Введение

Virtual Connect – это дополнительная надстройка для подключения к облаку для выделенного экземпляра Webex Calling (выделенный экземпляр). Virtual Connect позволяет клиентам безопасно расширять свои частные сети через Интернет с помощью VPN-туннелей "точка-точка". Этот вариант подключения обеспечивает быстрое установление частного сетевого соединения с использованием существующего оборудования для помещений клиента (Customer Premise Equipment, CPE) и подключения к Интернету.

Компания Cisco обеспечивает, управляет и обеспечивает избыточные туннели IP VPN и необходимый доступ в Интернет в регионе центра обработки данных Выделенного экземпляра Cisco, где это необходимо. Аналогично, администратор отвечает за соответствующие cpe-услуги и службы Интернета, которые необходимы для установления виртуального соединения.

Каждый заказ на виртуальное подключение в определенном регионе выделенного экземпляра должен включать в себя два общих туннеля инкапсуляции маршрутизации (GRE), защищенных шифрованием IPSec (GRE по IPSec), по одному для каждого центра обработки данных Cisco в выбранном регионе.

Виртуальное соединение имеет ограничение пропускной способности в 250 Мбит/с для туннеля и рекомендуется для небольших развертывания. Поскольку два VPN-туннеля "точка-точка" используются в облаке, весь трафик в облако должен проходить через клиентский головной процессор CPE, что может быть непригодным при большой площади удаленных объектов. Для других альтернативных параметров пиринга обратитесь к параметру Подключение к облаку.

Прежде чем отправить запрос пиринга для Virtual Connect, убедитесь, что служба выделенного экземпляра активирована в соответствующем регионе.

Предварительные условия

Предварительные условия для создания виртуального соединения:

  • Клиент предоставляет

    • Подключение к Интернету с достаточной доступной полосой пропускания для поддержки развертывания

    • Публичные IP-адреса для двух туннелей IPSec

    • Транспортные IP-адреса GRE для двух туннелей GRE на стороне клиента

  • Партнер и клиент

    • Совместное использование для оценки требований к полосе пропускания

    • Обеспечение поддержки сетевых устройств на протокол пограничного шлюза (BGP) и проектирование туннеля GRE по IPSec

  • Партнер или клиент предоставляет

    • Сетовая группа с знанием технологий туннеля между узлами

    • Сетовая группа со знанием BGP, eBGP и общих принципов маршрутов

  • Cisco

    • Cisco назначена частная автономная система номеров (ASNS) и временный IP-адрес для интерфейсов туннеля GRE

    • Компании Cisco назначена доступная, но не доступная в Интернет сеть класса C (/24) для адресов в облаке выделенных экземпляров

Если у клиента имеется только 1 устройство CPE, то 2 туннеля к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе будут от этого устройства CPE. Клиент также имеет возможность на 2 устройства CPE, поэтому каждое устройство CPE должно подключаться к 1 туннелю только к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе. Можно добиться дополнительной избыточности, орвав каждый туннель в отдельном физическом объекте или местоположении в инфраструктуре клиента.

Технические сведения

Модель развертывания

Virtual Connect использует архитектуру головной системы двойного уровня, в которой плоскости маршрутов и управления GRE предоставлены одним устройством, а плоскость управления IPSec – другим.

По завершении подключения к виртуальному соединению между корпоративной сетью клиента и выделенными экземплярами центра обработки данных Cisco будут созданы два туннеля GRE по IPSec. Один на каждый избыточный центр обработки данных в соответствующем регионе. Дополнительные сетевые элементы, необходимые для пиринга, обмениваются партнером или клиентом на Cisco с помощью формы активации Virtual Connect Control Hub.

На рисунке ниже приведен пример модели развертывания виртуального подключения для параметра 2-концентратора на стороне клиента.

Виртуальное соединение– VPN – это проект концентратора, в котором веб-сайты концентраторов клиента подключены к DC1 и DC2 центров обработки данных выделенных экземпляров в определенном регионе.

Для улучшения избыточности рекомендуется использовать два узла Концентратора, однако поддерживаются также веб-сайты с одним концентратором с двумя туннелями.

Полоса пропускания одного туннеля ограничена до 250 Мбит/с.

Удаленные объекты клиента в том же регионе, необходимо будет подключиться обратно к концентратору через WAN клиента, и компания Cisco не несет ответственности за это подключение.

