Uvod

Virtual Connect je dodatna dodatak mogućnosti povezivanja u oblaku sa namensku instancu za Webex Calling (Dedicated Instance). Virtual Connect omogućava klijentima da bezbedno prošire svoju privatnu mrežu putem interneta koristeći prolaze od tačke do tačke IP VPN prolaza. Ova opcija povezivanja pruža brzo uspostavljanje veze sa privatnom mrežom pomoću postojeće lokalne opreme kupca (CPE) i mogućnosti povezivanja sa internetom.

Cisco domaćini, upravljaju i osiguraju suvišne IP VPN prolaze i potreban pristup internetu u regionima Centra podataka namenske instance kompanije Cisco u kojima je potrebna usluga. S druge toga, Administrator je odgovoran za odgovarajuće CPE i Internet usluge koje su potrebne za uspostavljanje usluge Virtual Connect.

Svaki redosled Virtual Connect u određenom regionu namenske instance sadržaće dva generička prolaza usmeravanja (GRE) zaštićena IPSec šifrovanjem (GRE preko IPSec-a), po jedan za svaki Cisco centar podataka u izabranom regionu.

Virtual Connect ima ograničenje propusnog opsega od 250 Mbps po prolazu i preporučuje se za manje primene. S obzirom na to da se dva prolaza od tačke do tačke VPN koriste sav saobraćaj ka oblaku mora da prođe kroz CPE slušalice kupca, a samim tim i to možda nije pogodno za lokaciju na kojoj ima mnogo udaljenih lokacija. Za druge alternativne opcije peering, pogledajte Cloud Connectivity.


 

Pre nego što pošaljete zahtev za peering za Virtual Connect, uverite se da je usluga namenske instance aktivirana u tom odgovarajućem regionu.

Preduslovi

Preduslovi za uspostavljanje Virtual Connect-a uključuju:

  • Kupac pruža

    • Internet veza sa dovoljno dostupnim propusnim opsegom da podrži primenu

    • Javna IP adresa(e) za dva IPSec prolaza

    • GRE transport na strani IP za dva GRE prolaza

  • Partner i kupac

    • Radite zajedno na proceni zahteva propusnog opsega

    • Uverite mrežni uređaj podržavaju usmeravanje Protokola graničnog mrežnog prolaza (BGP) i gre preko dizajna IPSec prolaza

  • Partner ili kupac pruža

    • Mrežni tim sa znanjem tehnologija prolaza do lokacija VPN prolazu

    • Mrežni tim sa znanjem BGP, eBGP i opštih principa usmeravanja

  • Cisco

    • Cisco je dodelio privatne brojeve sistema (ASN) i prelazne IP adrese za interfejse GRE prolaza

    • Mreža Klase C (/24) za Dedicated Instance Cloud je dodeljena javnoj, ali ne i internet usmeravanju klase C (/24) za adresiranje rešenja Dedicated Instance Cloud


 

Ako kupac ima samo 1 CPE uređaj, tada će iz tog CPE uređaja biti 2 prolaza prema Cisco centru podataka (DC1 i DC2) u svakom regionu. Kupac takođe ima opciju za 2 CPE uređaja, a zatim svaki CPE uređaj treba da se poveže sa 1 prolazom prema Cisco centru podataka (DC1 i DC2) u svakom regionu. Dodatna suvišnost se može postići prekidom svakog prolaza na posebnoj fizičkoj lokaciji/lokaciji u okviru infrastrukture kupca.

Tehnički detalji

Model primene

Virtual Connect koristi arhitekturu slušalice dvostrukog nivoa, gde avione za usmeravanje i GRE kontrolu obezbeđuje jedan uređaj, a kontrolni avion za IPSec obezbeđuje drugi.

Po završeku Virtual Connect mogućnosti povezivanja, biće kreirana dva GRE preko IPSec prolaza između mreže preduzeća kupca i centra podataka namenske instance kompanije Cisco. Jedan na svaki redundantni centar podataka u odgovarajućem regionu. Dodatne mrežne elemente potrebne za peering razmenjuju partner ili kupac u kompaniju Cisco putem obrasca za aktivaciju Virtual Connect platforme Control Hub.

