はじめに

仮想接続は、仮想マシンの専用インスタンス(専用インスタンス)へのクラウド接続Webex Calling追加オプションです。仮想接続により、顧客はポイント・ポイントの IP VPN トンネルを使用して、インターネット上のプライベート・ネットワークを安全に拡張することができます。この接続オプションにより、既存の顧客設置型機器(CPE)とインターネット接続を使用することで、プライベートネットワーク接続を簡単に利用できます。

Cisco ホストは、サービスが必要な Cisco の専用インスタンスデータセンター地域で、冗長 IP VPN トンネルと必要なインターネットアクセスを管理し、保証します。同様に、管理者は Virtual Connect に必要な CPE およびインターネットサービスに対応する責任を負います。

特定の専用インスタンス領域での各仮想接続の注文には、IPSec 暗号化(GRE over IPSec)により保護された一般的なルーティング(GRE)トンネルが含まれます。1 つは選択された地域の各 Cisco データセンターに対し 1 つです。

仮想接続の帯域幅の制限はトンネルごとに 250 Mbps です。より小さな展開を行う場合は推奨しています。2 つのポイントツーポイント VPN トンネルが使用されるため、クラウドへのすべてのトラフィックは、顧客のヘッドエンド CPE を通過する必要があります。そのため、リモートサイトが多い場合は適切ではありません。他の代替ピアリング オプションについては、「クラウド接続性 」を参照してください

仮想接続のピアリング リクエストを送信する前に、専用インスタンス サービスがそれぞれの地域でアクティブ化されていることを確認してください。

前提条件

仮想接続を確立するための前提条件:

  • 顧客が提供する情報

    • 展開をサポートするのに十分な帯域幅でのインターネット接続

    • 2 つの IPSec トンネル用のパブリック IP アドレス

    • 2 つの GRE トンネルの顧客側の GRE トランスポート IP アドレス

  • パートナーと顧客

    • 帯域幅の要件を評価するために共に作業を行います

    • ネットワーク デバイス (BGP) ルーティングボーダー ゲートウェイ プロトコル IPSec トンネル デザイン上の GRE をサポートしていることを確認します

  • パートナーまたは顧客が提供する

    • サイト間 VPN トンネル技術の知識を持つネットワークチーム

    • BGP、eB BGP、一般的なルーティング原理の知識を持つネットワーク チーム

  • Cisco

    • Cisco により割り当てられたプライベート自動電子メールアドレス (ASN) と GRE トンネルインターフェースへの一時的 IP アドレス指定

    • Cisco は、専用インスタンス クラウド アドレス指定にパブリックただしインターネット アクセス可能なクラス C (/24) ネットワークを割り当てて済みです

顧客が 1 つの CPE デバイスのみを持っている場合、各地域の Cisco のデータセンター (DC1 および DC2) に向かう 2 つのトンネルは、その CPE デバイスから来たものとなります。顧客はまた、2 つの CPE デバイスに対するオプションをもち、各 CPE デバイスは、各地域の Cisco のデータセンター (DC1 および DC2) にのみ対して 1 トンネルにのみ接続する必要があります。追加の冗長性は、各トンネルを顧客のインフラストラクチャ内にある別々の物理的なサイト/ロケーションに終了することで、達成できます。

技術的な詳細

展開モデル

Virtual Connectは、デュアルティアのヘッドエンドアーキテクチャを使用し、ルーティングとGREコントロール飛行機が 1 つのデバイスによって提供され、IPSec コントロール飛行機が別のデバイスによって提供されます。

仮想接続接続が完了すると、顧客のエンタープライズネットワークと専用インスタンスの Cisco のデータセンター間に 2 つの GRE over IPSec トンネルが作成されます。各地域内の1対1の冗長データセンター。ピアリングに必要な追加のネットワーク要素は、Control Hub Virtual Connect アクティベーション フォームを通じて、パートナーまたは顧客から Cisco に交換されます。

