紹介

Virtual Connect は、Webex Calling (専用インスタンス) の専用インスタンスへのクラウド接続の追加アドオンオプションです。 仮想接続を使用すると、顧客はポイントツーポイント IP VPN トンネルを使用してインターネット経由でプライベートネットワークを安全に拡張できます。 この接続オプションは、既存の Customer Premise Equipment (CPE) とインターネット接続を使用して、プライベート ネットワーク接続を迅速に確立します。

Cisco は、冗長な IP VPN トンネルと、サービスが必要な Cisco の専用インスタンス データセンター リージョンで必要なインターネット アクセスをホスト、管理、保証します。 同様に、管理者は、Virtual Connect の確立に必要な対応する CPE およびインターネット サービスに対して責任を負います。

特定の専用インスタンスリージョンの各仮想接続注文には、IPSec 暗号化(GRE over IPSec)によって保護された 2 つの汎用ルーティングカプセル化(GRE)トンネルが含まれます。1 つは、選択したリージョンの各 Cisco のデータセンタに送信されます。

Virtual Connect の帯域幅制限は、トンネルあたり 250 Mbps で、小規模な展開には推奨されます。 2つのポイントツーポイントVPNトンネルが使用されているため、クラウドへのすべてのトラフィックは顧客のヘッドエンドCPEを通過する必要があり、したがって、リモートサイトがたくさんある場所には適していない可能性があります。 他のピアリングオプションについては、「クラウド接続」を参照してください。


 

仮想接続のピアリング要求を送信する前に、それぞれの地域で専用インスタンスサービスがアクティブになっていることを確認してください。

前提条件

仮想接続を確立するための前提条件は次のとおりです。

  • 顧客が提供

    • 展開をサポートするのに十分な帯域幅を備えたインターネット接続

    • 2 つの IPSec トンネル用のパブリック IP アドレス

    • 2つのGREトンネルの顧客側のGREトランスポートIPアドレス

  • パートナーおよび顧客

    • 帯域幅の要件を評価するために協力する

    • ネットワーク デバイスがボーダー ゲートウェイ プロトコル (BGP) ルーティングと GRE over IPSec トンネル デザインをサポートしていることを確認する

  • パートナーまたは顧客が提供

    • サイトツーサイトのVPNトンネル技術の知識を持つネットワークチーム

    • BGP、eBGP、および一般的なルーティング原則に関する知識を持つネットワークチーム

  • Cisco

    • Cisco は、GRE トンネル インターフェイス用のプライベート オートヌーマス システム番号(ASN)とトランジェント IP アドレスを割り当てました。

    • Cisco は、専用インスタンス クラウド アドレッシング用のパブリックだがインターネットルーティング可能なクラス C (/24) ネットワークを割り当てました


 

顧客が 1 台の CPE デバイスしか持っていない場合、各地域の Cisco のデータセンター (DC1 および DC2) に向かう 2 つのトンネルは、その CPE デバイスからのものです。 顧客には 2 台の CPE デバイスのオプションもあります。各 CPE デバイスは、各地域の Cisco のデータセンター (DC1 および DC2) 向けに 1 つのトンネルに接続する必要があります。 お客様のインフラストラクチャ内の別の物理的サイト/ロケーションで各トンネルを終了することにより、追加の冗長性を達成することができます。

技術的な詳細

展開モデル

Virtual Connectは、ルーティングとGRE制御プレーンが1つのデバイスによって提供され、IPSec制御プレーンが別のデバイスによって提供される2層のヘッドエンドアーキテクチャを使用します。

Virtual Connect接続が完了すると、お客様のエンタープライズネットワークと専用インスタンスCiscoのデータセンターの間に2つのGRE over IPSecトンネルが作成されます。 各リージョン内の冗長データセンターに 1 つ。 ピアリングに必要な追加のネットワーキング要素は、Control Hub Virtual Connect アクティベーション フォーム経由でパートナーまたは顧客から Cisco に交換されます。

図1は、顧客側の2コンセントレータオプションのVirtual Connect展開モデルの例です。

仮想接続 - VPNはハブ設計であり、顧客のハブサイトが特定の地域内の専用インスタンスのデータセンターのDC1およびDC2に接続されています。

冗長性を向上させるために 2 つの Hub サイトが推奨されますが、2 つのトンネルを備えた One Hub サイトもサポートされている展開モデルです。


 

トンネルあたりの帯域幅は 250 Mbps に制限されています。


 