Ожидается, что партнеры будут тесно сотрудничать с Клиентами, обеспечивая выбор наиболее оптимального пути для региона службы Virtual Connect .

На рисунке ниже показаны регионы пиринга подключения к облаку выделенного экземпляра.

Регионы Virtual Connect

Маршрутизация

Маршрутка для виртуальной надстройки Connect реализована с использованием внешнего BGP (eBGP) между выделенным экземпляром и оборудованием в помещении клиента (CUSTOMER Premise Equipment, CPE). Компания Cisco объявит о своей сети для каждого избыточного ЦОДа в регионе для клиентского оборудования, и CPE является обязательной для объявления маршрутов по умолчанию в Cisco.

  • Cisco поддерживает и назначает

    • IP-адресвание интерфейса туннеля (временный канал для маршрутики) назначается Cisco из назначенного общего адресного пространства (не для публичной маршрутики)

    • Адрес делегации транспортного туннеля (на стороне Cisco)

    • Номера частной автономной системы (ASNS) для конфигурации маршрутов BGP клиента

      • Cisco назначает из назначенного частного диапазона использования: с 64512 по 65534

  • EBGP используется для обмена маршрутами между выделенным экземпляром и CPE

    • Cisco разделит назначенную сеть /24 на 2/25 один для каждого постоянного тока в соответствующем регионе

    • В виртуальном подключении каждая /25 сеть объявляется клиентом cisco через соответствующие VPN-туннели «точка-точка» (временные соединения)

    • Для CPE должны быть настроены соответствующие соседние ели EBGP. При использовании одного CPE будут использоваться два eBGP-соседя, которые указывают на каждый удаленный туннель. При использовании двух CPE каждый CPE будет иметь единый соседний eBGP-канал для одного удаленного туннеля для CPE.

    • Сбоку каждого туннеля GRE (IP-интерфейса туннеля) Cisco настраивается как соседний BGP на CPE

    • CPE требуется для объявления маршрута по умолчанию по каждому из туннелей

    • CPE может при необходимости перераспределить перераспределяемые маршруты в пределах корпоративной сети осязаемого предприятия.

  • В случае отказа канала без отказа один CPE будет иметь два активных и активных туннеля. Для двух узлов CPE каждый CPE будет иметь один активный туннель, и оба узла CPE должны быть активными и проходить трафик. В сценарии, не относясь к отказу, трафик должен разделяться на два туннеля, которые будут проходить к правильному пункту назначения /25. Если один из туннелей выходит из строя, оставшийся туннель может проходить трафик для обоих туннелей. В таком сценарии отказа при отбое сети /25 сеть /24 используется в качестве резервного маршрута. Cisco отправит трафик клиентов через свою внутреннюю WAN в ЦОД, в связи с которым соединение разослаться не будет.

Процесс подключения

Ниже описано, как установить соединение с виртуальным Connect для выделенного экземпляра.
1

Размещение заказа в Cisco CCW

2

Активация виртуального соединения из Control Hub

3

Cisco выполняет настройку сети

4

Клиент выполняет настройку сети

Этап 1. Заказ CCW

Virtual Connect – это надстройка для выделенного экземпляра в CCW.

1

Перейдите на веб-сайт для заказа CCW и щелкните Login (Вход), чтобы войти на веб-сайт:

https://apps.cisco.com/Commerce/guest.
2

Выберите Create Estimate (Создать предложение с расценками).

3

Добавьте SKU "A-FLEX-3".

4

Выберите Редактировать параметры.

5

На отобра похожей вкладке подписки выберите Параметры и Надстройки.

6

В области Дополнительные надстройки выберите поле "Виртуальное соединение для выделенного экземпляра". SKU – это A-FLEX-DI-VC.

7

Введите количество и количество регионов, в которых требуется virtual Connect.

Количество виртуальных подключений не должно превышать общее количество регионов, приобретенных для выделенного экземпляра. Кроме того, в одном регионе допускается только один порядок виртуальных подключений.
8

Если вы удовлетворены выбором, щелкните Проверить и сохранить в правой верхней части страницы.

9

Щелкните Save (Сохранить), а затем Continue (Продолжить), чтобы оформить заказ. После завершения этого заказа приложение будет в сетке заказов.

Этап 2. Активация виртуального соединения в Control Hub

1

Во войти в Control Hub https://admin.webex.com/login.

2

В разделе Службы перейдите к разделу Вызовы > службу instacnce > облаке.

