Upoznavanje

Virtual Connect je dodatna opcija dodatka za povezivanje u oblaku sa namenskom instancom za Webex pozivanje (namenska instanca). Virtual Connect omogućava korisnicima da bezbedno prošire svoju privatnu mrežu preko Interneta koristeći IP VPN tunele od tačke do tačke. Ova opcija povezivanja obezbeđuje brzo uspostavljanje veze privatne mreže korišćenjem postojeće opreme za prostorije klijenta (CPE) i internet konekcnosti.

Cisco je domaćin, upravlja i uverava suvišne IP VPN tunele i zahtevani pristup Internetu u regionima centara podataka "Cisco's Dedicated Instance" gde je usluga potrebna. Slično tome, administrator je odgovoran za odgovarajuće CPE i Internet usluge koje su potrebne za uspostavljanje virtuelnog povezivanja.

Svaki redosled virtuelnog povezivanja u određenom regionu namenske instance uključivao bi dva generička tunela za enkapsulaciju usmeravanja (GRE) zaštićena IPSec šifrovanjem (GRE preko IPSec-a), po jedan u svaki odabrani Cisco-in centar podataka u regionu.

Virtual Connect ima ograničenje propusnog opsega od 250 Mb/s po tunelu i preporučuje se za manja raspoređivanja. S obzirom na to da se u dva VPN tunela od tačke do tačke koristi sav saobraćaj do oblaka mora da prođe kroz headend CPE kupca, pa samim tim možda neće biti pogodno tamo gde ima dosta udaljenih sajtova. Za druge alternativne opcije za zavirivanje pogledajte opciju "Povezivanje u oblaku".

Pre nego što pošaljete zahtev za peering za Virtual Connect, uverite se da je usluga Dedicated Instance aktivirana u tom odgovarajućem regionu.

Preduslovi

Preduslovi za uspostavljanje virtuelnog povezivanja obuhvataju:

  • Klijent obezbeđuje

    • Internet veza sa dovoljno dostupnog propusnog opsega da podrži primenu

    • Javna IP adresa(es) za dva IPSec tunela

    • Customer side GRE transport IP adrese za dva GRE tunela

  • Partner i kupac

    • Radite zajedno na proceni zahteva propusnog opsega

    • Uverite se da mrežni uređaji podržavaju usmeravanje Protokola graničnog mrežnog prolaza (BGP) i GRE preko dizajna IPSec tunela

  • Partner ili klijent obezbeđuje

    • Mrežni tim sa znanjem tehnologija VPN tunela od lokacije do lokacije

    • Mrežni tim sa znanjem o BGP, eBGP i opštim principima usmeravanja

  • Cisco

    • Cisco je dodelio privatne brojeve autonoumnih sistema (ASNS) i prolazne IP adrese za GRE interfejse tunela

    • Cisco je dodelio javnu, ali ne i Internet routable Klasu C (/24) mrežu za namensko obraćanje u oblaku

Ako kupac ima samo 1 CPE uređaj, onda će 2 tunela prema Cisco-ovima datacentrima (DC1 i DC2) u svakom regionu biti sa tog CPE uređaja. Kupac takođe ima opciju za 2 CPE uređaja, zatim svaki CPE uređaj treba da se poveže sa 1 tunelom samo prema Cisco-ovih Datacentra (DC1 i DC2) u svakom regionu. Dodatna redundantnost se može postići prekidom svakog tunela na posebnoj fizičkoj lokaciji/lokaciji unutar infrastrukture kupca.

Tehnički detalji

Model primene

Virtual Connect koristi dvostruku tier headend arhitekturu, gde avione za kontrolu usmeravanja i GRE obezbeđuje jedan uređaj, a IPSec kontrolni avion drugi.

Po završetku virtuelne veze , biće kreirana dva GRE preko IPSec tunela između poslovne mreže kupca i datacentra namenske instance Cisco. Po jedan svakom suvišnom datacentru unutar odgovarajućeg regiona. Dodatne elemente umrežavanja potrebne za vršnjake partner ili klijent razmenjuju na Cisco putem obrasca za aktivaciju virtuelnog povezivanja kontrolnog čvorišta.

