はじめに

仮想接続は、仮想マシンの専用インスタンス(専用インスタンス)へのクラウド接続Webex Calling追加オプションです。仮想接続により、顧客はポイント・ポイントの IP VPN トンネルを使用して、インターネット上のプライベート・ネットワークを安全に拡張することができます。この接続オプションにより、既存の顧客設置型機器(CPE)とインターネット接続を使用することで、プライベートネットワーク接続を簡単に利用できます。

Cisco ホストは、サービスが必要な Cisco の専用インスタンスデータセンター地域で、冗長 IP VPN トンネルと必要なインターネットアクセスを管理し、保証します。同様に、管理者は Virtual Connect に必要な CPE およびインターネットサービスに対応する責任を負います。

特定の専用インスタンス領域での各仮想接続の注文には、IPSec 暗号化(GRE over IPSec)により保護された一般的なルーティング(GRE)トンネルが含まれます。1 つは選択された地域の各 Cisco データセンターに対し 1 つです。

仮想接続の帯域幅の制限はトンネルごとに 250 Mbps です。より小さな展開を行う場合は推奨しています。2 つのポイントツーポイント VPN トンネルが使用されるため、クラウドへのすべてのトラフィックは、顧客のヘッドエンド CPE を通過する必要があります。そのため、リモートサイトが多い場合は適切ではありません。他の代替ピアリング オプションについては、「クラウド接続性 」を参照してください

仮想接続のピアリング要求を送信する前に、それぞれの地域で専用インスタンスサービスがアクティブになっていることを確認してください。

前提条件

仮想接続を確立するための前提条件:

  • 顧客が提供する情報

    • 展開をサポートするのに十分な帯域幅でのインターネット接続

    • 2 つの IPSec トンネル用のパブリック IP アドレス

    • 2 つの GRE トンネルの顧客側の GRE トランスポート IP アドレス

  • パートナーと顧客

    • 帯域幅の要件を評価するために共に作業を行います

    • ネットワーク デバイス (BGP) ルーティングボーダー ゲートウェイ プロトコル IPSec トンネル デザイン上の GRE をサポートしていることを確認します

  • パートナーまたは顧客が提供する

    • サイト間 VPN トンネル技術の知識を持つネットワークチーム

    • BGP、eB BGP、一般的なルーティング原理の知識を持つネットワーク チーム

  • Cisco

    • Cisco により割り当てられたプライベート自動電子メールアドレス (ASN) と GRE トンネルインターフェースへの一時的 IP アドレス指定

    • Cisco は、専用インスタンス クラウド アドレス指定にパブリックただしインターネット アクセス可能なクラス C (/24) ネットワークを割り当てて済みです

顧客が 1 つの CPE デバイスのみを持っている場合、各地域の Cisco のデータセンター (DC1 および DC2) に向かう 2 つのトンネルは、その CPE デバイスから来たものとなります。顧客はまた、2 つの CPE デバイスに対するオプションをもち、各 CPE デバイスは、各地域の Cisco のデータセンター (DC1 および DC2) にのみ対して 1 トンネルにのみ接続する必要があります。追加の冗長性は、各トンネルを顧客のインフラストラクチャ内にある別々の物理的なサイト/ロケーションに終了することで、達成できます。

技術的な詳細

展開モデル

Virtual Connectは、デュアルティアのヘッドエンドアーキテクチャを使用し、ルーティングとGREコントロール飛行機が 1 つのデバイスによって提供され、IPSec コントロール飛行機が別のデバイスによって提供されます。

仮想接続接続が完了すると、顧客のエンタープライズネットワークと専用インスタンスの Cisco のデータセンター間に 2 つの GRE over IPSec トンネルが作成されます。各地域内の1対1の冗長データセンター。ピアリングに必要な追加のネットワーク要素は、Control Hub Virtual Connect アクティベーション フォームを通じて、パートナーまたは顧客から Cisco に交換されます。

