Introducere

Conectarea virtuală este o opțiune suplimentară pentru Cloud Connectivity la instanța dedicată pentru Webex Calling (instanță dedicată). Virtual Connect permite Clienților să-și extindă în siguranță Rețeaua Privată prin internet utilizând Tuneluri VPN IP point-to-point. Această opțiune de conectivitate oferă o stabilire rapidă a conexiunii la Rețeaua Privată prin utilizarea echipamentului prestabilit existent pentru clienți (CPE) și a conectivității la internet.

Cisco găzduiește, gestionează și asigură Tuneluri VPN IP redundante și accesul la internet necesar în regiunea (regiunile) centrului de date Cisco Dedicated Instance unde este necesar serviciul. În mod similar, Administratorul este responsabil pentru serviciile lor CPE și Internet corespunzătoare, care este necesară pentru stabilirea Connect virtual.

Fiecare comandă Virtual Connect dintr-o anumită regiune de instanță dedicată ar include două tuneluri generice de încapsulare de rutare (GRE) protejate prin criptare IPSec (GRE peste IPSec), una pentru fiecare centru de date Cisco din regiunea selectată.

Virtual Connect are o limită de lățime de bandă de 250 Mbps pe tunel și este recomandat pentru implementări mai mici. Deoarece două tuneluri VPN punct cu punct sunt utilizate, tot traficul către cloud trebuie să treacă prin CPE-ul de la capătul clientului și, prin urmare, este posibil să nu fie potrivit acolo unde există o mulțime de site-uri de la distanță. Pentru alte opțiuni alternative de peering, consultați Cloud Connectivity.


 

Înainte de a trimite cererea de înscriere pentru Conectarea virtuală, asigurați-vă că serviciul Instanță dedicată este activat în regiunea respectivă.

Cerințe preliminare

Condițiile prealabile pentru stabilirea conexiunii virtuale includ:

  • Clientul furnizează

    • Conexiune la internet cu o lățime de bandă suficientă pentru a sprijini implementarea

    • Adresa/adresele IP publice pentru două tuneluri IPSec

    • Adrese IP de transport GRE din partea clientului pentru cele două tuneluri GRE

  • Partener și client

    • Colaborați pentru a evalua cerințele privind lățimea de bandă

    • Asigurați-vă că dispozitivul (dispozitivele) de rețea acceptă rutarea Protocolului Gateway de frontieră (BGP) și un GRE peste designul tunelului IPSec

  • Oferă partener sau client

    • Echipa de rețea cu cunoștințe despre tehnologiile tunelului VPN de la un site la altul

    • Echipa de rețea cu cunoștințe despre BGP, eBGP și principiile generale de rutare

  • Cisco

    • Cisco a alocat numere de sistem autonome private (ASN) și adrese IP tranzitorii pentru interfețele de tunel GRE

    • Cisco a alocat o rețea publică, dar nu rutabilă, Clasa C (/24) pentru abordarea Instance Cloud dedicată


 

Dacă un client are doar 1 dispozitiv CPE, atunci cele 2 tuneluri către centrele de date Cisco (DC1 și DC2) din fiecare regiune vor fi de la acel dispozitiv CPE. Clientul are, de asemenea, o opțiune pentru 2 dispozitive CPE, apoi fiecare dispozitiv CPE trebuie să se conecteze la 1 tunel numai către Datacenters Cisco (DC1 și DC2) în fiecare regiune. Redundanța suplimentară poate fi obținută prin terminarea fiecărui tunel într-un site/locație fizică separată în cadrul infrastructurii Achizitorului.

Detalii tehnice

Model de implementare

Virtual Connect utilizează o arhitectură cu capete de nivel dublu, în care avioanele de dirijare și de control GRE sunt furnizate de un dispozitiv, iar planul de control IPSec este furnizat de un alt dispozitiv.

La finalizarea conectivității Virtual Connect , se vor crea două GRE prin tuneluri IPSec între rețeaua de întreprinderi a clientului și centrele de date Cisco ale instanței dedicate. Unul pentru fiecare centru de date redundant din regiunea respectivă. Elementele suplimentare de rețea necesare pentru împerechere sunt schimbate de partener sau de client la Cisco prin intermediul formularului de activare Control Hub Virtual Connect.

