Uvod

Navidezna povezava je dodatna možnost dodatka za povezljivost v oblaku namenskega primerka za Webex Calling (namenski primerek). Navidezna povezava omogoča strankam, da varno razširijo svoje zasebno omrežje prek interneta z uporabo tunelov IP VPN od točke do točke. Ta možnost povezljivosti omogoča hitro vzpostavitev zasebne omrežne povezave z uporabo obstoječe opreme v prostorih stranke (CPE) in internetne povezljivosti.

Cisco gosti, upravlja in zagotavlja odvečne tunele IP VPN in potreben dostop do interneta v regiji(-ah) podatkovnih centrov za namenske primerke Cisco, kjer je storitev potrebna. Prav tako je skrbnik odgovoren za ustrezno CPE in internetne storitve, ki so potrebne za vzpostavitev navidezne povezave.

Vsako naročilo navidezne povezave v določeni regiji namenskega primerka bi vključevalo dva generična tunela za usmerjanje (GRE), ki sta zaščitena s šifriranjem IPSec (GRE prek IPSec), enega do vsakega podatkovnega središča Cisco v izbrani regiji.

Navidezna povezava ima omejitev pasovne širine 250 Mb/s na tunel in je priporočena za manjša uvajanja. Ker se dva od točke do točke VPN tunela uporabljajo, mora ves promet v oblak iti skozi stranke headend CPE, zato morda ni primeren, kjer je veliko oddaljenih strani. Za druge nadomestne možnosti vzajemnega omrežnega povezovanja glejte Povezljivost v oblaku.

Preden pošljete prošnjo za vzajemno omrežno povezovanje za navidezno povezavo, se prepričajte, da je storitev namenskega primerka aktivirana v tisti regiji.

Predpogoji

Predpogoji za vzpostavitev navidezne povezave vključujejo:

  • Stranka zagotavlja

    • Internetna povezava z dovolj razpoložljive pasovne širine za podporo uvajanju

    • Javni naslov/-i IP za dva tunela IPSec

    • Naslovi IP transporta GRE na strani stranke za dva tunela GRE

  • Partner in stranka

    • Sodelujte pri ocenjevanju zahtev glede pasovne širine

    • Zagotovite, da omrežne naprave podpirajo usmerjanje protokola mejnega prehoda (BGP) in načrtovanje tunela GRE prek IPSec

  • Partner ali stranka zagotavlja

    • Omrežna ekipa z znanjem tehnologij tunela VPN od mesta do mesta

    • Omrežna ekipa s poznavanjem BGP, eBGP in splošnih načel usmerjanja

  • Cisco

    • Dodeljene zasebne avtonomne sistemske številke (ASN) in prehodno obravnavanje IP za vmesnike tunela GRE

    • Dodeljeno javno omrežje razreda C (/24) Cisco, ne pa tudi internetno usmerjevalno omrežje za namenski oblak primerka

Če ima stranka samo 1 napravo CPE, bosta 2 tunela proti podatkovnim središčem Cisco (DC1 in DC2) v vsaki regiji iz te naprave CPE. Stranka ima tudi možnost za 2 napravi CPE, nato naj vsaka naprava CPE vzpostavi povezavo z 1 tunelom samo v smeri podatkovnih centrov Cisco (DC1 in DC2) v vsaki regiji. Dodatno redundanco lahko dosežete tako, da zaprete vsak tunel na ločenem fizičnem mestu/lokaciji znotraj infrastrukture stranke.

Tehnične podrobnosti

Model uvajanja

Navidezna povezava uporablja dvostopenjsko arhitekturo glave, pri čemer usmerjevalne in GRE krmilne ravnine zagotavlja ena naprava, krmilno ravnino IPSec pa druga.

Po zaključku povezljivosti navidezne povezave bosta med omrežjem podjetja stranke in podatkovnimi centri Cisco za namenski primerek ustvarjena dva GRE prek tunelov IPSec. Po enega do vsakega odvečnega podatkovnega središča v ustrezni Regiji. Dodatne elemente omrežja, potrebne za vzajemno omrežno povezovanje, izmenja partner ali stranka z družbo Cisco prek obrazca za aktivacijo navidezne povezave Control Hub.

