Možnosť Virtual Connect pomáha bezpečne rozšíriť ich privátnu sieť cez internet pomocou point-to-point IP VPN tunelov.
Úvod
Virtual Connect je ďalšia doplnková možnosť pre cloudové pripojenie k vyhradenej inštancii pre volanie cez Webex (vyhradená inštancia). Virtual Connect umožňuje zákazníkom bezpečne rozšíriť svoju súkromnú sieť cez internet pomocou tunelov typu point-to-point IP VPN. Táto možnosť pripojenia poskytuje rýchle nadviazanie pripojenia k súkromnej sieti pomocou existujúceho zariadenia zákazníka (CPE) a pripojenia na internet.
Cisco hosťuje, spravuje a zabezpečuje redundantné IP VPN tunely a požadovaný prístup na internet v oblasti (regiónoch) dátového centra Cisco Dedicated Instance, kde sa služba vyžaduje. Podobne je správca zodpovedný za ich zodpovedajúce CPE a internetové služby, ktoré sú potrebné na vytvorenie Virtual Connect.
Každá objednávka Virtual Connect v konkrétnej oblasti vyhradenej inštancie by zahŕňala dva tunely generického smerovania zapuzdrenia (GRE) chránené šifrovaním IPSec (GRE over IPSec), jeden do každého dátového centra Cisco vo vybranom regióne.
Virtual Connect má limit šírky pásma 250 Mbps na tunel a odporúča sa pre menšie nasadenia. Keďže sa používajú dva tunely VPN typu point-to-point, všetka prevádzka do cloudu musí prechádzať cez koncovú stanicu zákazníka CPE, a preto nemusí byť vhodná tam, kde je veľa vzdialených lokalít. Ďalšie alternatívne možnosti partnerského vzťahu nájdete v časti Cloudové pripojenie.
 |
Pred odoslaním žiadosti o partnerský vzťah pre Virtual Connect sa uistite, že je v príslušnom regióne aktivovaná služba Vyhradená inštancia. |
Predpoklady
Predpoklady na vytvorenie virtuálneho pripojenia zahŕňajú:
Zákazník poskytuje
Internetové pripojenie s dostatočnou dostupnou šírkou pásma na podporu nasadenia
Verejná IP adresa(y) pre dva IPSec tunely
Na strane zákazníka GRE prenosové IP adresy pre dva GRE tunely
Partner a zákazník
Spolupracujte na hodnotení požiadaviek na šírku pásma
Zaistite, aby sieťové zariadenia podporovali smerovanie protokolu Border Gateway Protocol (BGP) a dizajn tunela GRE over IPSec
Partner alebo zákazník poskytuje
Sieťový tím so znalosťami technológií tunela VPN typu site-to-site
Sieťový tím so znalosťou BGP, eBGP a všeobecných princípov smerovania
Cisco
Cisco priradilo privátne čísla autonómnych systémov (ASN) a prechodné IP adresy pre rozhrania tunelov GRE
Cisco pridelilo verejnú, ale nie internetovú smerovateľnú sieť triedy C (/24) na adresovanie vyhradenej inštancie cloudu
|
Ak má zákazník iba 1 zariadenie CPE, potom 2 tunely smerom k dátovým centrám Cisco (DC1 a DC2) v každom regióne budú z tohto zariadenia CPE. Zákazník má tiež možnosť pre 2 zariadenia CPE, potom by sa každé zariadenie CPE malo pripojiť iba k 1 tunelu smerom k dátovým centrám Cisco (DC1 a DC2) v každom regióne. Dodatočnú redundanciu možno dosiahnuť ukončením každého tunela na samostatnom fyzickom mieste/mieste v rámci infraštruktúry zákazníka. |
Technické detaily
Model nasadenia
Virtual Connect využíva dvojúrovňovú architektúru koncovej stanice, kde smerovanie a riadiace roviny GRE poskytuje jedno zariadenie a kontrolnú rovinu IPSec poskytuje druhé.
Po dokončení Virtuálne pripojenie konektivity, vytvoria sa dva GRE over IPSec tunely medzi podnikovou sieťou zákazníka a dedikovanými inštanciami Cisco dátových centier. Jeden do každého redundantného dátového centra v rámci príslušného regiónu. Ďalšie sieťové prvky potrebné pre partnerský vzťah si partner alebo zákazník vymieňa so spoločnosťou Cisco prostredníctvom aktivačného formulára Control Hub Virtual Connect.
