Введение

Virtual Connect – это дополнительная надстройка для подключения к облаку для выделенного экземпляра Webex Calling (выделенный экземпляр). Virtual Connect позволяет клиентам безопасно расширять свои частные сети через Интернет с помощью VPN-туннелей "точка-точка". Этот вариант подключения обеспечивает быстрое установление частного сетевого соединения с использованием существующего оборудования для помещений клиента (Customer Premise Equipment, CPE) и подключения к Интернету.

Компания Cisco обеспечивает, управляет и обеспечивает избыточные туннели IP VPN и необходимый доступ в Интернет в регионе центра обработки данных Выделенного экземпляра Cisco, где это необходимо. Аналогично, администратор отвечает за соответствующие cpe-услуги и службы Интернета, которые необходимы для установления виртуального соединения.

Каждый заказ на виртуальное подключение в определенном регионе выделенного экземпляра должен включать в себя два общих туннеля инкапсуляции маршрутизации (GRE), защищенных шифрованием IPSec (GRE по IPSec), по одному для каждого центра обработки данных Cisco в выбранном регионе.

Виртуальное соединение имеет ограничение пропускной способности в 250 Мбит/с для туннеля и рекомендуется для небольших развертывания. Поскольку два VPN-туннеля "точка-точка" используются в облаке, весь трафик в облако должен проходить через клиентский головной процессор CPE, что может быть непригодным при большой площади удаленных объектов. Для других альтернативных параметров пиринга обратитесь к параметру Подключение к облаку.

Перед отправкой запроса пиринга для Virtual Connect убедитесь, что служба выделенного экземпляра активирована в соответствующем регионе.

Предварительные условия

Предварительные условия для создания виртуального соединения:

  • Клиент предоставляет

    • Подключение к Интернету с достаточной доступной полосой пропускания для поддержки развертывания

    • Публичные IP-адреса для двух туннелей IPSec

    • Транспортные IP-адреса GRE для двух туннелей GRE на стороне клиента

  • Партнер и клиент

    • Совместное использование для оценки требований к полосе пропускания

    • Обеспечение поддержки сетевых устройств на протокол пограничного шлюза (BGP) и проектирование туннеля GRE по IPSec

  • Партнер или клиент предоставляет

    • Сетовая группа с знанием технологий туннеля между узлами

    • Сетовая группа со знанием BGP, eBGP и общих принципов маршрутов

  • Cisco

    • Cisco назначена частная автономная система номеров (ASNS) и временный IP-адрес для интерфейсов туннеля GRE

    • Компании Cisco назначена доступная, но не доступная в Интернет сеть класса C (/24) для адресов в облаке выделенных экземпляров

Если у клиента имеется только 1 устройство CPE, то 2 туннеля к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе будут от этого устройства CPE. Клиент также имеет возможность на 2 устройства CPE, поэтому каждое устройство CPE должно подключаться к 1 туннелю только к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе. Можно добиться дополнительной избыточности, орвав каждый туннель в отдельном физическом объекте или местоположении в инфраструктуре клиента.

Технические сведения

Модель развертывания

Virtual Connect использует архитектуру головной системы двойного уровня, в которой плоскости маршрутов и управления GRE предоставлены одним устройством, а плоскость управления IPSec – другим.

По завершении подключения к виртуальному соединению между корпоративной сетью клиента и выделенными экземплярами центра обработки данных Cisco будут созданы два туннеля GRE по IPSec. Один на каждый избыточный центр обработки данных в соответствующем регионе. Дополнительные сетевые элементы, необходимые для пиринга, обмениваются партнером или клиентом на Cisco с помощью формы активации Virtual Connect Control Hub.

На рис. 1 показан пример модели развертывания Virtual Connect для варианта 2-концентратора на стороне клиента.

Виртуальное соединение– VPN – это проект концентратора, в котором веб-сайты концентраторов клиента подключены к DC1 и DC2 центров обработки данных выделенных экземпляров в определенном регионе.

Для улучшения избыточности рекомендуется использовать два узла Концентратора, однако поддерживаются также веб-сайты с одним концентратором с двумя туннелями.

Полоса пропускания одного туннеля ограничена до 250 Мбит/с.

Удаленные объекты клиента в том же регионе, необходимо будет подключиться обратно к концентратору через WAN клиента, и компания Cisco не несет ответственности за это подключение.