Figura 1 arată un exemplu al modelului de implementare Virtual Connect pentru opțiunea 2-concentrator de pe partea clientului.

Virtual Connect - VPN este un design Hub, în care Site-urile Hub ale clientului sunt conectate la DC1 și DC2 ale centrelor de date ale instanței dedicate într-o anumită regiune.

Două site-uri Hub sunt recomandate pentru redundanță mai bună, dar Un site Hub cu două tuneluri este, de asemenea, un model de implementare acceptat.


 

Lățimea de bandă per tunel este limitată la 250 Mbps.


 

Site-urile de la distanță ale Achizitorului din aceeași regiune ar trebui să se conecteze din nou la site-ul (site-urile) Hub prin WAN-ul Achizitorului și nu este responsabilitatea Cisco pentru această conectivitate.

Se așteaptă ca partenerii să colaboreze îndeaproape cu Clienții, asigurându-se că se alege calea cea mai optimă pentru regiunea de servicii „Conectare virtuală”.

Figura 2 prezintă regiunile de peering pentru conectivitatea cloud instanță dedicată.

Rutare

Rutarea pentru add-on-ul Connect virtual este implementată utilizând BGP extern (eBGP) între instanța dedicată și echipamentul local al clientului (CPE). Cisco va face publicitate rețelei lor respective pentru fiecare DC redundant dintr-o regiune către CPE al Achizitorului, iar CPE trebuie să facă publicitate unei rute implicite către Cisco.

  • Cisco menține și alocă

    • Adresarea IP a interfeței de tunel (link tranzitoriu pentru rutare) Cisco atribuie dintr-un spațiu de adrese partajate desemnat (care nu poate fi dirijat public)

    • Adresă de desitinizare a transportului în tunel (partea Cisco)

    • Numere de sistem autonom privat (ASN) pentru configurația de rutare BGP a clientului

      • Cisco alocă din gama de utilizare privată desemnată: 64512 până la 65534

  • eBGP utilizat pentru a face schimb de rute între instanța dedicată și CPE

    • Cisco va împărți rețeaua /24 alocată în 2 /25 una pentru fiecare DC din regiunea respectivă

    • În Virtual Connect, fiecare rețea /25 este anunțată înapoi la CPE de Cisco prin tunelurile VPN punct-la-punct respective (link tranzitoriu)

    • CPE trebuie să fie configurat cu vecinii eBGP corespunzători. Dacă se utilizează un CPE, se vor utiliza doi vecini eBGP, unul care indică fiecare tunel de la distanță. În cazul în care se utilizează două CPE, fiecare CPE va avea un vecin eBGP care pune la tunelul de la distanță unic pentru CPE.

    • Partea Cisco a fiecărui tunel GRE (interfața tunel IP) este configurată ca vecin BGP pe CPE

    • CPE este necesar pentru a face publicitate unei rute implicite pe fiecare dintre tuneluri

    • CPE este răspunzător pentru redistribuirea, după cum este necesar, a rutelor învățate în cadrul rețelei de întreprinderi a cutomerului.

  • În condiții de eșec al legăturii, un singur CPE va avea două tuneluri active/active. Pentru două noduri CPE, fiecare CPE va avea un tunel activ, iar ambele noduri CPE trebuie să fie active și să treacă prin trafic. Conform scenariului de non-eșec, traficul trebuie împărțit în două tuneluri care merg la destinațiile corecte /25, în cazul în care unul dintre tuneluri coboară, tunelul rămas poate transporta traficul pentru ambele. Într-un astfel de scenariu de eșec, atunci când rețeaua /25 este în jos, atunci rețeaua /24 este utilizată ca o rută de rezervă. Cisco va trimite traficul clienților prin intermediul WAN-ului său intern către DC care și-a pierdut conectivitatea.

