Introducere

Virtual Connect este o opțiune suplimentară pentru conectivitate în cloud la o instanță dedicată pentru apelarea Webex (instanță dedicată). Virtual Connect le permite Clienților să-și extindă în siguranță rețeaua privată prin internet folosind tuneluri VPN IP punct la punct. Această opțiune de conectivitate oferă o stabilire rapidă a conexiunii la rețeaua privată prin utilizarea echipamentului clientului existent (CPE) și a conexiunii la internet.

Cisco găzduiește, gestionează și asigură tuneluri IP VPN redundante și accesul la Internet necesar în regiunile centrelor de date Cisco pentru Instanță Dedicată, unde este necesar serviciul. În mod similar, Administratorul este responsabil pentru CPE și serviciile de Internet corespunzătoare, care sunt necesare pentru stabilirea Virtual Connect.

Fiecare comandă de Virtual Connect dintr-o anumită regiune de Instanță Dedicată ar include două tuneluri de încapsulare de rutare generică (GRE) protejate prin criptare IPSec (GRE peste IPSec), câte unul către fiecare centru de date Cisco din Regiunea selectată.

Virtual Connect are o limită de lățime de bandă de 250 Mbps per tunel și este recomandată pentru implementări mai mici. Deoarece sunt utilizate două tuneluri VPN punct-la-punct, tot traficul către cloud trebuie să treacă prin CPE headend-ul clientului și, prin urmare, este posibil să nu fie potrivit acolo unde există o mulțime de site-uri la distanță. Pentru alte opțiuni alternative de peering, consultați Conectivitate în cloud.

Înainte de a trimite cererea de înscriere pentru Conectarea virtuală, asigurați-vă că serviciul Instanță dedicată este activat în regiunea respectivă.

Cerințe preliminare

Condițiile preliminare pentru stabilirea Virtual Connect includ:

  • Clientul oferă

    • Conexiune la internet cu suficientă lățime de bandă disponibilă pentru a sprijini implementarea

    • Adresă(e) IP publică pentru două tuneluri IPSec

    • Adresele IP de transport GRE din partea clientului pentru cele două tuneluri GRE

  • Partener și Client

    • Lucrați împreună pentru a evalua cerințele de lățime de bandă

    • Asigurați-vă că dispozitivele de rețea acceptă rutarea Border Gateway Protocol (BGP) și un design de tunel GRE peste IPSec

  • Partenerul sau Clientul oferă

    • Echipa de rețea cu cunoștințe despre tehnologiile de tunel VPN de la site la site

    • Echipa de rețea cu cunoștințe despre BGP, eBGP și principiile generale de rutare

  • Cisco

    • Cisco a atribuit numere private de sistem autonome (ASN) și adrese IP tranzitorii pentru interfețele tunelului GRE

    • Cisco a atribuit o rețea publică de clasă C (/24) care nu poate fi rutată pe Internet pentru adresarea în cloud de instanță dedicată

Dacă un client are doar 1 dispozitiv CPE, atunci cele 2 tuneluri către centrele de date Cisco (DC1 și DC2) din fiecare regiune vor fi de la acel dispozitiv CPE. Clientul are, de asemenea, o opțiune pentru 2 dispozitive CPE, apoi fiecare dispozitiv CPE ar trebui să se conecteze la un singur tunel către centrele de date Cisco (DC1 și DC2) din fiecare regiune. Redundanța suplimentară poate fi obținută prin terminarea fiecărui tunel într-un loc/locație fizică separată din infrastructura Clientului.

Detalii tehnice

Model de implementare

Virtual Connect utilizează o arhitectură de tip headend cu două niveluri, în care planurile de rutare și control GRE sunt furnizate de un dispozitiv, iar planul de control IPSec este furnizat de altul.

La finalizarea conexiunii Virtual Connect, vor fi create două tuneluri GRE prin IPSec între rețeaua de întreprindere a Clientului și centrele de date Cisco pentru Instanță Dedicată. Câte unul pentru fiecare centru de date redundant din regiunea respectivă. Elementele de rețea suplimentare necesare pentru peering sunt schimbate de partener sau client către Cisco prin intermediul formularului de activare Control Hub Virtual Connect.

