Introducere

Virtual Connect este o opțiune suplimentară pentru conectivitate în cloud la o instanță dedicată pentru apelarea Webex (instanță dedicată). Virtual Connect le permite Clienților să-și extindă în siguranță rețeaua privată prin internet folosind tuneluri VPN IP punct la punct. Această opțiune de conectivitate oferă o stabilire rapidă a conexiunii la rețeaua privată prin utilizarea echipamentului clientului existent (CPE) și a conexiunii la internet.

Cisco găzduiește, gestionează și asigură tuneluri IP VPN redundante și accesul la Internet necesar în regiunile centrelor de date Cisco pentru Instanță Dedicată, unde este necesar serviciul. În mod similar, Administratorul este responsabil pentru CPE și serviciile de Internet corespunzătoare, care sunt necesare pentru stabilirea Virtual Connect.

Fiecare comandă de Virtual Connect dintr-o anumită regiune de Instanță Dedicată ar include două tuneluri de încapsulare de rutare generică (GRE) protejate prin criptare IPSec (GRE peste IPSec), câte unul către fiecare centru de date Cisco din Regiunea selectată.

Virtual Connect are o limită de lățime de bandă de 250 Mbps per tunel și este recomandată pentru implementări mai mici. Deoarece sunt utilizate două tuneluri VPN punct-la-punct, tot traficul către cloud trebuie să treacă prin CPE headend-ul clientului și, prin urmare, este posibil să nu fie potrivit acolo unde există o mulțime de site-uri la distanță. Pentru alte opțiuni alternative de peering, consultați Conectivitate în cloud.

Înainte de a trimite solicitarea de peering pentru Conectare virtuală, asigurați-vă că serviciul Instanță dedicată este activat în regiunea respectivă.

Cerințe preliminare

Condițiile preliminare pentru stabilirea Virtual Connect includ:

  • Clientul oferă

    • Conexiune la internet cu suficientă lățime de bandă disponibilă pentru a sprijini implementarea

    • Adresă(e) IP publică pentru două tuneluri IPSec

    • Adresele IP de transport GRE din partea clientului pentru cele două tuneluri GRE

  • Partener și Client

    • Lucrați împreună pentru a evalua cerințele de lățime de bandă

    • Asigurați-vă că dispozitivele de rețea acceptă rutarea Border Gateway Protocol (BGP) și un design de tunel GRE peste IPSec

  • Partenerul sau Clientul oferă

    • Echipa de rețea cu cunoștințe despre tehnologiile de tunel VPN de la site la site

    • Echipa de rețea cu cunoștințe despre BGP, eBGP și principiile generale de rutare

  • Cisco

    • Cisco a atribuit numere private de sistem autonome (ASN) și adrese IP tranzitorii pentru interfețele tunelului GRE

    • Cisco a atribuit o rețea publică de clasă C (/24) care nu poate fi rutată pe Internet pentru adresarea în cloud de instanță dedicată

Dacă un client are doar 1 dispozitiv CPE, atunci cele 2 tuneluri către centrele de date Cisco (DC1 și DC2) din fiecare regiune vor fi de la acel dispozitiv CPE. Clientul are, de asemenea, o opțiune pentru 2 dispozitive CPE, apoi fiecare dispozitiv CPE ar trebui să se conecteze la un singur tunel către centrele de date Cisco (DC1 și DC2) din fiecare regiune. Redundanța suplimentară poate fi obținută prin terminarea fiecărui tunel într-un loc/locație fizică separată din infrastructura Clientului.

Detalii tehnice

Model de implementare

Virtual Connect utilizează o arhitectură de tip headend cu două niveluri, în care planurile de rutare și control GRE sunt furnizate de un dispozitiv, iar planul de control IPSec este furnizat de altul.

La finalizarea conexiunii Virtual Connect, vor fi create două tuneluri GRE prin IPSec între rețeaua de întreprindere a Clientului și centrele de date Cisco pentru Instanță Dedicată. Câte unul pentru fiecare centru de date redundant din regiunea respectivă. Elementele de rețea suplimentare necesare pentru peering sunt schimbate de partener sau client către Cisco prin intermediul formularului de activare Control Hub Virtual Connect.