図1は、顧客側の 2 集客オプションの Virtual Connect 展開モデルの例を示しています。

仮想接続 - VPN はハブ設計であり、顧客のハブ サイトが特定の地域内の専用インスタンスのデータセンターの DC1 および DC2 に接続されます。

より良い冗長性のためには、2 つのハブ サイトが推奨されますが、2 つのトンネルを持つ One Hub サイトもサポートされている展開モデルです。

トンネルあたりの帯域幅は 250 Mbps に制限されています。

同じ地域内にある顧客のリモート サイトは、顧客の WAN 上のハブ サイトに戻る必要があります。また、その接続に対する Cisco の責任ではありません。

パートナーは顧客との密接に取り組む必要があります。「仮想接続」サービス地域に最適なパスが選択されます。

図2は、専用インスタンスクラウド接続ピアリング地域を示します。

ルーティング

Virtual Connect アドオンのルーティングは、専用インスタンスと顧客の設置型機器 (CPE) の間の外部 BGP (eB BGP) を使用して実装されます。Cisco は顧客の CPE に地域内の各冗長 DC に対してそれぞれのネットワークをアドバタイズし、CPE は Cisco へのデフォルトルートをアドバタイズする必要があります。

  • Cisco は、

    • トンネルインターフェースIPアドレス指定(ルーティング用の一時的なリンク)Cisco は指定された共有アドレススペース(非パブリックルート)から割り当てる

    • トンネルトランスポートアドレス(シスコ側)

    • 顧客 BGP ルーティング構成用のプライベートな自律システム番号 (ASN)

      • Cisco は指定されたプライベートの使用範囲から割り当てる: 64512 ~ 65534

  • eBGP は、専用インスタンスと CPE 間のルートを交換するために使用されます。

    • Cisco は指定された /24 ネットワークを各地域の各 DC に割り当て済み /25 に分割します

    • Virtual Connect 各 /25 ネットワークは、各ポイント間 VPN トンネル(一時的リンク)で Cisco により CPE にアドバタイズされます

    • CPE は適切な eBGP 近隣で構成される必要があります。1 つの CPE を使用する場合、2 つの eBGP 近隣が使用されます。1 つのリモートトンネルが 1 つポイントになります。2 つの CPE を使用する場合、各 CPE は 1 つの eBGP 近隣を持ち、CPE 用の 1 つのリモート トンネルに接続します。

    • 各 GRE トンネル (トンネルインターフェイス IP) の Cisco 側は、CPE の BGP 近隣として構成されます

    • CPE は各トンネルでデフォルトのルートをアドバタイズする必要があります

    • CPE は必要に応じて、サイト管理人の企業ネットワーク内で知らされたルートを再配布する責任を持っています。

  • 非障害リンク障害状態では、単一 CPE には 2 つのアクティブ/アクティブトンネルがあります。2 つの CPE ノードについて、各 CPE は 1 つのアクティブなトンネルを持ち、両方の CPE ノードをアクティブにし、トラフィックを渡す必要があります。非障害シナリオの下で、トラフィックは正しい /25 宛先に進む 2 つのトンネルで分割する必要があります。トンネルの 1 つがダウンした場合、残りのトンネルは両方のトラフィックを実行できます。このような障害シナリオの下では、/25 ネットワークがダウンすると、/24 ネットワークがバックアップルートとして使用されます。Cisco は、接続が失われた DC に対して、内部 WAN 経由で顧客のトラフィックを送信します。

接続プロセス

次の高レベル手順では、専用インスタンスで仮想 Connect を接続する方法を説明します。
1

Cisco CCW で注文を行う

2

コントロール ハブから仮想接続をアクティベートする

3

Cisco はネットワーク構成を実行します

4

顧客はネットワーク構成を実行します

ステップ1: CCW での注文

Virtual Connect は、CCW の専用インスタンスのアドオンです。

1

CCW 注文サイトに移動し、[ログイン] をクリックして、サイトにサインオンします。

https://apps.cisco.com/Commerce/guest.
2

見積もりを作成します。

3

「A-FLEX-3」SKU を追加します。

4

[オプションの編集] を選択します。

5

表示される [サブスクリプション] タブで、[オプション] と [アドオン] を選択します。

6

[アドオンの追加] から [専用インスタンスの仮想接続] の隣にあるチェックボックスを選択します。SKU 名は「A-FLEX-DI-VC」です。

7

仮想接続が必要な地域の数と数を入力します。

仮想接続の数量が、専用インスタンスのために購入した地域の総数を超えるべきではありません。また、地域ごとに 1 つの仮想接続オーダーのみ許可されます。
8

選択に満足したら、ページ右上の [確認して保存] をクリックします。

9

[保存して続行] をクリックして注文を確定します。確定した注文が注文グリッドに入る。

ステップ 2: Control Hub での Virtual Connect のアクティベーション

1

Control Hub にサインインします https://admin.webex.com/login

2

[サービス] セクション で、[クラウド接続 の>で [通話>] に移動します

3

仮想接続カードで、購入した仮想接続の数量が一覧表示されます。管理者は [アクティベート] を クリックして 、仮想接続のアクティベーションを開始できます。

アクティベーション プロセスは、「カスタマー フル管理者」ロールを持つ管理者によってのみトリガされます。一方、「顧客読み取り専用管理者」ロールを持つ管理者はステータスのみ表示できます。
4