Figura 1 prezintă un exemplu de model de implementare Virtual Connect pentru opțiunea cu 2 concentratoare din partea clientului.

Virtual Connect - VPN este un design Hub, în care Site-urile Hub ale Clientului sunt conectate la DC1 și DC2 ale centrelor de date ale Instanței Dedicate dintr-o anumită regiune.

Două site-uri Hub sunt recomandate pentru o mai bună redundanță, dar site-ul One Hub cu două tuneluri este, de asemenea, un model de implementare acceptat.

Lățimea de bandă per tunel este limitată la 250 Mbps.

Site-urile de la distanță ale Clientului din aceeași regiune ar trebui să se conecteze înapoi la site-urile Hub prin WAN-ul Clientului și nu este responsabilitatea Cisco pentru acea conectivitate.

Partenerii sunt așteptați să lucreze îndeaproape cu Clienții, asigurându-se că este aleasă calea cea mai optimă pentru regiunea de servicii „Virtual Connect”.

Figura 2 arată regiunile de peering pentru conectivitate în cloud de instanță dedicată.

Redirecționare

Suplimentul de rutare pentru Virtual Connect este implementat folosind BGP extern (eBGP) între Instanța Dedicată și Echipamentul Clientului (CPE). Cisco își va face publicitate rețelei respective pentru fiecare DC redundant dintr-o regiune către CPE-ul Clientului, iar CPE-ul trebuie să facă publicitate unei rute implicite către Cisco.

  • Cisco întreține și atribuie

    • Adresarea IP a interfeței de tunel (legătură tranzitorie pentru rutare) Cisco alocă dintr-un spațiu de adresă partajat desemnat (nedirecționabil public)

    • Adresa de destinație a transportului în tunel (partea Cisco)

    • Numere private de sistem autonom (ASN) pentru configurația de rutare BGP a clientului

      • Cisco atribuie din intervalul de utilizare privat desemnat: 64512 până la 65534

  • eBGP folosit pentru a schimba rute între Instanța Dedicată și CPE

    • Cisco va împărți rețeaua /24 alocată în 2/25 câte una pentru fiecare DC din regiunea respectivă

    • În Virtual Connect, fiecare rețea /25 este anunțată înapoi către CPE de către Cisco prin tunelurile VPN punct la punct respective (legătură tranzitorie)

    • CPE trebuie configurat cu vecinii eBGP corespunzători. Dacă se utilizează un CPE, vor fi folosiți doi vecini eBGP, unul indicând fiecare tunel la distanță. Dacă utilizați două CPE, atunci fiecare CPE va avea un vecin eBGP care se adresează unui singur tunel la distanță pentru CPE.

    • Partea Cisco a fiecărui tunel GRE (IP interfață de tunel) este configurată ca vecin BGP pe CPE

    • CPE este necesar pentru a face publicitate unei rute implicite peste fiecare dintre tuneluri

    • CPE este responsabil pentru redistribuirea, după cum este necesar, a rutelor învățate în cadrul rețelei de întreprindere a clientului.

  • În condiția de eroare a legăturii fără eșec, un singur CPE va avea două tuneluri active/active. Pentru două noduri CPE, fiecare CPE va avea un tunel activ și ambele noduri CPE ar trebui să fie active și să treacă trafic. În scenariul de non-eșec, traficul trebuie să fie împărțit în două tuneluri care merg către destinațiile corecte /25, dacă unul dintre tuneluri scade, tunelul rămas poate transporta traficul pentru ambele. Într-un astfel de scenariu de eșec, când rețeaua /25 este oprită, atunci rețeaua /24 este utilizată ca rută de rezervă. Cisco va trimite traficul clienților prin WAN-ul său intern către DC care și-a pierdut conectivitatea.