Slika 1 prikazuje primer opcije Virtual Connect model instalacije za opciju sa 2 koncentratora na strani kupca.

Virtual Connect – VPN je dizajn čvorišta, gde su lokacije korisničkog čvorišta povezane sa DC1 i DC2 centrima podataka namenske instance u okviru određenog regiona.

Dve lokacije čvorišta se preporučuju radi veće redundantnosti, ali je podržana i lokacija One Hub sa dva prolaza model instalacije.


 

Propusni opseg po prolazu je ograničen na 250 Mbps.


 

Udaljene lokacije kupca u okviru istog regiona moraće da se povežu ponovo sa sajtovima čvorišta preko WAN mreže korisnika i nije odgovornost kompanije Cisco za tu povezanost.

Očekuje se da partneri blisko rade sa klijentima, tako da će osigurati da se za region usluge "Virtual Connect" izabere naj optimalna putanja.

Slika 2 prikazuje regione ravnopravnih regiona za povezivanje u oblaku namenske instance.

Usmeravanje

Usmeravanje za Virtual Connect dodatak se sprovodi pomoću spoljnog BGP-a (eBGP) između rešenja Dedicated Instance i lokalne opreme kupca (CPE). Cisco će oglašavati odgovarajuću mrežu za svaki redundantni DC u regionu CPE-u kupca, a CPE mora da oglašava podrazumevanu rutu do kompanije Cisco.

  • Cisco održava i dodeljuje

    • Interfejs prolaza IP adresiranje (trajnu vezu za usmeravanje) Cisco dodeljuje iz određenog prostora za deljenu adresu (koji nije javno usmeran)

    • Adresa za prenos prolaza (na strani kompanije Cisco)

    • Privatni brojevi automatskog sistema (ASN) za konfiguraciju BGP usmeravanja kupca

      • Cisco dodeljuje iz određenog opsega privatne upotrebe: 64512 do 65534

  • eBGP se koristi za razmenu ruta između rešenja Dedicated Instance i CPE

    • Cisco će podeliti dodeljenu /24 mrežu na 2/25 po jednu za svaki DC u odgovarajućem regionu

    • U usluzi Virtual Connect svaka /25 mreža se oglašava na CPE preko odgovarajućih prolaza od tačke do tačke VPN prolaza (trajna veza)

    • CPE mora biti konfigurisan sa odgovarajućim eBGP susedima. Ako koristite jedan CPE, koristiće se dva eBGP suseda, koji upućuju na svaki udaljeni prolaz. Ako koristite dva CPE, svaki CPE će imati po jednog eBGP suseda koji će se naжi u jednom udaljenom prolazu za CPE.

    • Na strani svakog GRE prolaza (interfejs prolaza IP) konfigurisan je kao BGP sused na CPE-u

    • CPE je obavezan za oglašavanje podrazumevane rute preko svakog od prolaza

    • CPE se odaziva na ponovnu distribuciju, jer su, po potrebi, učene rute unutar mreže preduzeća skraćenika.

  • Pod uslovom neuspešne veze, jedan CPE će imati dva aktivna/aktivna prolaza. Za dva CPE čvora, svaki CPE ima jedan aktivan prolaz i oba CPE čvora treba da budu aktivni i da prolaze kroz saobraćaj. Prema neuspešnom scenariju, saobraćaj mora da se podeli u dva prolaza i ide na ispravna /25 odredišta. Ako jedan od tunela padne nadole, preostali prolaz može da prenosi saobraćaj za oba. U takvom scenariju neuspeha, kada je /25 mreža dole, onda se /24 mreža koristi kao usmeravanje rezervne kopije. Cisco će poslati saobraćaj kupca putem internog WAN-a ka DC-u koji je izgubio vezu.

Proces povezivanja

Sledeći koraci visokog nivoa opisuju kako uspostaviti povezivanje sa virtuelnim povezivanjem za namensku instancu.
1

Postavite narudžbinu u Cisco CCW

2

Aktiviranje virtuelnog povezivanja sa portala Control Hub

3

Cisco izvršava konfiguraciju mreže

4

Kupac izvršava konfiguraciju mreže

Korak 1: CCW narudžbina

Virtual Connect je jedan od dodatak za Dedicated Instance u CCW-u.