Slika 1 prikazuje primer modela primene virtuelnog povezivanja za opciju 2-koncentrator sa strane klijenta.

Virtual Connect - VPN je dizajn čvorišta, gde su lokacije čvorišta klijenta povezane sa DC1 i DC2 centara podataka namenske instance unutar određenog regiona.

Dva Hub sajta se preporučuju za bolju redundantnost, ali one Hub lokacija sa dva tunela je takođe podržan model primene.

Propusni opseg po tunelu je ograničen na 250 Mbps.

Udaljene lokacije klijenta u okviru istog regiona, morale bi da se povežu sa lokacijama čvorišta preko WAN-a kupca i to nije Cisco-ova odgovornost za tu vezu.

Očekuje se da partneri blisko sarađuje sa klijentima, čime će se osigurati da se izabere najtimalniji put za servisni region "Virtuelno povezivanje".

Slika 2 prikazuje peering regione namenske instance povezivanja u oblaku.

Usmeravanje

Proizvodni postupak za virtuelno povezivanje se primenjuje pomoću spoljnog BGP (eBGP) između namenske instance i opreme za premisu kupca (CPE). Cisco će reklamirati svoju mrežu za svaki suvišni DC u regionu na CPE klijenta i CPE je obavezan da reklamira podrazumevani put do kompanije Cisco.

  • Cisco održava i dodeljuje

    • IP adresa interfejsa tunela (prolazna veza za usmeravanje) Cisco dodeljuje iz naznačenog prostora deljene adrese (ne-javno usmeravanje)

    • Adresa za presačišanost tunela (Cisco's side)

    • Brojevi privatnih autonomnih sistema (ASNS) za konfiguraciju BGP usmeravanja kupca

      • Cisco dodeljuje iz naznačenog opsega privatne upotrebe: 64512 kroz 65534

  • eBGP koji se koristi za razmenu ruta između namenske instance i CPE

    • Cisco će podeliti dodeljenu /24 mrežu na 2/25 po jednu za svaki DC u odgovarajućem regionu

    • U Virtual Connect svakoj /25 mreži se oglašava nazad u CPE od strane kompanije Cisco preko odgovarajućeg point-to-point VPN tunela (prolazna veza)

    • CPE mora biti konfigurisan sa odgovarajućim eBGP komšijama. Ako koristite jedan CPE, koristiće se dva eBGP suseda, po jedan koji pokazuje na svaki udaljeni tunel. Ako koristite dva CPE- a, onda će svaki CPE imati po jednog eBGP komšiju koji će se potegnuti ka jednom udaljenom tunelu za CPE.

    • Cisco strana svakog GRE tunela (tunelski interfejs IP) konfigurisana je kao BGP komšija na CPE

    • CPE je obavezan da reklamira podrazumevanu rutu preko svakog od tunela

    • CPE je odgovornost za preraspodelu, kao što je propisano, naučenih puteva unutar mreže preduzeća rezača.

  • Pod uslovom otkazivanja veze koja nije neuspešna, jedan CPE će imati dva aktivna/aktivna tunela. Za dva CPE čvora, svaki CPE će imati po jedan aktivni tunel i oba CPE čvora bi trebalo da budu aktivna i da prolaze u saobraćaju. Prema scenariju koji se ne kvari, saobraćaj mora da se podeli na dva tunela koji idu na ispravne /25 destinacije, ako se jedan od tunela spusti, preostali tunel može da nosi saobraćaj za oba. Prema takvom scenariju otkazivanja, kada je mreža /25 u padu onda se mreža /24 koristi kao ruta pravljenja rezervne kopije. Cisco će poslati promet korisnika preko svog internog WAN-a prema DC-u koji je izgubio vezu.

Proces povezivanja

Sledeći koraci visokog nivoa opisuju kako se uspostavlja povezivanje sa virtuelnim povezivanjem za namensku instancu.
1

Naručite u Cisco CCW

2

Aktiviraj virtuelno povezivanje iz kontrolnog čvorišta

3

Cisco izvršava konfiguraciju mreže

4

Klijent izvršava konfiguraciju mreže

Korak 1: CCW porudžbina

Virtual Connect je dodatak za namensku instancu u CCW.