Procesul de conectivitate

Următorii pași de nivel înalt descriu modul de stabilire a conectivității cu Virtual Connect for Dedicated Instance.
1

Plasați o comandă în Cisco CCW

2

Activați Virtual Connect din Control Hub

3

Cisco efectuează Configurarea rețelei

4

Clientul efectuează Configurarea rețelei

Pasul 1: Comanda CCW

Virtual Connect este un supliment pentru Instanță Dedicată în CCW.

1

Navigați la site-ul de comandă CCW și apoi faceți clic pe Conectare pentru a vă conecta la site:

https://apps.cisco.com/Commerce/guest.
2

Creați o estimare.

3

Adăugați SKU „A-FLEX-3”.

4

Selectați Editați opțiuni.

5

În fila de abonament care apare, Selectați Opțiuni și Suplimente.

6

Sub Suplimente suplimentare, bifați caseta de selectare de lângă „Virtual Connect for Dedicated Instance”. Numele SKU este „A-FLEX-DI-VC”.

7

Introduceți cantitatea și numărul de regiuni în care este necesară Virtual Connect.

Cantitatea Virtual Connect nu trebuie să depășească numărul total de regiuni achiziționate pentru Instanță Dedicată. De asemenea, este permisă o singură comandă Virtual Connect per regiune.
8

Când sunteți mulțumit de selecțiile dvs., faceți clic pe Verificați și Salvați în partea din dreapta sus a paginii.

9

Faceți clic pe Salvați și continuați pentru a finaliza comanda. Comanda dvs. finalizată apare acum în grila de comenzi.

Pasul 2: Activarea Virtual Connect în Control Hub

1

Conectați-vă la Control Hub https://admin.webex.com/login.

2

În secțiunea Servicii, navigați la Apelare > Instanță dedicată > Conectivitate în cloud.

3

În cardul Virtual Connect, este listată cantitatea achiziționată pentru Virtual Connect. Administratorul poate acum să facă clic pe Activare pentru a iniția activarea Virtual Connect.

Procesul de activare poate fi declanșat numai de Administratorii cu Rol „Customer Full Admin”. Întrucât, un administrator cu rolul „Administrator numai în citire pentru client” poate vedea doar starea.
4

Făcând clic pe butonul Activare, se afișează formularul Activare Virtual Connect pentru ca administratorul să furnizeze detaliile tehnice Virtual Connect necesare pentru configurațiile de peering pe partea Cisco.

Formularul oferă, de asemenea, informații statice din partea Cisco, în funcție de Regiunea selectată. Aceste informații vor fi utile pentru administratorii clienților pentru a configura CPE-ul de partea lor pentru a stabili conexiunea.

  1. Adresa IP GRE Tunnel Transport: Clientului i se cere să furnizeze adresele IP din partea clientului Tunnel Transport, iar Cisco va aloca în mod dinamic adresele IP odată ce activarea este finalizată. ACL-ul IPSec pentru trafic interesant ar trebui să permită IP/32 de transport local în tunel către IP/32 de transport la distanță. ACL ar trebui, de asemenea, să specifice doar protocolul GRE IP.

    Adresa IP furnizată de client poate fi privată sau publică.

  2. Perechi IPSec: Clientului i se cere să furnizeze adresele IP sursă ale tunelului IPSec, iar Cisco alocă adresa IP de destinație IPSec. Efectuarea traducerii NAT a unei adrese interne de tunel IPSEC la o adresă publică este, de asemenea, acceptată dacă este necesar.

    Adresa IP furnizată de client ar trebui să fie publică.

    Toate celelalte informații statice furnizate în ecranul de activare sunt standardele de securitate și criptare Cisco respectate. Această configurație statică nu este personalizabilă sau modificabilă. Pentru orice asistență suplimentară cu privire la configurațiile statice din partea Cisco, clientul ar trebui să contacteze TAC.
5

Faceţi clic pe butonul Activaţi după ce toate câmpurile obligatorii sunt completate.

6

După ce formularul de activare Virtual Connect este completat pentru o anumită regiune, clientul poate exporta formularul de activare din Control Hub, Apelare > Instanță dedicată > fila Conectivitate în cloud și face clic pe Export setări.