同じ地域内のお客様のリモートサイトは、お客様の WAN 経由でハブサイトに接続する必要がありますが、その接続については Cisco の責任ではありません。

パートナーは、お客様と緊密に連携し、「バーチャルコネクト」サービス地域に最適なパスを選択することが期待されます。

図2は、専用インスタンスクラウド接続ピアリングリージョンです。

ルーティング

Virtual Connect アドオンのルーティングは、専用インスタンスと Customer Premise Equipment (CPE) の間の外部 BGP (eBGP) を使用して実装されます。 Cisco は、リージョン内の冗長な DC の各ネットワークを顧客の CPE にアドバタイズし、CPE は Cisco へのデフォルト ルートをアドバタイズする必要があります。

  • Cisco の保守と割り当て

    • Cisco が指定された共有アドレス空間から割り当てるトンネルインターフェイス IP アドレッシング(ルーティングの一時的なリンク)(非公開ルーティング可能)

    • トンネル トランスポートの淡水化アドレス (Cisco 側)

    • 顧客 BGP ルーティング設定用のプライベート自律システム番号(ASN)

      • Cisco は、指定されたプライベート使用範囲から割り当てます。 64512から65534

  • 専用インスタンスと CPE 間のルートを交換するために使用される eBGP

    • Cisco は、割り当てられた /24 ネットワークを、各地域の各 DC に対して 2 /25 に分割します。

    • 仮想接続では、各 /25 ネットワークは、それぞれのポイントツーポイント VPN トンネル(トランジェントリンク)を介して、シスコによって CPE にアドバタイズされます。

    • CPE は、適切な eBGP ネイバーで設定する必要があります。 1 つの CPE を使用する場合、2 つの eBGP ネイバーが使用され、1 つは各リモート トンネルを指します。 2つのCPEを使用する場合、各CPEには1つのeBGPネイバーがCPE用の単一のリモートトンネルにポンティングされます。

    • 各 GRE トンネルのシスコ側(トンネルインターフェイス IP)は、CPE の BGP ネイバーとして設定されます。

    • CPEは、各トンネルのデフォルトのルートを広告する必要があります。

    • CPEは、必要に応じて、cutomerのエンタープライズネットワーク内の学習ルートを再配布する責任があります。

  • 非障害リンク障害状態では、1つのCPEに2つのアクティブ/アクティブトンネルがあります。 2 つの CPE ノードの場合、各 CPE には 1 つのアクティブなトンネルがあり、両方の CPE ノードはアクティブで、トラフィックを渡す必要があります。 失敗しないシナリオでは、トラフィックは正しい/25の目的地に行く2つのトンネルに分割する必要があります。 トンネルの1つがダウンすると、残りのトンネルは両方のトラフィックを運ぶことができます。 このような失敗シナリオでは、/25 ネットワークがダウンすると、/24 ネットワークがバックアップ ルートとして使用されます。 Cisco は、接続が失われた DC に対して、内部 WAN 経由で顧客のトラフィックを送信します。

接続プロセス

次の高レベルの手順では、専用インスタンスの仮想接続との接続を確立する方法について説明します。
1

Cisco CCW で注文を行う

2

Control Hub から仮想接続を有効にする

3

Cisco がネットワーク設定を実行する

4

顧客がネットワーク構成を実行する

ステップ1: CCW での注文

Virtual Connect は、CCW の専用インスタンスのアドオンです。

1

CCW 注文サイトに移動し、[ログイン] をクリックしてサイトにサインオンします。

2

見積もりを作成します。

3

「A-FLEX-3」SKUを追加します。

4

[編集] オプションを選択します。

5

表示されるサブスクリプションタブで、[オプション] と [アドオン] を選択します。

6

[追加アドオン] で、[専用インスタンスの仮想接続] の横にあるチェックボックスを選択します。 SKU名は「A-FLEX-DI-VC」。

7

Virtual Connect が必要なリージョンの数と数を入力します。


 
仮想接続の数は、専用インスタンス用に購入したリージョンの合計数を超えてはなりません。 また、地域ごとに 1 つの仮想接続注文のみ許可されます。
8

選択した内容で問題がなければ、ページの右上の [確認して保存] をクリックします。

9

[保存して続行] をクリックして注文を確定します。 確定した注文は、注文グリッドに表示されるようになりました。

ステップ 2: Control Hub での仮想接続のアクティベーション

1

Control Hub にサインインします。https://admin.webex.com/login.

