Uvod

Virtuelno povezivanje je dodatna opcija za povezivanje sa oblakom na namensku instancu za Webex Calling (namenska instanca). Virtuelno povezivanje omogućava kupcima da bezbedno prošire svoju privatnu mrežu preko interneta koristeći IP VPN tunele od tačke do tačke. Ova opcija povezivanja pruža brzo uspostavljanje veze sa privatnom mrežom pomoću postojeće opreme za kupce (CPE) i mogućnosti povezivanja sa internetom.

Cisco organizatore, upravlja i uverava redundantne IPN tunele i potreban pristup internetu u regionima namenske instance Cisco gde je usluga obavezna. Slično tome, administrator je odgovoran za odgovarajuće CPE i internet usluge koje su potrebne za uspostavljanje virtuelnog povezivanja.

Svaki redosled virtuelnog povezivanja u određenom regionu namenske instance uključivaće dva generička šifrovanja usmeravanja (GRE) tunele zaštićene IPSec šifrovanjem (GRE over IPSec), po jedan za svakog Cisco centra podataka u izabranom regionu.

Virtuelno povezivanje ima ograničenje propusnog opsega od 250 Mbps po tunelu i preporučuje se za manje primene. Pošto se dva tunela od tačke do tačke VPN koriste svi saobraćaji u oblaku moraju da prolaze kroz kontrolnu slušalicu korisnika CPE, i stoga možda nije pogodno na lokaciji na kojoj ima mnogo udaljenih lokacija. Za ostale alternativne opcije ravnoteže, pogledajte Cloud Connectivity.

Pre nego što pošaljete zahtev za ravnopravni pristup za virtuelno povezivanje, uverite se da je usluga namenske instance aktivirana u tom odgovarajućem regionu.

Preduslovi

Preduslovi za uspostavljanje virtuelne veze uključuju:

  • Kupac pruža

    • Internet veza sa dovoljno dostupnim propusni opsegom da podrži primenu

    • Javne IP adresa(e) za dva IPSec tunela

    • IP adrese transporta sa strane kupca za dva GRE tunela

  • Partner i kupac

    • Radite zajedno na proceni zahteva propusnog opsega

    • Uverite mrežni uređaj podršku za usmeravanje Border Gateway Protocol (BGP) i gre over IPSec dizajn tunela

  • Pruža partner ili kupac

    • Mrežni tim sa znanjem tehnologija VPN tunela na lokaciji

    • Mrežni tim sa znanjem BGP, eBGP i opštih principa usmeravanja

  • Cisco

    • Cisco su dodeljeni privatni automatski sistemski brojevi (ASN) i prelazna IP adresa za GRE interfejse tunela

    • Cisco je dodeljena javna, ali ne i mreža klase C (/24) za adresu oblaka namenske instance

Ako klijent ima samo 1 CPE uređaj, tada će 2 tunela ka Cisco centru podataka (DC1 i DC2) u svakom regionu, biti iz tog CPE uređaja. Kupac takođe ima opciju za 2 CPE uređaja, a zatim svaki CPE uređaj treba da se poveže na tunel 1 samo ka centru Cisco (DC1 i DC2) u svakom regionu. Dodatna suvišnost se može postići završavanjem svakog tunela na zasebnom fizičkom sajtu/lokaciji unutar infrastrukture kupca.

Tehnički detalji

Model primene

Virtuelno povezivanje koristi arhitekturu slušalice dvostrukog sloja, gde je plan usmeravanja i GRE kontrole obezbeđen od strane jednog uređaja, a IPSec kontrolni plan pruža drugi.

Po završetka povezivanja virtuelne veze, biće kreirana dva GRE iznad IPSec tunela između mreže preduzeća kupca i namenske instance Cisco centru podataka. Jedan za svaki redundantnicentar podataka u odgovarajućem regionu. Dodatne mrežne elemente potrebne za ravnoplatu razmenjuje Partner ili kupac da Cisco putem obrasca za aktivaciju Control Hub virtuelne veze.

Slika 1 prikazuje primer virtuelne veze model instalacije za opciju sa 2 koncentratora na strani korisnika.

Virtuelno povezivanje – VPN je dizajn čvorišta, gde su lokacije korisničkog čvorišta povezane sa DC1 i DC2 centarima podataka namenske instance unutar određenog regiona.

Dve lokacije čvorišta se preporučuju za bolju redundantnost, ali Lokacija One Hub sa dva tunela takođe je podržana model instalacije.

Propusni opseg po tunelu je ograničen na 250 Mbps.

Udaljene lokacije kupca u okviru iste oblasti, moraće da se ponovo povežu sa veb-lokacijom(ama) za čvorište preko WAN datoteke kupca i ne Cisco odgovornost za tu povezanost.