次の図は、顧客側の 2 コンセントレータオプションの仮想接続展開モデルの例です。

仮想接続 - VPN はハブ設計であり、顧客のハブ サイトが特定の地域内の専用インスタンスのデータセンターの DC1 および DC2 に接続されます。

より良い冗長性のためには、2 つのハブ サイトが推奨されますが、2 つのトンネルを持つ One Hub サイトもサポートされている展開モデルです。

トンネルあたりの帯域幅は 250 Mbps に制限されています。

同じ地域内にある顧客のリモート サイトは、顧客の WAN 上のハブ サイトに戻る必要があります。また、その接続に対する Cisco の責任ではありません。

パートナーは顧客と緊密に連携し、仮想接続 サービス地域に最適なパスを選択する必要があります。

次の図は、専用インスタンスのクラウド接続ピアリング領域を示しています。

仮想接続地域

ルーティング

Virtual Connect アドオンのルーティングは、専用インスタンスと顧客の設置型機器 (CPE) の間の外部 BGP (eB BGP) を使用して実装されます。Cisco は顧客の CPE に地域内の各冗長 DC に対してそれぞれのネットワークをアドバタイズし、CPE は Cisco へのデフォルトルートをアドバタイズする必要があります。

  • Cisco は、

    • トンネルインターフェースIPアドレス指定(ルーティング用の一時的なリンク)Cisco は指定された共有アドレススペース(非パブリックルート)から割り当てる

    • トンネルトランスポートアドレス(シスコ側)

    • 顧客 BGP ルーティング構成用のプライベートな自律システム番号 (ASN)

      • Cisco は指定されたプライベートの使用範囲から割り当てる: 64512 ~ 65534

  • eBGP は、専用インスタンスと CPE 間のルートを交換するために使用されます。

    • Cisco は指定された /24 ネットワークを各地域の各 DC に割り当て済み /25 に分割します

    • Virtual Connect 各 /25 ネットワークは、各ポイント間 VPN トンネル(一時的リンク)で Cisco により CPE にアドバタイズされます

    • CPE は適切な eBGP 近隣で構成される必要があります。1 つの CPE を使用する場合、2 つの eBGP 近隣が使用されます。1 つのリモートトンネルが 1 つポイントになります。2 つの CPE を使用する場合、各 CPE は 1 つの eBGP 近隣を持ち、CPE 用の 1 つのリモート トンネルに接続します。

    • 各 GRE トンネル (トンネルインターフェイス IP) の Cisco 側は、CPE の BGP 近隣として構成されます

    • CPE は各トンネルでデフォルトのルートをアドバタイズする必要があります

    • CPE は必要に応じて、サイト管理人の企業ネットワーク内で知らされたルートを再配布する責任を持っています。

  • 非障害リンク障害状態では、単一 CPE には 2 つのアクティブ/アクティブトンネルがあります。2 つの CPE ノードについて、各 CPE は 1 つのアクティブなトンネルを持ち、両方の CPE ノードをアクティブにし、トラフィックを渡す必要があります。非障害シナリオの下で、トラフィックは正しい /25 宛先に進む 2 つのトンネルで分割する必要があります。トンネルの 1 つがダウンした場合、残りのトンネルは両方のトラフィックを実行できます。このような障害シナリオの下では、/25 ネットワークがダウンすると、/24 ネットワークがバックアップルートとして使用されます。Cisco は、接続が失われた DC に対して、内部 WAN 経由で顧客のトラフィックを送信します。

接続プロセス

次の高レベル手順では、専用インスタンスで仮想 Connect を接続する方法を説明します。
1

Cisco CCW で注文を行う

2

コントロール ハブから仮想接続をアクティベートする

3

Cisco はネットワーク構成を実行します

4

顧客はネットワーク構成を実行します

ステップ1: CCW での注文

Virtual Connect は、CCW の専用インスタンスのアドオンです。

1

CCW 注文サイトに移動し、[ログイン] をクリックして、サイトにサインオンします。

https://apps.cisco.com/Commerce/guest.
2

見積もりを作成します。

3

「A-FLEX-3」SKU を追加します。

4

[オプションの編集] を選択します。

5

表示される [サブスクリプション] タブで、[オプション] と [アドオン] を選択します。

6

[アドオンの追加] から [専用インスタンスの仮想接続] の隣にあるチェックボックスを選択します。SKU 名は「A-FLEX-DI-VC」です。

7

仮想接続が必要な地域の数と数を入力します。

仮想接続の数量が、専用インスタンスのために購入した地域の総数を超えるべきではありません。また、地域ごとに 1 つの仮想接続オーダーのみ許可されます。
8

選択に満足したら、ページ右上の [確認して保存] をクリックします。

9

[保存して続行] をクリックして注文を確定します。確定した注文が注文グリッドに入る。

ステップ 2: Control Hub での Virtual Connect のアクティベーション

1

Control Hub にサインインします https://admin.webex.com/login

2

[サービス] セクション で、[クラウド接続 の>で [通話>] に移動します

3

仮想接続カードで、購入した仮想接続の数量が一覧表示されます。管理者は [アクティベート] を クリックして 、仮想接続のアクティベーションを開始できます。

アクティベーション プロセスは、「カスタマー フル管理者」ロールを持つ管理者によってのみトリガされます。一方、「顧客読み取り専用管理者」ロールを持つ管理者はステータスのみ表示できます。
4