アクティベート ボタンをクリックすると、管理者に仮想接続のアクティベーション フォームが表示され、Cisco 側のピア設定で必要な Virtual Connect の技術的詳細を提供します。

このフォームは、選択された地域に基づいて、Cisco の側に静的情報も提供します。この情報は、顧客側の CPE が接続を確立するために構成する場合に役立ちます。

  1. GRE トンネルトランスポート IP アドレス: 顧客は顧客の横向きトンネル トランスポート IP アドレスを提供する必要があります。アクティベーションが完了すると、Cisco は動的に IP アドレスを割り当てる必要があります。興味深いトラフィックに対する IPSec ACL は、ローカル トンネル トランスポート IP/32 からリモート トンネル トランスポート IP/32 を許可する必要があります。ACL は GRE IP プロトコルのみを指定する必要があります。

    顧客が提供する IP アドレスは、プライベートまたはパブリックすることができます。

  2. IPSec ピア: 顧客は IPSec Tunnel のソース IP アドレスを提供する必要があります。Cisco は IPSec 宛先 IP アドレスを割り当てる必要があります。内部 INAT トンネルアドレスの NAT 翻訳をパブリックアドレスに実行するのも、必要に応じてサポートされます。

    顧客が提供する IP アドレスは公開されている必要があります。

    アクティベーション画面に表示されるその他すべての静的情報は、Cisco 側のセキュリティと暗号化標準が続きます。この静的構成はカスタマイズまたは変更できません。Cisco 側の静的設定に関するそれ以上の支援を得る場合、顧客は TAC に連絡する必要があります。
5

すべての必須フィールドの 入力が 完了したら、[アクティブにする] ボタンをクリックします。

6

一部の地域に対して仮想接続アクティベーション フォームが完了した後で、顧客は Control Hub、Calling > [専用インスタンス] > [クラウド接続] タブからアクティベーション フォームをエクスポートし、[エクスポート設定] をクリックできます。

セキュリティ上の理由により、エクスポートされたドキュメントでは認証と BGP パスワードは利用できませんが、管理者は Control Hub の [Calling] > [専用インスタンス] > [クラウド接続] タブの [設定を表示] をクリックして、Control Hub で同じ内容を表示できます。

ステップ 3: Cisco はネットワーク構成を実行します

1

仮想接続アクティベーション フォームが完了すると、ステータスが [アクティベーション中] に更新されます。 > 専用インスタンス > Cloud Connectivity Virtual Connect カードで進行中です。

2

シスコは5営業日以内にシスコのサイド機器で必要な構成を完了します。正常に完了すると、Control Hub の特定の地域に対してステータスが「アクティベート済み」に更新されます。

ステップ 4: 顧客はネットワーク構成を実行します

状態が「アクティベート済み」に変更され、顧客管理者に、IP VPN 接続に対する Cisco 側の構成が、顧客から提供された入力に基づいて完了したと通知します。しかし、顧客管理者は CCPEs 上の設定の横にある完了を済み、仮想接続トンネルをオンラインにするための接続ルートをテストする必要があります。設定または接続の時に直面した問題が発生した場合、顧客は Cisco TAC に支援を求めてもらいます。

トラブルシューティング

IPsec First Phase (IKEv2 ネゴシエーション) のトラブルシューティングと検証

IPsec トンネルネゴシエーションには、IKEv2 フェーズと IPsec フェーズという 2 つのフェーズがあります。IKEv2 フェーズネゴシエーションが完了しない場合、2 番目の IPsec フェーズの開始はありません。まず、IKEv2 セッションがアクティブかどうかを確認するために、コマンド「show crypto ikev2 sa」(Cisco機器上)またはサードパーティ機器上の同様のコマンドを発行します。IKEv2 セッションがアクティブでない場合、考えられる理由は次のとおりです。

