Введение

Виртуальное соединение - это надстройка опция для облачного подключения к выделенному экземпляру для Webex Calling (выделенный экземпляр). Виртуальное соединение позволяет клиентам безопасно расширять свою частную сеть через Интернет с помощью туннелей IP VPN типа «точка-точка». Этот вариант подключения обеспечивает быстрое установление подключения к частной сети с использованием существующего оборудования в помещении клиента (CPE) и подключения к Интернету.

Cisco размещает, управляет и обеспечивает резервирование туннелей IP VPN и необходимый доступ к Интернету в регионе (ах) центра обработки данных Cisco Dedicated Instance, где требуется услуга. Аналогичным образом, администратор несет ответственность за соответствующие службы CPE и Интернет, необходимые для создания виртуального соединения.

Каждый заказ виртуального подключения в конкретном регионе выделенного экземпляра будет включать два туннеля общей инкапсуляции маршрутизации (GRE), защищенных шифрованием IPSec (GRE over IPSec), по одному для каждого центра обработки данных Cisco в выбранном регионе.

Virtual Connect имеет ограничение пропускной способности 250 Мбит / с на туннель и рекомендуется для небольших развертываний. Поскольку используются два туннеля VPN типа "точка-точка", весь трафик в облако должен проходить через CPE головной станции клиента, и поэтому он может не подходить при большом количестве удаленных сайтов. Другие альтернативные варианты пиринга см. Подключение к облаку .


Перед отправкой запроса на пиринг для Virtual Connect убедитесь, что служба выделенного экземпляра активирована в соответствующем регионе.

Предварительные условия

Предварительные условия для установки Virtual Connect включают в себя:

  • Заказчик предоставляет

    • Подключение к Интернету с достаточной доступной пропускной способностью для поддержки развертывания

    • Публичный IP-адрес(а) для двух туннелей IPSec

    • Транспортные IP -адреса GRE на стороне клиента для двух туннелей GRE

  • Партнер и заказчик

    • Совместная работа над оценкой требований к пропускной способности

    • Убедитесь, что сетевое устройство(а) поддерживает маршрутизацию по протоколу пограничного шлюза (BGP) и конструкцию туннеля GRE через IPSec

  • Партнер или Заказчик предоставляет

    • Сетевая команда со знанием технологий VPN типа "сеть-сеть"

    • Сетевая команда со знанием BGP, eBGP и общих принципов маршрутизации

  • Cisco

    • Cisco назначила частные автономные системные номера (ASN) и временную IP -адресацию для интерфейсов туннеля GRE.

    • Cisco назначила общедоступную, но не маршрутизируемую через Интернет сеть класса C (/ 24) для адресации выделенного экземпляра в облаке


Если у клиента есть только 1 устройство CPE, то 2 туннеля к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе будут исходить от этого устройства CPE. У клиента также есть опция для 2 устройств CPE, тогда каждое устройство CPE должно подключаться только к 1 туннелю в направлении центров обработки данных Cisco (DC1 и DC2) в каждом регионе. Дополнительное резервирование может быть достигнуто за счет завершения каждого туннеля на отдельном физическом объекте / местоположении в инфраструктуре Заказчика.

Технические сведения

Модель развертывания

Virtual Connect использует двухуровневую архитектуру головного узла, в которой плоскости маршрутизации и управления GRE предоставляются одним устройством, а плоскость управления IPSec - другим.

По завершении Виртуальное соединение При подключении будут созданы два туннеля GRE через IPSec между корпоративной сетью Заказчика и центрами обработки данных Cisco с выделенным экземпляром. По одному на каждый резервный центр обработки данных в соответствующем регионе. Партнер или заказчик обмениваются дополнительными сетевыми элементами, необходимыми для пиринга, в компанию Cisco через форму активации Control Hub Virtual Connect.

На рисунке 1 показан пример модель развертывания Virtual Connect для варианта с двумя концентраторами на стороне клиента.

Виртуальное соединение - VPN - это конструкция концентратора, в которой сайты-концентраторы клиента подключаются к DC1 и DC2 центров обработки данных выделенного экземпляра в определенном регионе.

Для лучшей избыточности рекомендуется использовать два сайта-концентратора, но также поддерживается модель развертывания с двумя туннелями.


Пропускная способность на туннель ограничена 250 Мбит / с.


Удаленные сайты Заказчика в том же регионе должны будут подключиться обратно к сайтам-концентраторам через WAN Заказчика, и компания Cisco не несет ответственности за такое подключение.