Spodnja slika prikazuje primer modela uvajanja navidezne povezave za možnost 2-koncentratorja na strani stranke.

Navidezna povezava - VPN je zasnova zvezdišča, kjer so mesta zvezdišča stranke povezana z DC1 in DC2 podatkovnih centrov namenskega primerka v določeni regiji.

Za boljšo redundanco sta priporočljivi dve mesti zvezdišča, vendar je podprt model uvajanja tudi mesto One Hub z dvema predorjema.

Pasovna širina na tunel je omejena na 250 Mbps.

Oddaljena spletna mesta stranke v isti regiji bi se morala znova povezati z zvezdiščem prek WAN stranke, za to povezljivost pa ni odgovorna družba Cisco.

Od partnerjev se pričakuje, da bodo tesno sodelovali s strankami in zagotovili, da je izbrana najbolj optimalna pot za regijo storitve navidezne povezave .

Spodnja slika prikazuje regije za vzajemno omrežno povezovanje namenskega primerka v oblaku.

Regije navidezne povezave

Usmerjanje

Usmerjanje za dodatek za navidezno povezavo se izvaja z uporabo zunanjega BGP (eBGP) med namenskim primerkom in opremo v prostorih stranke (CPE). Cisco bo za vsak odvečen DC v regiji oglaševal svoje omrežje s CPE stranke, CPE pa je obvezen za oglaševanje privzete poti k družbi Cisco.

  • Cisco vzdržuje in dodeli

    • Naslov IP vmesnika tunela (prehodna povezava za usmerjanje) Cisco dodeli iz določenega prostora za naslov v skupni rabi (ni javno usmerjen)

    • Naslov za ločevanje transporta tunela (Ciscova stran)

    • Zasebne avtonomne sistemske številke (ASN) za konfiguracijo usmerjanja BGP stranke

      • Cisco iz določenega razpona zasebne uporabe dodeli: 64512 do 65534

  • eBGP, ki se uporablja za izmenjavo poti med namenskim primerkom in CPE

    • Cisco bo dodeljeno omrežje /24 razdelil na 2 /25 za vsak DC v ustrezni regiji

    • V navidezni povezavi Cisco vsako omrežje /25 oglašuje nazaj v CPE prek ustreznih tunelov VPN od točke do točke (prehodna povezava)

    • CPE mora biti konfiguriran z ustreznimi sosedi eBGP. Če uporabljate en CPE, bosta uporabljena dva sosednja eBGP, eden pa bo usmerjen na vsak oddaljeni tunel. Če uporabljate dva CPE, bo vsak CPE imel enega soseda eBGP, ki se bo postavil na en oddaljen tunel za CPE.

    • Stran Cisco vsakega tunela GRE (vmesnik tunela IP) je konfigurirana kot sosed BGP na CPE

    • CPE je obvezen za oglaševanje privzete poti nad vsakim tunelom

    • CPE je odgovoren za prerazporeditev pridobljenih poti v omrežju podjetja cutomer, kot je potrebno.

  • Pod pogojem napake povezave brez napak bo en sam CPE imel dva aktivna/aktivna tunela. Za dve vozlišči CPE bo vsak CPE imel en aktiven tunel in oba vozlišča CPE morata biti aktivna in potekati promet. V scenariju brez napak se mora promet razdeliti na dva predora, ki gredo na pravilne/25 destinacije, če se eden od predora spusti, preostali predor lahko prevaža promet za oba. V takem scenariju napake, ko je omrežje /25 navzdol, se omrežje /24 uporablja kot rezervna pot. Cisco bo prek notranjega WAN poslal promet strank v DC, ki je izgubil povezljivost.

Postopek povezljivosti

V naslednjih korakih na visoki ravni je opisano, kako vzpostaviti povezljivost z navidezno povezavo za namenski primerek.
1

Oddate naročilo v Cisco CCW

2

Aktiviraj navidezno povezavo iz zvezdišča Control Hub

3

Cisco izvede konfiguracijo omrežja

4

Stranka izvede konfiguracijo omrežja

1. korak: Naročilo CCW

Navidezna povezava je dodatek za namenski primerek v CCW.