1

Idite do CCW lokacije za naručivanje, a zatim kliknite na "Prijavi" da biste se prijavili na lokaciju:

https://apps.cisco.com/Commerce/guest, g. Https://apps.cisco.com/Commerce/guest.
2

Kreiraj procenu.

3

Dodajte SKU "A-FLEX-3".

4

Izaberite opcije za uređivanje.

5

Na kartici "Pretplata" koja se pojavljuje izaberite opcije i dodatke.

6

U okviru dodatnih dodatka izaberite stavku polje za potvrdu "Virtual Connect for Dedicated Instance". SKU ime je "A-FLEX-DI-VC".

7

Unesite količinu i broj regiona u kojima je potrebno virtuelno povezivanje.


 
Količina usluge Virtual Connect ne bi trebalo da premašuje ukupan broj regiona kupljenih za namensku instancu. Takođe, po regionu je dozvoljen samo jedan Redosled Virtual Connect-a.
8

Kada ste zadovoljni svojim izborima, kliknite na "Potvrdi" i "Sačuvaj" u gornjem desnom delu stranice.

9

Kliknite na "Sačuvaj" i "Nastavi" da biste dovršili narudžbinu. Vaša finalizovana narudžbina sada se pridodaje po redosledu mreže.

Korak 2: Aktiviranje usluge Virtual Connect na portalu Control Hub

1

Prijavite se u Kontrolni centar https://admin.webex.com/login.

2

U odeljku " Usluge" dođite do opcije Calling > Dedicated Instacnce > Cloud Connectivity.

3

Na kartici Virtual Connect navedena je kupljena količina virtual connect-a. Administrator sada može da klikne na "Aktiviraj " da biste pokrenuli aktivaciju Virtual Connect.


 
Proces aktivacije mogu da aktiviraju samo administratori sa ulogom "Potpuni administrator kupca". Dok administrator sa ulogom "Kupac samo za čitanje" može da prikaže samo status.
4

Kada kliknete na dugme "Aktiviraj", administratoru će se prikazati obrazac za aktiviranje virtuelnog povezivanja kako bi administratoru obezbedio tehničke podatke o virtuelnom povezivanju koji su potrebni za konfiguracije ravnopravnih uređaja na strani kompanije Cisco.


 
Obrazac takođe pruža statične informacije na strani kompanije Cisco, na osnovu izabrane oblasti "Region". Ove informacije će biti korisne administratorima kupca da konfigurišu CPE na njihovoj strani da bi uspostavili povezivanje.

  1. Linija prenosa GRE prolaza IP adresa: Od kupca se zahteva da dostavi adrese prenosa prolazom na strani IP, a Kompanija Cisco će dinamički dodeliti IP adresama kada se aktivacija završi. IPSec ACL za zanimljiv saobraćaj treba da omogući lokalni transport prolaza IP/32 do daljinskog transporta prolaza IP/32. ACL takođe treba da navede samo GRE IP protokol.


     
    Privilegije IP adresa koje je obezbedio kupac mogu biti privatne ili javne.

  2. IPSec ravnopravne datoteke: Od kupca se zahteva da dostavi izvorne adrese IPSec prolaza IP, a Cisco dodeljuje IPSec IP adresa odredišta. Ako je potrebno, podržano je i izvršavanje NAT prevoda interne adrese IPSEC prolaza na javnu adresu.


     

    Datoteke IP adresa koje je obezbedio kupac treba da budu javne.


     
    Sve ostale statične informacije navedene na ekranu za aktivaciju su standardi bezbednosti i šifrovanja kompanije Cisco praćeni. Ova statična konfiguracija se ne može prilagodljivo ili izmeniti. Za bilo koju dodatnu pomoć u vezi sa statičkim konfiguracijama na strani kompanije Cisco, kupac mora da kontaktira sa TAC-om.
5

Kliknite na dugme "Aktiviraj " kada se popune sva obavezna polja.