Ожидается, что партнеры будут тесно сотрудничать с клиентами, обеспечивая выбор наиболее оптимального пути для региона обслуживания «Virtual Connect».

На рис. 2 показаны одноранговые области подключения к облаку выделенных экземпляров.

Маршрутизация

надстройка маршрутизации для виртуального соединения реализуется с использованием внешнего BGP (eBGP) между выделенным экземпляром и оборудованием в помещении клиента (CPE). Cisco будет объявлять свою соответствующую сеть для каждого избыточного контроллера домена в регионе на CPE клиента, и CPE должен объявить маршрут по умолчанию для Cisco.

  • Cisco поддерживает и назначает

    • IP -адресация туннельного интерфейса (временная ссылка для маршрутизации), назначаемая Cisco из назначенного общего адресного пространства (не подлежащая общедоступной маршрутизации)

    • Адрес назначения транспорта туннеля (на стороне Cisco)

    • Номера частных автономных систем (ASN) для конфигурации маршрутизации BGP клиента

      • Cisco назначает из указанного диапазона частного использования: С 64512 по 65534

  • eBGP используется для обмена маршрутами между выделенным экземпляром и CPE

    • Cisco разделит назначенную сеть / 24 на 2/25 для каждого DC в соответствующем регионе.

    • В виртуальном соединении каждая сеть / 25 объявляется обратно в Cisco через соответствующие туннели VPN типа "точка-точка" (временное соединение)

    • CPE должен быть настроен с соответствующими соседями eBGP. При использовании одного CPE будут использоваться два соседа eBGP, по одному на каждый удаленный туннель. При использовании двух CPE у каждого CPE будет один соседний узел eBGP, подключенный к одному удаленному туннелю для CPE.

    • Сторона Cisco каждого туннеля GRE ( IP-адрес интерфейса туннеля) настроена как сосед BGP на CPE.

    • CPE должен объявлять маршрут по умолчанию для каждого из туннелей.

    • CPE отвечает за перераспределение изученных маршрутов в корпоративной сети заказчика.

  • При условии отсутствия отказа канала связи одно CPE будет иметь два активных / активных туннеля. Для двух узлов CPE у каждого CPE будет один активный туннель, и оба узла CPE должны быть активными и передавать трафик. В сценарии отсутствия сбоя трафик должен быть разделен на два туннеля, идущих к правильным адресатам / 25. Если один из туннелей выходит из строя, оставшийся туннель может нести трафик для обоих. При таком сценарии сбоя, когда сеть / 25 не работает, сеть / 24 используется в качестве резервного маршрута. Cisco будет направлять клиентский трафик через свою внутреннюю глобальную сеть к DC, у которого потеряна связь.

Процесс подключения

Следующие общие шаги описывают, как установить соединение с помощью Virtual Connect для выделенного экземпляра.

1.

Размещение заказа в Cisco CCW

2.

Активация Virtual Connect из Control Hub

3.

Cisco выполняет конфигурацию сети

4.

Заказчик выполняет настройку сети

Этап 1. Заказ CCW

Virtual Connect - это надстройка для выделенного экземпляра в CCW.

1.

Перейдите на сайт заказа CCW, а затем нажмите Войти, чтобы войти на сайт:

2.

Выберите Create Estimate (Создать предложение с расценками).

3.

Добавить артикул "A-FLEX-3".

4.

Выберите Параметры редактирования.

5

На открывшейся вкладке подписки выберите Параметры и Надстройки.

6

В разделе «Дополнительные надстройки» установите поле с флажком «Виртуальное подключение для выделенного экземпляра». Название артикула - "A-FLEX-DI-VC".

7.

Введите количество и количество регионов, в которых требуется Virtual Connect.


 
Количество виртуальных подключений не должно превышать общее количество регионов, приобретенных для выделенного экземпляра. Кроме того, для каждого региона разрешен только один заказ Virtual Connect.
8

Когда вы будете удовлетворены своим выбором, нажмите "Подтвердить" и "Сохранить" в правом верхнем углу страницы.

9

Щелкните Save (Сохранить), а затем Continue (Продолжить), чтобы оформить заказ. Ваш окончательный заказ появится в таблице заказов.

Этап 2. Активация виртуального соединения в Control Hub

1.

Войдите в Control Hubhttps://admin.webex.com/login .

2.

В Услуги раздел, перейдите к Вызов> Выделенный момент> Подключение к облаку .

3.