Procesul de conectivitate

Următorii pași la nivel înalt descriu modul de stabilire a conectivității cu Connect virtual pentru instanța dedicată.
1

Plasați o comandă în Cisco CCW

2

Activați conexiunea virtuală din Control Hub

3

Cisco efectuează configurarea rețelei

4

Clientul efectuează configurarea rețelei

Pasul 1: Comandă CCW

Conectarea virtuală este un add-on pentru instanța dedicată în CCW.

1

Navigați la site-ul de comandă CCW și apoi faceți clic pe Conectare pentru a vă conecta la site:

2

Creați estimări.

3

Adăugați "A-FLEX-3" SKU.

4

Selectați Opțiuni Editare.

5

În fila de abonament care apare, Selectați Opțiuni și Adăugați-ne.

6

În secțiunea Adăugări suplimentare, selectați caseta de selectare de lângă „Conectare virtuală pentru instanță dedicată”. Numele SKU este "A-FLEX-DI-VC".

7

Introduceți cantitatea și numărul de regiuni în care este necesară conexiunea virtuală.


 
Cantitatea de Conectare virtuală nu trebuie să depășească numărul total de regiuni achiziționate pentru instanța dedicată. De asemenea, este permisă o singură comandă de conectare virtuală per regiune.
8

Când sunteți mulțumit de selecțiile dvs., Faceți clic pe Verificare și Salvare în partea din dreapta sus a paginii.

9

Faceți clic pe Salvare și Continuați pentru a finaliza comanda. Comanda dvs. finalizată apare acum în grila de comandă.

Pasul 2: Activarea conexiunii virtuale în Control Hub

1

Conectați-vă la Control Hub https://admin.webex.com/login.

2

În secțiunea Servicii, navigați la Apelare > Instacnce dedicat > Cloud Connectivity.

3

În cardul Virtual Connect, este listată cantitatea achiziționată de Virtual Connect. Administratorul poate acum să facă clic pe Activare pentru a iniția activarea Conectării virtuale.


 
Procesul de activare poate fi declanșat numai de Administratori cu rolul de „Administrator complet pentru clienți”. În timp ce, un administrator cu rol de „Administrator numai pentru citirea clientului” poate vizualiza numai starea.
4

Făcând clic pe butonul Activare , formularul Activare conexiune virtuală este afișat pentru administrator pentru a furniza detaliile tehnice ale conexiunii virtuale necesare pentru configurațiile de peering de pe partea Cisco.


 
Formularul oferă, de asemenea, informații statice pe partea Cisco, în funcție de regiunea selectată. Aceste informații vor fi utile pentru ca administratorii de clienți să configureze CPE de partea lor pentru a stabili Connectivitatea.
  1. Adresa IP GRE Tunnel Transport: Clientul este obligat să furnizeze adresele IP de transport ale clientului, iar Cisco va aloca în mod dinamic adresele IP după finalizarea activării. IPSec ACL pentru Trafic Interesant ar trebui să permită transportul local al tunelului IP/32 către transportul de la distanță al tunelului IP/32. De asemenea, ACL trebuie să specifice numai protocolul IP GRE.


     
    Adresa IP furnizată de client poate fi privată sau publică.
  2. Perechi IPSec: Clientul este obligat să furnizeze adresele IP sursă ale IPSec Tunnel și Cisco alocă adresa IP destinație IPSec. Traducerea NAT a unei adrese de tunel IPSEC intern către o adresă publică este, de asemenea, acceptată dacă este necesar.


     

    Adresa IP furnizată de client trebuie să fie publică.


     
    Toate celelalte informații statice furnizate în ecranul de activare sunt standardele de securitate și criptare de partea Cisco urmate. Această configurație statică nu este personalizabilă sau modificabilă. Pentru orice asistență suplimentară în ceea ce privește configurațiile statice din partea Cisco, clientul ar trebui să contacteze TAC.
5

Faceți clic pe butonul Activare după ce toate câmpurile obligatorii sunt umplute.

6

După ce formularul de activare a conexiunii virtuale este completat pentru o regiune cu particule, clientul poate Exporta formularul de activare din Control Hub, Apelare > Instanță dedicată > fila Connectivitate în cloud și poate face clic pe Setări de export.