Obrázok 1 zobrazuje príklad modelu nasadenia Virtual Connect pre možnosť 2 koncentrátorov na strane zákazníka.
Virtual Connect – VPN je dizajn rozbočovača, kde sú zákaznícke rozbočovacie lokality pripojené k DC1 a DC2 dátových centier vyhradenej inštancie v rámci konkrétneho regiónu.
Pre lepšiu redundanciu sa odporúčajú dve lokality Hub, ale podporovaným modelom nasadenia je aj lokalita One Hub s dvoma tunelmi.
|
Šírka pásma na tunel je obmedzená na 250 Mbps. |
 |
Vzdialené lokality zákazníka v rámci toho istého regiónu by sa museli pripojiť späť k lokalite (miestam) rozbočovača prostredníctvom siete WAN zákazníka a spoločnosť Cisco nie je za toto pripojenie zodpovedná. |
Od partnerov sa očakáva, že budú úzko spolupracovať so zákazníkmi a zabezpečia, aby sa pre oblasť služieb „Virtual Connect“ vybrala najoptimálnejšia cesta.
Obrázok 2 zobrazuje peeringové oblasti vyhradenej inštancie cloudového pripojenia.
Smerovanie
Doplnok Routing for Virtual Connect je implementovaný pomocou externého BGP (eBGP) medzi vyhradenou inštanciou a zariadením zákazníka (CPE). Cisco bude inzerovať svoju príslušnú sieť pre každý redundantný DC v rámci regiónu k CPE zákazníka a CPE musí inzerovať predvolenú cestu do Cisco.
Cisco udržiava a prideľuje
Tunel Interface IP adresovanie (prechodné prepojenie na smerovanie) Cisco prideľuje z určeného zdieľaného priestoru adries (neverejne smerovateľné)
Cieľová adresa dopravy v tuneli (strana spoločnosti Cisco)
Súkromné čísla autonómnych systémov (ASN) pre konfiguráciu smerovania BGP zákazníka
Cisco priraďuje z určeného rozsahu súkromného použitia: 64512 až 65534
eBGP sa používa na výmenu trás medzi vyhradenou inštanciou a CPE
Cisco rozdelí pridelenú sieť /24 na 2 /25 pre každý DC v príslušnom regióne
V rámci Virtual Connect je každá sieť /25 inzerovaná späť do CPE spoločnosťou Cisco cez príslušné tunely typu point-to-point VPN (prechodné prepojenie)
CPE musí byť nakonfigurované s príslušnými susedmi eBGP. Ak používate jeden CPE, použijú sa dvaja susedia eBGP, jeden ukazuje na každý vzdialený tunel. Ak používate dva CPE, potom každé CPE bude mať jedného suseda eBGP smerujúceho do jediného vzdialeného tunela pre CPE.
Strana Cisco každého tunela GRE (IP tunelového rozhrania) je nakonfigurovaná ako sused BGP na CPE
CPE sa vyžaduje na inzerovanie predvolenej trasy cez každý z tunelov
CPE je zodpovedný za redistribúciu podľa potreby naučených ciest v rámci podnikovej siete zákazníka.
V prípade zlyhania spojenia bez zlyhania bude mať jeden CPE dva aktívne/aktívne tunely. Pre dva uzly CPE bude mať každý CPE jeden aktívny tunel a oba uzly CPE by mali byť aktívne a mali by prechádzať prevádzkou. V scenári bez zlyhania sa musí premávka rozdeliť do dvoch tunelov smerujúcich do správnych /25 cieľov, ak jeden z tunelov spadne, zostávajúci tunel môže prenášať premávku pre oba. Pri takomto scenári zlyhania, keď je sieť /25 vypnutá, potom sa sieť /24 používa ako záložná trasa. Cisco bude posielať zákaznícky prenos cez svoju internú WAN do DC, ktoré stratilo konektivitu.
Proces pripojenia
| 1 | |
| 2 | |
| 3 | |
| 4 |
Krok 1: Objednávka CCW
Virtual Connect je doplnok pre vyhradenú inštanciu v CCW.
| 1 | Prejdite na stránku objednávania CCW a potom sa kliknutím na tlačidlo Prihlásiť na stránku prihláste: |
||
| 2 | Vytvoriť odhad. |
||
| 3 | Pridajte SKU "A-FLEX-3". |
||
| 4 | Vyberte možnosť Upraviť. |
||
| 5 | Na zobrazenej karte predplatného vyberte položku Možnosti a doplnky. |
||
| 6 | V časti Ďalšie doplnky začiarknite políčko vedľa položky „Virtual Connect for Dedicated Instance“. Názov SKU je "A-FLEX-DI-VC". |
||
| 7 | Zadajte množstvo a počet oblastí, v ktorých sa vyžaduje Virtual Connect.