2

[サービス] セクションで、[通話 > 専用 Instacnce > クラウド接続] の順に移動します。

3

Virtual Connect カードには、購入した Virtual Connect の数が一覧表示されます。 管理者はアクティベートをクリックしてVirtual Connectのアクティベーションを開始できるようになりました。


 
アクティベーション プロセスは、「顧客フル管理者」ロールを持つ管理者のみによってトリガーできます。 一方、「顧客の読み取り専用管理者」ロールを持つ管理者は、ステータスのみを表示できます。
4

管理者がアクティブ化ボタンをクリックすると、仮想接続をアクティブ化フォームが表示され、シスコ側のピアリング設定に必要な仮想接続の技術詳細が表示されます。


 
このフォームは、選択したリージョンに基づいて、Cisco 側の静的な情報も提供します。 この情報は、顧客管理者が接続を確立するためにCPEを側面に設定するのに役立ちます。
  1. GRE トンネルトランスポート IP アドレス: 顧客は、顧客側の Tunnel Transport IP アドレスを提供する必要があります。アクティベーションが完了すると、Cisco は動的に IP アドレスを割り当てます。 興味深いトラフィックの IPSec ACL は、ローカルトンネルトランスポート IP/32 からリモートトンネルトランスポート IP/32 を許可する必要があります。 ACL はまた、GRE IP プロトコルのみを指定する必要があります。


     
    顧客が提供する IP アドレスは、プライベートまたはパブリックです。
  2. IPSec ピア: 顧客は IPSec Tunnel のソース IP アドレスを提供する必要があり、Cisco は IPSec 宛先 IP アドレスを割り当てます。 必要に応じて、内部IPSECトンネルアドレスのパブリックアドレスへのNAT翻訳もサポートされます。​


     

    顧客が提供する IP アドレスは公開されている必要があります。


     
    アクティベーション画面で提供されるその他のすべての静的情報は、Cisco の側面のセキュリティと暗号化基準に従っています。 この静的設定はカスタマイズまたは変更できません。 Cisco 側の静的設定に関するさらなる支援については、顧客が TAC に連絡する必要があります。
5

すべての必須フィールドに入力したら、[有効化]ボタンをクリックします。

6

参加地域の仮想接続アクティベーションフォームが完了すると、顧客は Control Hub の [通話] > [専用インスタンス] > [クラウド接続] タブからアクティベーションフォームをエクスポートし、[設定のエクスポート] をクリックします。


 
セキュリティ上の理由により、認証と BGP パスワードはエクスポートされたドキュメントでは使用できませんが、管理者は、Control Hub の [通話] > [専用インスタンス] > [クラウド接続] タブの [設定の表示] をクリックして、Control Hub で同じパスワードを表示できます。

ステップ 3: Cisco がネットワーク設定を実行する

1

Virtual Connect Activationフォームが完了すると、Calling > 専用インスタンス > Cloud Connectivity Virtual ConnectカードのActivation In-Progressにステータスが更新されます。

2

シスコは5営業日以内にシスコのサイド機器で必要な構成を完了します。 完了すると、ステータスは Control Hub の特定のリージョンの「アクティブ」に更新されます。

ステップ 4: 顧客がネットワーク構成を実行する

ステータスは「アクティブ」に変更され、IP VPN 接続の設定の Cisco 側が、顧客から提供された入力に基づいて完了したことを顧客管理者に通知します。 しかし、顧客管理者は、CPE の設定の側面を完了し、Virtual Connect トンネルの接続ルートをオンラインでテストすることが期待されます。 設定または接続時に問題が発生した場合、顧客は Cisco TAC に連絡してサポートを受けることができます。

トラブルシューティング

IPsec First Phase (IKEv2 ネゴシエーション) のトラブルシューティングと検証

IPsec トンネルネゴシエーションには、IKEv2 フェーズと IPsec フェーズという 2 つのフェーズがあります。 IKEv2 フェーズネゴシエーションが完了しない場合、2 番目の IPsec フェーズの開始はありません。 まず、IKEv2 セッションがアクティブかどうかを確認するために、コマンド「show crypto ikev2 sa」(Cisco機器上)またはサードパーティ機器上の同様のコマンドを発行します。 IKEv2 セッションがアクティブでない場合、考えられる理由は次のとおりです。