6

Kada se završi obrazac za aktivaciju Virtual Connect za region particluar, klijent može da izveze obrazac za aktivaciju iz platforme Control Hub, Calling > Dedicated Instance > Cloud Connectivity i da kliknete na dugme "Izvoz podešavanja".


 
Iz bezbednosnih razloga potvrda identiteta i lozinka za BGP neće biti dostupni u izvezenom dokumentu, ali administrator isto može da prikaže u kontrolnom čvorištu klikom na "Prikaži podešavanja" u kontrolnom čvorištu, pozivanje > Dedicated Instance > Cloud Connectivity.

Korak 3: Cisco izvršava konfiguraciju mreže

1

Kada se završi obrazac za aktivaciju Virtual Connect, status će se ažurirati na karticu "U toku za aktivaciju u toku" u usluzi Calling > Dedicated Instance > Cloud Connectivity Virtual Connect kartici.

2

Cisco će dovršiti potrebne konfiguracije na bočnoj opremi kompanije Cisco u roku od 5 radnih dana. Po uspešnom dovršavanju, status će se ažurirati na "Aktivirano" za taj određeni region na platformi Control Hub.

Korak 4: Kupac izvršava konfiguraciju mreže

Status je promenjen u "Aktivirano" kako biste obavestili administratora kupca da je na strani kompanije Cisco konfiguracija za povezivanje IP VPN ben završeno na osnovu unosa koje je obezbedio kupac. Međutim, od administratora kupca se očekuje da dovrši svoju stranu konfiguracija na CP-ovima i testira rute mogućnosti povezivanja da bi prolaz Virtual Connect bio na mreži. U slučaju bilo kakvih problema sa kojima se suočava u vreme konfiguracije ili mogućnosti povezivanja, kupac može da kontaktira Cisco TAC pomoć.

Rešavanje problema

Rešavanje problema i provere valjanosti u IPsec prvoj fazi (IKEv2 pregovaranje)

Pregovori o IPsec prolazu uključuju dve faze, IKEv2 fazu i IPsec fazu. Ako se pregovori IKEv2 faze ne završe, onda ne postoji pokretanje druge IPsec faze. Prvo izdajte komandu "prikaži crypto ikev2 sa" (na Cisco opremi) ili sličnu komandu na opremi treće strane da biste proverili da li je IKEv2 sesija aktivna. Ako IKEv2 sesija nije aktivna, potencijalni razlozi mogu biti:

  • Zanimljiv saobraćaj ne pokreće IPsec prolaz.

  • Prolaz IPsec prolaza lista za pristup pogrešno konfigurisan.

  • Nema mogućnosti povezivanja između kupca i IPsec krajnje tačke prolaza namenske instance IP.

  • Parametri sesije IKEv2 se ne podudaraju između strane namenske instance i strane kupca.

  • Zaštitni zid blokira IKEv2 UDP pakete.

Prvo proverite IPsec evidencije za sve poruke koje prikazuju napredak pregovora prolaza IKEv2. Evidencije mogu da ukazuju na to gde postoji problem sa IKEv2 pregovorima. Nedostatak poruka za evidentiranje takođe može da ukazuje na to da se IKEv2 sesija ne aktivira.

Neke uobičajene greške sa IKEv2 pregovorima su:

  • Postavke za IKEv2 na CPE strani se ne podudaraju sa cisco bočnom, ponovo izaberite postavke koje su pomenute:

    • Proverite da li je verzija IKE verzije 2.

    • Proverite da li se parametri šifrovanja i potvrde identiteta podudaraju sa očekivanim šifrovanjem na strani namenske instance.


       

      Kada se šifrovanje "GCM" koristi, GCM protokol upravlja potvrdom identiteta i postavlja parametar potvrde identiteta na NULL.

    • Potvrdite podešavanje trajanja.

    • Proverite Grupu Modula Diffie Hellman.

    • Proverite podešavanja pseudo nasumičnih funkcija.

  • Datoteka lista za pristup za kripto mapu nije podešena na:

    • Dozvola GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (ili ikvivalentna komanda)


       

      Lista za pristup protokol "GRE" mora biti posebno za protokol "GRE" i protokol "IP" neće funkcionisati.