Din motive de securitate, autentificarea și parola BGP nu vor fi disponibile în documentul Exportat, însă administratorul poate vizualiza același lucru în Control Hub făcând clic pe Vizualizare setări din Control Hub, Apelare > Instanță dedicată > fila Conectivitate în cloud.

Pasul 3: Cisco efectuează Configurarea rețelei

1

Odată ce formularul de activare Virtual Connect este completat, starea va fi actualizată la Activare în curs în Apel > Instanță dedicată > Card Conectare virtuală Cloud Connectivity.

2

Cisco va finaliza configurațiile necesare pe echipamentul lateral al Cisco în termen de 5 zile lucrătoare. La finalizarea cu succes, starea va fi actualizată la „Activat” pentru regiunea respectivă în Control Hub.

Pasul 4: Clientul efectuează Configurarea rețelei

Starea este schimbată în „Activat” pentru a notifica administratorul Clientului că partea Cisco a configurațiilor pentru conectivitate IP VPN a fost finalizată pe baza intrărilor furnizate de Client. Dar, se așteaptă ca administratorul clientului să finalizeze partea sa a configurațiilor pe CPE-uri și să testeze rutele de conectivitate pentru ca tunelul Virtual Connect să fie Online. În cazul oricăror probleme întâmpinate la momentul configurării sau conectării, clientul poate contacta Cisco TAC pentru asistență.

Soluționarea problemelor

Depanare și validare în prima fază IPsec (Negociere IKEv2)

Negocierea tunelului IPsec implică două faze, faza IKEv2 și faza IPsec. Dacă negocierea fazei IKEv2 nu este finalizată, atunci nu există nicio inițiere a unei a doua faze IPsec. În primul rând, emiteți comanda „afișați cripto ikev2 sa” (pe echipamentul Cisco) sau comandă similară pe echipamentul terț pentru a verifica dacă sesiunea IKEv2 este activă. Dacă sesiunea IKEv2 nu este activă, motivele potențiale ar putea fi:

  • Traficul interesant nu declanseaza tunelul IPsec.

  • Lista de acces la tunelul IPsec este neconfigurată.

  • Nu există conectivitate între client și IP-ul punctului final IPsec al instanței dedicate.

  • Parametrii sesiunii IKEv2 nu corespund între partea instanței dedicate și partea clientului.

  • Un firewall blochează pachetele UDP IKEv2.

În primul rând, verificați jurnalele IPsec pentru orice mesaje care arată progresul negocierilor tunelului IKEv2. Jurnalele pot indica dacă există o problemă cu negocierea IKEv2. Lipsa mesajelor de conectare poate indica, de asemenea, că sesiunea IKEv2 nu este activată.

Unele erori comune cu negocierea IKEv2 sunt:

  • Setările pentru IKEv2 pe partea CPE nu corespund cu partea Cisco, redirecționați setările menționate:

    • Verificați dacă versiunea IKE este versiunea 2.

    • Verificați dacă parametrii de criptare și autentificare corespund criptării așteptate din partea instanței dedicate.

      Când este utilizat cipher-ul „GCM”, protocolul GCM gestionează autentificarea și setează parametrul de autentificare la NULL.

    • Verificați setarea duratei de viață.

    • Verificați grupul de module Diffie Hellman.

    • Verificați setările funcției aleatorii Pseudo.

  • Lista de acces pentru harta cripto nu este setată la:

    • Permite GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255" (sau comanda echivalentă)

      Lista de acces trebuie să fie specifică pentru protocolul „GRE”, iar protocolul „IP” nu va funcționa.

Dacă mesajele jurnal nu afișează nicio activitate de negociere pentru faza IKEv2, atunci poate fi necesară o captură de pachet.

Partea dedicată instanței nu poate începe întotdeauna schimbul IKEv2 și se poate aștepta uneori ca partea CPE a clientului să fie inițiatorul.