  • 興味深いトラフィックは、IPsecトンネルをトリガーしません。

  • IPsec トンネル アクセス リストが間違っています。

  • 顧客と専用インスタンス IPsec トンネル エンドポイント IP の間には接続がありません。

  • IKEv2 セッション パラメータは、専用インスタンス側と顧客側の間で一致しません。

  • ファイアウォールが IKEv2 UDP パケットをブロックしています。

まず、IKEv2 トンネルネゴシエーションの進行状況を示すメッセージについては、IPsec ログを確認してください。 ログは、IKEv2 ネゴシエーションに問題がある場所を示している可能性があります。 ログメッセージの欠如は、IKEv2 セッションがアクティブ化されていないことを示す場合があります。

IKEv2 ネゴシエーションのよくあるエラーは次のとおりです。

  • CPE 側の IKEv2 の設定が Cisco 側と一致しません。次の設定を再確認してください。

    • IKE バージョンがバージョン 2 であることを確認します。

    • 暗号化と認証パラメータが、専用インスタンス側の予想される暗号化と一致していることを確認します。


       

      "GCM" 暗号が使用中の場合、GCM プロトコルは認証を処理し、認証パラメータを NULL に設定します。

    • ライフタイム設定を確認します。

    • Diffie Hellman係数群を検証する。

    • Pseudo Random Function の設定を確認します。

  • 暗号マップのアクセスリストは、以下に設定されていません。

    • GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (または同等のコマンド) を許可


       

      アクセスリストは「GRE」プロトコル専用でなければならず、「IP」プロトコルは機能しません。

ログ メッセージが IKEv2 フェーズのネゴシエーション アクティビティを表示していない場合は、パケット キャプチャが必要になる場合があります。


 

専用インスタンス側は常に IKEv2 取引所を開始するとは限らず、場合によっては顧客の CPE 側がイニシエーターになることを期待する場合があります。

IKEv2 セッション開始のための次の前提条件について、CPE 側の設定を確認します。

  • CPE トンネルトランスポート IP から専用インスタンストンネルトランスポート IP への GRE トラフィック(プロトコル 50)の IPsec 暗号アクセスリストを確認します。

  • GRE Keepalives が GRE Keepalives をサポートしていない場合は、GRE Tunnel インターフェイスが GRE Keepalives に対して有効になっていることを確認してください。GRE Keepalives はデフォルトで専用インスタンス側で有効になっているため、Cisco に通知されます。

  • BGP が専用インスタンス トンネル IP のネイバー アドレスで有効化され、設定されていることを確認します。

適切に設定すると、IPsec トンネルと第 1 フェーズ IKEv2 ネゴシエーションが開始されます。

  • CPE側のGREトンネルインターフェイスから専用インスタンス側のGREトンネルインターフェイスへのGREキーパーリブ。

  • CPE 側の BGP ネイバーから専用インスタンス側の BGP ネイバーへの BGP ネイバー TCP セッション。

  • CPE 側トンネル IP アドレスから専用インスタンス側トンネル IP アドレスに ping します。


     

    Ping は、トンネル輸送 IP へのトンネル輸送 IP にはできません。トンネル IP からトンネル IP にする必要があります。

IKEv2 トラフィックにパケット トレースが必要な場合は、UDP のフィルタと、ポート 500(IPsec エンドポイントの中央に NAT デバイスがない場合)またはポート 4500(IPsec エンドポイントの中央に NAT デバイスが挿入されている場合)のいずれかを設定します。

ポート 500 または 4500 を持つ IKEv2 UDP パケットが DI IPsec IP アドレスとの間で送受信されていることを確認します。


 

専用インスタンスのデータセンターは、常に最初の IKEv2 パケットを開始するとは限りません。 この要件は、CPE デバイスが最初の IKEv2 パケットを専用インスタンス側に開始できることです。

ローカル ファイアウォールで許可されている場合は、リモート IPsec アドレスへの ping も試行します。 ローカル IPsec アドレスからリモート IPsec アドレスへの ping が成功しない場合は、トレース ルートを実行して支援し、パケットがドロップされる場所を特定します。

ファイアウォールやインターネット機器によっては、トレースルートを許可できない場合があります。

IPsec 第 2 フェーズ(IPsec ネゴシエーション)のトラブルシューティングと検証

IPsec 第 2 フェーズをトラブルシューティングする前に、IPsec 第 1 フェーズ(つまり、IKEv2 セキュリティ関連付け)がアクティブであることを確認します。 「show crypto ikev2 sa」または同等のコマンドを実行して、IKEv2 セッションを検証します。 出力では、IKEv2 セッションが数秒以上起動しており、バウンスしていないことを確認します。 セッションのアップタイムは、セッション "Active Time" または同等の出力として表示されます。