|
||
| 8 | Keď ste s výberom spokojní, kliknite na položku Overiť a uložiť v pravej hornej časti stránky. |
||
| 9 | Objednávku dokončite kliknutím na tlačidlo Uložiť a pokračovať. Vaša dokončená objednávka sa teraz zobrazuje v tabuľke objednávok. |
Krok 2: Aktivácia Virtual Connect v Control Hub
| 1 | Prihláste sa do Control Hub https://admin.webex.com/login. |
||||||||
| 2 | V Služby sekcie, prejdite na Volanie > Vyhradená inštancia > Cloudové pripojenie. |
||||||||
| 3 | Na karte Virtual Connect je uvedené zakúpené množstvo Virtual Connect. Správca teraz môže kliknúť na Aktivovať na spustenie aktivácie Virtual Connect. 
|
||||||||
| 4 | Po kliknutí na Aktivovať tlačidlo, Aktivujte virtuálne pripojenie Administrátorovi sa zobrazí formulár, ktorý poskytne technické podrobnosti Virtual Connect potrebné pre konfigurácie peeringu na strane Cisco.
|
||||||||
| 5 | Klikni na Aktivovať po vyplnení všetkých povinných polí. |
||||||||
| 6 | Po vyplnení aktivačného formulára Virtual Connect pre konkrétny región môže zákazník exportovať aktivačný formulár z Control Hub, Calling > Dedicated Instance > Cloud Connectivity a kliknúť na Exportovať nastavenia. 
|
Krok 3: Cisco vykoná konfiguráciu siete
| 1 | Po vyplnení formulára Aktivácia virtuálneho pripojenia sa stav aktualizuje na Prebieha aktivácia v časti Volanie > Vyhradená inštancia > Karta Virtual Connect Cloud Connect. |
| 2 | Cisco dokončí požadované konfigurácie na bočnom zariadení Cisco v rámci 5 pracovných dní. Po úspešnom dokončení sa stav v Control Hub pre danú oblasť aktualizuje na „Aktivované“. |
Krok 4: Zákazník vykoná konfiguráciu siete
Stav sa zmení na „Aktivovaný“, aby sa správcovi zákazníka oznámilo, že konfigurácia na strane Cisco pre pripojenie IP VPN bola dokončená na základe vstupov poskytnutých zákazníkom. Od administrátora zákazníka sa však očakáva, že dokončí svoju stranu konfigurácií na CPE a otestuje trasy pripojenia pre tunel Virtual Connect, aby bol online. V prípade akýchkoľvek problémov, ktorým čelí v čase konfigurácie alebo pripojenia, sa zákazník môže obrátiť na Cisco TAC so žiadosťou o pomoc. |
riešenie problémov
Riešenie problémov a overenie prvej fázy IPsec (IKEv2 Negotiation).
Vyjednávanie tunela IPsec zahŕňa dve fázy, fázu IKEv2 a fázu IPsec. Ak sa vyjednávanie fázy IKEv2 nedokončí, druhá fáza IPsec sa nespustí. Najprv zadajte príkaz „show crypto ikev2 sa“ (na zariadení Cisco) alebo podobný príkaz na zariadení tretej strany, aby ste overili, či je relácia IKEv2 aktívna. Ak relácia IKEv2 nie je aktívna, možné dôvody môžu byť:
Zaujímavá prevádzka nespúšťa tunel IPsec.
Prístupový zoznam tunela IPsec je nesprávne nakonfigurovaný.
Medzi zákazníkom a IPsec tunelového tunela vyhradenej inštancie neexistuje žiadne prepojenie.
Parametre relácie IKEv2 sa nezhodujú medzi stranou vyhradenej inštancie a stranou zákazníka.
Firewall blokuje pakety IKEv2 UDP.
Najprv skontrolujte protokoly IPsec, či neobsahujú správy, ktoré ukazujú priebeh vyjednávania tunela IKEv2. Protokoly môžu naznačovať, kde sa vyskytol problém s vyjednávaním IKEv2. Nedostatok protokolovacích správ môže tiež naznačovať, že relácia IKEv2 nie je aktivovaná.
Nastavenia pre IKEv2 na strane CPE nezodpovedajú strane Cisco, znova skontrolujte uvedené nastavenia:
Skontrolujte, či je verzia IKE verzia 2.