1

Krećite se do lokacije ccW naručivanja, a zatim kliknite na dugme Prijavi se da biste se prijavili na lokaciju:

https://apps.cisco.com/Commerce/guest.
2

Kreirajte procenu.

3

Dodaj "A-FLEX-3" MJ.

4

Izaberite opcije uređivanja.

5

Na kartici za pretplatu koja se pojavljuje izaberite opcije i dodatke.

6

U okviru Dodatni dodaci potvrdite izbor u polju za potvrdu pored stavke "Virtuelno povezivanje za namensku instancu". Ime MJ je "A-FLEX-DI-VC".

7

Unesite količinu i broj regiona u kojima je potrebno virtuelno povezivanje.

Količina virtuelnog povezivanja ne bi trebalo da premašuje ukupan broj regiona kupljenih za namensku instancu. Takođe, dozvoljena je samo jedna virtuelna porudžbina za povezivanje po regionu.
8

Kada budete zadovoljni izborom, kliknite na dugme Proveri i sačuvaj u gornjem desnom delu stranice.

9

Kliknite na dugme Sačuvaj i nastavi da biste dotizovali porudžbinu. Vaša finalizovana porudžbina se sada utiša u koordinatnu mrežu porudžbina.

Korak 2: Aktiviranje virtuelnog povezivanja u kontrolnom čvorištu

1

Prijavite se u kontrolno čvorište https://admin.webex.com/login.

2

U odeljku Usluge , dođite do pozivanja > Instacnce > u oblaku.

3

Na kartici Virtuelno povezivanje navedena je kupljena količina virtuelnog povezivanja. Administrator sada može da klikne na dugme "Aktiviraj " da bi pokrenuo aktivaciju virtuelnog povezivanja.

Proces aktivacije mogu da pokrenu samo administratori sa ulogom "Customer Full admin". Dok administrator sa ulogom "Administrator samo za čitanje klijenta" može da vidi samo status.
4

Kada kliknete na dugme "Aktiviraj ", prikazuje se obrazac "Aktiviraj virtuelno povezivanje" da bi administrator obezbedio tehničke detalje virtuelnog povezivanja neophodne za vršnjačke konfiguracije sa Cisco-ove strane.

Obrazac takođe pruža statične informacije na Cisco-ovoj strani, zasnovane na izabranom regionu. Ove informacije će biti korisne za administratore klijenta da konfigurišu CPE na svojoj strani da bi uspostavili vezu.

  1. IP adresa prenosa GRE prolaza: Od kupca se traži da obezbedi IP adrese za transport tunela, a Cisco će dinamički dodeliti IP adrese kada se aktivacija završi. IPSec ACL za zanimljiv saobraćaj treba da omogući lokalnom tunelu Transport IP/32 udaljenom tunelu Transport IP/32. ACL bi takođe trebalo da navede samo GRE IP protokol.

    IP adresa koju je obezbedio klijent može biti privatna ili javna.

  2. Kolege IPSec: Od kupca se zahteva da obezbedi IPSec IP adrese izvora tunela, a Cisco dodeljuje IPSec odredišnu IP adresu. Izvršavanje NAT prevoda interne adrese IPSEC tunela na javnu adresu takođe je podržano ako je to potrebno.

    IP adresa koju je obezbedio klijent treba da bude javna.

    Sve ostale statične informacije navedene na ekranu za aktivaciju su Cisco-ini sporedni standardi bezbednosti i šifrovanja. Ova statička konfiguracija nije prilagodljiva ili modifikovana. Za svaku dalju pomoć u vezi sa statičnim konfiguracijama na Cisco-ovoj strani, kupac bi trebalo da dopre do TAC-a.
5

Kliknite na dugme Aktiviraj kada sva obavezna polja budu popunjena.

6

Kada se obrazac za aktiviranje virtuelnog povezivanja dovrši za particluarnu oblast, kupac može da izveze obrazac za aktivaciju iz kontrolnog čvorišta, pozove > karticu Posvećena instanca > povezivanje u oblaku i klikne na postavke izvoza.