3

На карточке Virtual Connect указано приобретенное количество Virtual Connect. Теперь администратор может щелкнуть Активировать , чтобы инициировать активацию виртуального соединения.

Активация может быть инициирована только администраторами с ролью "Администратор с полными клиентами". При этом администратор с ролью "Администратор только для чтения клиента" может только просматривать состояние.
4

При нажатии кнопки "Активировать" администратор может предоставить администратору технические сведения, необходимые для пиринговых конфигураций на стороне Cisco.

Кроме того, в форме статическая информация на стороне компании Cisco основывается на выбранном регионе. Эта информация будет полезна администраторам клиентов для настройки клиентской сети для установления соединения.

  1. IP-адрес туннельного транспорта GRE: Клиенту необходимо предоставить IP-адреса для бокового туннеля, и компания Cisco динамически выделит IP-адреса по завершению активации. IPSec ACL для трафика с интересным трафиком должен позволять локальному транспортному туннелю IP/32 к удаленному транспортному транспортному туннелю IP/32. В ACL также должен указываться только протокол GRE IP.

    IP-адрес, предоставленный клиентом, может быть частным или общедоступным.

  2. Узлы IPSec: Клиент должен предоставить IP-адреса источника туннеля IPSec, а компания Cisco выделяет IP-адрес назначения IPSec. При необходимости также поддерживается трансляция NAT внутреннего туннеля IPSEC на публичный адрес.

    IP-адрес, предоставленный клиентом, должен быть общедоступным.

    Вся другая статическая информация, представленная на экране активации, является частью безопасности и стандартов шифрования Cisco, с которыми следует следовать. Статическая конфигурация не подстроима и не подгоняться. Для дальнейшей помощи в отношении статических конфигураций на стороне Cisco клиенту необходимо будет связаться с TAC.
5

После заполнения всех обязательных полей щелкните кнопку Активировать.

6

После завершения активации формы активации виртуального соединения для региона, который является частью, клиент может экспортировать форму активации из Control Hub, на вкладке Вызовы > Выделенная служба > Cloud Connectivity" и щелкнуть Параметры экспорта.

Из соображений безопасности пароль аутентификации и BGP в экспортированном документе будут недоступны, однако администратор может его просмотреть в Control Hub, щелкнув Просмотр настроек в Control Hub на вкладке Calling > Выделенный экземпляр > Cloud Connectivity (Подключение к облаку).

Этап 3. Cisco выполняет настройку сети

1

По завершению формы активации виртуального соединения состояние будет обновлено до состояния "Активация, которая уже идет в вызове> выделенном экземпляре > карточке "Виртуальное соединение с подключением к облаку".

2

Cisco выполнит необходимые конфигурации на боковом оборудовании Cisco в течение 5 рабочих дней. После успешного завершения состояние будет обновлено до "Активировано" для этого региона в Control Hub.

Шаг 4. Клиент выполняет настройку сети

Состояние изменено на "Активировано", чтобы известить администратора клиента о том, что конфигурации сети IP VPN компании Cisco выполнены на основе входных данных, предоставленных клиентом. Однако ожидается, что администратор клиента завершит настройку конфигураций клиентского оборудования и протестирует маршруты подключения для туннеля виртуального соединения в режиме онлайн. В случае любых проблем, с которыми столкнулись при настройке или подое связи, клиент может за помощью связаться с Cisco TAC.

Устранение неполадок

Устранение неполадок и проверка на первом этапе IPsec (согласование IKEv2)

Согласование туннеля IPsec включает два этапа: этап IKEv2 и этап IPsec. Если согласование фазы IKEv2 не завершено, то вторая фаза IPsec не инициируется. Во-первых, введите команду "show crypto ikev2 sa" (на оборудовании Cisco) или аналогичную команду на стороннем оборудовании, чтобы проверить, активен ли сеанс IKEv2. Если сеанс IKEv2 неактивен, возможные причины могут быть:

  • Интересный трафик не запускает туннель IPsec.

  • Список доступа к туннелю IPsec настроен неверно.

  • Отсутствует соединение между клиентом и IP конечной точки туннеля IPsec выделенного экземпляра.

  • Параметры сеанса IKEv2 не совпадают на стороне выделенного экземпляра и на стороне клиента.

  • Брандмауэр блокирует пакеты UDP IKEv2.