Партнеры должны тесно работать с клиентами, обеспечивая наиболее оптимальный путь для региона обслуживания "Виртуальное соединение".

На рис. 2 показаны области пиринга выделенных экземпляров cloud connectivity.

Маршрутизация

Маршрутка для виртуальной надстройки Connect реализована с использованием внешнего BGP (eBGP) между выделенным экземпляром и оборудованием в помещении клиента (CUSTOMER Premise Equipment, CPE). Компания Cisco объявит о своей сети для каждого избыточного ЦОДа в регионе для клиентского оборудования, и CPE является обязательной для объявления маршрутов по умолчанию в Cisco.

  • Cisco поддерживает и назначает

    • IP-адресвание интерфейса туннеля (временный канал для маршрутики) назначается Cisco из назначенного общего адресного пространства (не для публичной маршрутики)

    • Адрес делегации транспортного туннеля (на стороне Cisco)

    • Номера частной автономной системы (ASNS) для конфигурации маршрутов BGP клиента

      • Cisco назначает из назначенного частного диапазона использования: с 64512 по 65534

  • EBGP используется для обмена маршрутами между выделенным экземпляром и CPE

    • Cisco разделит назначенную сеть /24 на 2/25 один для каждого постоянного тока в соответствующем регионе

    • В виртуальном подключении каждая /25 сеть объявляется клиентом cisco через соответствующие VPN-туннели «точка-точка» (временные соединения)

    • Для CPE должны быть настроены соответствующие соседние ели EBGP. При использовании одного CPE будут использоваться два eBGP-соседя, которые указывают на каждый удаленный туннель. При использовании двух CPE каждый CPE будет иметь единый соседний eBGP-канал для одного удаленного туннеля для CPE.

    • Сбоку каждого туннеля GRE (IP-интерфейса туннеля) Cisco настраивается как соседний BGP на CPE

    • CPE требуется для объявления маршрута по умолчанию по каждому из туннелей

    • CPE может при необходимости перераспределить перераспределяемые маршруты в пределах корпоративной сети осязаемого предприятия.

  • В случае отказа канала без отказа один CPE будет иметь два активных и активных туннеля. Для двух узлов CPE каждый CPE будет иметь один активный туннель, и оба узла CPE должны быть активными и проходить трафик. В сценарии, не относясь к отказу, трафик должен разделяться на два туннеля, которые будут проходить к правильному пункту назначения /25. Если один из туннелей выходит из строя, оставшийся туннель может проходить трафик для обоих туннелей. В таком сценарии отказа при отбое сети /25 сеть /24 используется в качестве резервного маршрута. Cisco отправит трафик клиентов через свою внутреннюю WAN в ЦОД, в связи с которым соединение разослаться не будет.

Процесс подключения

Ниже описано, как установить соединение с виртуальным Connect для выделенного экземпляра.
1

Размещение заказа в Cisco CCW

2

Активация виртуального соединения из Control Hub

3

Cisco выполняет настройку сети

4

Клиент выполняет настройку сети

Этап 1. Заказ CCW

Virtual Connect – это надстройка для выделенного экземпляра в CCW.

1

Перейдите на веб-сайт для заказа CCW и щелкните Login (Вход), чтобы войти на веб-сайт:

https://apps.cisco.com/Commerce/guest.
2

Выберите Create Estimate (Создать предложение с расценками).

3

Добавьте SKU "A-FLEX-3".

4

Выберите Редактировать параметры.

5

На отобра похожей вкладке подписки выберите Параметры и Надстройки.

6

В области Дополнительные надстройки выберите поле "Виртуальное соединение для выделенного экземпляра". SKU – это A-FLEX-DI-VC.

7

Введите количество и количество регионов, в которых требуется virtual Connect.

Количество виртуальных подключений не должно превышать общее количество регионов, приобретенных для выделенного экземпляра. Кроме того, в одном регионе допускается только один порядок виртуальных подключений.
8

Если вы удовлетворены выбором, щелкните Проверить и сохранить в правой верхней части страницы.

9

Щелкните Save (Сохранить), а затем Continue (Продолжить), чтобы оформить заказ. После завершения этого заказа приложение будет в сетке заказов.

Этап 2. Активация виртуального соединения в Control Hub

1

Во войти в Control Hub https://admin.webex.com/login.

2

В разделе Службы перейдите к разделу Вызовы > службу instacnce > облаке.