Verificați configurația laterală CPE pentru următoarele condiții prealabile pentru inițierea sesiunii IKEv2:

  • Verificați o listă de acces cripto IPsec pentru traficul GRE (protocol 50) de la IP-ul de transport al tunelului CPE la IP-ul de transport al tunelului instanței dedicate.

  • Asigurați-vă că interfața tunelului GRE este activată pentru keepalives GRE, dacă echipamentul nu acceptă keepalives GRE, atunci Cisco este notificat deoarece keepalives GRE vor fi activate în partea instanță dedicată în mod implicit.

  • Asigurați-vă că BGP este activat și configurat cu adresa vecină a IP-ului tunelului instanță dedicată.

Când este configurat corect, începe tunelul IPsec și negocierea IKEv2 în prima fază:

  • GrE keepalives de la interfața de tunel GRE partea CPE la interfața de tunel GRE partea instanță dedicată.

  • Sesiune TCP de la vecinul BGP din partea CPE la vecinul BGP din partea instanței dedicate.

  • Ping de la adresa IP a tunelului lateral CPE la adresa IP a tunelului lateral instanță dedicată.

    Ping nu poate fi tunelul de transport IP la tunelul de transport IP, trebuie să fie tunelul IP la tunelul IP.

Dacă este necesară o urmărire a pachetului pentru traficul IKEv2, setați filtrul pentru UDP și fie portul 500 (când niciun dispozitiv NAT nu este în mijlocul punctelor finale IPsec), fie portul 4500 (când un dispozitiv NAT este introdus în mijlocul punctelor finale IPsec).

Verificați dacă pachetele UDP IKEv2 cu port 500 sau 4500 sunt trimise și primite la și de la adresa IP IPsec DI.

Centrul de date al instanței dedicate nu poate începe întotdeauna primul pachet IKEv2. Cerința este că dispozitivul CPE este capabil să inițieze primul pachet IKEv2 spre partea Instanță dedicată.

Dacă firewall-ul local permite, apoi încercați, de asemenea, un ping la adresa IPsec de la distanță. În cazul în care ping-ul nu este de succes de la adresa IPsec locală la distanță, apoi efectuați un traseu de urmărire pentru a ajuta, și de a determina în cazul în care pachetul este abandonat.

Este posibil ca unele firewall-uri și echipamente de internet să nu permită traseul de urmărire.

Depanarea și validarea IPsec a doua fază (Negociere IPsec)

Verificați dacă prima fază IPsec (adică asocierea de securitate IKEv2) este activă înainte de depanarea celei de-a doua faze IPsec. Efectuați o „afișare ikev2 sa cripto” sau o comandă echivalentă pentru a verifica sesiunea IKEv2. În ieșire, verificați dacă sesiunea IKEv2 a fost ridicată pentru mai mult de câteva secunde și că nu se estompează. Ora de actualizare a sesiunii arată ca sesiunea „Timp activ” sau echivalent în ieșire.

După ce sesiunea IKEv2 este verificată ca în sus și activă, Investigați sesiunea IPsec. Ca și în cazul sesiunii IKEv2, efectuați o „afișare cripto ipsec sa” sau o comandă echivalentă pentru a verifica sesiunea IPsec. Atât sesiunea IKEv2, cât și sesiunea IPsec trebuie să fie active înainte de stabilirea tunelului GRE. Dacă sesiunea IPsec nu apare ca activă, verificați jurnalele IPsec pentru mesaje de eroare sau erori de negociere.

Unele dintre cele mai frecvente probleme care pot fi întâlnite în timpul negocierilor IPsec sunt:

Setările de pe partea CPE nu corespund cu partea Instanței dedicate, redirecționați setările:

  • Verificați dacă parametrii de criptare și autentificare corespund cu setările din partea instanței dedicate.

  • Verificați setările Perfecte de redirecționare a secretului și că setările de potrivire sunt pe partea Instanță dedicată.

  • Verificați setările duratei de viață.

  • Verificați dacă IPsec a fost configurat în modul tunel.

  • Verificați adresele IPsec sursă și destinație.