Во-первых, проверьте журналы IPsec на все сообщения, показывающие ход согласования туннеля IKEv2. Журналы могут указывать на наличие проблемы с согласованием IKEv2. Отсутствие сообщений регистрации может также указывать на то, что сеанс IKEv2 не активирован.

Некоторые распространенные ошибки при согласовании IKEv2:

  • Настройки IKEv2 на стороне CPE не соответствуют настройкам Cisco. Проверьте указанные далее настройки.

    • Убедитесь, что версия IKE — 2.

    • Убедитесь, что параметры шифрования и аутентификации соответствуют ожидаемому шифрованию со стороны выделенного экземпляра.

      Если используется шифр GCM, протокол GCM обрабатывает аутентификацию и задает для параметра аутентификации значение NULL.

    • Проверьте настройку времени жизни.

    • Проверьте группу модулей Диффи Хелмана.

    • Проверьте настройки псевдослучайной функции.

  • В списке доступа для криптокарты не задано значение:

    • Разрешить GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255" (или эквивалентная команда)

      Список доступа должен быть указан специально для протокола GRE, и протокол IP не будет работать.

Если в сообщениях журнала не отображаются согласованные действия для фазы IKEv2, может потребоваться захват пакетов.

Сторона выделенного экземпляра может не всегда запускать обмен IKEv2, а иногда может ожидать, что инициатором будет сторона CPE клиента.

Проверьте конфигурацию на стороне CPE для выполнения приведенных ниже предварительных требований для инициирования сеанса IKEv2.

  • Проверьте список криптового доступа IPsec для трафика GRE (протокол 50) от IP-адреса туннельного транспорта CPE на IP-адрес туннельного транспорта выделенного экземпляра.

  • Убедитесь, что интерфейс туннеля GRE включен для проверки активности GRE. Если оборудование не поддерживает проверки активности GRE, компания Cisco получит уведомление, поскольку проверки активности GRE будут включены на стороне выделенного экземпляра по умолчанию.

  • Убедитесь, что протокол BGP включен и настроен с учетом соседнего адреса IP-туннеля выделенного экземпляра.

При надлежащей настройке начинается согласование IKEv2 туннеля IPsec и первой фазы IKEv2:

  • GRE переходит от интерфейса туннеля GRE на стороне CPE к интерфейсу туннеля GRE выделенного экземпляра.

  • Сеанс TCP соседа BGP от соседа BGP на стороне CPE к соседу BGP на стороне выделенного экземпляра.

  • Проверка связи с IP-адресом бокового туннеля CPE на IP-адрес бокового туннеля выделенного экземпляра.

    Ping не может быть IP-адресом туннельного транспорта по IP-адресу туннельного транспорта, должен быть IP-адресом туннеля по IP-адресу туннеля.

Если для трафика IKEv2 требуется трассировка пакетов, задайте фильтр для UDP и порт 500 (если устройство NAT не находится посередине оконечных устройств IPsec) или порт 4500 (если устройство NAT вставлено посередине оконечных устройств IPsec).

Убедитесь, что пакеты UDP IKEv2 с портом 500 или 4500 отправляются и получают на IP-адрес выделенного экземпляра IPsec.

Центр обработки данных выделенного экземпляра не всегда может начать первый пакет IKEv2. Требуется, чтобы устройство CPE могло инициировать первый пакет IKEv2 со стороны выделенного экземпляра.

Если это разрешено локальным брандмауэром, попробуйте также проверить связь с удаленным IPsec-адресом. Если проверка связи не удалась с локального адреса на удаленный IPsec, выполните трассировку для справки и определите, где был сброшен пакет.

Некоторые брандмауэры и интернет-оборудование могут не разрешать трассировку.

Устранение неполадок и проверка второго этапа IPsec (согласование IPsec)

Перед устранением неполадок второго этапа IPsec убедитесь в том, что первая фаза IPsec (т. е. связь безопасности IKEv2) активна. Выполните команду "show crypto ikev2 sa" или эквивалентную команду для проверки сеанса IKEv2. В выходных данных убедитесь, что сеанс IKEv2 работает более нескольких секунд и что он не отскакивает. Время доступности сеанса отображается в представлении вывода как "Время активности" или эквивалент сеанса.