Figura de mai jos prezintă exemplul modelului de implementare a conectării virtuale pentru opțiunea cu 2 concentrator, din partea clientului.

Virtual Connect - VPN este un design Hub, în care Site-urile Hub ale Clientului sunt conectate la DC1 și DC2 ale centrelor de date ale Instanței Dedicate dintr-o anumită regiune.

Două site-uri Hub sunt recomandate pentru o mai bună redundanță, dar site-ul One Hub cu două tuneluri este, de asemenea, un model de implementare acceptat.

Lățimea de bandă per tunel este limitată la 250 Mbps.

Site-urile de la distanță ale Clientului din aceeași regiune ar trebui să se conecteze înapoi la site-urile Hub prin WAN-ul Clientului și nu este responsabilitatea Cisco pentru acea conectivitate.

Partenerii trebuie să colaboreze îndeaproape cu Clienții, asigurându-se că se alege calea cea mai optimă pentru regiunea de servicii Conectare virtuală .

Figura de mai jos prezintă regiunile de peering pentru conexiunea cloud a instanței dedicate.

Regiuni de conectare virtuală

Redirecționare

Suplimentul de rutare pentru Virtual Connect este implementat folosind BGP extern (eBGP) între Instanța Dedicată și Echipamentul Clientului (CPE). Cisco își va face publicitate rețelei respective pentru fiecare DC redundant dintr-o regiune către CPE-ul Clientului, iar CPE-ul trebuie să facă publicitate unei rute implicite către Cisco.

  • Cisco întreține și atribuie

    • Adresarea IP a interfeței de tunel (legătură tranzitorie pentru rutare) Cisco alocă dintr-un spațiu de adresă partajat desemnat (nedirecționabil public)

    • Adresa de destinație a transportului în tunel (partea Cisco)

    • Numere private de sistem autonom (ASN) pentru configurația de rutare BGP a clientului

      • Cisco atribuie din intervalul de utilizare privat desemnat: 64512 până la 65534

  • eBGP folosit pentru a schimba rute între Instanța Dedicată și CPE

    • Cisco va împărți rețeaua /24 alocată în 2/25 câte una pentru fiecare DC din regiunea respectivă

    • În Virtual Connect, fiecare rețea /25 este anunțată înapoi către CPE de către Cisco prin tunelurile VPN punct la punct respective (legătură tranzitorie)

    • CPE trebuie configurat cu vecinii eBGP corespunzători. Dacă se utilizează un CPE, vor fi folosiți doi vecini eBGP, unul indicând fiecare tunel la distanță. Dacă utilizați două CPE, atunci fiecare CPE va avea un vecin eBGP care se adresează unui singur tunel la distanță pentru CPE.

    • Partea Cisco a fiecărui tunel GRE (IP interfață de tunel) este configurată ca vecin BGP pe CPE

    • CPE este necesar pentru a face publicitate unei rute implicite peste fiecare dintre tuneluri

    • CPE este responsabil pentru redistribuirea, după cum este necesar, a rutelor învățate în cadrul rețelei de întreprindere a clientului.

  • În condiția de eroare a legăturii fără eșec, un singur CPE va avea două tuneluri active/active. Pentru două noduri CPE, fiecare CPE va avea un tunel activ și ambele noduri CPE ar trebui să fie active și să treacă trafic. În scenariul de non-eșec, traficul trebuie să fie împărțit în două tuneluri care merg către destinațiile corecte /25, dacă unul dintre tuneluri scade, tunelul rămas poate transporta traficul pentru ambele. Într-un astfel de scenariu de eșec, când rețeaua /25 este oprită, atunci rețeaua /24 este utilizată ca rută de rezervă. Cisco va trimite traficul clienților prin WAN-ul său intern către DC care și-a pierdut conectivitatea.