1

Pojdite na spletno mesto za naročanje CCW in nato kliknite Prijava, da se vpišete v spletno mesto:

https://apps.cisco.com/Commerce/guest.
2

Ustvari oceno.

3

Dodajte SKU "A-FLEX-3".

4

Izberite možnosti urejanja.

5

V zavihku naročnine, ki se prikaže, Izberite Možnosti in dodatke.

6

V razdelku Dodatni dodatki izberite potrditveno polje poleg "Navidezna povezava za namenski primerek". Ime SKU je "A-FLEX-DI-VC".

7

Vnesite količino in število regij, v katerih je zahtevana navidezna povezava.

Količina navidezne povezave ne sme presegati skupnega števila regij, kupljenih za namenski primerek. Poleg tega je dovoljeno samo eno naročilo navidezne povezave za posamezno regijo.
8

Ko ste zadovoljni z izbirami, Kliknite Preveri in Shrani v zgornjem desnem delu strani.

9

Kliknite Shrani in Nadaljuj, če želite dokončati svoje naročilo. Vaše končano naročilo se zdaj prične v mrežo naročil.

2. korak: Aktivacija navidezne povezave v zvezdišču Control Hub

1

Vpišite se v Control Hub https://admin.webex.com/login.

2

V razdelku Storitve pojdite v Klicanje > Namenski Instacnce > Povezljivost v oblaku.

3

Na kartici navidezne povezave je navedena količina kupljene navidezne povezave. Skrbnik lahko zdaj klikne Aktiviraj , da začne aktivacijo navidezne povezave.

Postopek aktivacije lahko sprožijo samo skrbniki z vlogo "skrbnika s polnimi pooblastili stranke". Skrbnik z vlogo »Skrbnik samo za branje stranke« pa si lahko samo ogleda stanje.
4

Ko kliknete gumb Aktiviraj , se prikaže obrazec Aktiviraj navidezno povezavo , da skrbnik zagotovi tehnične podrobnosti navidezne povezave, ki so potrebne za konfiguracije vzajemnega omrežnega povezovanja na strani družbe Cisco.

Obrazec zagotavlja tudi statične informacije na strani družbe Cisco glede na izbrano regijo. Te informacije bodo skrbnikom strank koristne za konfiguriranje CPE na njihovi strani za vzpostavitev povezljivosti.

  1. Naslov IP transporta tunela GRE: Stranka mora zagotoviti naslove IP transporta tunela na strani stranke, družba Cisco pa bo dinamično dodelila naslove IP, ko se bo aktivacija zaključila. IPSec ACL za zanimiv promet mora omogočiti lokalni prenos tunela IP/32 do oddaljenega prenosa tunela IP/32. ACL bi moral določiti tudi samo protokol GRE IP.

    Naslov IP, ki ga zagotovi stranka, je lahko zasebni ali javni.

  2. Kolegi IPSec: Od stranke je zahtevano zagotavljanje izvornih naslovov IP tunela IPSec, družba Cisco pa dodeli ciljni naslov IP za IPSec. Po potrebi je podprto tudi izvajanje prevoda NAT naslova notranjega tunela IPSEC v javni naslov.​

    Naslov IP, ki ga zagotovi stranka, mora biti javen.

    Vse druge statične informacije, zagotovljene na zaslonu za aktivacijo, upoštevajo Ciscove standarde varnosti in šifriranja na strani. Te statične konfiguracije ni mogoče prilagoditi ali spremeniti. Za morebitno dodatno pomoč glede statičnih konfiguracij na strani podjetja Cisco se mora stranka obrniti na TAC.
5

Kliknite gumb Aktiviraj , ko so izpolnjena vsa obvezna polja.

6

Ko je obrazec za aktivacijo navidezne povezave izpolnjen za regijo particluar, lahko stranka Izvozi obrazec za aktivacijo iz zvezdišča Control Hub, Klicanje > Namenski primerek > zavihek Povezljivost v oblaku in kliknite Izvozi nastavitve.