После того как сеанс IKEv2 будет проверен как активный и активный, Изучите сеанс IPsec. Как и в сеансе IKEv2, выполните команду "show crypto ipsec sa" или эквивалентную команду для проверки сеанса IPsec. Перед установкой туннеля GRE необходимо активировать и сеанс IKEv2, и сеанс IPsec. Если сеанс IPsec не отображается как активный, проверьте журналы IPsec на наличие сообщений об ошибках или ошибок согласования.

Некоторые из наиболее распространенных проблем, которые могут возникнуть во время переговоров по IPsec:

Настройки на стороне CPE не соответствуют настройкам выделенного экземпляра. Проверьте настройки еще раз.

  • Убедитесь, что параметры шифрования и аутентификации соответствуют настройкам на стороне выделенного экземпляра.

  • Проверьте настройки полной секретности переадресации и убедитесь, что они совпадают на стороне выделенного экземпляра.

  • Проверьте настройки времени жизни.

  • Убедитесь, что IPsec настроен в туннельном режиме.

  • Проверьте IPsec-адреса источника и назначения.

Устранение неполадок и проверка интерфейса туннеля

При проверке сеансов IPsec и IKEv2 как активных и активных пакетов keepalive туннеля GRE, которые могут поступать между конечными точками туннеля выделенного экземпляра и CPE. Если в интерфейсе туннеля не отображается состояние, некоторые распространенные проблемы:

  • VRF транспортного интерфейса туннеля не соответствует VRF интерфейса петли (если в интерфейсе туннеля используется конфигурация VRF).

    Если конфигурация VRF не используется в интерфейсе туннеля, эту проверку можно проигнорировать.

  • Проверки активности не включены в интерфейсе туннеля на стороне CPE

    Если проверки активности не поддерживаются на оборудовании CPE, необходимо уведомить Cisco о том, что проверки активности по умолчанию на стороне выделенного экземпляра также отключены.

    Если поддерживаются функции проверки активности, убедитесь, что функции проверки включены.

  • Маска или IP-адрес интерфейса туннеля неверны и не соответствуют ожидаемым значениям выделенного экземпляра.

  • Адрес транспорта туннеля источника или назначения неверный и не соответствует ожидаемым значениям выделенного экземпляра.

  • Брандмауэр блокирует отправку пакетов GRE в туннель IPsec или получение из туннеля IPsec (туннель GRE транспортируется по туннелю IPsec)

Проверка ping должна проверить работоспособность локального интерфейса туннеля и хорошее подключение к интерфейсу удаленного туннеля. Выполните проверку ping от IP-адреса туннеля (а не транспортного IP-адреса) к IP-адресу удаленного туннеля.

Список криптографического доступа для туннеля IPsec, который несет трафик туннеля GRE, позволяет пересекать только пакеты GRE. В результате соединения не будут работать от IP-адреса туннельного транспорта к IP-адресу удаленного туннельного транспорта.

Проверка ping приводит к получению пакета GRE, который создается из исходного IP-транспорта туннеля к IP-адресу туннеля назначения, в то время как полезной нагрузкой пакета GRE (внутренний IP-адрес) будет IP-адреса туннеля источника и назначения.

Если проверка ping не выполнена и предыдущие элементы проверены, может потребоваться захват пакетов, чтобы проверка связи icmp привела к пакету GRE, который затем инкапсулируется в пакет IPsec и отправляется с исходного адреса IPsec на адрес назначения. Счетчики в интерфейсе туннеля GRE и счетчики сеансов IPsec также могут помочь показать, если количество отправляемых и принимаемых пакетов увеличивается.

В дополнение к трафику ping в захвате также должны отображаться хранимые пакеты GRE даже во время бездействия трафика. Наконец, если настроен протокол BGP, пакеты keepalive BGP также должны отправляться как пакеты GRE, инкапсулированные в пакеты IPSEC, а также через VPN.

Устранение неполадок и проверка BGP

Сеансы BGP

В качестве протокола маршрутизации через туннель IPsec VPN требуется протокол BGP. Локальный сосед BGP должен создать сеанс eBGP с соседом BGP выделенного экземпляра. IP-адреса соседей eBGP совпадают с IP-адресами локального и удаленного туннеля. Сначала убедитесь в том, что сеанс BGP завершен, а затем убедитесь, что из выделенного экземпляра получены правильные маршруты, а в выделенный экземпляр отправлен верный маршрут по умолчанию.

Если туннель GRE включен, убедитесь, что проверка связи между локальным и удаленным IP туннеля GRE выполнена успешно. Если проверка связи выполнена успешно, но сеанс BGP не открывается, проверьте журнал BGP на наличие ошибок установления BGP.