На карте Virtual Connect указано количество приобретенных Virtual Connect. Теперь администратор может щелкнуть Активировать , чтобы инициировать активацию Virtual Connect.


 
Процесс активации может быть запущен только администраторами с ролью «Полный администратор клиента». Принимая во внимание, что администратор с ролью «Клиент только для чтения» может только просматривать статус.
4.

При нажатии на Активировать кнопка Активировать Virtual Connect Форма отображается для администратора, чтобы предоставить технические данные Virtual Connect, необходимые для конфигураций пиринга на стороне Cisco.


 
Форма также предоставляет статическую информацию на стороне Cisco в зависимости от выбранного региона. Эта информация будет полезна администраторам клиента для настройки CPE на своей стороне для установления соединения.
  1. IP-адрес туннельного транспорта GRE : Заказчик должен предоставить IP -адреса туннельного транспорта на стороне клиента, и Cisco будет динамически выделять IP -адреса после завершения активации. Список управления доступом IPSec для интересующего трафика должен разрешать локальный транспортный туннель IP/ 32 на удаленный туннельный транспортный IP/ 32. В ACL также должен быть указан только IP -протокол GRE.


     
    Предоставляемый клиентом IP-адрес может быть частным или общедоступным.
  2. Одноранговые узлы IPSec : Заказчик должен предоставить исходные IP -адреса туннеля IPSec , а Cisco выделяет IP-адрес назначения IPSec . При необходимости также поддерживается преобразование NAT внутреннего адреса туннеля IPSEC в общедоступный.


     

    Предоставляемый клиентом IP-адрес должен быть общедоступным.


     
    Вся остальная статическая информация, отображаемая на экране активации, соответствует стандартам безопасности и шифрования Cisco. Эта статическая конфигурация не подлежит настройке или изменению. Для получения дополнительной помощи в отношении статических конфигураций на стороне Cisco заказчику необходимо обратиться в службу технической поддержки.
5

Щелкните значок Активировать после заполнения всех обязательных полей.

6

После того, как форма активации Virtual Connect будет заполнена для определенного региона, клиент может экспортировать форму активации, выбрав Control Hub, Calling> Dedicated Instance> вкладка Cloud Connectivity и щелкнув Export settings.


 
По соображениям безопасности аутентификация и пароль BGP не будут доступны в экспортированном документе, но администратор может просмотреть их в Control Hub, нажав на Просмотр настроек в разделе Control Hub выберите Calling> Dedicated Instance> Cloud Connectivity (Подключение к облаку).

Этап 3. Cisco выполняет конфигурацию сети

1.

После заполнения формы активации Virtual Connect статус будет обновлен до Активация в процессе в Calling> Dedicated Instance> Cloud Connectivity Virtual Connect card.

2.

Cisco выполнит необходимые настройки на стороннем оборудовании Cisco в 5 рабочих дней . При успешном завершении статус будет обновлен до «Активировано» для этого конкретного региона в Control Hub.

Этап 4. Заказчик выполняет настройку сети

Статус изменен на «Активировано», чтобы уведомить администратора клиента о том, что конфигурация Cisco для подключения к IP VPN завершена на основе данных, предоставленных клиентом. Однако ожидается, что администратор клиента завершит настройку CPE и проверит маршруты подключения для подключения к сети через туннель Virtual Connect. В случае каких-либо проблем, возникающих во время настройки или подключения, заказчик может обратиться за помощью в центр технической поддержки Cisco TAC .

Устранение неполадок

Устранение неполадок и проверка на первом этапе IPsec (согласование IKEv2)

Согласование туннеля IPsec включает две фазы: фазу IKEv2 и фазу IPsec. Если согласование фазы IKEv2 не завершено, вторая фаза IPsec не инициируется. Сначала введите команду «show crypto ikev2 sa» (на оборудовании Cisco ) или аналогичную команду на стороннем оборудовании, чтобы проверить, активен ли сеанс IKEv2. Если сеанс IKEv2 неактивен, возможными причинами могут быть:

  • Интересный трафик не запускает туннель IPsec.

  • Неправильно настроен список доступа к туннелю IPsec.

  • Нет связи между клиентом и IP-адресом конечной точки туннеля IPsec выделенного экземпляра.

  • Параметры сеанса IKEv2 не совпадают на стороне выделенного экземпляра и на стороне клиента.

  • Брандмауэр блокирует пакеты UDP IKEv2.