アクティベート ボタンをクリックすると、管理者に仮想接続のアクティベーション フォームが表示され、Cisco 側のピア設定で必要な Virtual Connect の技術的詳細を提供します。

このフォームは、選択された地域に基づいて、Cisco の側に静的情報も提供します。この情報は、顧客側の CPE が接続を確立するために構成する場合に役立ちます。

  1. GRE トンネル トランスポート IP アドレス: 顧客は顧客の横向きトンネル トランスポート IP アドレスを提供する必要があります。アクティベーションが完了すると、Cisco は動的に IP アドレスを割り当てる必要があります。興味深いトラフィックに対する IPSec ACL は、ローカル トンネル トランスポート IP/32 からリモート トンネル トランスポート IP/32 を許可する必要があります。ACL は GRE IP プロトコルのみを指定する必要があります。

    顧客が提供する IP アドレスは、プライベートまたはパブリックすることができます。

  2. IPSec ピア: 顧客は IPSec Tunnel のソース IP アドレスを提供する必要があります。Cisco は IPSec 宛先 IP アドレスを割り当てる必要があります。内部 INAT トンネルアドレスの NAT 翻訳をパブリックアドレスに実行するのも、必要に応じてサポートされます。

    顧客が提供する IP アドレスは公開されている必要があります。

    アクティベーション画面に表示されるその他すべての静的情報は、Cisco 側のセキュリティと暗号化標準が続きます。この静的構成はカスタマイズまたは変更できません。Cisco 側の静的設定に関するそれ以上の支援を得る場合、顧客は TAC に連絡する必要があります。
5

すべての必須フィールドの 入力が 完了したら、[アクティブにする] ボタンをクリックします。

6

一部の地域に対して仮想接続アクティベーション フォームが完了した後で、顧客は Control Hub、Calling > [専用インスタンス] > [クラウド接続] タブからアクティベーション フォームをエクスポートし、[エクスポート設定] をクリックできます。

セキュリティ上の理由により、エクスポートされたドキュメントでは認証と BGP パスワードは利用できませんが、管理者は Control Hub の [Calling] > [専用インスタンス] > [クラウド接続] タブで [設定を表示] をクリックして、Control Hub で同じ内容を表示できます。

ステップ 3: Cisco はネットワーク構成を実行します

1

仮想接続アクティベーション フォームが完了すると、ステータスが [アクティベーション中] に更新されます。 > 専用インスタンス > Cloud Connectivity Virtual Connect カードで進行中です。

2

シスコは 5 営業日以内に、シスコ側の機器に必要な設定を完了します。正常に完了すると、Control Hub の特定の地域に対してステータスが「アクティベート済み」に更新されます。

ステップ 4: 顧客はネットワーク構成を実行します

状態が「アクティベート済み」に変更され、顧客管理者に、IP VPN 接続に対する Cisco 側の構成が、顧客から提供された入力に基づいて完了したと通知します。しかし、顧客管理者は CCPEs 上の設定の横にある完了を済み、仮想接続トンネルをオンラインにするための接続ルートをテストする必要があります。設定または接続の時に直面した問題が発生した場合、顧客は Cisco TAC に支援を求めてもらいます。

トラブルシューティング

IPsec 第 1 フェーズ (IKEv2 ネゴシエーション) のトラブルシューティングと検証

IPsec トンネル ネゴシエーションには、IKEv2 フェーズと IPsec フェーズの 2 つのフェーズが含まれます。IKEv2 フェーズネゴシエーションが完了しない場合、2 番目の IPsec フェーズが開始されません。まず、「show crypto ikev2 sa」(Cisco 機器上)コマンド、またはサードパーティ機器上の同様のコマンドを発行して、IKEv2 セッションがアクティブかどうかを確認します。IKEv2 セッションがアクティブでない場合、次の潜在的な理由があります。