3

На карточке Virtual Connect указано приобретенное количество Virtual Connect. Теперь администратор может щелкнуть Активировать , чтобы инициировать активацию виртуального соединения.

Активация может быть инициирована только администраторами с ролью "Администратор с полными клиентами". При этом администратор с ролью "Администратор только для чтения клиента" может только просматривать состояние.
4

При нажатии кнопки "Активировать" администратор может предоставить администратору технические сведения, необходимые для пиринговых конфигураций на стороне Cisco.

Кроме того, в форме статическая информация на стороне компании Cisco основывается на выбранном регионе. Эта информация будет полезна администраторам клиентов для настройки клиентской сети для установления соединения.

  1. IP-адрес туннельного транспорта GRE: Клиенту необходимо предоставить IP-адреса для бокового туннеля, и компания Cisco динамически выделит IP-адреса по завершению активации. IPSec ACL для трафика с интересным трафиком должен позволять локальному транспортному туннелю IP/32 к удаленному транспортному транспортному туннелю IP/32. В ACL также должен указываться только протокол GRE IP.

    IP-адрес, предоставленный клиентом, может быть частным или общедоступным.

  2. Узлы IPSec: Клиент должен предоставить IP-адреса источника туннеля IPSec, а компания Cisco выделяет IP-адрес назначения IPSec. При необходимости также поддерживается трансляция NAT внутреннего туннеля IPSEC на публичный адрес.

    IP-адрес, предоставленный клиентом, должен быть общедоступным.

    Вся другая статическая информация, представленная на экране активации, является частью безопасности и стандартов шифрования Cisco, с которыми следует следовать. Статическая конфигурация не подстроима и не подгоняться. Для дальнейшей помощи в отношении статических конфигураций на стороне Cisco клиенту необходимо будет связаться с TAC.
5

После заполнения всех обязательных полей щелкните кнопку Активировать.

6

После завершения активации формы активации виртуального соединения для региона, который является частью, клиент может экспортировать форму активации из Control Hub, на вкладке Вызовы > Выделенная служба > Cloud Connectivity" и щелкнуть Параметры экспорта.

Из соображений безопасности пароль аутентификации и BGP не будут доступны в экспортированном документе, однако администратор может его просмотреть в Control Hub, щелкнув Просмотр настроек в Control Hub на вкладке Calling > Выделенный экземпляр > Cloud Connectivity (Подключение к облаку).

Этап 3. Cisco выполняет настройку сети

1

По завершению формы активации виртуального соединения состояние будет обновлено до состояния "Активация, которая уже идет в вызове> выделенном экземпляре > карточке "Виртуальное соединение с подключением к облаку".

2

Cisco завершит необходимые конфигурации на боковом оборудовании Cisco в течение 5 рабочих дней. После успешного завершения состояние будет обновлено до "Активировано" для этого региона в Control Hub.

Шаг 4. Клиент выполняет настройку сети

Состояние изменено на "Активировано", чтобы известить администратора клиента о том, что конфигурации сети IP VPN компании Cisco выполнены на основе входных данных, предоставленных клиентом. Однако ожидается, что администратор клиента завершит настройку конфигураций клиентского оборудования и протестирует маршруты подключения для туннеля виртуального соединения в режиме онлайн. В случае любых проблем, с которыми столкнулись при настройке или подое связи, клиент может за помощью связаться с Cisco TAC.

Устранение неполадок

Устранение неполадок и проверка IPsec на первом этапе (согласование IKEv2)

Согласование туннеля IPsec включает в себя две фазы: фазу IKEv2 и фазу IPsec. Если согласование фазы IKEv2 не завершено, то второй фазы IPsec не запускается. Во-первых, выдайте команду "show crypto ikev2 sa" (на оборудовании Cisco) или аналогичную команду на стороннем оборудовании, чтобы проверить, активен ли сеанс IKEv2. Если сеанс IKEv2 не активен, возможными причинами могут быть:

  • Интересный трафик не запускает туннель IPsec.

  • Список доступа к туннелю IPsec настроен неправильно.

  • Отсутствует соединение между клиентом и IPsec конечной точки туннеля выделенного экземпляра.

  • Параметры сеанса IKEv2 не совпадают между стороной выделенного экземпляра и стороной клиента.

  • Брандмауэр блокирует пакеты IKEv2 UDP.