 
Din motive de securitate, parola de autentificare și BGP nu va fi disponibilă în documentul Exportat, dar administratorul poate vizualiza același lucru în Control Hub făcând clic pe Vizualizare setări în Control Hub, Apelare > instanță dedicată > fila Connectivitate în cloud.

Pasul 3: Cisco efectuează configurarea rețelei

1

După finalizarea formularului de activare a conexiunii virtuale, starea va fi actualizată la activare în curs în apelare > instanță dedicată > card de conectare virtuală în cloud.

2

Cisco va finaliza configurațiile necesare pe echipamentul lateral al Cisco în termen de 5 zile lucrătoare. La finalizarea cu succes, starea va fi actualizată la „Activat” pentru regiunea respectivă din Control Hub.

Pasul 4: Clientul efectuează configurarea rețelei

Starea este schimbată în „Activat” pentru a notifica administratorul clientului că partea Cisco a configurațiilor pentru conectivitatea IP VPN a fost finalizată în funcție de intrările furnizate de Client. Dar, administratorul clientului este de așteptat să completeze partea lor de configurații pe CPEs și să testeze rutele de conectivitate pentru tunelul Connect virtual pentru a fi Online. În cazul oricăror probleme cu care se confruntă în momentul configurării sau conectivității, clientul poate contacta Cisco TAC pentru asistență.

Soluționarea problemelor

Depanare și validare în prima fază IPsec (Negociere IKEv2)

Negocierea tunelului IPsec implică două faze, faza IKEv2 și faza IPsec. În cazul în care negocierea fazei IKEv2 nu este finalizată, atunci nu există nici o inițiere a unei a doua faze IPsec. În primul rând, emiteți comanda „afișați cripto ikev2 sa” (pe echipamentul Cisco) sau comandă similară pe echipamentul terț pentru a verifica dacă sesiunea IKEv2 este activă. Dacă sesiunea IKEv2 nu este activă, motivele potențiale ar putea fi:

  • Traficul interesant nu declanseaza tunelul IPsec.

  • Lista de acces la tunelul IPsec este neconfigurată.

  • Nu există conectivitate între client și IP-ul punctului final IPsec al instanței dedicate.

  • Parametrii sesiunii IKEv2 nu corespund între partea instanței dedicate și partea clientului.

  • Un firewall blochează pachetele UDP IKEv2.

În primul rând, verificați jurnalele IPsec pentru orice mesaje care arată progresul negocierilor tunelului IKEv2. Jurnalele pot indica dacă există o problemă cu negocierea IKEv2. Lipsa mesajelor de conectare poate indica, de asemenea, că sesiunea IKEv2 nu este activată.

Unele erori comune cu negocierea IKEv2 sunt:

  • Setările pentru IKEv2 pe partea CPE nu corespund cu partea Cisco, redirecționați setările menționate:

    • Verificați dacă versiunea IKE este versiunea 2.

    • Verificați dacă parametrii de criptare și autentificare corespund criptării așteptate din partea instanței dedicate.


       

      Când este utilizat cipher-ul „GCM”, protocolul GCM gestionează autentificarea și setează parametrul de autentificare la NULL.

    • Verificați setarea duratei de viață.

    • Verificați grupul de module Diffie Hellman.

    • Verificați setările funcției aleatorii Pseudo.

  • Lista de acces pentru harta cripto nu este setată la:

    • Permisiune GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255" (sau comandă echivalentă)


       

      Lista de acces trebuie să fie specifică pentru protocolul „GRE”, iar protocolul „IP” nu va funcționa.

Dacă mesajele jurnal nu afișează nicio activitate de negociere pentru faza IKEv2, atunci poate fi necesară o captură de pachet.


 

Partea dedicată instanței nu poate începe întotdeauna schimbul IKEv2 și se poate aștepta uneori ca partea CPE a clientului să fie inițiatorul.