  • 興味深いトラフィックは、IPsecトンネルをトリガーしません。

  • IPsec トンネル アクセス リストが間違っています。

  • 顧客と専用インスタンス IPsec トンネル エンドポイント IP の間には接続がありません。

  • IKEv2 セッション パラメータは、専用インスタンス側と顧客側の間で一致しません。

  • ファイアウォールが IKEv2 UDP パケットをブロックしています。

まず、IKEv2 トンネルネゴシエーションの進行状況を示すメッセージについては、IPsec ログを確認してください。ログは、IKEv2 ネゴシエーションに問題がある場所を示している可能性があります。ログメッセージの欠如は、IKEv2 セッションがアクティブ化されていないことを示す場合があります。

IKEv2 ネゴシエーションのよくあるエラーは次のとおりです。

  • CPE 側の IKEv2 の設定が Cisco 側と一致しません。次の設定を再確認してください。

    • IKE バージョンがバージョン 2 であることを確認します。

    • 暗号化と認証パラメータが、専用インスタンス側の予想される暗号化と一致していることを確認します。

      "GCM" 暗号が使用中の場合、GCM プロトコルは認証を処理し、認証パラメータを NULL に設定します。

    • ライフタイム設定を確認します。

    • Diffie Hellman係数群を検証する。

    • Pseudo Random Function の設定を確認します。

  • 暗号マップのアクセスリストは、以下に設定されていません。

    • GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255" (または同等のコマンド) を許可

      アクセスリストは「GRE」プロトコル専用でなければならず、「IP」プロトコルは機能しません。

ログ メッセージが IKEv2 フェーズのネゴシエーション アクティビティを表示していない場合は、パケット キャプチャが必要になる場合があります。

専用インスタンス側は常に IKEv2 取引所を開始するとは限らず、場合によっては顧客の CPE 側がイニシエーターになることを期待する場合があります。

IKEv2 セッション開始のための次の前提条件について、CPE 側の設定を確認します。

  • CPE トンネルトランスポート IP から専用インスタンストンネルトランスポート IP への GRE トラフィック(プロトコル 50)の IPsec 暗号アクセスリストを確認します。

  • GRE Keepalives が GRE Keepalives をサポートしていない場合は、GRE Tunnel インターフェイスが GRE Keepalives に対して有効になっていることを確認してください。GRE Keepalives はデフォルトで専用インスタンス側で有効になっているため、Cisco に通知されます。

  • BGP が専用インスタンス トンネル IP のネイバー アドレスで有効化され、設定されていることを確認します。

適切に設定すると、IPsec トンネルと第 1 フェーズ IKEv2 ネゴシエーションが開始されます。

  • CPE側のGREトンネルインターフェイスから専用インスタンス側のGREトンネルインターフェイスへのGREキーパーリブ。

  • CPE 側の BGP ネイバーから専用インスタンス側の BGP ネイバーへの BGP ネイバー TCP セッション。

  • CPE 側トンネル IP アドレスから専用インスタンス側トンネル IP アドレスに ping します。

    Ping は、トンネル輸送 IP へのトンネル輸送 IP にはできません。トンネル IP からトンネル IP にする必要があります。

IKEv2 トラフィックにパケット トレースが必要な場合は、UDP のフィルタと、ポート 500(IPsec エンドポイントの中央に NAT デバイスがない場合)またはポート 4500(IPsec エンドポイントの中央に NAT デバイスが挿入されている場合)のいずれかを設定します。

ポート 500 または 4500 の IKEv2 UDP パケットが DI IPsec IP アドレスとの間で送受信されていることを確認します。

専用インスタンスのデータセンターは、常に最初の IKEv2 パケットを開始するとは限りません。この要件は、CPE デバイスが最初の IKEv2 パケットを専用インスタンス側に開始できることです。

ローカル ファイアウォールで許可されている場合は、リモート IPsec アドレスへの ping も試行します。ローカル IPsec アドレスからリモート IPsec アドレスへの ping が成功しない場合は、トレース ルートを実行して支援し、パケットがドロップされる場所を特定します。

ファイアウォールやインターネット機器によっては、トレースルートを許可できない場合があります。

IPsec 第 2 フェーズ(IPsec ネゴシエーション)のトラブルシューティングと検証

IPsec 第 2 フェーズをトラブルシューティングする前に、IPsec 第 1 フェーズ(つまり、IKEv2 セキュリティ関連付け)がアクティブであることを確認します。「show crypto ikev2 sa」または同等のコマンドを実行して、IKEv2 セッションを検証します。出力では、IKEv2 セッションが数秒以上起動しており、バウンスしていないことを確認します。セッションのアップタイムは、セッション "Active Time" または同等の出力として表示されます。