Ниже приведены некоторые наиболее распространенные проблемы ведения переговоров по протоколу BGP.

  • Удаленный номер AS не соответствует номеру AS, настроенному на стороне выделенного экземпляра. Проверьте конфигурацию соседа AS.

  • Локальный номер AS не соответствует ожидаемому для стороны выделенного экземпляра. Убедитесь, что локальный номер AS соответствует ожидаемым параметрам выделенного экземпляра.

  • Брандмауэр блокирует отправку пакетов TCP BGP, инкапсулированных в пакетах GRE, в туннель IPsec или получение из туннеля IPSEC

  • Удаленный IP-адрес соседа BGP не соответствует IP-адресу удаленного туннеля GRE.

Обмен маршрутами BGP

После проверки сеанса BGP в обоих туннелях убедитесь, что с выделенного экземпляра передаются и получены правильные маршруты.

Ожидается, что решение VPN выделенного экземпляра будет установлено два туннеля со стороны клиента или партнера. Первый туннель указывает на центр обработки данных выделенного экземпляра A, а второй туннель указывает на центр обработки данных выделенного экземпляра B. Оба туннеля должны быть в активном состоянии, а для решения требуется активное/активное развертывание. Каждый центр обработки данных выделенного экземпляра будет оповещать о локальном маршруте /25 и резервном маршруте /24. При проверке входящих маршрутов BGP из выделенного экземпляра убедитесь, что сеанс BGP, связанный с туннелем, указывающим на центр обработки данных A выделенного экземпляра, получает локальный маршрут центра обработки данных A /25, а также резервный маршрут /24. Кроме того, убедитесь, что туннель, указывающий на центр обработки данных выделенного экземпляра B, получает локальный маршрут центра обработки данных выделенного экземпляра B /25, а также резервный маршрут /24. Обратите внимание, что резервный маршрут /24 будет одинаковым, объявленным в центрах обработки данных выделенного экземпляра A и центрах обработки данных выделенного экземпляра B.

Избыточность предоставляется центру обработки данных выделенного экземпляра, если интерфейс туннеля к этому центру обработки данных отключается. Если соединение с центром обработки данных A потеряно, трафик будет переадресован из центра обработки данных выделенного экземпляра B в центр обработки данных A. В этом сценарии туннель для центра обработки данных B будет использовать маршрут центра обработки данных B /25 для отправки трафика в центр обработки данных B, а туннель для центра обработки данных B будет использовать резервный маршрут /24 для отправки трафика в центр обработки данных A через центр обработки данных B.

Важно, чтобы при активации обоих туннелей ЦОД А не использовался для отправки трафика в ЦОД Б и наоборот. В этом сценарии, если трафик отправляется в центр обработки данных A с адресатом центра обработки данных B, центр обработки данных A переадресует трафик в центр обработки данных B, а затем центр обработки данных B попытается отправить трафик обратно к источнику через тоннель центра обработки данных B. Это приведет к неоптимальной маршрутизации и может также нарушить работу трафика, проходящего через брандмауэры. Поэтому важно, чтобы оба туннеля находились в активной/активной конфигурации во время нормальной работы.

Маршрут 0.0.0.0/0 должен быть объявлен со стороны клиента на сторону центра обработки данных выделенного экземпляра. Сторона выделенного экземпляра не будет принимать более конкретные маршруты. Убедитесь, что маршрут 0.0.0/0 объявлен из туннеля центра обработки данных выделенного экземпляра A и туннеля центра обработки данных выделенного экземпляра B.

Конфигурация MTU

На стороне выделенного экземпляра для динамической настройки MTU для больших размеров пакетов включены две функции. Туннель GRE добавляет дополнительные заголовки к IP-пакетам, которые проходят через сеанс VPN. Туннель IPsec добавляет дополнительные заголовки поверх заголовков GRE, что приведет к дальнейшему сокращению наибольшего разрешенного MTU в туннеле.

Туннель GRE настраивает функцию MSS, а путь туннеля GRE в функции обнаружения MTU включен на стороне выделенного экземпляра. Настройте "ip tcp adjust-mss 1350" или эквивалентную команду, а также "туннельный путь\u0002mtu-discovery" или эквивалентную команду на стороне клиента для динамической настройки MTU трафика через туннель VPN.