Ako poruke evidencije ne prikazuju nikakvu aktivnost pregovaranja za IKEv2 fazu, možda snimak paket biti potreban.


 

Strana namenske instance možda neće uvek započinjati IKEv2 razmenu i ponekad može očekivati da CPE strana kupca bude inicijator.

Proverite konfiguraciju strane CPE za sledeće preduslove za pokretanje sesije IKEv2:

  • Proverite da li IPsec kripto lista za pristup GRE saobraćaj (protokol 50) od prenosa CPE prolaza IP na transport prolaza namenske instance IP.

  • Uverite se da je interfejs GRE prolaza omogućen za GRE keepalves, ako oprema ne podržava GRE keepalive poruke, onda će Cisco biti upoređen zato što će GRE keepalive poruke biti podrazumevano omogućene na strani namenske instance.

  • Uverite se da je BGP omogućen i konfigurisan sa adresom susednog prolaza prolaza namenske IP.

Kada se pravilno konfiguriše, počinje IPsec prolaz i prvi IKEv2 pregovori:

  • GRE čuva datoteke sa CPE bočnog GRE interfejsa prolaza na strani GRE prolaza na strani namenske instance.

  • BGP sused TCP iz CPE strane BGP suseda na namensku stranu BGP-a.

  • Ping sa CPE bočnog prolaza IP adresa na bočni prolaz namenske instance IP adresa.


     

    Ping ne može da bude prolazski transport IP prolazu do IP, to mora da bude prolaz IP do prolaza IP.

Ako je praćenje paketa potrebno za IKEv2 saobraćaj, podesite filter za UDP i port 500 (kada nema NAT uređaja u sredini IPsec krajnjih tačaka) ili porta 4500 (kada je NAT uređaj ubačen na sredini IPsec krajnjih tačaka).

Uverite se da se IKEv2 UDP paketi sa portom 500 ili 4500 šalju i primaju u IPsec IP adresa.


 

Centar podataka namenske instance možda neće uvek pokrenuti prvi IKEv2 paket. Zahtev je da CPE uređaj bude u mogućnosti da pokrene prvi IKEv2 paket prema strani namenske instance.

Ako lokalni zaštitni zid to dozvoljava, pokušajte i da proverite ping na udaljenu IPsec adresu. Ako ping nije uspešan sa lokalne na udaljenu IPsec adresu, onda izvršite usmeravanje praćenja radi pomoći i utvrdite gde se paket ispušta.

Neki zaštitni zidovi i internet oprema možda neće dozvoliti usmeravanje praćenja.

Rešavanje problema i provere valjanosti IPsec druge faze (IPsec negotiation)

Proverite da li je IPsec prva faza (to je, IKEv2 bezbednosna asocijacija) aktivna pre rešavanja problema druge faze IPsec-a. Izvršite komandu "prikaži crypto ikev2 sa" ili odgovarajuću komandu da biste potvrdili IKEv2 sesiju. U emitovanju, proverite da li je IKEv2 sesija ažurirana više od nekoliko sekundi i da se ne odbija. Aktivno vreme sesije se prikazuje kao "Aktivno vreme" ili kao kvalentna u emitonju.

Kada IKEv2 sesija potvrdi da je ažurirana i aktivna, istražite IPsec sesiju. Kao i UKEv2 sesija, izvršite komandu "prikaži crypto ipsec sa" ili komandu za potvrdu IPsec sesije. I IKEv2 sesija i IPsec sesija moraju biti aktivni pre nego što se uspostavi GRE prolaz. Ako se IPsec sesija ne prikaže kao aktivna, proverite evidencije IPsec-a da biste videli poruke o greškama ili greške u pregovorima.

Neke od uobičajenijih pitanja sa kojima bi IPsec mogao da se susretne tokom pregovora sa IPsec-om su:

Postavke na CPE strani se ne podudaraju sa bočnom bočnom instancom namenske instance. Ponovo izaberite postavke:

  • Proverite da li se parametri šifrovanja i potvrde identiteta podudaraju sa postavkama na strani namenske instance.

  • Proverite podešavanja savršenog prosleđivanja tajnosti i da li se podudaraju postavke na strani namenske instance.

