

  • Un firewall sta bloccando i pacchetti GRE da inviare al tunnel IPSec o ricevuti dal tunnel IPSec (il tunnel GRE viene trasportato sul tunnel IPSec)

Un test pinging deve verificare che l'interfaccia del tunnel locale sia attiva e che la connettività con l'interfaccia del tunnel remoto sia adeguata. Eseguire il controllo pinging IP del tunnel (non IP di trasporto) IP del tunnel remoto .

L' elenco accessi crittografico per il tunnel IPSec che trasporta il traffico del tunnel GRE consente l'incrocio solo di pacchetti GRE. Di conseguenza, i pinging non funzioneranno IP di trasporto del tunnel IP di trasporto del tunnel remoto .

Il controllo pinging produce un pacchetto GRE generato IP di trasporto del tunnel di origine IP di trasporto del tunnel di destinazione, mentre il payload del pacchetto GRE (l' IP interno) sarà l' IP del tunnel di origine e di destinazione.

Se il test pinging non viene eseguito correttamente e gli elementi precedenti vengono verificati, potrebbe essere necessaria acquisizione pacchetti per garantire che il pinging icmp abbia come risultato un pacchetto GRE che viene quindi incapsulato in un pacchetto IPsec e quindi inviato dall'indirizzo IPsec di origine a l'indirizzo IPsec di destinazione. Può essere utile mostrare anche i contatori sull'interfaccia del tunnel GRE e sui contatori della sessione IPsec. se i pacchetti di invio e ricezione sono in aumento.

Oltre al traffico pinging, l'acquisizione dovrebbe mostrare anche i pacchetti GRE keepalive anche durante il traffico inattivo. Infine, se è configurato BGP, i pacchetti keepalive BGP devono essere inviati anche come pacchetti GRE incapsulati in pacchetti IPSEC e tramite VPN.

Risoluzione dei problemi e convalida BGP

Sessioni BGP

BGP è richiesto come protocollo di instradamento sul tunnel IPsec VPN . Il vicino BGP locale deve stabilire una sessione eBGP con il vicino BGP istanza dedicata. Gli indirizzi IP adiacenti eBGP corrispondono agli indirizzi IP del tunnel locale e remoto. Prima di tutto assicurarsi che la sessione BGP sia attiva, quindi verificare che gli indirizzamenti corretti vengano ricevuti dall'istanza dedicata e che l'indirizzamento predefinito corretto venga inviato all'istanza dedicata.

Se il tunnel GRE è attivo, verificare che il pinging abbia esito positivo tra l' IP del tunnel GRE locale e remoto . Se il pinging viene eseguito correttamente ma la sessione BGP non viene visualizzata, ricercare nel registro BGP eventuali errori di impostazione BGP.

Alcuni dei problemi più comuni di negoziazione BGP sono:

  • Il numero AS remoto non corrisponde al numero AS configurato sul lato istanza dedicata, ricontrollare la configurazione AS vicino.

  • Il numero AS locale non corrisponde a quello previsto per l'istanza dedicata, verificare che il numero AS locale corrisponda ai parametri dell'istanza dedicata previsti.

  • Un firewall blocca l'invio nel tunnel IPSec o la ricezione dei pacchetti TCP BGP incapsulati in pacchetti GRE nel tunnel IPSEC

  • L' IP vicino BGP remoto non corrisponde IP del tunnel GRE remoto .

Scambio di indirizzamento BGP

Una volta verificata la sessione BGP per entrambi i tunnel, assicurarsi che gli indirizzamenti corretti vengano inviati e ricevuti dal lato istanza dedicata.

La soluzione VPN a istanza dedicata prevede che vengano stabiliti due tunnel dal lato cliente/partner. Il primo tunnel punta al centro dati di istanza dedicato A e il secondo tunnel punta al centro dati di istanza dedicato B. Entrambi i tunnel devono essere nello stato attivo e la soluzione richiede una distribuzione attiva/attiva. Ogni centro dati di istanza dedicata pubblicizzerà il proprio indirizzamento locale /25 nonché un indirizzamento di backup /24. Quando si controllano gli indirizzamenti BGP in ingresso dall'istanza dedicata, assicurarsi che la sessione BGP associata al tunnel che punta al centro dati dell'istanza dedicato A riceva il indirizzamento locale del centro dati dell'istanza dedicato A /25 nonché il percorso di backup /24. Inoltre, assicurarsi che il tunnel che punta al centro dati di istanza dedicato B riceva il indirizzamento locale del centro dati di istanza dedicato B /25 nonché il routing di backup /24. Tenere presente che la route di backup /24 sarà la stessa route pubblicizzata dal centro dati di istanza dedicato A e dal centro dati di istanza dedicato B.

La ridondanza viene fornita a un centro dati di istanza dedicata se l'interfaccia del tunnel per quel centro dati è disattivata. Se si perde la connettività al centro dati A dell'istanza dedicata, il traffico verrà inoltrato dal centro dati dell'istanza dedicato B al centro dati A. In questo scenario, il tunnel al centro dati B utilizzerà il indirizzamento del centro dati B /25 per inviare traffico al centro dati B e al tunnel al centro dati B utilizzerà l'indirizzamento di backup /24 per inviare traffico al centro dati A tramite il centro dati B.

È importante che, quando entrambi i tunnel sono attivi, il tunnel del centro dati A non viene utilizzato per inviare traffico al centro dati B e viceversa. In questo scenario, se il traffico viene inviato al centro dati A con una destinazione del centro dati B, il centro dati A inoltra il traffico al centro dati B e quindi il centro dati B tenta di reindirizzare il traffico all'origine tramite il tunnel del centro dati B. Ciò determinerà un instradamento non ottimale e potrebbe anche interrompere i firewall di attraversamento del traffico. Pertanto, è importante che entrambi i tunnel siano in una configurazione attiva/attiva durante il normale funzionamento.

Il routing 0.0.0.0/0 deve essere pubblicizzato dal lato cliente al centro dati istanza dedicato. Indirizzi più specifici non verranno accettati dall'istanza dedicata. Assicurarsi che il routing 0.0.0.0/0 sia pubblicizzato fuori dal tunnel del centro dati A dell'istanza dedicata e dal tunnel del centro dati B dell'istanza dedicata.

Configurazione MTU

Nell'istanza dedicata, due funzioni sono abilitate per regolare in modo dinamico l'MTU per pacchetti di grandi dimensioni. Il tunnel GRE aggiunge più intestazioni ai pacchetti IP che attraversano la sessione VPN . L'aggiunta di tunnel IPsec alle intestazioni aggiuntive sopra le intestazioni GRE ridurrà ulteriormente l'MTU più grande consentito sul tunnel.

Il tunnel GRE regola la funzione MSS e il percorso del tunnel GRE nella funzione di rilevamento MTU è abilitato sul lato istanza dedicata. Configurare il comando "ip tcp adjust-mss 1350" o equivalente nonché il "percorso tunnel\u0002mtu-discovery" o il comando equivalente sul lato cliente per facilitare la regolazione dinamica dell'MTU del traffico attraverso il tunnel VPN .