Procesul de conectivitate

Următorii pași de nivel înalt descriu modul de stabilire a conectivității cu Virtual Connect for Dedicated Instance.
1

Plasați o comandă în Cisco CCW

2

Activați Virtual Connect din Control Hub

3

Cisco efectuează Configurarea rețelei

4

Clientul efectuează Configurarea rețelei

Pasul 1: Comanda CCW

Virtual Connect este un supliment pentru Instanță Dedicată în CCW.

1

Navigați la site-ul de comandă CCW și apoi faceți clic pe Conectare pentru a vă conecta la site:

https://apps.cisco.com/Commerce/guest.
2

Creați o estimare.

3

Adăugați SKU „A-FLEX-3”.

4

Selectați Editați opțiuni.

5

În fila de abonament care apare, Selectați Opțiuni și Suplimente.

6

Sub Suplimente suplimentare, bifați caseta de selectare de lângă „Virtual Connect for Dedicated Instance”. Numele SKU este „A-FLEX-DI-VC”.

7

Introduceți cantitatea și numărul de regiuni în care este necesară Virtual Connect.

Cantitatea Virtual Connect nu trebuie să depășească numărul total de regiuni achiziționate pentru Instanță Dedicată. De asemenea, este permisă o singură comandă Virtual Connect per regiune.
8

Când sunteți mulțumit de selecțiile dvs., faceți clic pe Verificați și Salvați în partea din dreapta sus a paginii.

9

Faceți clic pe Salvați și continuați pentru a finaliza comanda. Comanda dvs. finalizată apare acum în grila de comenzi.

Pasul 2: Activarea Virtual Connect în Control Hub

1

Conectați-vă la Control Hub https://admin.webex.com/login.

2

În secțiunea Servicii, navigați la Apelare > Instanță dedicată > Conectivitate în cloud.

3

În cardul Virtual Connect, este listată cantitatea achiziționată pentru Virtual Connect. Administratorul poate acum să facă clic pe Activare pentru a iniția activarea Virtual Connect.

Procesul de activare poate fi declanșat numai de Administratorii cu Rol „Customer Full Admin”. Întrucât, un administrator cu rolul „Administrator numai în citire pentru client” poate vedea doar starea.
4

Făcând clic pe butonul Activare, se afișează formularul Activare Virtual Connect pentru ca administratorul să furnizeze detaliile tehnice Virtual Connect necesare pentru configurațiile de peering pe partea Cisco.

Formularul oferă, de asemenea, informații statice din partea Cisco, în funcție de Regiunea selectată. Aceste informații vor fi utile pentru administratorii clienților pentru a configura CPE-ul de partea lor pentru a stabili conexiunea.

  1. Adresă IP transport tunel GRE: Clientului i se cere să furnizeze adresele IP din partea clientului Tunnel Transport, iar Cisco va aloca în mod dinamic adresele IP odată ce activarea este finalizată. ACL-ul IPSec pentru trafic interesant ar trebui să permită IP/32 de transport local în tunel către IP/32 de transport la distanță. ACL ar trebui, de asemenea, să specifice doar protocolul GRE IP.

    Adresa IP furnizată de client poate fi privată sau publică.

  2. Parteneri IPSec: Clientului i se cere să furnizeze adresele IP sursă ale tunelului IPSec, iar Cisco alocă adresa IP de destinație IPSec. Efectuarea traducerii NAT a unei adrese interne de tunel IPSEC la o adresă publică este, de asemenea, acceptată dacă este necesar.

    Adresa IP furnizată de client ar trebui să fie publică.

    Toate celelalte informații statice furnizate în ecranul de activare sunt standardele de securitate și criptare Cisco respectate. Această configurație statică nu este personalizabilă sau modificabilă. Pentru orice asistență suplimentară cu privire la configurațiile statice din partea Cisco, clientul ar trebui să contacteze TAC.
5

Faceţi clic pe butonul Activaţi după ce toate câmpurile obligatorii sunt completate.

6

După ce formularul de activare Virtual Connect este completat pentru o anumită regiune, clientul poate exporta formularul de activare din Control Hub, Apelare > Instanță dedicată > fila Conectivitate în cloud și face clic pe Export setări.