IKEv2 セッションが起動してアクティブであることを確認したら、IPsec セッションを調査します。 IKEv2 セッションと同様に、「show crypto ipsec sa」または同等のコマンドを実行して IPsec セッションを検証します。 IKEv2 セッションと IPsec セッションの両方は、GRE トンネルが確立される前にアクティブである必要があります。 IPsec セッションがアクティブとして表示されない場合は、IPsec ログでエラー メッセージまたはネゴシエーション エラーを確認してください。

IPsec交渉中に遭遇する可能性のあるより一般的な問題のいくつかは次のとおりです。

CPE 側の設定が専用インスタンス側と一致しません。設定を再確認してください。

  • 暗号化パラメータと認証パラメータが専用インスタンス側の設定と一致していることを確認します。

  • 完全転送秘密設定と、専用インスタンス側の一致設定を確認します。

  • ライフタイム設定を確認します。

  • IPsec がトンネル モードで設定されていることを確認します。

  • 送信元と宛先の IPsec アドレスを確認します。

トンネル インターフェイスのトラブルシューティングと検証

IPsec セッションと IKEv2 セッションが起動してアクティブであると検証されると、GRE トンネル キープアライブ パケットは、専用インスタンスと CPE トンネル エンドポイント間でフローできます。 トンネル インターフェイスがステータスを表示しない場合、一般的な問題は次のとおりです。

  • トンネル インターフェイス トランスポート VRF は、ループバック インターフェイスの VRF と一致しません (トンネル インターフェイスで VRF 設定が使用されている場合)。


     

    トンネル インターフェイスで VRF 設定が使用されていない場合、このチェックは無視できます。

  • Keepalives は CPE 側トンネル インターフェイスでは有効になっていません


     

    CPE 装置でキーパリーブがサポートされていない場合、専用インスタンス側のデフォルトのキーパリーブも無効になるように Cisco に通知する必要があります。

    キーパリブがサポートされている場合は、キーパリブが有効になっていることを確認します。

  • トンネル インターフェイスのマスクまたは IP アドレスが正しくなく、専用インスタンスの期待値と一致しません。

  • 送信元または宛先トンネルの転送アドレスが正しくなく、専用インスタンスの期待値と一致しません。

  • ファイアウォールは、GRE パケットを IPsec トンネルに送信したり、IPsec トンネルから受信したりすることをブロックしています (GRE トンネルは IPsec トンネル経由で転送されます)。

ping テストでは、ローカル トンネル インターフェイスが起動し、リモート トンネル インターフェイスとの接続が良好であることを確認する必要があります。 リモート トンネル IP へのトンネル IP(トランスポート IP ではない)から ping チェックを実行します。


 

GRE トンネル トラフィックを運んでいる IPsec トンネルの暗号アクセス リストでは、GRE パケットのみがクロスできます。 その結果、トンネル輸送IPからリモートトンネル輸送IPへの接続は機能しません。

ping チェックは、送信元トンネルトランスポート IP から宛先トンネルトランスポート IP に生成された GRE パケットで実行され、GRE パケットのペイロード(内部 IP)が送信元および宛先トンネル IP になります。

ping テストが成功せず、前の項目が検証された場合、icmp ping の結果として GRE パケットが生成され、それが IPsec パケットにカプセル化され、送信元 IPsec アドレスから宛先 IPsec アドレスに送信されるように、パケット キャプチャが必要になる場合があります。 GRE トンネル インターフェイスと IPsec セッション カウンタのカウンタも表示できます。

ping トラフィックに加えて、キャプチャはアイドル状態のトラフィック中でも keepalive GRE パケットを表示する必要があります。 最後に、BGP が設定されている場合は、BGP キープアライブ パケットも、VPN を介して IPSEC パケットにカプセル化された GRE パケットとして送信する必要があります。

BGP トラブルシューティングと検証

BGP セッション

BGP は、VPN IPsec トンネル上のルーティング プロトコルとして必要です。 ローカル BGP ネイバーは、専用インスタンス BGP ネイバーとの eBGP セッションを確立する必要があります。 eBGP ネイバー IP アドレスは、ローカルおよびリモート トンネル IP アドレスと同じです。 まず、BGP セッションが起動していることを確認し、適切なルートが専用インスタンスから受信され、正しいデフォルトルートが専用インスタンスに送信されていることを確認します。