  • 興味深いトラフィックは IPsec トンネルをトリガーしません。

  • IPsec トンネル アクセス リストの設定が間違っています。

  • 顧客と専用インスタンス IPsec トンネル エンドポイント IP 間に接続性がありません。

  • IKEv2 セッション パラメータが専用インスタンス側と顧客側の間で一致しません。

  • ファイアウォールが IKEv2 UDP パケットをブロックしています。

まず、IKEv2 トンネル ネゴシエーションの進行状況を示すメッセージの IPsec ログを確認します。ログは IKEv2 ネゴシエーションに問題がある場所を示す場合があります。ログメッセージの欠如は、IKEv2 セッションがアクティブになっていないことを示す場合もあります。

IKEv2 ネゴシエーションの一般的なエラーは次のとおりです。

  • CPE 側の IKEv2 の設定が Cisco 側と一致しません。上記の設定を再確認してください。

    • IKE バージョンがバージョン 2 であることを確認します。

    • 暗号化と認証のパラメータが、専用インスタンス側の期待される暗号化と一致することを確認します。

      「GCM」暗号が使用されている場合、GCM プロトコルは認証を処理し、認証パラメータを NULL に設定します。

    • 有効期間設定を確認します。

    • Diffie Hellman 係数グループを確認します。

    • 疑似ランダム関数設定を確認します。

  • 暗号マップのアクセス リストは次のように設定されていません。

    • GRE (local_tunnel_transport_ip) 255.255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (または同等のコマンド)

      アクセス リストは「GRE」プロトコル専用のものでなければならず、「IP」プロトコルは機能しません。

ログ メッセージが IKEv2 フェーズのネゴシエーションアクティビティを表示していない場合は、パケット キャプチャが必要になる場合があります。

専用インスタンス側は、常に IKEv2 交換を開始するとは限らない場合があり、顧客の CPE 側がイニシエータになると予想されることがあります。

IKEv2 セッション開始の次の前提条件について、CPE 側の構成を確認してください。

  • CPE トンネル トランスポート IP から専用インスタンス トンネル トランスポート IP への GRE トラフィック(プロトコル 50)の IPsec 暗号アクセス リストを確認します。

  • GRE キープアライブに対して GRE トンネル インターフェイスが有効になっていることを確認します。機器が GRE キープアライブをサポートしていない場合は、デフォルトで GRE キープアライブが有効になっているため、Cisco に通知されます。

  • BGP が専用インスタンス トンネル IP のネイバー アドレスで有効になっていて、構成されていることを確認します。

正しく設定すると、IPsec トンネルと第 1 フェーズ IKEv2 ネゴシエーションが開始されます。

  • CPE 側の GRE トンネル インターフェイスから専用インスタンス側の GRE トンネル インターフェイスへの GRE キープアライブ。

  • CPE 側の BGP ネイバーから専用インスタンス側の BGP ネイバーへの BGP ネイバーの TCP セッション。

  • CPE 側トンネル IP アドレスから専用インスタンス側トンネル IP アドレスに ping します。

    ping はトンネル トランスポート IP からトンネル IP にすることはできません。トンネル IP からトンネル IP にする必要があります。

IKEv2 トラフィックにパケット トレースが必要な場合は、UDP およびポート 500(NAT デバイスが IPsec エンドポイントの真ん中にない場合)またはポート 4500(nat デバイスが IPsec エンドポイントの真ん中に挿入されている場合)のいずれかのフィルタを設定します。

ポート 500 または 4500 を含む IKEv2 UDP パケットが DI IPsec IP アドレスとの間で送受信されることを確認します。

専用インスタンスのデータセンターは常に最初の IKEv2 パケットを開始するとは限りません。要件は、CPE デバイスが専用インスタンス側に対して最初の IKEv2 パケットを開始できるということです。

ローカル ファイアウォールが許可している場合は、リモート IPsec アドレスへの ping も試行します。ping がローカル IPsec アドレスからリモート IPsec アドレスに成功した場合は、トレース ルートを実行してパケットがドロップされる場所を決定します。

一部のファイアウォールおよびインターネット機器では、トレース ルートを許可していない場合があります。

IPsec 第 2 フェーズ(IPsec ネゴシエーション)のトラブルシューティングと検証

IPsec 第 2 フェーズをトラブルシューティングする前に、IPsec 第 1 フェーズ(つまり IKEv2 セキュリティ関連付け)がアクティブであることを確認します。「show crypto ikev2 sa」または同等のコマンドを実行して、IKEv2 セッションを確認します。出力で、IKEv2 セッションが数秒以上稼働し、バウンスしていないことを確認します。セッションの稼働時間は、セッションの「アクティブ時間」または同等の出力として表示されます。