  • Proverite podešavanja trajanja.

  • Proverite da li je IPsec konfigurisan u režimu prolaza.

  • Potvrdite izvorne i odredišne IPsec adrese.

Rešavanje problema i provera valjanosti interfejsa prolaza

Kada su IPsec i IKEv2 sesije potvrđene kao gore i aktivne, keepalive paketi GRE prolaza mogu da teku između krajnjih tačaka namenske instance i CPE prolaza. Ako interfejs prolaza ne prikazuje status, neki uobičajeni problemi su:

  • Transport interfejsa prolaza VRF se ne podudara sa VRF-om interfejsa petlje (ako se VRF konfiguracija koristi na interfejsu prolaza).


     

    Ako se VRF konfiguracija ne koristi na interfejsu prolaza, ova provera može da se zanemari.

  • Keepalive poruke nisu omogućene na interfejsu CPE bočnog prolaza


     

    Ako keepalives nisu podržane na CPE opremi, onda Cisco mora biti upoređen tako da su i podrazumevane keepalacije na strani namenske instance onemogućene.

    Ako su podržane keepalves-ove, proverite da li su keepalives omogućene.

  • Maska ili IP adresa interfejsa prolaza nisu tačni i ne podudaraju se sa očekivanim vrednostima namenske instance.

  • Adresa prenosa izvora ili odredišnog prolaza nije tačna i ne podudara se sa očekivanim vrednostima namenske instance.

  • Zaštitni zid blokira GRE pakete od slanja u IPsec prolaz ili primljene iz IPsec prolaza (GRE prolaz se prenosi preko IPsec prolaza)

Ping test bi trebalo da proveri da li je interfejs lokalnog prolaza povezan na gore i da je povezan sa interfejsom udaljenog prolaza. Izvršite ping proveru iz tunela IP (ne za IP prenos) do udaljenog prolaza IP.


 

Kripto lista za pristup za IPsec prolaz koji nosi saobraćaj GRE prolaza omogućava da samo GRE paketi prelaze. Kao rezultat toga, pingovi neće raditi od transporta prolaza IP u transport udaljenih prolaza IP.

Ping provera rezultira GRE paketom koji se generiše iz transporta izvornog prolaza IP u odredišni transport prolaza IP dok će tovar GRE paketa (unutrašnji IP) biti izvorni i odredišni prolaz IP.

Ako ping test nije uspešan i budu potvrđene prethodno stavke, onda će snimak paket biti potreban da se osigura da icmp ping rezultira GRE paketom koji se zatim enklavira u IPsec paket, a zatim se šalje sa izvorne IPsec adrese na odredišnu IPsec adresu. Brojači na interfejsu GRE prolaza i IPsec brojač sesija takođe mogu da pomognu da se prikaže. ako se slanje i prijem paketa poveća.

Pored ping saobraćaja, hvatanje bi trebalo da prikaže i keepalive GRE pakete čak i tokom neaktivnog saobraćaja. Na kraju, ako je BGP konfigurisan, BGP keepalive pakete treba slati i kao GRE paketi šifrovani u IPSEC paketima, kao i preko VPN.

Rešavanje i provera valjanosti za BGP

BGP sesije

BGP je potreban kao protokol usmeravanja preko VPN IPsec prolaza. Lokalni BGP sused bi trebalo da uspostavi eBGP sesiju sa namenskim BGP susedom. eBGP adresa IP adresama kao lokalnog i udaljenog prolaza IP adresama. Prvo uverite se da je BGP sesija ažurirana, a zatim proverite da li se ispravne rute dobijaju iz namenske instance i da se ispravna podrazumevana putanja šalje namensku instancu.

Ako je GRE prolaz povezan, proverite da li je ping uspešan između lokalnog i udaljenog GRE prolaza IP. Ako je ping uspešan, ali BGP sesija nije naišla, onda istražite BGP evidenciju za greške u BGP uspostavljanju.

Neke od uobičajenijih problema sa BGP pregovorima su:

  • Udaljeni AS broj se ne podudara sa AS brojem koji je konfigurisan na strani namenske instance. Ponovo proverite konfiguraciju suseda AS.