Verificați configurația laterală CPE pentru următoarele condiții prealabile pentru inițierea sesiunii IKEv2:

  • Verificați o listă de acces cripto IPsec pentru traficul GRE (protocol 50) de la IP-ul de transport al tunelului CPE la IP-ul de transport al tunelului instanței dedicate.

  • Asigurați-vă că interfața tunelului GRE este activată pentru keepalives GRE, dacă echipamentul nu acceptă keepalives GRE, atunci Cisco este notificat deoarece keepalives GRE vor fi activate în partea instanță dedicată în mod implicit.

  • Asigurați-vă că BGP este activat și configurat cu adresa vecină a IP-ului tunelului instanță dedicată.

Când este configurat corect, începe tunelul IPsec și negocierea IKEv2 în prima fază:

  • GrE keepalives de la interfața de tunel GRE partea CPE la interfața de tunel GRE partea instanță dedicată.

  • Sesiune TCP de la vecinul BGP din partea CPE la vecinul BGP din partea instanței dedicate.

  • Ping de la adresa IP a tunelului lateral CPE la adresa IP a tunelului lateral instanță dedicată.


     

    Ping nu poate fi tunelul de transport IP la tunelul de transport IP, trebuie să fie tunelul IP la tunelul IP.

Dacă este necesară o urmărire a pachetului pentru traficul IKEv2, setați filtrul pentru UDP și fie portul 500 (când niciun dispozitiv NAT nu este în mijlocul punctelor finale IPsec), fie portul 4500 (când un dispozitiv NAT este introdus în mijlocul punctelor finale IPsec).

Verificați dacă pachetele UDP IKEv2 cu port 500 sau 4500 sunt trimise și primite la și de la adresa IP IPsec DI.


 

Centrul de date al instanței dedicate nu poate începe întotdeauna primul pachet IKEv2. Cerința este că dispozitivul CPE este capabil să inițieze primul pachet IKEv2 spre partea Instanță dedicată.

Dacă firewall-ul local permite, apoi încercați, de asemenea, un ping la adresa IPsec de la distanță. În cazul în care ping-ul nu este de succes de la adresa IPsec locală la distanță, apoi efectuați un traseu de urmărire pentru a ajuta, și de a determina în cazul în care pachetul este abandonat.

Este posibil ca unele firewall-uri și echipamente de internet să nu permită traseul de urmărire.

Depanarea și validarea IPsec a doua fază (Negociere IPsec)

Verificați dacă prima fază IPsec (adică asocierea de securitate IKEv2) este activă înainte de depanarea celei de-a doua faze IPsec. Efectuați o „afișare ikev2 sa cripto” sau o comandă echivalentă pentru a verifica sesiunea IKEv2. În ieșire, verificați dacă sesiunea IKEv2 a fost ridicată pentru mai mult de câteva secunde și că nu se estompează. Ora de actualizare a sesiunii arată ca sesiunea „Timp activ” sau echivalent în ieșire.

După ce sesiunea IKEv2 este verificată ca în sus și activă, Investigați sesiunea IPsec. Ca și în cazul sesiunii IKEv2, efectuați o „afișare cripto ipsec sa” sau o comandă echivalentă pentru a verifica sesiunea IPsec. Atât sesiunea IKEv2, cât și sesiunea IPsec trebuie să fie active înainte de stabilirea tunelului GRE. Dacă sesiunea IPsec nu apare ca activă, verificați jurnalele IPsec pentru mesaje de eroare sau erori de negociere.

Unele dintre cele mai frecvente probleme care pot fi întâlnite în timpul negocierilor IPsec sunt:

Setările de pe partea CPE nu corespund cu partea Instanței dedicate, redirecționați setările:

  • Verificați dacă parametrii de criptare și autentificare corespund cu setările din partea instanței dedicate.

  • Verificați setările Perfecte de redirecționare a secretului și că setările de potrivire sunt pe partea Instanță dedicată.

  • Verificați setările duratei de viață.

  • Verificați dacă IPsec a fost configurat în modul tunel.

  • Verificați adresele IPsec sursă și destinație.