Iz bezbednosnih razloga potvrda identiteta i BGP lozinka neće biti dostupni u izvezenom dokumentu, ali administrator može da prikaže istu stavku na portalu Control Hub klikom na Prikaži podešavanja u okviru Control Hub, Calling > Dedicated Instance > Mogućnosti povezivanja u oblaku.

Korak 3: Cisco izvršava konfiguraciju mreže

1

Kada se obrazac za aktiviranje virtuelnog povezivanja dovrši, status će biti ažuriran na activation In-Progress u pozivanje > namenske instance > Cloud Connectivity Virtual Connect kartica.

2

Cisco će završiti potrebne konfiguracije na bočnoj opremi kompanije Cisco u roku od 5 radnih dana. Kada se uspešno dovrši, status će biti ažuriran u "Aktivirano" za taj region u kontrolnom čvorištu.

Korak 4: Klijent izvršava konfiguraciju mreže

Status se menja u "Aktivirano" da bi se administrator klijenta obavestio da je Cisco-jeva strana konfiguracija za IP VPN povezivanje ben dovršena na osnovu ulaza koje je obezbedio Klijent. Međutim, očekuje se da će administrator klijenta završiti svoju stranu konfiguracija na CPE-u i testirati puteve povezivanja da bi tunel Virtual Connect bio na mreži. U slučaju bilo kakvih problema sa kojima se suočava u vreme konfiguracije ili povezivanja, klijent može da se dopre do Cisco TAC-a za pomoć.

Rešavanje problema

IPsec prva faza (IKEv2 pregovaranje) rešavanje problema i provera valjanosti

Pregovaranje IPsec prolaza obuhvata dve faze, IKEv2 faza i IPsec faza. Ako se pregovaranje faze IKEv2 ne završi, onda ne postoji pokretanje druge IPsec faze. Prvo izdajte komandu „prikaži kripto ikev2 sa” (na Cisco opremi) ili sličnu komandu na opremi treće strane da biste proverili da li je IKEv2 sesija aktivna. Ako IKEv2 sesija nije aktivna, potencijalni razlozi mogu biti:

  • Zanimljiv saobraćaj ne aktivira IPsec tunel.

  • Lista pristupa IPsec prolazu je pogrešno konfigurisana.

  • Ne postoji mogućnost povezivanja između kupca i IPsec krajnje tačke IPsec prolaza za namensku instancu.

  • Parametri sesije IKEv2 se ne podudaraju između strane namenske instance i strane kupca.

  • Zaštitni zid blokira IKEv2 UDP pakete.

Prvo proverite IPsec evidencije za sve poruke koje prikazuju napredak pregovaranja tunela IKEv2. Evidencije mogu ukazivati na to gde postoji problem sa pregovaranjem IKEv2. Nedostatak poruka za evidentiranje takođe može da ukazuje na to da IKEv2 sesija nije aktivirana.

Neke uobičajene greške u pregovaranju IKEv2 su:

  • Podešavanja za IKEv2 na CPE strani ne podudaraju se sa Cisco strane. Ponovo proverite pomenuta podešavanja:

    • Proverite da li je IKE verzija 2.

    • Proverite da li se parametri šifrovanja i potvrde identiteta podudaraju sa očekivanim šifrovanjem na strani namenske instance.

      Kada se koristi šifra „GCM“, GCM protokol rukuje potvrdom identiteta i postavlja parametar potvrde identiteta na „bez vrednosti“.

    • Potvrdi podešavanje trajanja.

    • Proverite grupu modula Diffie Hellman.

    • Proverite podešavanja pseudo nasumičnih funkcija.

  • Lista pristupa za kripto mapiranje nije podešena na:

    • Dozvola GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255.255" (ili ekvivalentna komanda)

      Lista pristupa mora biti specifično za „GRE“ protokol, a „IP“ protokol neće funkcionisati.

Ako poruke evidencije ne prikazuju nikakvu aktivnost pregovaranja za IKEv2 fazu, možda će biti potrebno hvatanje paketa.