Depanarea și validarea interfeței tunelului

Atunci când sesiunile IPsec și IKEv2 sunt verificate ca sus și activ, tunelul GRE este capabil să curgă între punctele finale ale tunelului Instanță dedicată și CPE. În cazul în care interfața tunel nu afișează starea, unele probleme comune sunt:

  • Interfața de transport a tunelului VRF nu corespunde cu VRF a interfeței loopback (dacă configurația VRF este utilizată pe interfața de tunel).

    Dacă configurația VRF nu este utilizată pe interfața tunel, această verificare poate fi ignorată.

  • Keepalives nu sunt activate pe interfața tunel lateral CPE

    Dacă Keepalives nu sunt acceptate pe echipamentul CPE, atunci Cisco trebuie notificat, astfel încât și keepalives implicite din partea instanței dedicate să fie dezactivate.

    Dacă Keepalives sunt acceptate, verificați dacă Keepalives sunt activate.

  • Masca sau adresa IP a interfeței tunelului nu este corectă și nu corespunde valorilor așteptate ale instanței dedicate.

  • Adresa de transport a tunelului sursă sau destinație nu este corectă și nu corespunde valorilor așteptate ale instanței dedicate.

  • Un firewall blochează pachetele GRE trimise în tunelul IPsec sau primite din tunelul IPsec (tunelul GRE este transportat prin tunelul IPsec)

Un test ping ar trebui să verifice dacă interfața tunelului local este în sus și conectivitatea este bună la interfața tunelului la distanță. Efectuați verificarea ping de la tunelul IP (nu IP de transport) la tunelul IP de la distanță.

Lista de acces cripto pentru tunelul IPsec care transportă traficul tunelului GRE permite doar pachetele GRE să traverseze. Ca urmare, pinii nu vor funcționa de la transportul prin tunel IP la transportul prin tunel la distanță IP.

Verificarea ping-ului duce la un pachet GRE care este generat de la sursa tunelului de transport IP la destinația tunelului de transport IP, în timp ce sarcina utilă a pachetului GRE (IP interior) va fi sursa și tunelul de destinație IP.

În cazul în care testul de ping nu este de succes și elementele anterioare sunt verificate, atunci poate fi necesară o captură de pachet pentru a se asigura că ping-ul icmp are ca rezultat un pachet GRE care este apoi încapsulat într-un pachet IPsec și apoi trimis de la adresa IPsec sursă la adresa IPsec destinație. Contoarele de pe interfața tunel GRE și contoarele de sesiune IPsec pot, de asemenea, ajuta la afișare. dacă pachetele de trimitere și primire sunt în creștere.

În plus față de traficul de ping, captura ar trebui să arate, de asemenea, pachetele GRE keepalive chiar și în timpul traficului inactiv. În cele din urmă, dacă BGP este configurat, pachetele BGP keepalive trebuie, de asemenea, trimise ca pachete GRE încapsulate în pachete IPSEC, precum și prin VPN.

Soluționarea problemelor și validarea BGP

Sesiuni BGP

BGP este necesar ca protocol de rutare prin tunelul IPsec VPN. Vecinul local BGP trebuie să stabilească o sesiune eBGP cu vecinul BGP al instanței dedicate. Adresele IP ale vecinilor eBGP sunt aceleași ca și adresele IP ale tunelului local și de la distanță. În primul rând, asigurați-vă că sesiunea BGP este încheiată și apoi verificați dacă rutele corecte sunt primite de la instanța dedicată, iar traseul implicit corect este trimis către instanța dedicată.

Dacă tunelul GRE este în sus, verificați dacă un ping este reușit între tunelul local și IP-ul GRE de la distanță. Dacă ping-ul are succes, dar sesiunea BGP nu vine, atunci investigați jurnalul BGP pentru erorile de stabilire BGP.

Unele dintre cele mai frecvente probleme de negociere BGP sunt:

  • Numărul AS de la distanță nu corespunde cu numărul AS care este configurat pe partea Instanță dedicată, reverificați configurația AS a vecinului.