  • Lokalni AS broj se ne podudara sa očekivanim parametrima namenske instance. Potvrdite da se lokalni AS broj podudara sa očekivanim parametrima namenske instance.

  • Zaštitni zid blokira BGP TCP pakete koji su priključeni u GRE pakete da se šalju u IPsec prolaz ili da budu primljeni iz IPSEC prolaza

  • Udaljeni BGP sused IP se ne podudara sa udaljenim GRE prolazom IP.

BGP razmena ruta

Kada se BGP sesija potvrdi za oba prolaza, uverite se da se ispravne rute šalju i primaju sa strane namenske instance.

Namenska instanca VPN očekuje da će dva prolaza biti uspostavljena sa strane kupca/partnera. Prvi prolaz pokazuje na centar podataka namenske instance A, a drugi prolaz pokazuje na centar podataka namenske instance B. Oba prolaza moraju da budu u aktivnom stanju, a rešenje zahteva aktivno/aktivno raspoređivanje. Svaki centar podataka namenske instance reklamiraće se da je to lokalna /25 ruta, kao i usmeravanje rezervne kopije za /24. Prilikom provere dolaznih BGP usmeravanja iz namenske instance, uverite se da BGP sesija povezana sa prolazom koji upućuje na centar podataka namenske instance A prima centar podataka namenske instance A/25 lokalna ruta kao i /24 rezervnu rutu. Pored toga, uverite se da prolaz koji upuжuжe na Dedicated Instance datacenter B resiscenter B/25 lokalna ruta kao /24 usmeravanje rezervne kopije. Imajte na umu da će /24 rezervna ruta biti ista ruta oglašena iz centra podataka namenske instance A i centra podataka namenske instance B.

Redundantnost se obezbeđuje centru podataka namenske instance ako se interfejs prolaza za taj centar podataka smanji. Ako se izgubljena veza sa centra podataka namenske instance A, onda će se saobraćaj preusmeravati iz centra podataka namenske instance B u centar podataka A. U ovom scenariju, prolaz docenta podataka B koristiće rutu centar podataka B/25 za slanje saobraćaja u centar podataka B, a prolaz u centar podataka B koristiće rezervnu /24 rutu za slanje saobraćaja u centar podataka A putem centara podataka B.

Važno je da, kada su oba prolaza aktivna da se tunel datacentar A ne koristi za slanje saobraćaja u centar podataka B i obrnuto. U ovom scenariju, ako se saobraćaj šalje u centar podataka A sa odredištemcenta podataka B, centar podataka A će proslediti saobraćaj u centar podataka B, a zatim će centar podataka B pokušati da vrati saobraćaj u izvor putem prolaza za centar podataka B. To će dovesti do neo optimalnog usmeravanja, kao i do prekida saobraćaja prilikom prelaska kroz zaštitne zidove. Stoga je važno da oba prolaza budu u aktivnoj/aktivnoj konfiguraciji tokom normalnog rada.

Usmeravanje 0.0.0/0 mora da se oglašava sa strane kupca na stranu centra podataka namenske instance. Određenije rute neće prihvatiti strana namenske instance. Uverite se da se ruta 0.0.0/0 oglašava i iz tunela Dedicated Instance datacenter A i iz prolaza Dedicated Instance datacenter B.

MTU konfiguracija

Na strani namenske instance, dve funkcije su omogućene kako bi se dinamički prilagodio MTU za velike veličine paketa. GRE prolaz dodaje više zaglavlja u IP pakete koji protiče kroz VPN sesiju. IPsec prolaz dodaje dodatna zaglavlja na vrhu GRE zaglavlja i dalje će smanjiti najveći MTU dozvoljen preko prolaza.

GRE prolaz podešava MSS funkciju i putanju GRE prolaza u funkciji MTU otkrivanja je omogućena na strani namenske instance. Konfigurišite "ip tcp podešavanje-mss 1350" ili odgovarajuću komandu, kao i "putanju prolaza\u0002mtu-otkrivanje" ili komandu odgovarajuće komande na strani kupca kako biste pomogli pri dinamičkom prilagođavanju MTU-a saobraćaja kroz VPN prolaz.