Во-первых, проверьте журналы IPsec на наличие любых сообщений, которые показывают прогресс согласования туннеля IKEv2. Журналы могут указывать, где есть проблема с согласованием IKEv2. Отсутствие сообщений в журнале также может указывать на то, что сеанс IKEv2 не активируется.

Некоторые распространенные ошибки при согласовании IKEv2 являются:

  • Настройки для IKEv2 на стороне CPE не совпадают со стороной Cisco, перепроверьте указанные настройки.

    • Проверьте, что IKE версия версии 2.

    • Убедитесь, что параметры шифрования и аутентификации соответствуют ожидаемому шифрованию на стороне выделенного экземпляра.

      При использовании шифра "GCM" протокол GCM обрабатывает аутентификацию и устанавливает для параметра аутентификации значение NULL.

    • Проверьте настройку срока службы.

    • Проверьте группу модуля Diffie Hellman.

    • Проверьте настройки псевдослучайной функции.

  • Для списка доступа к карте криптографии не задано:

    • Разрешение GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255.255" (или эквивалентная команда)

      Список доступа должен быть специально для протокола "GRE", и протокол "IP" не будет работать.

Если сообщения журнала не показывают каких-либо действий по согласованию для фазы IKEv2, может потребоваться захват пакетов.

Сторона выделенного экземпляра не всегда может начать обмен IKEv2 и иногда может ожидать, что инициатором будет сторона CPE клиента.

Проверьте конфигурацию стороны CPE для следующих предварительных условий для начала сеанса IKEv2:

  • Проверьте наличие списка криптодоступа IPsec для трафика GRE (протокол 50) от IP-адреса туннельного транспорта CPE на IP-адрес туннельного транспорта выделенного экземпляра.

  • Убедитесь, что интерфейс туннеля GRE включен для GRE keepalives. Если оборудование не поддерживает keepalives GRE, компания Cisco получает уведомление, поскольку GRE keepalives будет включена на стороне выделенного экземпляра по умолчанию.

  • Убедитесь, что BGP включен и настроен с помощью соседнего адреса IP туннеля выделенного экземпляра.

При правильной настройке начинается туннель IPsec и согласование первой фазы IKEv2:

  • GRE поддерживает интерфейс туннеля GRE со стороны CPE на стороне CPE к интерфейсу туннеля GRE со стороны выделенного экземпляра.

  • Смежный сеанс TCP BGP от смежного BGP CPE к смежному BGP со стороны CPE к смежному BGP со стороны выделенного экземпляра.

  • Пинг с IP-адреса бокового туннеля CPE на IP-адрес бокового туннеля выделенного экземпляра.

    Ping не может быть IP-адресом туннельного транспорта в IP-адрес туннеля, он должен быть IP-адресом туннеля в IP-адрес туннеля.

Если трассировка пакетов необходима для трафика IKEv2, задайте фильтр для UDP и либо порт 500 (когда нет устройства NAT в центре конечных точек IPsec), либо порт 4500 (когда устройство NAT вставлено в середину конечных точек IPsec).

Убедитесь, что IKEv2 UDP пакеты с портом 500 или 4500 отправляются и получают на IPsec и с него.

Центр обработки данных выделенного экземпляра не всегда может начать первый пакет IKEv2. Требование заключается в том, что устройство CPE способно инициировать первый пакет IKEv2 в сторону выделенного экземпляра.

Если локальный брандмауэр разрешает это, то также попытайтесь сделать ping на удаленный IPsec адрес. Если не удается выполнить проверку с локального на удаленный адрес IPsec, выполните маршрут трассировки, чтобы помочь, и определите место сброса пакета.

Некоторые брандмауэры и интернет-оборудование могут не разрешить трассировку маршрута.

Устранение и проверка IPsec на втором этапе (согласование IPsec)

Убедитесь, что первая фаза IPsec (то есть ассоциация безопасности IKEv2) активна перед устранением неполадок второй фазы IPsec. Выполните "show crypto ikev2 sa" или эквивалентную команду для проверки сеанса IKEv2. В выходном окне убедитесь, что сеанс IKEv2 работает более нескольких секунд и что он не прыгает. Время безотказной работы сеанса отображается как сеанс "Активное время" или эквивалентно в выходных данных.

Как только сеанс IKEv2 проверит как активный и активный, Исследуйте сеанс IPsec. Как и в случае с сеансом IKEv2, выполните команду "show crypto ipsec sa" или эквивалентную команду для проверки сеанса IPsec. И сеанс IKEv2, и сеанс IPsec должны быть активными до установления туннеля GRE. Если сеанс IPsec не отображается как активный, проверьте журналы IPsec на наличие сообщений об ошибках или ошибок согласования.