Depanarea și validarea interfeței tunelului

Când sesiunile IPsec și IKEv2 sunt verificate ca în sus și active, tunelul GRE este capabil să curgă între punctele finale ale tunelului Instance Dedicated și CPE. În cazul în care interfața tunel nu afișează starea, unele probleme comune sunt:

  • Interfața de transport a tunelului VRF nu corespunde cu VRF a interfeței loopback (dacă configurația VRF este utilizată pe interfața de tunel).


     

    Dacă configurația VRF nu este utilizată pe interfața tunel, această verificare poate fi ignorată.

  • Keepalives nu sunt activate pe interfața tunel lateral CPE


     

    Dacă Keepalives nu sunt acceptate pe echipamentul CPE, atunci Cisco trebuie notificat, astfel încât și keepalives implicite din partea instanței dedicate să fie dezactivate.

    Dacă Keepalives sunt acceptate, verificați dacă Keepalives sunt activate.

  • Masca sau adresa IP a interfeței tunelului nu este corectă și nu corespunde valorilor așteptate ale instanței dedicate.

  • Adresa de transport a tunelului sursă sau destinație nu este corectă și nu corespunde valorilor așteptate ale instanței dedicate.

  • Un firewall blochează pachetele GRE trimise în tunelul IPsec sau primite din tunelul IPsec (tunelul GRE este transportat prin tunelul IPsec)

Un test ping ar trebui să verifice dacă interfața tunelului local este în sus și conectivitatea este bună la interfața tunelului la distanță. Efectuați verificarea ping de la tunelul IP (nu IP de transport) la tunelul IP de la distanță.


 

Lista de acces cripto pentru tunelul IPsec care transportă traficul tunelului GRE permite doar pachetele GRE să traverseze. Ca urmare, pinii nu vor funcționa de la transportul prin tunel IP la transportul prin tunel la distanță IP.

Verificarea ping-ului duce la un pachet GRE care este generat de la sursa tunelului de transport IP la destinația tunelului de transport IP, în timp ce sarcina utilă a pachetului GRE (IP interior) va fi sursa și tunelul de destinație IP.

În cazul în care testul de ping nu este de succes și elementele anterioare sunt verificate, atunci poate fi necesară o captură de pachet pentru a se asigura că ping-ul icmp are ca rezultat un pachet GRE care este apoi încapsulat într-un pachet IPsec și apoi trimis de la adresa IPsec sursă la adresa IPsec destinație. Contoarele de pe interfața tunel GRE și contoarele de sesiune IPsec pot, de asemenea, ajuta la afișare. dacă pachetele de trimitere și primire sunt în creștere.

În plus față de traficul de ping, captura ar trebui să arate, de asemenea, pachetele GRE keepalive chiar și în timpul traficului inactiv. În cele din urmă, dacă BGP este configurat, pachetele BGP keepalive trebuie, de asemenea, trimise ca pachete GRE încapsulate în pachete IPSEC, precum și prin VPN.

Soluționarea problemelor și validarea BGP

Sesiuni BGP

BGP este necesar ca protocol de rutare prin tunelul IPsec VPN. Vecinul local BGP trebuie să stabilească o sesiune eBGP cu vecinul BGP al instanței dedicate. Adresele IP ale vecinilor eBGP sunt aceleași ca și adresele IP ale tunelului local și de la distanță. În primul rând, asigurați-vă că sesiunea BGP este încheiată și apoi verificați dacă rutele corecte sunt primite de la instanța dedicată, iar traseul implicit corect este trimis către instanța dedicată.

Dacă tunelul GRE este în sus, verificați dacă un ping este reușit între tunelul local și IP-ul GRE de la distanță. Dacă ping-ul are succes, dar sesiunea BGP nu vine, atunci investigați jurnalul BGP pentru erorile de stabilire BGP.

Unele dintre cele mai frecvente probleme de negociere BGP sunt:

  • Numărul AS de la distanță nu corespunde cu numărul AS care este configurat pe partea Instanță dedicată, reverificați configurația AS a vecinului.