Din motive de securitate, autentificarea și parola BGP nu vor fi disponibile în documentul Exportat, însă administratorul poate vizualiza același lucru în Control Hub făcând clic pe Vizualizare setări din Control Hub, Apelare > Instanță dedicată > fila Conectivitate în cloud.

Pasul 3: Cisco efectuează Configurarea rețelei

1

Odată ce formularul de activare Virtual Connect este completat, starea va fi actualizată la Activare în curs în Apel > Instanță dedicată > Card Conectare virtuală Cloud Connectivity.

2

Cisco va finaliza configurațiile necesare pe echipamentul de la Cisco în termen de 5 zile lucrătoare. La finalizarea cu succes, starea va fi actualizată la „Activat” pentru regiunea respectivă în Control Hub.

Pasul 4: Clientul efectuează Configurarea rețelei

Starea este schimbată în „Activat” pentru a notifica administratorul Clientului că partea Cisco a configurațiilor pentru conectivitate IP VPN a fost finalizată pe baza intrărilor furnizate de Client. Dar, se așteaptă ca administratorul clientului să finalizeze partea sa a configurațiilor pe CPE-uri și să testeze rutele de conectivitate pentru ca tunelul Virtual Connect să fie Online. În cazul oricăror probleme întâmpinate la momentul configurării sau conectării, clientul poate contacta Cisco TAC pentru asistență.

Soluționarea problemelor

Prima fază IPsec (negociere IKEv2) Depanare și validare

Negocierea tunelului IPsec implică două faze, faza IKEv2 și faza IPsec. Dacă negocierea etapei IKEv2 nu se finalizează, nu se inițiază o a doua fază IPsec. În primul rând, efectuați comanda „afișare cripto ikev2 sa” (pe echipamentul Cisco) sau comanda similară pe echipamentul terț pentru a verifica dacă sesiunea IKEv2 este activă. Dacă sesiunea IKEv2 nu este activă, motivele potențiale ar putea fi:

  • Traficul interesant nu declanșează tunelul IPsec.

  • Lista de acces la tunelul IPsec este configurată greșit.

  • Nu există nicio conexiune între client și IPsec terminal tunel pentru instanța dedicată.

  • Parametrii sesiunii IKEv2 nu corespund între partea instanței dedicate și partea clientului.

  • Un firewall blochează pachetele UDP IKEv2.

Mai întâi, verificați jurnalele IPsec pentru orice mesaje care arată progresul negocierilor privind tunelul IKEv2. Jurnalele pot indica unde există o problemă cu negocierea IKEv2. Lipsa mesajelor de înregistrare poate indica, de asemenea, faptul că sesiunea IKEv2 nu este activată.

Unele erori comune la negocierea IKEv2 sunt:

  • Setările pentru IKEv2 pe partea CPE nu se potrivesc cu partea Cisco; verificați din nou setările menționate:

    • Verificați dacă versiunea IKE este versiunea 2.

    • Verificați dacă parametrii de criptare și autentificare corespund criptării așteptate din partea instanței dedicate.

      Când cifrul „GCM” este în uz, protocolul GCM gestionează autentificarea și setează parametrul de autentificare la NULL.

    • Verificați setarea duratei de viață.

    • Verificați grupul de module Diffie Hellman.

    • Verificați setările funcției pseudo-aleatoare.

  • Lista de acces pentru harta criptografică nu este setată la:

    • GRE permisiune (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255" (sau comandă echivalentă)

      Lista de acces trebuie să fie specifică pentru protocolul „GRE”, iar protocolul „IP” nu va funcționa.

Dacă mesajele jurnal nu afișează nicio activitate de negociere pentru faza IKEv2, este posibil să fie necesară o captură de pachet.

Este posibil ca partea instanței dedicate să nu înceapă întotdeauna schimbul IKEv2 și, uneori, se poate aștepta ca partea clientului CPE să fie inițiatorul.

Verificați configurația din partea CPE pentru următoarele cerințe preliminare pentru inițierea sesiunii IKEv2:

  • Verificați dacă există o listă de acces criptat IPsec pentru traficul GRE (protocolul 50) de la IP-ul de transport tunel CPE la IP-ul de transport tunel pentru instanța dedicată.