IKEv2 セッションがアップおよびアクティブであると確認したら、IPsec セッションを調査します。IKEv2 セッションと同様に、「show crypto ipsec sa」または同等のコマンドを実行して IPsec セッションを確認します。GRE トンネルが確立される前に、IKEv2 セッションと IPsec セッションの両方をアクティブにする必要があります。IPsec セッションがアクティブとして表示されない場合は、IPsec ログでエラーメッセージまたはネゴシエーションエラーを確認します。

IPsec のネゴシエーション中に発生する可能性のある最も一般的な問題には、次のものがあります。

CPE 側の設定が専用インスタンス側と一致しない場合は、次の設定を再確認してください。

  • 暗号化と認証のパラメータが専用インスタンス側の設定と一致していることを確認します。

  • Perfect Forward Secrecy の設定と、専用インスタンス側の設定が一致することを確認します。

  • 有効期間設定を確認します。

  • IPsec がトンネル モードで設定されていることを確認します。

  • 発信元と宛先 IPsec アドレスを確認します。

トンネル インターフェイスのトラブルシューティングと検証

IPsec および IKEv2 セッションがアップおよびアクティブとして検証されると、GRE トンネル キープアライブ パケットは専用インスタンスと CPE トンネル エンドポイント間でフローティングできます。トンネル インターフェイスがステータスを表示していない場合、次のような一般的な問題があります。

  • トンネル インターフェイスのトランスポート VRF は、ループバック インターフェイスの VRF と一致しません(VRF 設定がトンネル インターフェイスで使用されている場合)。

    VRF 設定がトンネル インターフェイスで使用されていない場合、このチェックは無視できます。

  • キープアライブは CPE 側のトンネル インターフェイスで有効になっていません

    キープアライブが CPE 機器でサポートされていない場合、専用インスタンス側のデフォルト キープアライブも無効になるように、Cisco に通知する必要があります。

    キープアライブがサポートされている場合は、キープアライブが有効になっていることを確認します。

  • トンネル インターフェイスのマスクまたは IP アドレスが間違っており、専用インスタンスの期待値と一致しません。

  • 送信元または送信先のトンネル トランスポート アドレスが間違っており、専用インスタンスの期待値と一致しません。

  • ファイアウォールが GRE パケットを IPsec トンネルに送信するか、IPsec トンネルから受信することをブロックしています(GRE トンネルは IPsec トンネルを介して転送されます)。

ping テストでは、ローカル トンネル インターフェイスが起動し、リモート トンネル インターフェイスとの接続が良好であることを確認する必要があります。トンネル IP(トランスポート IP ではなく)からリモート トンネル IP への ping チェックを実行します。

GRE トンネル トラフィックを伝送する IPsec トンネルの暗号アクセス リストでは、GRE パケットのみがクロスできます。その結果、ping はトンネル トランスポート IP からリモート トンネル トランスポート IP に機能しません。

ping チェックは、ソース トンネル トランスポート IP から宛先トンネル トランスポート IP に生成される GRE パケットで、GRE パケット(内部 IP)のペイロードが送信元および宛先トンネル IP になります。

ping テストが成功せず、上記の項目が検証された場合、icmp ping が GRE パケットとなり、それを IPsec パケットにカプセル化され、送信元 IPsec アドレスから宛先 IPsec アドレスに送信されることを確認するためにパケット キャプチャが必要となる場合があります。GRE トンネル インターフェイスのカウンタと IPsec セッション カウンタは、送受信パケットが増加している場合に表示にも役立ちます。

ping トラフィックに加えて、キャプチャはアイドルトラフィック中でもキープアライブ GRE パケットを表示する必要があります。最後に、BGP が設定されている場合、BGP キープアライブ パケットも、IPSEC パケットおよび VPN 経由でカプセル化された GRE パケットとして送信する必要があります。

BGP トラブルシューティングと検証

BGP セッション

BGP は VPN IPsec トンネル経由のルーティング プロトコルとして必要です。ローカル BGP ネイバーは、専用インスタンス BGP ネイバーと EBGP セッションを確立する必要があります。eBGP ネイバー IP アドレスは、ローカル トンネル IP アドレスとリモート トンネル IP アドレスと同じです。まず、BGP セッションが起動していることを確認してから、正しいルートが専用インスタンスから受信されており、正しいデフォルト ルートが専用インスタンスに送信されていることを確認します。