IKEv2 セッションが起動してアクティブであることを確認したら、IPsec セッションを調査します。IKEv2 セッションと同様に、「show crypto ipsec sa」または同等のコマンドを実行して IPsec セッションを検証します。IKEv2 セッションと IPsec セッションの両方は、GRE トンネルが確立される前にアクティブである必要があります。IPsec セッションがアクティブとして表示されない場合は、IPsec ログでエラー メッセージまたはネゴシエーション エラーを確認してください。

IPsec交渉中に遭遇する可能性のあるより一般的な問題のいくつかは次のとおりです。

CPE 側の設定が専用インスタンス側と一致しません。設定を再確認してください。

  • 暗号化パラメータと認証パラメータが専用インスタンス側の設定と一致していることを確認します。

  • 完全転送秘密設定と、専用インスタンス側の一致設定を確認します。

  • ライフタイム設定を確認します。

  • IPsec がトンネル モードで設定されていることを確認します。

  • 送信元と宛先の IPsec アドレスを確認します。

トンネル インターフェイスのトラブルシューティングと検証

IPsec セッションと IKEv2 セッションが起動してアクティブであると検証されると、GRE トンネル キープアライブ パケットは、専用インスタンスと CPE トンネル エンドポイント間でフローできます。トンネル インターフェイスがステータスを表示しない場合、一般的な問題は次のとおりです。

  • トンネル インターフェイス トランスポート VRF は、ループバック インターフェイスの VRF と一致しません (トンネル インターフェイスで VRF 設定が使用されている場合)。

    トンネル インターフェイスで VRF 設定が使用されていない場合、このチェックは無視できます。

  • Keepalives は CPE 側トンネル インターフェイスでは有効になっていません

    CPE 機器でキーパリーブがサポートされていない場合、専用インスタンス側のデフォルトのキーパリーブも無効になるように Cisco に通知する必要があります。

    キーパリブがサポートされている場合は、キーパリブが有効になっていることを確認します。

  • トンネル インターフェイスのマスクまたは IP アドレスが正しくなく、専用インスタンスの期待値と一致しません。

  • 送信元または宛先トンネルの転送アドレスが正しくなく、専用インスタンスの期待値と一致しません。

  • ファイアウォールは、GRE パケットを IPsec トンネルに送信したり、IPsec トンネルから受信したりすることをブロックしています (GRE トンネルは IPsec トンネル経由で転送されます)。

ping テストでは、ローカル トンネル インターフェイスが起動し、リモート トンネル インターフェイスとの接続が良好であることを確認する必要があります。リモート トンネル IP へのトンネル IP(トランスポート IP ではない)から ping チェックを実行します。

GRE トンネル トラフィックを運んでいる IPsec トンネルの暗号アクセス リストでは、GRE パケットのみがクロスできます。その結果、トンネル輸送IPからリモートトンネル輸送IPへの接続は機能しません。

ping チェックは、送信元トンネルトランスポート IP から宛先トンネルトランスポート IP に生成された GRE パケットで実行され、GRE パケットのペイロード(内部 IP)が送信元および宛先トンネル IP になります。

ping テストが成功せず、前の項目が検証された場合、icmp ping の結果として GRE パケットが生成され、それが IPsec パケットにカプセル化され、送信元 IPsec アドレスから宛先 IPsec アドレスに送信されるように、パケット キャプチャが必要になる場合があります。GRE トンネル インターフェイスと IPsec セッション カウンタのカウンタも表示できます。

ping トラフィックに加えて、キャプチャはアイドル状態のトラフィック中でも keepalive GRE パケットを表示する必要があります。最後に、BGP が設定されている場合は、BGP キープアライブ パケットも、VPN を介して IPSEC パケットにカプセル化された GRE パケットとして送信する必要があります。

BGP トラブルシューティングと検証

BGP セッション

BGP は、VPN IPsec トンネル上のルーティング プロトコルとして必要です。ローカル BGP ネイバーは、専用インスタンス BGP ネイバーとの eBGP セッションを確立する必要があります。eBGP ネイバー IP アドレスは、ローカルおよびリモート トンネル IP アドレスと同じです。まず、BGP セッションが起動していることを確認し、適切なルートが専用インスタンスから受信され、正しいデフォルトルートが専用インスタンスに送信されていることを確認します。