Overte, či sa parametre šifrovania a overovania zhodujú s očakávaným šifrovaním na strane vyhradenej inštancie.
Keď sa používa šifra „GCM“, protokol GCM spracuje overenie a nastaví parameter overenia na hodnotu NULL.
Skontrolujte nastavenie životnosti.
Overte skupinu modulov Diffie Hellmana.
Overte nastavenia Pseudo Random Function.
Zoznam prístupových práv pre krypto mapu nie je nastavený na:
Povoliť GRE (local_tunnel_transport_ip) 255 255 255 255 (remote_tunnel_transport_ip) 255.255.255.255" (alebo ekvivalentný príkaz)
Prístupový zoznam musí byť špecificky pre protokol „GRE“ a protokol „IP“ nebude fungovať.
Ak správy denníka nezobrazujú žiadnu aktivitu vyjednávania pre fázu IKEv2, môže byť potrebné zachytenie paketov.
|
Strana vyhradenej inštancie nemusí vždy začať výmenu IKEv2 a niekedy môže očakávať, že iniciátorom bude strana CPE zákazníka. Skontrolujte konfiguráciu strany CPE pre nasledujúce predpoklady na spustenie relácie IKEv2:
|
Pri správnej konfigurácii sa spustí tunel IPsec a prvá fáza vyjednávania IKEv2:
GRE udržiava z rozhrania GRE tunela na strane CPE do rozhrania tunela GRE na strane vyhradenej inštancie.
Susedná TCP relácia BGP od suseda BGP na strane BGP suseda vyhradenej inštancie.
Pingujte z IP adresy bočného tunela CPE na IP adresu bočného tunela vyhradenej inštancie.
Ping nemôže byť tunelová transportná IP do tunelovej transportnej IP, musí to byť tunelová IP do tunelovej IP.
Ak je pre prenos IKEv2 potrebné sledovanie paketov, nastavte filter na UDP a buď port 500 (keď sa v strede koncových bodov IPsec nenachádza žiadne zariadenie NAT) alebo port 4500 (keď je zariadenie NAT vložené do stredu IPsec koncové body).
Overte, či sa pakety IKEv2 UDP s portom 500 alebo 4500 odosielajú a prijímajú na a z adresy IP DI IPsec.
|
Dátové centrum vyhradenej inštancie nemusí vždy začať prvým paketom IKEv2. Požiadavkou je, aby zariadenie CPE bolo schopné iniciovať prvý paket IKEv2 smerom k strane vyhradenej inštancie. Ak to lokálna brána firewall umožňuje, skúste tiež zadať príkaz ping na vzdialenú adresu IPsec. Ak ping nie je úspešný z lokálnej na vzdialenú IPsec adresu, vykonajte trasu sledovania, ktorá vám pomôže, a zistite, kde bol paket zahodený. Niektoré brány firewall a internetové zariadenia nemusia umožňovať sledovanie trasy. |
Riešenie problémov a overenie pravosti IPsec druhej fázy (IPsec Negotiation).
Pred riešením problémov s druhou fázou IPsec overte, či je aktívna prvá fáza IPsec (t. j. priradenie zabezpečenia IKEv2). Vykonajte príkaz „show crypto ikev2 sa“ alebo ekvivalentný príkaz na overenie relácie IKEv2. Vo výstupe overte, či relácia IKEv2 trvá dlhšie ako niekoľko sekúnd a či nedochádza k odrazom. Doba prevádzkyschopnosti relácie sa vo výstupe zobrazuje ako relácia „Aktívny čas“ alebo ekvivalent.
Keď sa relácia IKEv2 overí ako aktívna a aktívna, preskúmajte reláciu IPsec. Rovnako ako pri relácii IKEv2 vykonajte príkaz „show crypto ipsec sa“ alebo ekvivalentný príkaz na overenie relácie IPsec. Pred vytvorením tunela GRE musia byť aktívna relácia IKEv2 aj relácia IPsec. Ak sa relácia IPsec nezobrazuje ako aktívna, skontrolujte protokoly IPsec, či neobsahujú chybové hlásenia alebo chyby pri vyjednávaní.
Niektoré z bežnejších problémov, s ktorými sa možno stretnúť počas rokovaní o IPsec, sú:
Nastavenia na strane CPE sa nezhodujú so stranou vyhradenej inštancie, znova skontrolujte nastavenia:
Overte, či sa parametre šifrovania a overovania zhodujú s nastaveniami na strane Vyhradená inštancia.