Strana namenske instance možda neće uvek pokrenuti IKEv2 razmenu i ponekad može da očekuje da će CPE strana kupca biti pokretač.

Proverite konfiguraciju CPE strane da biste videli sledeće preduslove za pokretanje IKEv2 sesije:

  • Proverite da li postoji lista kripto pristupa IPsec za GRE saobraćaj (protokol 50) sa IPsec IP protokola prenosa prolaza do IP-a namenske instance prenosa prolaza.

  • Uverite se da je GRE interfejs prolaza omogućen za GRE čekanje, ako oprema ne podržava GRE čekanje čekanja, onda je Cisco obavešten jer će GRE keepalives biti omogućene na strani namenske instance podrazumevano.

  • Uverite se da je BGP omogućen i konfigurisan sa susednom adresom IP prolaza namenske instance.

Kada se pravilno konfiguriše, sledeći počinje IPsec tunel i pregovore u prvoj fazi o IKEv2:

  • GRE priključuje se od interfejsa GRE prolaza CPE sa strane prolaza CPE i sa interfejsom bočnog GRE prolaza za namensku instancu.

  • BGP komšija TCP sesija od CPE bočnog suseda BGP do Namenske instance bočnog BGP suseda.

  • Ping sa IP adrese bočnog prolaza CPE do IP adrese bočnog prolaza namenske instance.

    Ping ne može da bude IP prenos prolaza do IP prenosa prolaza, mora biti IP prolaza do IP prolaza.

Ako je potreban praćenje paketa za IKEv2 saobraćaj, podesite filter za UDP i bilo port 500 (kada nije NAT uređaj u sredini IPsec krajnjih tačaka) ili port 4500 (kada se NAT uređaj ubacuje na sredini IPsec krajnjih tačaka).

Proverite da li se IKEv2 UDP paketi sa portom 500 ili 4500 šalju i primaju na DI IPsec IP adresu.

Centar podataka namenske instance ne može uvek da pokrene prvi IKEv2 paket. Zahtev je da CPE uređaj bude u stanju da pokrene prvi IKEv2 paket prema strani namenske instance.

Ako lokalni zaštitni zid to dozvoljava, pokušajte i da izvršite ping na udaljenu IPsec adresu. Ako ping ne uspe sa lokalne na udaljenu IPsec adresu, izvršite usmeravanje za pomoć i odredite gde je paket odbačen.

Neki zaštitni zidovi i internet oprema možda neće dozvoliti usmeravanje praćenja.

Druga faza IPsec (pregovaranje IPsec) rešavanje problema i provera valjanosti

Proverite da li je prva faza IPsec (odnosno, IKEv2 bezbednosnog udruženja) aktivna pre rešavanja problema sa drugom IPsec fazi. Izvršite „prikaži crypto ikev2 sa” ili ekvivalentnu komandu da biste potvrdili IKEv2 sesiju. U izlazu proverite da li je IKEv2 sesija pokrenuta više od nekoliko sekundi i da se ne odbija. Vreme rada sesije se prikazuje kao sesija „Aktivno vreme“ ili ekvivalentno u izlazu.

Kada se IKEv2 sesija potvrdi kao pokrenuta i aktivna, Istražite IPsec sesiju. Kao i kod IKEv2 sesije, izvršite „prikaži crypto ipsec sa” ili ekvivalentnu komandu da biste potvrdili IPsec sesiju. I IKEv2 sesija i IPsec moraju biti aktivne pre nego što se uspostavi GRE prolaz. Ako se IPsec sesija ne prikazuje kao aktivna, proverite IPsec evidencije za poruke o greškama ili greške u pregovorima.

Neki od uobičajenijih problema na koje se mogu naići tokom IPsec pregovora su:

Podešavanja na strani CPE se ne podudaraju sa strane namenske instance. Ponovo proverite podešavanja:

  • Proverite da li se parametri šifrovanja i potvrde identiteta podudaraju sa postavkama na strani namenske instance.

  • Proverite Savršena podešavanja prosleđivanja tajnosti i da li se podudaraju podešavanja na strani namenske instance.