Некоторые из наиболее распространенных проблем, которые могут возникнуть во время переговоров IPsec:

Настройки на стороне CPE не совпадают со стороной выделенного экземпляра. Проверьте настройки.

  • Убедитесь, что параметры шифрования и аутентификации соответствуют настройкам на стороне выделенного экземпляра.

  • Проверьте настройки Perfect Forward Secret (Идеальная секретность переадресации) и соответствие настроек на стороне выделенного экземпляра.

  • Проверьте настройки срока службы.

  • Убедитесь, что IPsec настроен в туннельном режиме.

  • Проверьте IPsec адреса источника и назначения.

Устранение неполадок и проверка интерфейса туннеля

Когда сеансы IPsec и IKEv2 подтверждены и активны, поддерживаемые пакеты GRE туннеля могут перемещаться между выделенным экземпляром и конечными точками туннеля CPE. Если интерфейс туннеля не отображает состояние, то существуют следующие общие проблемы:

  • Транспортный VRF интерфейса туннеля не соответствует VRF интерфейса петли (если в интерфейсе туннеля используется конфигурация VRF).

    Если конфигурация VRF не используется в интерфейсе туннеля, эту проверку можно проигнорировать.

  • Keepalives не включены в интерфейсе бокового туннеля CPE

    Если функции keepalives не поддерживаются на оборудовании CPE, необходимо уведомить компанию Cisco, чтобы также отключить функции keepalives по умолчанию на стороне выделенного экземпляра.

    Если keepalives поддерживаются, убедитесь, что keepalives включены.

  • Маска или IP-адрес интерфейса туннеля неверны и не соответствуют ожидаемым значениям выделенного экземпляра.

  • Адрес туннельного транспорта источника или назначения некорректен и не соответствует ожидаемым значениям выделенного экземпляра.

  • Брандмауэр блокирует пакеты GRE от отправленных в туннель IPsec или полученных от туннеля IPsec (туннель GRE передается через туннель IPsec)

Тест ping должен убедиться в том, что локальный интерфейс туннеля работает, а подключение хорошо к интерфейсу удаленного туннеля. Выполните проверку ping от IP-адреса туннеля (не транспортного IP) к IP-адресу удаленного туннеля.

Список криптодоступа для туннеля IPsec, который несет трафик туннеля GRE, позволяет пересекать только пакеты GRE. В результате пинги не будут работать с IP туннельного транспорта на IP удаленного туннельного транспорта.

Проверка ping приводит к созданию пакета GRE, который создается из IP-адреса туннельного транспорта источника в IP-адрес туннеля назначения, в то время как полезной нагрузкой пакета GRE (внутренний IP) будет IP-адрес туннеля источника и назначения.

Если проверка ping не была успешной и предыдущие элементы проверены, может потребоваться захват пакетов, чтобы убедиться, что icmp ping приводит к GRE-пакету, который затем инкапсулируется в IPsec-пакет и затем отправляется с исходного IPsec-адреса на IPsec-адрес назначения. Счетчики в интерфейсе туннеля GRE и счетчики сеанса IPsec также могут помочь показать. если пакеты отправки и приема увеличиваются.

В дополнение к трафику ping, захват должен также показывать сохраненные пакеты GRE даже во время простоя трафика. Наконец, если BGP настроен, пакеты BGP для хранения также должны отправляться как пакеты GRE, инкапсулированные в пакеты IPSEC, а также по VPN.

Устранение неполадок и проверка BGP

Сеансы BGP

BGP требуется в качестве протокола маршрутизации через туннель VPN IPsec. Локальный сосед BGP должен установить сеанс eBGP с соседом BGP выделенного экземпляра. IP-адреса соседей eBGP совпадают с локальными и удаленными IP-адресами туннелей. Сначала убедитесь, что сеанс BGP завершен, а затем убедитесь, что из выделенного экземпляра поступают правильные маршруты, а в выделенный экземпляр отправляется правильный маршрут по умолчанию.

Если туннель GRE выключен, убедитесь, что соединение между локальным и удаленным IP-адресом туннеля GRE выполнено успешно. Если проверка выполнена успешно, но сеанс BGP не подходит, исследуйте журнал BGP на наличие ошибок установки BGP.