  • Numărul local AS nu corespunde așteptărilor din partea instanței dedicate, verificați dacă numărul local AS corespunde parametrilor preconizați ai instanței dedicate.

  • Un firewall blochează pachetele BGP TCP încapsulate în pachete GRE să fie trimise în tunelul IPsec sau să fie primite din tunelul IPSEC

  • IP-ul vecinului BGP de la distanță nu corespunde cu IP-ul tunelului GRE de la distanță.

Schimb de rute BGP

Odată ce sesiunea BGP este verificată pentru ambele tuneluri, asigurați-vă că rutele corecte sunt trimise și primite din partea instanței dedicate.

Soluția Dedicated Instance VPN așteaptă să fie înființate două tuneluri de la partea client/partener. Primul tunel către centrul de date al instanței dedicate A și al doilea tunel către centrul de date al instanței dedicate B. Ambele tuneluri trebuie să fie în stare activă, iar soluția necesită o implementare activă/activă. Fiecare centru de date al instanței dedicate va anunța ruta locală /25, precum și o rută de rezervă /24. Când verificați rutele BGP de intrare de la instanța dedicată, asigurați-vă că sesiunea BGP asociată cu tunelul care indică centrul de date al instanței dedicate A primește centrul de date al instanței dedicate A /25 pe traseul local, precum și ruta de rezervă /24. În plus, asigurați-vă că tunelul care indică centrul de date al instanței dedicate B repetă ruta locală a centrului de date al instanței dedicate B /25, precum și ruta de rezervă /24. Rețineți că ruta /24 de rezervă va fi aceeași rută anunțată din centrul de date al instanței dedicate A și centrul de date al instanței dedicate B.

Redundanța este furnizată unui centru de date al instanței dedicate dacă interfața tunel către acel centru de date scade. Dacă se pierde conectivitatea la centrul de date al instanței dedicate A, atunci traficul va fi redirecționat de la centrul de date al instanței dedicate B la centrul de date A. În acest scenariu, tunelul către centrul de date B va utiliza ruta centrului de date B /25 pentru a trimite traficul către centrul de date B, iar tunelul către centrul de date B va utiliza ruta de rezervă /24 pentru a trimite traficul către centrul de date A prin centrul de date B.

Este important ca, atunci când ambele tuneluri sunt active, centrul de date Un tunel nu este utilizat pentru a trimite traficul către centrul de date B și vice versa. În acest scenariu, dacă traficul este trimis către centrul de date A cu destinația centrului de date B, centrul de date A va redirecționa traficul către centrul de date B, iar apoi centrul de date B va încerca să trimită traficul înapoi la sursă prin tunelul centrului de date B. Acest lucru va duce la o rutare sub-optimă și poate, de asemenea, să rupă traficul prin firewall-uri. Prin urmare, este important ca ambele tuneluri să fie într-o configurație activă/activă în timpul funcționării normale.

Ruta 0.0.0.0/0 trebuie să fie anunțată din partea clientului către partea centrului de date al instanței dedicate. Mai multe rute specifice nu vor fi acceptate de partea instanței dedicate. Asigurați-vă că traseul 0.0.0.0/0 este promovat atât din tunelul centrului de date al instanței dedicate A, cât și din tunelul centrului de date al instanței dedicate B.

configurare MTU

În partea instanță dedicată, două caracteristici sunt activate pentru a regla dinamic MTU pentru dimensiuni mari de pachete. Tunelul GRE adaugă mai multe antene la pachetele IP care circulă prin sesiunea VPN. Tunelul IPsec adaugă antene suplimentare pe partea de sus a anteturilor GRE va reduce și mai mult cea mai mare MTU permisă peste tunel.

Tunelul GRE reglează caracteristica MSS și calea tunelului GRE în caracteristica de descoperire MTU este activată pe partea instanță dedicată. Configurați comanda „ip tcp adjust-mss 1350” sau echivalentă, precum și comanda „tunel path\u0002mtu-discovery” sau comanda echivalentă pe partea clientului pentru a ajuta la ajustarea dinamică a MTU a traficului prin tunelul VPN.