GRE トンネルが起動している場合は、ローカル GRE トンネル IP とリモート GRE トンネル ip の間で ping が成功していることを確認します。 ping が成功しても BGP セッションが起動しない場合は、BGP 確立エラーの BGP ログを調べます。

より一般的なBGP交渉の問題のいくつかは次のとおりです。

  • リモート AS 番号が、専用インスタンス側で設定されている AS 番号と一致しません。隣の AS 設定を再確認します。

  • ローカル AS 番号が、Dedictaed インスタンス側が期待しているものと一致しません。ローカル AS 番号が予想される専用インスタンス パラメータと一致していることを確認します。

  • ファイアウォールは、GRE パケットにカプセル化された BGP TCP パケットを IPsec トンネルに送信したり、IPSEC トンネルから受信したりすることをブロックしています。

  • リモート BGP ネイバー IP がリモート GRE トンネル IP と一致しません。

BGPルート交換

両方のトンネルで BGP セッションを検証したら、専用インスタンス側から正しいルートが送受信されていることを確認します。

専用インスタンスVPNソリューションは、顧客/パートナー側から2つのトンネルを確立することを期待しています。 最初のトンネルは専用インスタンスのデータセンターA、2番目のトンネルは専用インスタンスのデータセンターBを指します。両方のトンネルはアクティブ状態である必要があり、ソリューションはアクティブ/アクティブ展開が必要です。 各専用インスタンス データセンターは、ローカル /25 ルートと /24 バックアップ ルートをアドバタイズします。 専用インスタンスから着信 BGP ルートを確認する場合、専用インスタンスデータセンター A を指すトンネルに関連付けられた BGP セッションが、専用インスタンスデータセンター A /25 ローカルルートと /24 バックアップルートを受信していることを確認します。 さらに、専用インスタンス データセンター B を指すトンネルが、専用インスタンス データセンター B /25 ローカル ルートと /24 バックアップ ルートを受け取るようにします。 /24 バックアップ ルートは、専用インスタンス データセンター A と専用インスタンス データセンター B からアドバタイズされた同じルートであることに注意してください。

そのデータセンターへのトンネル インターフェイスがダウンした場合、冗長性は専用インスタンス データセンターに提供されます。 このシナリオでは、データセンターBへのトンネルはデータセンターB /25ルートを使用してデータセンターBへのトラフィックを送信し、データセンターBへのトンネルはバックアップ/24ルートを使用してデータセンターBを経由してデータセンターAへのトラフィックを送信します。

両方のトンネルがアクティブな場合、データセンター A トンネルはデータセンター B にトラフィックを送信するために使用されず、その逆も重要です。 このシナリオでは、データセンタ B の宛先を持つトラフィックがデータセンタ A に送信された場合、データセンタ A はトラフィックをデータセンタ B に転送し、データセンタ B はデータセンタ B トンネルを介してトラフィックをソースに送信しようとします。 これにより、最適ではないルーティングが生じ、ファイアウォールを横断するトラフィックが中断される可能性があります。 したがって、両方のトンネルは、通常の運転中にアクティブ/アクティブ構成になることが重要です。

0.0.0.0/0 ルートは、顧客側から専用インスタンスのデータセンター側にアドバタイズする必要があります。 専用インスタンス側では、より具体的なルートは受け入れられません。 専用インスタンス データセンター A トンネルと専用インスタンス データセンター B トンネルの両方から 0.0.0.0/0 ルートがアドバタイズされていることを確認します。

MTU の設定

専用インスタンス側では、大きなパケットサイズのMTUを動的に調整するための2つの機能が有効になっています。 GRE トンネルは、VPN セッションを通過する IP パケットにより多くのヘッダーを追加します。 IPsec トンネルは、GRE ヘッダーの上に追加のヘッダーを追加することで、トンネル上で許可される最大の MTU をさらに削減します。

GRE トンネルは MSS 機能を調整し、MTU 検出機能の GRE トンネル パスは専用インスタンス側で有効になります。 「ip tcp adjust-mss 1350」または同等のコマンド、および「tunnel path\u0002mtu-discovery」または同等のコマンドを顧客側に設定して、VPNトンネルを介したトラフィックのMTUの動的調整を支援します。