Overte nastavenia Perfect Forward Secrecy a či sa zhodujú nastavenia na strane Dedicated Instance.
Overte nastavenia životnosti.
Overte, či bol IPsec nakonfigurovaný v režime tunela.
Overte zdrojovú a cieľovú adresu IPsec.
Riešenie problémov s rozhraním tunela a overenie
Keď sú relácie IPsec a IKEv2 overené ako aktívne a udržiavané, pakety GRE tunela môžu prúdiť medzi koncovými bodmi vyhradenej inštancie a tunela CPE. Ak sa stav rozhrania tunela nezobrazuje, niektoré bežné problémy sú:
Transport VRF rozhrania tunela sa nezhoduje s VRF rozhrania spätnej slučky (ak sa na rozhraní tunela používa konfigurácia VRF).
Ak sa na rozhraní tunela nepoužíva konfigurácia VRF, túto kontrolu možno ignorovať.
Keepalives nie sú povolené na rozhraní bočného tunela CPE
Ak zariadenie CPE nepodporuje udržiavanie, potom musí byť spoločnosť Cisco upozornená, aby sa zakázali aj predvolené udržiavania na strane vyhradenej inštancie.
Ak sú udržiavané životy podporované, overte, či sú povolené udržiavanie života.
Maska alebo IP adresa rozhrania tunela nie je správna a nezodpovedá očakávaným hodnotám vyhradenej inštancie.
Adresa prenosu zdroja alebo cieľa tunela nie je správna a nezodpovedá očakávaným hodnotám vyhradenej inštancie.
Brána firewall blokuje odosielanie paketov GRE do tunela IPsec alebo prijímanie z tunela IPsec (tunel GRE sa prenáša cez tunel IPsec)
Test ping by mal overiť, či je aktívne rozhranie lokálneho tunela a či je dobré pripojenie k rozhraniu vzdialeného tunela. Vykonajte kontrolu ping z IP tunela (nie transportnej IP) do IP vzdialeného tunela.
|
Zoznam kryptografických prístupov pre tunel IPsec, ktorý prenáša prevádzku tunela GRE, umožňuje prechádzať iba paketom GRE. V dôsledku toho nebudú príkazy ping fungovať z IP prenosu tunela na IP prenosu vzdialeného tunela. |
Výsledkom kontroly pingu je paket GRE, ktorý sa vygeneruje z IP transportného tunela zdroja do cieľového tunela, zatiaľ čo užitočné zaťaženie paketu GRE (vnútorná IP) bude IP zdroja a cieľa tunela.
Ak test ping nie je úspešný a predchádzajúce položky sú overené, môže byť potrebné zachytenie paketov, aby sa zabezpečilo, že výsledkom icmp ping bude paket GRE, ktorý sa potom zapuzdrí do paketu IPsec a potom sa odošle zo zdrojovej adresy IPsec na cieľovú IPsec adresu. Počítadlá na rozhraní tunela GRE a počítadlá relácií IPsec môžu tiež pomôcť zobraziť. ak sa odosielané a prijímacie pakety zvyšujú.
Okrem ping prevádzky by zachytávanie malo tiež zobrazovať udržiavacie GRE pakety aj počas nečinnej prevádzky. Nakoniec, ak je nakonfigurované BGP, pakety udržiavania BGP by sa mali odosielať aj ako pakety GRE zapuzdrené v paketoch IPSEC aj cez VPN.
Riešenie problémov a overenie BGP
BGP relácie
BGP sa vyžaduje ako smerovací protokol cez tunel IPsec VPN. Miestny sused BGP by mal vytvoriť reláciu eBGP so susedom BGP s vyhradenou inštanciou. Susedné IP adresy eBGP sú rovnaké ako adresy IP lokálneho a vzdialeného tunela. Najprv sa uistite, že je spustená relácia BGP a potom overte, či sa z vyhradenej inštancie prijímajú správne trasy a do vyhradenej inštancie sa odosiela správna predvolená trasa.
Ak je tunel GRE aktívny, overte, či je ping úspešný medzi lokálnou a vzdialenou IP tunela GRE. Ak je ping úspešný, ale relácia BGP nenastáva, potom v denníku BGP skontrolujte chyby pri vytváraní BGP.
Niektoré z bežnejších problémov s vyjednávaním BGP sú:
Číslo vzdialeného AS sa nezhoduje s číslom AS, ktoré je nakonfigurované na strane vyhradenej inštancie, znova skontrolujte konfiguráciu susedného AS.