  • Asigurați-vă că interfața de tunel GRE este activată pentru conexiunile GRE; dacă echipamentul nu acceptă conexiunile GRE, atunci Cisco este notificat, deoarece conexiunile GRE vor fi activate în mod implicit pe partea instanței dedicate.

  • Asigurați-vă că BGP este activat și configurat cu adresa vecină a IP-ului tunel pentru instanța dedicată.

Atunci când este configurat corect, începe tunelul IPsec și prima fază de negociere IKEv2:

  • GRE păstrează conexiunile de la interfața de tunel GRE din partea CPE la interfața de tunel GRE din partea instanței dedicate.

  • Sesiune TCP vecină BGP de la vecină BGP de la CPE la vecină BGP de la instanță dedicată.

  • Ping de la adresa IP a tunelului din partea CPE la adresa IP a tunelului din partea instanței dedicate.

    Ping nu poate fi IP transport tunel - IP transport tunel, trebuie să fie IP tunel - IP tunel.

Dacă este necesară o urmărire a pachetelor pentru traficul IKEv2, setați filtrul pentru UDP și fie portul 500 (când niciun dispozitiv NAT nu se află în mijlocul punctelor finale IPsec), fie portul 4500 (când un dispozitiv NAT este introdus în mijlocul punctelor finale IPsec).

Verificați dacă pachetele IKEv2 UDP cu port 500 sau 4500 sunt trimise și primite către și de la adresa IP a DI IPsec.

Este posibil ca centrul de date pentru instanța dedicată să nu înceapă întotdeauna primul pachet IKEv2. Cerința este ca dispozitivul CPE să poată iniția primul pachet IKEv2 către partea instanței dedicate.

Dacă firewall-ul local permite acest lucru, încercați, de asemenea, un ping la adresa IPsec la distanță. Dacă ping-ul nu reușește de la adresa IPsec locală la distanță, efectuați o urmărire a traseului pentru ajutor și determinați unde este scăpat pachetul.

Este posibil ca unele firewall-uri și echipamente de internet să nu permită trasarea traseului.

Soluționarea problemelor și validarea celei de-a doua etape IPsec (negociere IPsec)

Verificați dacă prima fază a IPsec (adică asocierea de securitate IKEv2) este activă înainte de a depana a doua fază a IPsec. Efectuați o comandă „show crypto ikev2 sa” sau o comandă echivalentă pentru a verifica sesiunea IKEv2. La ieșire, verificați dacă sesiunea IKEv2 a fost pornită de mai mult de câteva secunde și că nu este în așteptare. Durata de funcționare a sesiunii se afișează ca sesiune „Timp activ” sau ca ieșire echivalentă.

După ce sesiunea IKEv2 se verifică ca activă și activă, Investigați sesiunea IPsec. Ca și în cazul sesiunii IKEv2, efectuați o „afișare cripto ipsec sa” sau o comandă echivalentă pentru a verifica sesiunea IPsec. Atât sesiunea IKEv2, cât și cea IPsec trebuie să fie active înainte de stabilirea tunelului GRE. Dacă sesiunea IPsec nu apare ca activă, verificați jurnalele IPsec pentru mesaje de eroare sau erori de negociere.

Unele dintre cele mai frecvente probleme care pot fi întâlnite în timpul negocierilor IPsec sunt:

Setările de pe partea CPE nu corespund cu partea Instanței dedicate; verificați din nou setările:

  • Verificați dacă parametrii de criptare și autentificare corespund setărilor din partea instanței dedicate.

  • Verificați setările de secretizare perfectă pentru redirecționare și dacă setările corespund de pe partea Instanței dedicate.

  • Verificați setările duratei de viață.

  • Verificați dacă IPsec a fost configurat în modul tunel.

  • Verificați adresele IPsec sursă și destinație.