Zaradi varnostnih razlogov preverjanje pristnosti in geslo BGP ne bosta na voljo v izvoženem dokumentu, vendar si ga lahko skrbnik ogleda v zvezdišču Control Hub tako, da klikne Nastavitve ogleda v zvezdišču Control Hub, Klicanje > Namenski primerek > zavihek Povezljivost v oblaku.

3. korak: Cisco izvede konfiguracijo omrežja

1

Ko je obrazec za aktivacijo navidezne povezave izpolnjen, bo stanje posodobljeno na Aktivacija v teku v klicanju > Namenski primerek > Kartica povezljivosti v oblaku in navidezne povezave.

2

Cisco bo dokončal zahtevane konfiguracije na stranski opremi Cisco v 5 delovnih dneh. Po uspešnem zaključku bo stanje za to regijo v zvezdišču Control Hub posodobljeno na »Aktivirano«.

4. korak: Stranka izvede konfiguracijo omrežja

Stanje se spremeni v "Aktivirano", da se skrbnik stranke obvesti, da je Ciscova stran konfiguracij za povezljivost IP VPN dokončana na podlagi vnosov, ki jih zagotovi stranka. Vendar se od skrbnika stranke pričakuje, da zaključi svojo stran konfiguracij na CPE-jih in preizkusi poti povezljivosti za tunel navidezne povezave, da je povezan. V primeru kakršnih koli težav, ki se pojavijo v času konfiguracije ali povezljivosti, se lahko stranka za pomoč obrne na Cisco TAC.

Odpravljanje težav

Prva faza IPsec (pogajanja IKEv2) Odpravljanje težav in potrjevanje

Pogajanja o tunelu IPsec vključujejo dve fazi, fazo IKEv2 in fazo IPsec. Če se pogajanja o fazi IKEv2 ne zaključijo, se druga faza IPsec ne začne. Najprej izpustite ukaz "show crypto ikev2 sa" (na opremi Cisco) ali podoben ukaz na opremi tretje osebe, da preverite, ali je seja IKEv2 aktivna. Če seja IKEv2 ni aktivna, so možni razlogi:

  • Zanimiv promet ne sproži tunela IPsec.

  • Seznam dostopa do tunela IPsec je napačno konfiguriran.

  • Med stranko in IP končne točke tunela IPsec namenskega primerka ni povezave.

  • Parametri seje IKEv2 se ne ujemajo med stranjo namenskega primerka in stranjo stranke.

  • Požarni zid blokira pakete IKEv2 UDP.

Najprej preverite dnevnike IPsec za vsa sporočila, ki prikazujejo napredek pogajanj o tunelu IKEv2. V dnevnikih je lahko navedeno, kje je prišlo do težave s pogajanji IKEv2. Pomanjkanje sporočil za beleženje lahko pomeni tudi, da seja IKEv2 ni aktivirana.

Nekatere pogoste napake pri pogajanjih IKEv2 so:

  • Nastavitve za IKEv2 na strani CPE se ne ujemajo s strani Cisco, znova preverite omenjene nastavitve:

    • Preverite, ali je različica IKE različica 2.

    • Preverite, ali se parametra šifriranja in preverjanja pristnosti ujemata s pričakovanim šifriranjem na strani namenskega primerka.

      Ko je uporabljena šifra "GCM", protokol GCM obravnava preverjanje pristnosti in nastavi parameter preverjanja pristnosti na NIČLO.

    • Preverite nastavitev v življenju.

    • Preverite skupino modulus Diffie Hellman.

    • Preverite nastavitve psevdo naključne funkcije.

  • Seznam za dostop do kriptografske karte ni nastavljen na:

    • Dovoljenje GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (ali enakovreden ukaz)

      Seznam za dostop mora biti specifičen za protokol "GRE" in protokol "IP" ne bo deloval.

Če v dnevniških sporočilih ni nobene pogajalske aktivnosti za fazo IKEv2, bo morda potreben zajem paketov.