Некоторые из наиболее распространенных вопросов переговоров в рамках BGP:

  • Удаленный номер AS не совпадает с номером AS, настроенным на стороне выделенного экземпляра. Проверьте конфигурацию AS соседа.

  • Локальный номер AS не соответствует ожидаемой стороне выделенного экземпляра. Убедитесь, что локальный номер AS соответствует ожидаемым параметрам выделенного экземпляра.

  • Брандмауэр блокирует отправку пакетов BGP TCP, инкапсулированных в пакеты GRE, в туннель IPsec или получение из туннеля IPSEC

  • Удаленный IP-адрес соседа BGP не совпадает с IP-адресом удаленного туннеля GRE.

Обмен маршрутами BGP

После проверки сеанса BGP для обоих туннелей убедитесь, что со стороны выделенного экземпляра отправляются и принимаются правильные маршруты.

Решение VPN выделенного экземпляра предполагает создание двух туннелей со стороны клиента/партнера. Первый туннель указывает на центр обработки данных A выделенного экземпляра, а второй туннель указывает на центр обработки данных выделенного экземпляра B. Оба туннеля должны находиться в активном состоянии, и решение требует активного/активного развертывания. Каждый центр обработки данных выделенного экземпляра будет оповещать о локальном маршруте /25 и резервном маршруте /24. При проверке входящих маршрутов BGP из выделенного экземпляра убедитесь, что сеанс BGP, связанный с туннелем, указывающим на центр обработки данных A выделенного экземпляра, получает локальный маршрут центра обработки данных выделенного экземпляра A /25, а также резервный маршрут /24. Кроме того, убедитесь, что туннель, указывающий на центр обработки данных B выделенного экземпляра, получает локальный маршрут центра обработки данных выделенного экземпляра B /25, а также резервный маршрут /24. Обратите внимание, что резервный маршрут /24 будет таким же маршрутом, который будет рекламироваться из центра обработки данных A и центра обработки данных выделенного экземпляра B.

Избыточность предоставляется центру обработки данных выделенного экземпляра, если интерфейс туннеля к этому центру обработки данных выходит из строя. Если соединение с центром обработки данных A выделенного экземпляра будет потеряно, то трафик будет перенаправлен из центра обработки данных B выделенного экземпляра в центр обработки данных A. В этом сценарии туннель в центр обработки данных B будет использовать маршрут центра обработки данных B /25 для отправки трафика в центр обработки данных B, а туннель в центр обработки данных B будет использовать резервный маршрут /24 для отправки трафика в центр обработки данных A через центр обработки данных B.

Важно, чтобы при активном обоих туннелях центр обработки данных Туннель не использовался для отправки трафика в центр обработки данных B и наоборот. В этом сценарии, если трафик отправляется в центр обработки данных A с назначением центра обработки данных B, центр обработки данных A перенаправляет трафик в центр обработки данных B, а затем центр обработки данных B попытается отправить трафик обратно в источник через туннель центра обработки данных B. Это приведет к неоптимальной маршрутизации, а также может привести к нарушению брандмауэров обхода трафика. Поэтому важно, чтобы оба туннеля находились в активной/активной конфигурации во время нормальной работы.

Маршрут 0.0.0.0/0 должен быть размещен со стороны клиента на стороне центра обработки данных выделенного экземпляра. Более конкретные маршруты не будут приняты стороной выделенного экземпляра. Убедитесь, что маршрут 0.0.0.0/0 рекламируется из туннеля центра обработки данных A выделенного экземпляра и туннеля центра обработки данных B выделенного экземпляра.

Конфигурация MTU

На стороне выделенного экземпляра доступны две функции для динамической настройки MTU для больших размеров пакетов. Туннель GRE добавляет дополнительные заголовки к IP-пакетам, проходящим через сеанс VPN. Туннель IPsec добавляет дополнительные заголовки поверх заголовков GRE, что еще больше сократит наибольшее количество MTU, разрешенное над туннелем.

Туннель GRE регулирует функцию MSS, и путь туннеля GRE в функции обнаружения MTU включен на стороне выделенного экземпляра. Настройте "ip tcp adjust-mss 1350" или эквивалентную команду, а также "tunnel path\u0002mtu-discovery" или эквивалентную команду на стороне клиента, чтобы помочь с динамической регулировкой MTU трафика через VPN туннель.