  • Proverite podešavanja za životni vek.

  • Proverite da li je IPsec konfigurisan u režimu prolaza.

  • Proverite izvorne i odredišne IPsec adrese.

Rešavanje problema i provera valjanosti interfejsa prolaza

Kada se IPsec i IKEv2 sesije potvrde kao podešene i aktivne, paketi za čuvanje GRE prolaza mogu da teku između namenske instance i krajnje tačke CPE prolaza. Ako se interfejs prolaza ne prikazuje status, neki česti problemi su:

  • Prenos interfejsa prolaza VRF se ne podudara sa VRF interfejsom prolaza (ako se VRF konfiguracija koristi na interfejsu prolaza).

    Ako se VRF konfiguracija ne koristi na interfejsu prolaza, ova provera se može zanemariti.

  • Keepalivi nisu omogućeni na interfejsu prolaza sa strane CPE

    Ako zaštitne palice nisu podržane na CPE opremi, kompanija Cisco mora biti obaveštena tako da su onemogućene podrazumevane palice za čekanje na strani namenske instance.

    Ako su slušalice podržane, proverite da li su slušalice omogućene.

  • Maska ili IP adresa interfejsa prolaza nije tačna i ne podudara se sa očekivanim vrednostima namenske instance.

  • Adresa prenosa izvornog ili odredišnog prolaza nije tačna i ne podudara se sa očekivanim vrednostima namenske instance.

  • Zaštitni zid blokira GRE pakete koji se šalju u IPsec tunel ili primljeni iz IPsec tunela (GRE tunel se prenosi preko IPsec tunela)

Ping test bi trebalo da potvrdi da je lokalni interfejs prolaza podešen i da je povezivanje dobro sa interfejsom udaljenog prolaza. Izvršite ping proveru sa IP-a prolaza (ne IP prenosa) na IP udaljenog prolaza.

Lista kripto pristupa za IPsec tunel koji nosi saobraćaj GRE prolaza omogućava prelazak samo GRE paketa. Kao rezultat toga, pingovi neće funkcionisati sa IP-a prenosa prolaza do IP-a udaljenog prenosa prolaza.

Rezultati ping provere u GRE paketu koji se generiše iz IP-a prenosa izvornog prolaza do IP-a odredišnog prolaza, dok će teret GRE paketa (unutar IP-a) biti izvorni i odredišni tunel.

Ako ping test nije uspešan i prethodne stavke su verifikovane, onda će možda biti potrebno da se uhvati paket kako bi se uverio da icmp ping dovodi do GRE paketa koji se zatim beleži u IPsec paket, a zatim se šalje sa izvorne IPsec adrese na odredišnu IPsec adresu. Preklopnici na interfejsu GRE prolaza i brojevima sesije IPsec takođe mogu pomoći da se prikažu. Ako se paketi slanja i primanja povećavaju.

Pored ping saobraćaja, snimak takođe treba da pokaže ostale GRE pakete čak i tokom neaktivnosti. Na kraju, ako je BGP konfigurisan, BGP keepalive paketi takođe treba slati kao GRE paketi upakovani u IPSEC pakete i preko VPN-a.

BGP rešavanje problema i provera valjanosti

BGP sesije

BGP je obavezan kao protokol usmeravanja preko VPN IPsec prolaza. Lokalni BGP komšija treba da uspostavi eBGP sesiju sa BGP susedom namenske instance. IP adrese suseda eBGP su iste kao IP adrese lokalnog i udaljenog prolaza. Prvo uverite se da je BGP sesija podešena, a zatim proverite da li se ispravne rute primaju od namenske instance, a da se ispravna podrazumevana ruta šalje namenskoj instanci.

Ako je GRE prolaz podešen, proverite da li je ping uspešan između lokalnog i udaljenog IP-a GRE prolaza. Ako je ping uspešan, ali BGP sesija ne stiže, onda istražite BGP evidenciju za greške u BGP uspostavljanju.

Neki od uobičajenijih BGP pregovaračkih problema su:

  • Udaljeni AS broj se ne podudara sa AS brojem koji je konfigurisan na strani namenske instance. Ponovo proverite KAO konfiguraciju.