Očekuje se da partneri blisko rade sa kupcima, tako da se za region usluge "Virtuelno povezivanje" izabere naj optimalnija putanja.

Slika 2 prikazuje ravnopmerne regione za povezivanje na cloud na namensku instancu.

Usmeravanje

Usmeravanje za dodatak za virtuelno povezivanje se sprovodi pomoću spoljnog BGP (eBGP) između namenske instance i opreme lokalne opreme kupca (CPE). Cisco će reklamiti odgovarajuću mrežu za svakog redundantnog DC-a u regionu do CPE-a kupca, a CPE je obavezan da oglašava podrazumevani usmeravanje do Cisco.

  • Cisco održavanja i dodeljivanja

    • Tunel interfejs IP adrese (prelazna veza za usmeravanje) Cisco dodeljuje iz određenog prostora deljene adrese (ne može se javno preusmeriti)

    • Adresa za transport tunela (Cisco na strani korisnika)

    • Privatni autonomni brojevi sistema (ASNS) za konfiguraciju BGP usmeravanja kupca

      • Cisco dodeljuje iz određenog opsega privatne upotrebe: 64512 do 65534

  • eBGP se koristi za razmenu ruta između namenske instance i CPE

    • Cisco će podeliti dodeljenu /24 mrežu na 2 /25 po jednu za svaki DC u odgovarajućem regionu

    • U virtuelnom povezivanja svaka /25 mreža se oglašava na CPE tako da se Cisco preko odgovarajućih VPN tunela od tačke do tačke (prelazna veza)

    • CPE mora biti konfigurisan sa odgovarajućim eBGP susedima. Ako koristite jedan CPE, koristiće se dva eBGP suseda, po jedan koji upućuje na svaki udaljeni tunel. Ako koristite dva CPE, svaki CPE će imati po jednog eBGP suseda koji posudu u jednom daljinskom tunelu za CPE.

    • Cisco strane svakog GRE tunela (IP tunela) konfigurisan je kao BGP sused na CPE-u

    • CPE je obavezan da reklamiraju podrazumevanu rutu preko svakog od tunela

    • CPE se odaziva za ponovnu distribuciju, po potrebi, naučene rute unutar mreže preduzeća korisnika.

  • Pod stanjem neuspešne veze, jedan CPE će imati dva aktivna/aktivna tunela. Za dva CPE čvora, svaki CPE će imati po jedan aktivan tunel i oba CPE čvora treba da budu aktivni i prolaze kroz saobraćaj. Prema scenariju koji nije neuspešan, saobraćaj mora da se podeli u dva tunela i tako ide na ispravna /25 odredišta, ako jedan od tunela propadne, ostatak tunela može da nosi saobraćaj za oba. Prema takvom scenariju neuspešnog, kada je mreža /25 dole, mreža /24 se koristi kao rezervna usmeravanje. Cisco će poslati saobraćaj kupca putem internog WAN-a u pravcu DC-a koji je izgubio povezivanje.

Postupak povezivanja

Sledeći koraci visokog nivoa opisuju kako uspostaviti povezivanje sa virtuelnim povezivanjem za namensku instancu.

1

Unesite narudžbinu u Cisco CCW
2

Aktiviraj virtuelno povezivanje iz control Hub
3

Cisco konfiguraciju mreže
4

Kupac obavlja konfiguraciju mreže

Korak 1: CCW narudžbina

Virtuelno povezivanje je dodatak za namensku instancu u CCW.

1

Idite do CCW lokacije za naručivanje, a zatim kliknite na "Prijavi se" da biste se prijavili na lokaciju:

https://apps.cisco.com/Commerce/guest.
2

Kreiraj procenu.
3

Dodajte SKU "A-FLEX-3".
4

Izaberite opciju Uredi.
5

Na kartici pretplata koja se pojavi izaberite opcije i dodatke.
6

U okviru Dodatni dodaci izaberite prozor polje za potvrdu pored "Virtuelno povezivanje za namensku instancu". SKU je ime "A-FLEX-DI-VC".
7

Unesite količinu i broj regiona u koje je potrebno virtuelno povezivanje.


 
Količina virtuelnog povezivanja ne sme da premašuje ukupan broj regiona kupljenih za namensku instancu. Takođe, dozvoljen je samo jedan redosled virtuelne veze po regionu.
8

Kada ste zadovoljni svojim odabirima, kliknite na "Potvrdi" i "Sačuvaj" u gornjem desnom delu stranice.
9

Kliknite na dugme Sačuvaj i nastavi da biste dovršili narudžbinu. Vaša završena narudžbina sada se dodaje po mreži narudžbine.