Сначала проверьте журналы IPsec на наличие сообщений, отражающих ход согласования туннеля IKEv2. Журналы могут указывать на проблемы с согласованием IKEv2. Отсутствие сообщений журнала также может указывать на то, что сеанс IKEv2 не активирован.

Некоторые распространенные ошибки согласования IKEv2:
  • Параметры IKEv2 на стороне CPE не соответствуют параметрам Cisco , проверьте указанные параметры еще раз:

    • Убедитесь, что версия IKE - это версия 2.

    • Убедитесь, что параметры шифрования и аутентификации соответствуют ожидаемому шифрованию на стороне выделенного экземпляра.


      Когда используется шифр "GCM", протокол GCM обрабатывает аутентификацию и устанавливает для параметра аутентификации значение NULL.

    • Проверьте настройку срока службы.

    • Проверьте группу модулей Диффи-Хеллмана.

    • Проверьте настройки псевдослучайной функции.

  • Список список доступа для криптокарты не настроен на:

    • Разрешить GRE (local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip ) 255.255.255.255 "(или аналогичная команда)


      Список список доступа должен быть специально предназначен для протокола "GRE", а протокол "IP" работать не будет.

Если в сообщениях журнала не отображается никаких действий по согласованию для фазы IKEv2, то может потребоваться захват пакетов .


Сторона выделенного экземпляра не всегда может начинать обмен IKEv2 и иногда может ожидать, что инициатором будет сторона CPE клиента.

Проверьте конфигурацию стороны CPE на наличие следующих предпосылок для инициирования сеанса IKEv2:

  • Проверьте список доступа шифрования IPsec для трафика GRE (протокол 50) от транспортного IP -адреса туннеля CPE к транспортному IP -адресу туннеля выделенного экземпляра.

  • Убедитесь, что интерфейс туннеля GRE включен для сообщений проверки активности GRE. Если оборудование не поддерживает пакеты проверки активности GRE, то Cisco получит уведомление, поскольку пакеты проверки активности GRE будут включены по умолчанию на стороне выделенного экземпляра.

  • Убедитесь, что BGP включен и настроен с использованием соседнего адреса IP-адреса выделенного экземпляра.

При правильной настройке следующие параметры запускают туннель IPsec и согласование IKEv2 на первом этапе:

  • Сообщения поддержки активности GRE от интерфейса туннеля GRE на стороне CPE к интерфейсу туннеля GRE на стороне выделенного экземпляра.

  • Сеанс TCP соседа BGP от соседа BGP на стороне CPE к соседу BGP на стороне выделенного экземпляра.

  • Выполните эхо-запрос от IP-адреса туннеля на стороне CPE до IP-адрес - IP-адрес туннеля на стороне выделенного экземпляра.


    Ping не может быть IP - IP транспорта туннеля для IP- IP туннеля.

Если для трафика IKEv2 необходима трассировка пакетов, установите фильтр для UDP и порта 500 (если в середине конечных точек IPsec нет устройства NAT) или порта 4500 (если устройство NAT вставлено в середине IPsec). конечные точки).

Убедитесь, что пакеты UDP IKEv2 с портом 500 или 4500 отправляются и принимаются на IP-адрес DI IPsec.


Центр обработки данных с выделенным экземпляром не всегда может начать первый пакет IKEv2. Требуется, чтобы устройство CPE могло инициировать первый пакет IKEv2 на стороне выделенного экземпляра.

Если локальный брандмауэр позволяет это, также попытайтесь выполнить эхо-запрос на удаленный IPsec-адрес. Если эхо-запрос с локального на удаленный IPsec-адрес завершился неудачно, выполните трассировку маршрута, чтобы определить, где был отброшен пакет.

Некоторые брандмауэры и интернет-оборудование могут не допускать трассировки маршрута.

Второй этап IPsec (согласование IPsec) Устранение неполадок и проверка

Убедитесь, что первая фаза IPsec (то есть сопоставление безопасности IKEv2) активна, прежде чем устранять неполадки второй фазы IPsec. Выполните команду «show crypto ikev2 sa» или аналогичную команду для проверки сеанса IKEv2. В выходных данных убедитесь, что сеанс IKEv2 был запущен более нескольких секунд и что он не отскакивает. Время безотказной работы сеанса отображается в выводе как «Активное время» сеанса или его эквивалент.