  • Numărul local AS nu corespunde așteptărilor din partea instanței dedicate, verificați dacă numărul local AS corespunde parametrilor preconizați ai instanței dedicate.

  • Un firewall blochează pachetele BGP TCP încapsulate în pachete GRE să fie trimise în tunelul IPsec sau să fie primite din tunelul IPSEC

  • IP-ul vecinului BGP de la distanță nu corespunde cu IP-ul tunelului GRE de la distanță.

Schimb de rute BGP

Odată ce sesiunea BGP este verificată pentru ambele tuneluri, asigurați-vă că rutele corecte sunt trimise și primite din partea instanței dedicate.

Soluția Dedicated Instance VPN așteaptă să fie înființate două tuneluri de la partea client/partener. Primul tunel către centrul de date al instanței dedicate A și al doilea tunel către centrul de date al instanței dedicate B. Ambele tuneluri trebuie să fie în stare activă, iar soluția necesită o implementare activă/activă. Fiecare centru de date pentru instanță dedicată va anunța ruta locală /25, precum și o rută de rezervă /24. Când verificați rutele BGP de intrare de la instanța dedicată, asigurați-vă că sesiunea BGP asociată cu tunelul care indică centrul de date al instanței dedicate A primește centrul de date al instanței dedicate A /25 pe traseul local, precum și ruta de rezervă /24. În plus, asigurați-vă că tunelul care indică centrul de date al instanței dedicate B repetă ruta locală a centrului de date al instanței dedicate B /25, precum și ruta de rezervă /24. Rețineți că ruta /24 de rezervă va fi aceeași rută anunțată din centrul de date al instanței dedicate A și centrul de date al instanței dedicate B.

Redundanța este furnizată unui centru de date al instanței dedicate dacă interfața tunel către acel centru de date scade. Dacă se pierde conectivitatea la centrul de date al instanței dedicate A, atunci traficul va fi redirecționat de la centrul de date al instanței dedicate B la centrul de date A. În acest scenariu, tunelul către centrul de date B va utiliza ruta centrului de date B /25 pentru a trimite traficul către centrul de date B, iar tunelul către centrul de date B va utiliza ruta de rezervă /24 pentru a trimite traficul către centrul de date A prin centrul de date B.

Este important ca, atunci când ambele tuneluri sunt active, centrul de date Un tunel nu este utilizat pentru a trimite traficul către centrul de date B și vice versa. În acest scenariu, dacă traficul este trimis către centrul de date A cu destinația centrului de date B, centrul de date A va redirecționa traficul către centrul de date B, iar apoi centrul de date B va încerca să trimită traficul înapoi la sursă prin tunelul centrului de date B. Acest lucru va duce la o rutare sub-optimă și poate, de asemenea, să rupă traficul prin firewall-uri. Prin urmare, este important ca ambele tuneluri să fie într-o configurație activă/activă în timpul funcționării normale.

Ruta 0.0.0.0/0 trebuie să fie anunțată din partea clientului către partea centrului de date al instanței dedicate. Mai multe rute specifice nu vor fi acceptate de partea instanței dedicate. Asigurați-vă că traseul 0.0.0.0/0 este promovat atât din tunelul centrului de date al instanței dedicate A, cât și din tunelul centrului de date al instanței dedicate B.

configurare MTU

În partea instanță dedicată, două caracteristici sunt activate pentru a regla dinamic MTU pentru dimensiuni mari de pachete. Tunelul GRE adaugă mai multe antene la pachetele IP care circulă prin sesiunea VPN. Tunelul IPsec adaugă antene suplimentare pe partea de sus a anteturilor GRE va reduce și mai mult cea mai mare MTU permisă peste tunel.

Tunelul GRE reglează caracteristica MSS și calea tunelului GRE în caracteristica de descoperire MTU este activată pe partea instanță dedicată. Configurați comanda „ip tcp adjust-mss 1350” sau echivalentă, precum și comanda „tunel path\u0002mtu-discovery” sau comanda echivalentă pe partea clientului pentru a ajuta la reglarea dinamică a MTU a traficului prin tunelul VPN.