Namenska stran primerka morda ne začne vedno izmenjave IKEv2 in včasih lahko pričakuje, da bo pobudnik stran CPE stranke.

Preverite konfiguracijo strani CPE za naslednje predpogoje za začetek seje IKEv2:

  • Preverite seznam za dostop do šifriranja IPsec za promet GRE (Protokol 50) iz IP transporta tunela CPE v IP transporta tunela namenskega primerka.

  • Prepričajte se, da je vmesnik tunela GRE omogočen za potrditve GRE. Če oprema ne podpira potrditve GRE, je Cisco obveščen, ker bodo potrditve GRE privzeto omogočene na namenski strani primerka.

  • Prepričajte se, da je BGP omogočen in konfiguriran s sosednjim naslovom IP tunela namenskega primerka.

Ko je pravilno konfiguriran, se začne tunel IPsec in pogajanja prve faze IKEv2:

  • GRE lahko prek vmesnika tunela GRE na strani CPE v vmesnik tunela GRE na strani namenskega primerka.

  • Seja TCP sosed BGP s strani CPE sosed BGP na strani namenskega primerka BGP.

  • Ping z naslova IP tunela na strani CPE v naslov IP tunela na strani namenskega primerka.

    Ping ne more biti IP prenos tunela v IP prenos tunela, mora biti IP tunela v IP tunela.

Če je za promet IKEv2 potrebna sled paketov, nastavite filter za UDP in vrata 500 (če ni naprave NAT sredi končnih točk IPsec) ali vrata 4500 (če je naprava NAT vstavljena sredi končnih točk IPsec).

Preverite, ali so paketi IKEv2 UDP s vrati 500 ali 4500 poslani in prejeti v naslov IPsec DI in iz njega.

Podatkovni center namenskega primerka morda ne začne vedno prvega paketa IKEv2. Zahteva je, da lahko naprava CPE sproži prvi paket IKEv2 proti strani namenskega primerka.

Če lokalni požarni zid to dovoljuje, poskusite tudi ping do oddaljenega naslova IPsec. Če ping ni uspešen z lokalnega do oddaljenega naslova IPsec, izvedite sledilno pot za pomoč in določite, kje se paket spusti.

Nekateri požarni zidovi in internetna oprema morda ne omogočajo sledenja poti.

Druga faza IPsec (pogajanja IPsec) Odpravljanje težav in potrjevanje

Preverite, ali je prva faza IPsec (to je varnostna povezava IKEv2) aktivna, preden odpravite napake druge faze IPsec. Izvedite "show crypto ikev2 sa" ali enakovreden ukaz za preverjanje seje IKEv2. V izhodu preverite, ali je seja IKEv2 trajala več kot nekaj sekund in da se ne odbija. Čas delovanja seje se prikaže kot seja »Aktivni čas« ali enakovredno v izhodu.

Ko seja IKEv2 preveri kot navzgor in aktivno, raziščite sejo IPsec. Kot pri seji IKEv2 izvedite "pokaži šifrirano ipsec sa" ali enakovreden ukaz za preverjanje seje IPsec. Seja IKEv2 in seja IPsec morata biti aktivni, preden se vzpostavi tunel GRE. Če seja IPsec ne kaže kot aktivna, preverite dnevnike IPsec za sporočila o napakah ali napake pri pogajanjih.

Nekatera najpogostejša vprašanja, ki se lahko pojavijo med pogajanji o IPsec, so:

Nastavitve na strani CPE se ne ujemajo s strani namenskega primerka, znova preverite nastavitve:

  • Preverite, ali se parametra šifriranja in preverjanja pristnosti ujemata z nastavitvami na strani namenskega primerka.

  • Preverite nastavitve popolne posredovanja skrivnosti in ali se ujemajo z nastavitvami na strani namenskega primerka.

  • Preverite nastavitve za življenjsko dobo.

  • Preverite, ali je bil IPsec konfiguriran v načinu tunela.

  • Preverite izvorne in ciljne naslove IPsec.