Depanare și validare interfață tunel

Atunci când sesiunile IPsec și IKEv2 sunt verificate ca active și active, pachetele de tunel GRE rămân active și pot circula între instanța dedicată și terminalele de tunel CPE. Dacă interfața de tunel nu este afișată starea, unele probleme comune sunt:

  • VRF transport interfață tunel nu corespunde VRF al interfeței loopback (dacă configurația VRF este utilizată pe interfața tunel).

    Dacă configurația VRF nu este utilizată pe interfața de tunel, această verificare poate fi ignorată.

  • Conexiunile persistente nu sunt activate în interfața de tunel din partea CPE

    Dacă conexiunile persistente nu sunt acceptate pe echipamentul CPE, atunci Cisco trebuie notificat, astfel încât conexiunile persistente implicite de pe partea instanței dedicate să fie dezactivate.

    Dacă conexiunile persistente sunt acceptate, verificați dacă conexiunile persistente sunt activate.

  • Masca sau adresa IP a interfeței de tunel nu este corectă și nu corespunde valorilor așteptate pentru instanța dedicată.

  • Adresa de transport tunel sursă sau de destinație nu este corectă și nu corespunde valorilor așteptate pentru instanța dedicată.

  • Un firewall blochează pachetele GRE trimise în tunelul IPsec sau primite din tunelul IPsec (tunelul GRE este transportat prin tunelul IPsec)

Un test de ping ar trebui să verifice dacă interfața de tunel locală este pornită și dacă conectivitatea este bună pentru interfața de tunel de la distanță. Efectuați verificarea ping de la IP-ul tunelului (nu și IP-ul de transport) la IP-ul tunelului la distanță.

Lista de acces criptat pentru tunelul IPsec care transportă traficul de tunel GRE permite doar pachetele GRE să treacă. Drept urmare, pingurile nu vor funcționa de la IP-ul de transport al tunelului la IP-ul de transport al tunelului la distanță.

Verificarea ping are ca rezultat un pachet GRE care este generat de IP-ul de transport al tunelului sursă la IP-ul de transport al tunelului destinație, în timp ce sarcina utilă a pachetului GRE (interiorul IP-ului) va fi IP-ul tunelului sursă și destinație.

Dacă testul ping nu reușește și elementele anterioare sunt verificate, este posibil să fie necesară o captură de pachet pentru a vă asigura că ping-ul icmp are ca rezultat un pachet GRE care este apoi încapsulat într-un pachet IPsec și apoi trimis de la adresa IPsec sursă la adresa IPsec de destinație. Contoarele de pe interfața GRE tunnel și contoarele de sesiune IPsec vă pot ajuta, de asemenea, să afișați. dacă pachetele de trimitere și primire cresc.

În plus față de traficul ping, captura ar trebui să prezinte, de asemenea, pachete GRE care rămân active chiar și în timpul traficului inactiv. În cele din urmă, dacă BGP este configurat, pachetele BGP păstrate ar trebui trimise și ca pachete GRE încapsulate în pachete IPSEC, precum și prin VPN.

Soluționarea problemelor și validare BGP

Sesiuni BGP

BGP este necesar ca protocol de rutare prin tunelul VPN IPsec. Vecinul BGP local trebuie să stabilească o sesiune eBGP cu vecinul BGP pentru Instanța dedicată. Adresele IP vecine eBGP sunt aceleași cu adresele IP locale și la distanță în tunel. Mai întâi, asigurați-vă că sesiunea BGP este pornită, apoi verificați dacă sunt primite rutele corecte de la instanța dedicată și dacă ruta implicită corectă este trimisă instanței dedicate.

Dacă tunelul GRE este activat, verificați dacă s-a reușit efectuarea unui ping între IP-ul tunelului GRE local și cel de la distanță. Dacă ping-ul reușește, dar sesiunea BGP nu este afișată, investigați jurnalul BGP pentru erori de stabilire a BGP.

Unele dintre cele mai frecvente probleme de negociere a BGP sunt:

  • Numărul AS de la distanță nu corespunde numărului AS configurat pe partea instanței dedicate; verificați din nou configurația AS învecinată.

  • Numărul AS local nu corespunde cu ceea ce așteaptă partea Instanței dedicate; asigurați-vă că numărul AS local se potrivește cu parametrii de instanță dedicată preconizați.