GRE トンネルが起動している場合は、ローカル GRE トンネル IP とリモート GRE トンネル ip の間で ping が成功していることを確認します。ping が成功しても BGP セッションが起動しない場合は、BGP 確立エラーの BGP ログを調べます。

より一般的なBGP交渉の問題のいくつかは次のとおりです。

  • リモート AS 番号が、専用インスタンス側で設定されている AS 番号と一致しません。隣の AS 設定を再確認します。

  • ローカル AS 番号が、Dedictaed インスタンス側が期待しているものと一致しません。ローカル AS 番号が予想される専用インスタンス パラメータと一致していることを確認します。

  • ファイアウォールは、GRE パケットにカプセル化された BGP TCP パケットを IPsec トンネルに送信したり、IPSEC トンネルから受信したりすることをブロックしています。

  • リモート BGP ネイバー IP がリモート GRE トンネル IP と一致しません。

BGPルート交換

両方のトンネルで BGP セッションを検証したら、専用インスタンス側から正しいルートが送受信されていることを確認します。

専用インスタンスVPNソリューションは、顧客/パートナー側から2つのトンネルを確立することを期待しています。最初のトンネルは専用インスタンスのデータセンターA、2番目のトンネルは専用インスタンスのデータセンターBを指します。両方のトンネルはアクティブ状態である必要があり、ソリューションはアクティブ/アクティブ展開が必要です。各専用インスタンスのデータセンターは、ローカル /25 ルートと /24 バックアップ ルートをアドバタイズします。専用インスタンスから着信 BGP ルートを確認する場合、専用インスタンスデータセンター A を指すトンネルに関連付けられた BGP セッションが、専用インスタンスデータセンター A /25 ローカルルートと /24 バックアップルートを受信していることを確認します。さらに、専用インスタンス データセンター B を指すトンネルが、専用インスタンス データセンター B /25 ローカル ルートと /24 バックアップ ルートを受け取るようにします。/24 バックアップ ルートは、専用インスタンス データセンター A と専用インスタンス データセンター B からアドバタイズされた同じルートであることに注意してください。

そのデータセンターへのトンネル インターフェイスがダウンした場合、冗長性は専用インスタンス データセンターに提供されます。このシナリオでは、データセンターBへのトンネルはデータセンターB /25ルートを使用してデータセンターBへのトラフィックを送信し、データセンターBへのトンネルはバックアップ/24ルートを使用してデータセンターBを経由してデータセンターAへのトラフィックを送信します。

両方のトンネルがアクティブな場合、データセンター A トンネルはデータセンター B にトラフィックを送信するために使用されず、その逆も重要です。このシナリオでは、データセンタ B の宛先を持つトラフィックがデータセンタ A に送信された場合、データセンタ A はトラフィックをデータセンタ B に転送し、データセンタ B はデータセンタ B トンネルを介してトラフィックをソースに送信しようとします。これにより、最適ではないルーティングが生じ、ファイアウォールを横断するトラフィックが中断される可能性があります。したがって、両方のトンネルは、通常の運転中にアクティブ/アクティブ構成になることが重要です。

0.0.0.0/0 ルートは、顧客側から専用インスタンスのデータセンター側にアドバタイズする必要があります。専用インスタンス側では、より具体的なルートは受け入れられません。専用インスタンス データセンター A トンネルと専用インスタンス データセンター B トンネルの両方から 0.0.0.0/0 ルートがアドバタイズされていることを確認します。

MTU の設定

専用インスタンス側では、大きなパケットサイズのMTUを動的に調整するための2つの機能が有効になっています。GRE トンネルは、VPN セッションを通過する IP パケットにより多くのヘッダーを追加します。IPsec トンネルは、GRE ヘッダーの上に追加のヘッダーを追加することで、トンネル上で許可される最大の MTU をさらに削減します。

GRE トンネルは MSS 機能を調整し、MTU 検出機能の GRE トンネル パスは専用インスタンス側で有効になります。「ip tcp adjust-mss 1350」または同等のコマンド、および「tunnel path\u0002mtu-discovery」または同等のコマンドを顧客側に設定して、VPNトンネルを介したトラフィックのMTUの動的調整を支援します。