Odpravljanje težav in potrjevanje vmesnika tunela

Ko sta seji IPsec in IKEv2 preverjeni kot pripravljeni in aktivni, bodo paketi tunela GRE ohranjeni med končnimi točkami namenskega primerka in končnimi točkami tunela CPE. Če vmesnik tunela ne prikazuje stanja, so nekatere pogoste težave:

  • VRF transportnega vmesnika tunela se ne ujema z VRF vmesnika za povratni tok (če se konfiguracija VRF uporablja na vmesniku tunela).

    Če konfiguracija VRF ni uporabljena v vmesniku tunela, se to preverjanje lahko prezre.

  • Omogočanje nadaljevanja ni na vmesniku tunela na strani CPE

    Če čakalni načini niso podprti v opremi CPE, mora biti Cisco obveščen, da so onemogočeni tudi privzeti čakalni načini na strani namenskega primerka.

    Če so podprti nadomestni načini, preverite, ali so omogočeni nadomestni načini.

  • Maska ali naslov IP vmesnika tunela ni pravilen in se ne ujema s pričakovanimi vrednostmi namenskega primerka.

  • Izvorni ali ciljni naslov prenosa tunela ni pravilen in se ne ujema s pričakovanimi vrednostmi namenskega primerka.

  • Požarni zid blokira pakete GRE, ki so poslani v tunel IPsec ali prejeti iz tunela IPsec (tunel GRE se prenaša prek tunela IPsec)

Preskus ping mora preveriti, ali je lokalni vmesnik tunela nastavljen in ali je povezljivost dobra za oddaljeni vmesnik tunela. Opravite preverjanje ping iz IP tunela (ne IP prenosa) v oddaljeni IP tunela.

Kripto dostop do tunela IPsec, ki prevaža promet tunela GRE, omogoča prehod samo paketov GRE. Posledično pingi ne bodo delovali iz IP transporta tunela do IP transporta tunela na daljavo.

Ping preverjanje povzroči paket GRE, ki se ustvari iz IP transporta izvornega predora v ciljni IP, medtem ko bo nosilnost paketa GRE (notranji IP) izvorni in ciljni IP tunela.

Če test ping ni uspešen in so prejšnji elementi preverjeni, se lahko zahteva zajem paketov, da se zagotovi, da ICMP ping povzroči paket GRE, ki se nato inkapsulira v paket IPsec in nato pošlje iz izvornega naslova IPsec na ciljni naslov IPsec. Prikazu lahko pomagajo tudi števci na vmesniku tunela GRE in števci sej IPsec. če se število pošiljk in prejetih paketov povečuje.

Poleg ping prometa naj bi zajemanje prikazovalo tudi nepremagljive pakete GRE tudi med nedejavnim prometom. Končno, če je BGP konfiguriran, je treba BGP keepalive pakete poslati tudi kot pakete GRE, ki so inkapsulirane v pakete IPSEC, kot tudi preko VPN.

Odpravljanje težav in preverjanje veljavnosti BGP

Seje BGP

BGP je potreben kot protokol usmerjanja prek tunela IPsec VPN. Lokalni sosed BGP naj vzpostavi sejo eBGP s sosed BGP Dedicated Instance. Naslovi IP sosedov eBGP so enaki kot naslovi IP lokalnega in oddaljenega tunela. Najprej se prepričajte, da je seja BGP vzpostavljena, nato pa preverite, ali prejemajo pravilne poti od namenskega primerka in ali je pravilna privzeta pot poslana namenskemu primerku.

Če je tunel GRE nastavljen, preverite, ali je ping med lokalnim in oddaljenim IP tunela GRE uspešen. Če je ping uspešen, vendar se seja BGP ne pojavi, raziščite dnevnik BGP glede napak v nastavitvi BGP.

Nekatera najpogostejša vprašanja pogajanj BGP so:

  • Oddaljena številka AS se ne ujema s številko AS, ki je konfigurirana na strani namenskega primerka. Znova preverite konfiguracijo sosednjega AS.

  • Lokalno število AS se ne ujema s pričakovanimi parametri namenskega primerka na strani namenskega primerka. Preverite, ali se lokalno število AS ujema s pričakovanimi parametri namenskega primerka.