Číslo lokálneho AS sa nezhoduje s tým, čo očakáva strana vyhradenej inštancie, overte, či sa číslo lokálneho AS zhoduje s očakávanými parametrami vyhradenej inštancie.
Brána firewall blokuje odosielanie paketov BGP TCP zapuzdrených do paketov GRE do tunela IPsec alebo prijímanie z tunela IPSEC
Vzdialená IP suseda BGP sa nezhoduje so vzdialenou IP tunela GRE.
Výmena trás BGP
Po overení relácie BGP pre oba tunely sa uistite, že zo strany vyhradenej inštancie sa odosielajú a prijímajú správne trasy.
Riešenie Dedicated Instance VPN očakáva vytvorenie dvoch tunelov zo strany zákazníka/partnera. Prvý tunel ukazuje na údajové centrum vyhradenej inštancie A a druhý tunel ukazuje na údajové centrum vyhradenej inštancie B. Oba tunely musia byť v aktívnom stave a riešenie vyžaduje aktívne/aktívne nasadenie. Každé dátové centrum vyhradenej inštancie bude propagovať svoju miestnu trasu /25, ako aj záložnú trasu /24. Pri kontrole prichádzajúcich trás BGP z vyhradenej inštancie sa uistite, že relácia BGP spojená s tunelom smerujúcim do údajového centra A vyhradenej inštancie prijíma lokálnu cestu údajového centra vyhradenej inštancie A /25, ako aj záložnú cestu /24. Okrem toho sa uistite, že tunel smerujúci do údajového centra B vyhradenej inštancie prijíma lokálnu trasu údajového centra vyhradenej inštancie B /25, ako aj záložnú cestu /24. Upozorňujeme, že záložná trasa /24 bude rovnaká ako trasa inzerovaná mimo dátového centra vyhradenej inštancie A a vyhradenej inštancie dátového centra B.
Redundancia sa poskytuje dátovému centru vyhradenej inštancie, ak dôjde k výpadku rozhrania tunela k tomuto dátovému centru. Ak dôjde k strate pripojenia k dátovému centru vyhradenej inštancie A, prevádzka bude presmerovaná z dátového centra vyhradenej inštancie B do dátového centra A. V tomto scenári tunel do dátového centra B použije trasu dátového centra B /25 na odoslanie prevádzky do dátového centra B a tunela do dátového centra B použije záložnú trasu /24 na odoslanie prevádzky do dátového centra A cez dátové centrum B.
Je dôležité, že keď sú aktívne oba tunely, tunel dátového centra A sa nepoužíva na odosielanie prevádzky do dátového centra B a naopak. V tomto scenári, ak sa prevádzka odošle do dátového centra A s cieľom dátového centra B, dátové centrum A prepošle prevádzku do dátového centra B a potom sa dátové centrum B pokúsi poslať prevádzku späť do zdroja cez tunel dátového centra B. To bude mať za následok suboptimálne smerovanie a môže tiež narušiť prevádzku prechádzajúcu bránami firewall. Preto je dôležité, aby oba tunely boli počas normálnej prevádzky v aktívnej/aktívnej konfigurácii.
Smerovanie 0.0.0.0/0 musí byť inzerované zo strany zákazníka na stranu dátového centra vyhradenej inštancie. Špecifickejšie trasy nebudú akceptované stranou Vyhradenej inštancie. Uistite sa, že trasa 0.0.0.0/0 je inzerovaná mimo tunela údajového centra vyhradenej inštancie A aj tunela údajového centra vyhradenej inštancie B.
Konfigurácia MTU
Na strane vyhradenej inštancie sú povolené dve funkcie na dynamickú úpravu MTU pre veľké veľkosti paketov. Tunel GRE pridáva ďalšie hlavičky do paketov IP prúdiacich cez reláciu VPN. Tunel IPsec pridáva ďalšie hlavičky na hlavičky GRE ďalej zníži najväčšiu povolenú MTU v tuneli.
Tunel GRE upravuje funkciu MSS a cesta tunela GRE vo funkcii zisťovania MTU je povolená na strane vyhradenej inštancie. Nakonfigurujte príkaz „ip tcp adjust-mss 1350“ alebo ekvivalentný príkaz, ako aj príkaz „tunel path\u0002mtu-discovery“ alebo ekvivalentný príkaz na strane zákazníka, aby ste pomohli s dynamickým prispôsobením MTU prevádzky cez tunel VPN.