GRE トンネルが起動している場合、ローカル GRE トンネル IP とリモート GRE トンネル IP の間で ping が成功していることを確認します。ping が成功したが、BGP セッションが起動していない場合は、BGP の確立エラーについて BGP ログを調査します。

より一般的な BGP ネゴシエーションの問題には、次のものがあります。

  • リモート AS 番号が、専用インスタンス側で設定された AS 番号と一致しないため、近隣の AS 構成を再確認してください。

  • ローカル AS 番号が、専用インスタンス側が期待するものと一致しません。ローカル AS 番号が期待される専用インスタンスのパラメータと一致することを確認します。

  • ファイアウォールは、GRE パケットにカプセル化された BGP TCP パケットが IPsec トンネルに送信されるか、または IPSEC トンネルから受信されるのをブロックしています。

  • リモート BGP ネイバー IP がリモート GRE トンネル IP と一致しません。

BGP ルートエクスチェンジ

両方のトンネルで BGP セッションが検証されたら、正しいルートが専用インスタンス側から送受信されていることを確認します。

専用インスタンス VPN ソリューションは、顧客/パートナー側から 2 つのトンネルが確立されることを期待しています。最初のトンネルは専用インスタンス データセンター A にポイントし、2 番目のトンネルは専用インスタンス データセンター B にポイントします。両方のトンネルはアクティブ状態である必要があり、ソリューションにはアクティブ/アクティブな展開が必要です。各専用インスタンスのデータセンターは、ローカル /25 ルートと /24 バックアップ ルートをアドバタイズします。専用インスタンスからの着信 BGP ルートを確認する場合、専用インスタンス データセンター A を指すトンネルに関連付けられた BGP セッションが、専用インスタンス データセンター A /25 ローカル ルートと /24 バックアップ ルートを受信していることを確認してください。さらに、専用インスタンス データセンター B を指すトンネルが、専用インスタンス データセンター B /25 ローカル ルートと /24 バックアップ ルートを受け取ることを確認します。/24 バックアップ ルートは、専用インスタンス データセンター A と専用インスタンス データセンター B からアドバタイズされた同じルートになります。

データセンターのトンネル インターフェイスがダウンした場合、冗長性は専用インスタンス データセンターに提供されます。専用インスタンスのデータセンター A への接続が失われた場合、トラフィックは専用インスタンスのデータセンター B からデータセンター A に転送されます。このシナリオでは、データセンター B へのトンネルはデータセンター B にトラフィックを送信するために、データセンター B へのトンネルはバックアップ /24 ルートを使用して、データセンター A にトラフィックを送信します。

両方のトンネルがアクティブな場合、データセンター A トンネルを使用して、データセンター B にトラフィックを送信しないことが重要です。このシナリオでは、データセンター B の宛先を持つデータセンター A にトラフィックが送信された場合、データセンター A はトラフィックをデータセンター B に転送し、データセンター B はデータセンター B トンネル経由でトラフィックをソースに送信しようとします。これにより、最適化されたルーティングが不足し、トラフィックトラバーサルファイアウォールが壊れる可能性があります。したがって、両方のトンネルが通常の運用中にアクティブ/アクティブ構成になることが重要です。

0.0.0.0/0 ルートは、顧客側から専用インスタンスデータセンター側にアドバタイズする必要があります。より具体的なルートは、専用インスタンス側では受け入れられません。0.0.0.0/0 ルートが、専用インスタンス データセンター A トンネルと専用インスタンス データセンター B トンネルの両方からアドバタイズされていることを確認します。

MTU 設定

専用インスタンス側では、大きなパケット サイズに対して MTU を動的に調整するための 2 つの機能が有効になっています。GRE トンネルは、VPN セッションを経由する IP パケットにより多くのヘッダーを追加します。IPsec トンネルは、GRE ヘッダーの上に追加のヘッダーを追加することで、トンネル上で許可される最大の MTU をさらに縮小します。

GRE トンネルは MSS 機能を調整し、MTU 検出機能の GRE トンネル パスは専用インスタンス側で有効になります。顧客側に "ip tcp adjust-mss 1350" または同等のコマンド、および "tunnel path\u0002mtu-discovery" または同等のコマンドを設定して、VPN トンネル経由のトラフィックの MTU の動的な調整を支援します。