  • Požarni zid blokira pošiljanje paketov BGP TCP, vsebovanih v paketih GRE, v tunel IPsec ali prejemanje iz tunela IPSEC

  • Oddaljeni IP soseda BGP se ne ujema z oddaljenim IP tunela GRE.

Izmenjava poti BGP

Ko je seja BGP preverjena za oba predora, se prepričajte, da na namenski strani primerka pošiljajo in prejemajo pravilne poti.

Rešitev VPN namenskega primerka pričakuje, da bosta na strani stranke/partnerja vzpostavljena dva tunela. Prvi tunel kaže na podatkovni center namenskega primerka A, drugi tunel pa na podatkovni center namenskega primerka B. Oba tunela morata biti v aktivnem stanju, rešitev pa zahteva aktivno/aktivno uvajanje. Vsak namenski podatkovni center primerka bo oglaševal lokalno pot /25 in rezervno pot /24. Ko preverite dohodne poti BGP iz namenskega primerka, zagotovite, da seja BGP, povezana s tunelom, ki kaže na podatkovni center namenskega primerka A, prejme lokalno pot podatkovnega središča namenskega primerka A /25 in varnostno pot /24. Poleg tega zagotovite, da predor, ki kaže na podatkovni center namenskega primerka B, preklopi lokalno pot podatkovnega središča namenskega primerka B /25 in varnostno pot /24. Upoštevajte, da bo pot varnostne kopije /24 enaka pot, ki se oglašuje iz podatkovnega središča namenskega primerka A in podatkovnega središča namenskega primerka B.

Redundanca je zagotovljena podatkovnemu središču namenskega primerka, če se vmesnik tunela s tem podatkovnim središčem pokvari. Če je povezava s podatkovnim središčem namenskega primerka A izgubljena, se bo promet posredoval iz podatkovnega središča namenskega primerka B v podatkovni center A. V tem primeru bo tunel do podatkovnega središča B uporabil pot podatkovnega središča B /25 za pošiljanje prometa v podatkovni center B, predor do podatkovnega središča B pa bo uporabil varnostno pot /24 za pošiljanje prometa v podatkovni center A prek podatkovnega središča B.

Pomembno je, da se, ko sta oba predora aktivna, predor A ne uporablja za pošiljanje prometa v podatkovni center B in obratno. Če se v tem primeru promet pošlje v podatkovni center A s ciljem podatkovnega središča B, bo podatkovni center A posredoval promet v podatkovni center B, nato pa bo podatkovni center B poskušal poslati promet nazaj v vir prek tunela podatkovnega središča B. To bo povzročilo neoptimalno usmerjanje in lahko tudi prekine promet, ki prečka požarni zid. Zato je pomembno, da sta oba predora med normalnim delovanjem v aktivni/aktivni konfiguraciji.

Pot 0.0.0.0/0 mora biti oglaševana s strani stranke na strani podatkovnega središča namenskega primerka. Namenska stran primerka ne bo sprejela bolj specifičnih poti. Zagotovite, da je pot 0.0.0.0/0 oglaševana tako v tunelu podatkovnega središča namenskega primerka A kot v tunelu podatkovnega središča namenskega primerka B.

Nastavitve MTU

Na strani namenskega primerka sta omogočeni dve funkciji za dinamično prilagoditev MTU za velike velikosti paketov. Tunel GRE doda več glav v pakete IP, ki tečejo skozi sejo VPN. Tunel IPsec dodaja dodatne glave na glave GRE bo dodatno zmanjšal največji dovoljeni MTU v tunelu.

Tunel GRE prilagaja funkcijo MSS in pot tunela GRE v funkciji za odkrivanje MTU je omogočena na namenski strani primerka. Konfigurirajte "ip tcp adjust-mss 1350" ali enakovreden ukaz kot tudi "tunelska pot\u0002mtu-discovery" ali enakovreden ukaz na strani stranke, da pomagate pri dinamični prilagoditvi MTU prometa skozi tunel VPN.