После подтверждения того, что сеанс IKEv2 включен и активен, исследуйте сеанс IPsec. Как и в случае с сеансом IKEv2, выполните команду «show crypto ipsec sa» или аналогичную команду для проверки сеанса IPsec. И сеанс IKEv2, и сеанс IPsec должны быть активны до установления туннеля GRE. Если сеанс IPsec не отображается как активный, проверьте журналы IPsec на наличие сообщений об ошибках или ошибок согласования.

Некоторые из наиболее распространенных проблем, с которыми можно столкнуться во время согласования IPsec:

Настройки на стороне CPE не соответствуют настройкам выделенного экземпляра, проверьте настройки еще раз:

  • Убедитесь, что параметры шифрования и аутентификации соответствуют настройкам на стороне выделенного экземпляра.

  • Убедитесь, что параметры Perfect Forward Secrecy совпадают с параметрами на стороне выделенного экземпляра.

  • Проверьте настройки срока службы.

  • Убедитесь, что IPsec настроен в туннельном режиме.

  • Проверьте исходный и целевой IPsec-адреса.

Устранение неполадок и проверка туннельного интерфейса

Когда сеансы IPsec и IKEv2 проверены как действующие и активные, пакеты поддержки активности туннеля GRE могут передаваться между конечными точками туннеля Dedicated Instance и CPE. Если интерфейс туннеля не отображает состояние, некоторые общие проблемы:

  • Транспортный VRF интерфейса туннеля не соответствует VRF интерфейса обратной связи (если конфигурация VRF используется на интерфейсе туннеля).


    Если конфигурация VRF не используется на туннельном интерфейсе, эту проверку можно проигнорировать.

  • Сообщения поддержки активности не включены на интерфейсе бокового туннеля CPE


    Если пакеты поддержки активности не поддерживаются на оборудовании CPE, необходимо уведомить Cisco , чтобы также были отключены пакеты поддержки активности по умолчанию на стороне выделенного экземпляра.

    Если пакеты поддержки активности поддерживаются, убедитесь, что они включены.

  • Маска или IP-адрес туннельного интерфейса неверны и не соответствуют ожидаемым значениям выделенного экземпляра.

  • Транспортный адрес туннеля источника или назначения неверен и не соответствует ожидаемым значениям выделенного экземпляра.

  • Брандмауэр блокирует отправку пакетов GRE в туннель IPsec или получение из туннеля IPsec (туннель GRE транспортируется через туннель IPsec)

Проверка связи с помощью команды ping должна подтвердить, что локальный туннельный интерфейс работает и подключение к удаленному туннельному интерфейсу хорошее. Выполните проверку связи с IP -адресом туннеля (не транспортным IP-адресом) на удаленный IP-адрес туннеля.


список доступа криптодоступа для туннеля IPsec, по которому передается трафик туннеля GRE, позволяет пересекать только пакеты GRE. В результате эхо-запросы не будут работать с IP-адреса транспорта туннеля на IP - IP удаленного транспорта.

Результатом проверки ping является пакет GRE, который генерируется из транспортного IP -адреса туннеля источника в транспортный IP -адрес туннеля назначения, в то время как полезная нагрузка пакета GRE (внутренний IP-адрес) будет исходным и целевым IP-адресами туннеля.

Если проверка связи неуспешна и предыдущие элементы проверены, то может потребоваться захват пакетов , чтобы гарантировать, что проверка связи icmp приводит к пакету GRE, который затем инкапсулируется в пакет IPsec и затем отправляется с исходного адреса IPsec на адрес IPsec-адрес назначения. Также могут помочь счетчики на интерфейсе туннеля GRE и счетчики сеансов IPsec. если количество пакетов отправки и приема увеличивается.

Помимо трафика ping, при захвате также должны отображаться пакеты Keepalive GRE даже во время простоя трафика. Наконец, если настроен BGP, пакеты поддержки активности BGP также должны отправляться как пакеты GRE, инкапсулированные в пакеты IPSEC, а также через VPN.

Устранение неполадок и проверка BGP

Сеансы BGP

BGP требуется в качестве протокола маршрутизации через туннель VPN IPsec. Локальный сосед BGP должен установить сеанс eBGP с соседним узлом BGP с выделенным экземпляром. Соседние IP -адреса eBGP совпадают с IP -адресами локального и удаленного туннеля. Сначала убедитесь, что сеанс BGP запущен, а затем убедитесь, что от выделенного экземпляра принимаются правильные маршруты и отправляется ли правильный маршрут по умолчанию на выделенный экземпляр.