  • Lokalni AS broj se ne podudara sa onim što stranica namenske instance očekuje, proverite da li se lokalni AS broj podudara sa očekivanim parametrima namenske instance.

  • Zaštitni zid blokira BGP TCP pakete koji su zarobljeni u GRE paketima tako što se šalju u IPsec tunel ili budu primljeni od IPSEC tunela

  • IP susednog BGP-a se ne podudara sa udaljenim IP-om GRE prolazom.

Exchange za

Kada se BGP sesija potvrdi za oba tunela, uverite se da se ispravne putanje šalju i primaju sa strane namenske instance.

Rešenje za VPN za namensku instancu očekuje da budu uspostavljena dva tunela od strane kupca/partnera. Prvi tunel pokazuje ka centru podataka namenske instance A, a drugi tunel pokazuje centar podataka namenske instance B. Oba tunela moraju biti u aktivnom stanju i rešenje zahteva aktivnu/aktivnu primenu. Svaki centar podataka namenske instance oglašava svoju lokalnu /25 rutu kao i rezervnu rutu /24. Prilikom provere dolaznih BGP ruta iz usluge Dedicated Instance, uverite se da BGP sesija povezana sa tunelom koji upućuje na centar podataka namenske instance A dobija centar podataka namenske instance A /25 lokalnu rutu kao i rezervnu rutu /24. Pored toga, osigurajte da tunel koji upućuje na namensku instancu B dobija lokalnu rutu podataka namenske instance B /25, kao i rezervnu rutu /24. Imajte na umu da će linija /24 rezervne kopije biti ista putanja koja se oglašava iz usluge Dedicated Instance A i Dedicated Instance B.

Redundantnost se obezbeđuje centru podataka namenske instance ako se interfejs prolaza za taj centar podataka smanji. Ako se izgubi mogućnost povezivanja sa bazom podataka namenske instance A, saobraćaj će se proslediti iz centra podataka namenske instance B do centra podataka A. U ovom scenariju, tunel za pristup podacima B će koristiti putanju podataka B/25 za slanje saobraćaja do centra podataka B, a tunel za centar podataka B će koristiti rezervnu rutu /24 za slanje saobraćaja do centra podataka A putem centra podataka B.

Važno je da, kada su oba tunela aktivna, tunel se ne koristi za slanje saobraćaja u centar podataka B i obrnuto. U ovom scenariju, ako je saobraćaj poslat u centar podataka A sa odredištem B, centar podataka A će proslediti saobraćaj ka centru podataka B, a zatim će centar podataka B pokušati da vrati saobraćaj do izvora kroz tunel podataka B. Ovo će rezultirati neoptimalnim usmeravanjem, a može i da prekine saobraćaj kroz zaštitne zidove. Zbog toga je važno da oba tunela budu u aktivnoj/aktivnoj konfiguraciji tokom normalnog rada.

Putanja 0.0.0.0/0 mora biti reklamirana sa strane kupca na stranicu namenske instance. Namenska instanca neće prihvatiti specifične rute. Uverite se da se putanja 0.0.0.0/0 oglašava i iz tunela namenske instance A tunela i iz tunela namenske instance B.

MTU konfiguracija

U strani namenske instance omogućene su dve funkcije za dinamičko prilagođavanje MTU-a za velike veličine paketa. GRE prolaz dodaje više zaglavlja IP paketima koji teku kroz VPN sesiju. IPsec tunel dodaje dodatna zaglavlja na GRE zaglavljima dodatno će smanjiti najveći MTU dozvoljen preko tunela.

GRE prolaz prilagođava funkciju MSS i GRE putanju prolaza u funkciji MTU otkrivanja omogućena na strani namenske instance. Konfigurišite „ip tcp adjust-mss 1350“ ili ekvivalentnu komandu kao i „putanju prolaza\u0002mtu-discovery“ ili ekvivalentnu komandu na strani kupca da biste pomogli u dinamičnom prilagođavanju MTU saobraćaja kroz VPN tunel.