  • Un firewall blochează trimiterea pachetelor BGP TCP încapsulate în pachete GRE în tunelul IPsec sau primirea din tunelul IPSEC

  • IP-ul vecin BGP de la distanță nu corespunde IP-ului GRE tunnel de la distanță.

Schimb de rute BGP

După ce s-a verificat sesiunea BGP pentru ambele tuneluri, asigurați-vă că sunt trimise și primite rutele corecte de la secțiunea Instanță dedicată.

Soluția Dedicated Instance VPN se așteaptă să fie stabilite două tuneluri de la client/partener. Primul tunel indică centrul de date pentru instanța dedicată A, iar al doilea tunel indică centrul de date pentru instanța dedicată B. Ambele tuneluri trebuie să fie în stare activă, iar soluția necesită o implementare activă/activă. Fiecare centru de date pentru instanță dedicată va anunța ruta locală /25, precum și o rută de rezervă /24. Atunci când verificați rutele BGP de intrare de la instanța dedicată, asigurați-vă că sesiunea BGP asociată cu tunelul care indică centrul de date pentru instanța dedicată A primește ruta locală a centrului de date pentru instanța dedicată A /25, precum și ruta de rezervă /24. În plus, asigurați-vă că tunelul care indică centrul de date pentru instanța dedicată B primește ruta locală a centrului de date pentru instanța dedicată B /25, precum și ruta de rezervă /24. Rețineți că ruta de rezervă /24 va fi aceeași rută anunțată din centrul de date pentru instanța dedicată A și centrul de date pentru instanța dedicată B.

Redundanța este furnizată unui centru de date pentru instanța dedicată dacă interfața de tunel la centrul de date respectiv scade. Dacă se pierde conectivitatea la centrul de date A pentru instanța dedicată, atunci traficul va fi redirecționat de la centrul de date B pentru instanța dedicată la centrul de date A. În acest scenariu, tunelul către centrul de date B va utiliza ruta centrului de date B /25 pentru a trimite trafic către centrul de date B, iar tunelul către centrul de date B va utiliza ruta de rezervă /24 pentru a trimite trafic către centrul de date A prin centrul de date B.

Este important ca, atunci când ambele tuneluri sunt active, centrul de date A nu este utilizat pentru a trimite trafic către centrul de date B și viceversa. În acest scenariu, dacă traficul este trimis la centrul de date A cu o destinație a centrului de date B, centrul de date A va redirecționa traficul către centrul de date B, iar apoi centrul de date B va încerca să trimită traficul înapoi la sursă prin tunelul centrului de date B. Acest lucru va duce la rutare suboptimă și poate întrerupe, de asemenea, traficul care traversează firewall-urile. Prin urmare, este important ca ambele tuneluri să fie într-o configurație activă/activă în timpul funcționării normale.

Ruta 0.0.0.0/0 trebuie să fie anunțată de la partea clientului către partea centrului de date pentru instanța dedicată. Rutele mai specifice nu vor fi acceptate de partea instanței dedicate. Asigurați-vă că ruta 0.0.0.0/0 este anunțată atât din tunelul centrului de date pentru instanța dedicată, cât și din tunelul centrului de date pentru instanța dedicată B.

Configurație MTU

În partea Instanță dedicată, două caracteristici sunt activate pentru a ajusta dinamic MTU pentru dimensiuni mari de pachete. Tunelul GRE adaugă mai multe antete pachetelor IP care trec prin sesiunea VPN. Tunelul IPsec adaugă anteturile suplimentare în plus față de anteturile GRE vor reduce și mai mult MTU maxim permis în tunel.

Tunelul GRE ajustează caracteristica MSS și calea tunelului GRE în caracteristica de descoperire MTU este activată pe partea Instanță dedicată. Configurați „ip tcp adjust-mss 1350” sau comanda echivalentă, precum și „tunnel path\u0002mtu-discovery” sau comanda echivalentă de pe partea clientului pentru a ajuta la reglarea dinamică a traficului MTU prin tunelul VPN.