Если туннель GRE активен, убедитесь, что эхо-запрос между локальным и удаленным IP-адресами туннеля GRE прошел успешно. Если эхо-запрос прошел успешно, но сеанс BGP не начался, проверьте журнал BGP на предмет ошибок установления BGP.

Некоторые из наиболее распространенных проблем согласования BGP:

  • Номер удаленной AS не соответствует номеру AS, настроенному на стороне выделенного экземпляра, проверьте конфигурацию соседней AS.

  • Номер локальной AS не соответствует ожиданиям стороны выделенного экземпляра. Убедитесь, что номер локальной AS соответствует ожидаемым параметрам выделенного экземпляра.

  • Брандмауэр блокирует пакеты TCP BGP, инкапсулированные в пакетах GRE, от отправки в туннель IPsec или получения из туннеля IPSEC.

  • IP -адрес удаленного соседа BGP не соответствует IP -адресу удаленного туннеля GRE.

Обмен маршрутами BGP

После проверки сеанса BGP для обоих туннелей убедитесь, что со стороны выделенного экземпляра отправляются и принимаются правильные маршруты.

Решение Dedicated Instance VPN предполагает создание двух туннелей со стороны клиента / партнера. Первый туннель указывает на центр обработки данных выделенного экземпляра A, а второй туннель указывает на центр обработки данных выделенного экземпляра B. Оба туннеля должны находиться в активном состоянии, а решение требует активного / активного развертывания. Каждый центр обработки данных с выделенным экземпляром будет анонсировать свой локальный маршрут / 25, а также резервный маршрут / 24. При проверке входящих маршрутов BGP от выделенного экземпляра убедитесь, что сеанс BGP, связанный с туннелем, указывающим на центр обработки данных A, получает локальный маршрут выделенного экземпляра A / 25, а также резервный маршрут / 24. Кроме того, убедитесь, что туннель, указывающий на центр обработки данных B с выделенным экземпляром, принимает локальный маршрут для центра обработки данных B / 25, а также резервный маршрут / 24. Обратите внимание, что резервный маршрут / 24 будет тем же маршрутом, который объявляется из центра обработки данных выделенного экземпляра A и центра обработки данных выделенного экземпляра B.

Избыточность предоставляется центру обработки данных выделенного экземпляра, если интерфейс туннеля к этому центру обработки данных выходит из строя. Если подключение к центру обработки данных A выделенного экземпляра потеряно, трафик будет перенаправлен из центра обработки данных B с выделенным экземпляром в центр обработки данных A. В этом сценарии туннель к центру обработки данных B будет использовать маршрут центра обработки данных B / 25 для отправки трафика в центр обработки данных B и туннель. в центр обработки данных B будет использовать резервный маршрут / 24 для отправки трафика в центр обработки данных A через центр обработки данных B.

Когда оба туннеля активны, этот туннель центра обработки данных A не используется для отправки трафика в центр обработки данных B и наоборот. В этом сценарии, если трафик отправляется в центр обработки данных A с местом назначения в центре обработки данных B, центр обработки данных A будет перенаправлять трафик в центр обработки данных B, а затем центр обработки данных B попытается отправить трафик обратно к источнику через туннель центра обработки данных B. Это приведет к неоптимальной маршрутизации, а также может нарушить трафик, проходящий через брандмауэры. Поэтому важно, чтобы оба туннеля находились в активном / активном состоянии во время нормальной работы.

Маршрут 0.0.0.0/0 должен быть объявлен со стороны клиента на сторону центра обработки данных выделенного экземпляра. Более конкретные маршруты не будут приняты на стороне выделенного экземпляра. Убедитесь, что маршрут 0.0.0.0/0 объявляется из туннеля центра обработки данных A выделенного экземпляра и туннеля B центра обработки данных выделенного экземпляра.

Конфигурация MTU

На стороне выделенного экземпляра включены две функции для динамической настройки MTU для пакетов большого размера. Туннель GRE добавляет дополнительные заголовки к IP -пакетам, проходящим через сеанс VPN . Туннель IPsec добавляет дополнительные заголовки поверх заголовков GRE, что еще больше снижает максимальный размер MTU, разрешенный для туннеля.

Туннель GRE регулирует функцию MSS, а путь туннеля GRE в функции обнаружения MTU включен на стороне выделенного экземпляра. Настройте команду «ip tcp adjust-mss 1350» или аналогичную команду, а также команду «tunnel path \ u0002mtu-discovery» или аналогичную команду на стороне клиента, чтобы помочь с динамической настройкой MTU трафика через туннель VPN .