Korak 2: Aktiviranje virtuelnog povezivanja na platformi Control Hub

1

Prijavite se na Control Hub https://admin.webex.com/login.
2

U odeljku Usluge , pređite na navigaciju do pozivanja > namenskim instacitetom > povezivanje u oblaku.
3

Na kartici Virtuelna veza navedena je kupljena količina virtuelnog povezivanja. Administrator sada može da klikne na "Aktiviraj" da biste pokrenuli aktivaciju virtuelnog povezivanja.


 
Proces aktivacije mogu da aktiviraju samo administratori sa ulogom "Potpuni administrator kupca". Dok administrator sa ulogom "Administrator samo za čitanje kupca" može da prikaže samo status.
4

Kada kliknete na dugme "Aktiviraj", prikazuje se obrazac za aktiviranje virtuelne veze za administratora kako bi se obezbedili tehnički detalji virtuelne veze potrebne za konfiguracije ravnoteže na Cisco strani Cisco uređaja.


 
Obrazac takođe pruža statične informacije sa strane Cisco lokacije, na osnovu izabrane oblasti. Ove informacije će biti korisne za administratore kupaca da konfiguruju CPE na njihovoj strani da bi uspostavili povezivanje.

  1. GRE Tunel za transport IP adresa: Kupac je obavezan da obezbedi IP adrese za tunel transporta sa strane kupca i Cisco će dinamički dodeliti IP adrese kada se aktivacija završi. IPSec ACL za zanimljivi saobraćaj bi trebalo da omogući lokalnom tunelu IP/32 da daljinski tunelski transport IP/32. ACL takođe treba da navede samo GRE IP protokol.


     
    Adresa IP adresa koje je obezbedio kupac može biti privatna ili javna.

  2. IPSec birači: Kupac je obavezan da obezbedi izvorne IP adrese tunela IPSec i Cisco dodeljuje IPSec IP adresa odredišta. Ako je potrebno, podržan je i izvršavanje NAT prevoda interne IPSEC adrese tunela na javnu adresu.


     

    Datoteke IP adresa koje je obezbedio kupac treba da budu javne.

     
    Sve ostale statične informacije navedene na ekranu za aktivaciju su bočni Cisco prate standardi šifrovanja korisnika. Ova statična konfiguracija se ne može prilagođavati ili izmeniti. Za svu dalju pomoć u vezi sa statičnim konfiguracijama na strani korisnika Cisco mora da se obratite TAC-u.
5

Kliknite na dugme "Aktiviraj " kada sva obavezna polja budu popunjena.
6

Kada se završi aktivacioni obrazac za virtuelnu vezu za region partikura, klijent može da izveze obrazac za aktivaciju iz Control Hub, pozivanje > karticu Namenska instanca > Cloud Connectivity i kliknite na "Podešavanja izvoza".


 
Iz bezbednosnih razloga potvrda identiteta i BGP lozinka neće biti dostupni u izvezenim dokumentima, ali administrator može isto da prikaže u kontrolnom čvorištu klikom na "Prikaži podešavanja" u kontrolnom čvorištu, pozivanje > kartice "Namenska instanca > povezivanje u oblaku".

Korak 3: Cisco konfiguraciju mreže

1

Kada se završi obrazac za aktivaciju virtuelne veze, status će se ažurirati na karticu "Aktivacija u toku" za pozivanje > namensku instancu > virtuelno povezivanje u oblaku.
2

Cisco uređaja će u roku od 5 radnih dana obavljati potrebne konfiguracije bočne opreme Cisco uređaja. Po uspešnom obavljanju, status će biti ažuriran u "Aktivirano" za određeni region u Control Hub.

Korak 4: Kupac obavlja konfiguraciju mreže

Status je promenjen u "Aktivirano" da biste obavestili administratora kupca da je strana Cisco konfiguracija za IP VPN povezivanje završena na osnovu unosa koje je obezbedio kupac. Međutim, očekuje se da administrator kupaca završi svoju stranu konfiguracija na CP-ima i testira rute povezivanja za tunel Virtuelno povezivanje da bi bio na mreži. U slučaju bilo kog problema koji se suočavaju u vreme konfiguracije ili povezivanja, klijent može da stupi u kontakt Cisco TAC potraži pomoć.

Rešavanje problema

Rešavanje i provera IPsec prve faze (IKEv2 pregovora)

Pregovaranje za IPsec tunel uključuje dve faze, IKEv2 fazu i IPsec fazu. Ako se pregovaranje o IKEv2 fazi ne završi, onda nema pokretanja druge IPsec faze. Prvo izdate komandu "prikaži kripto ikev2 sa" (na Cisco opremi) ili sličnu komandu na opremi treće strane da biste proverili da li je sesija IKEv2 aktivna. Ako IKEv2 sesija nije aktivna, potencijalni razlozi mogu biti:

  • Interesantno je da saobraćaj ne pokreće IPsec tunel.

  • Tunel IPsec lista za pristup je pogrešno konfigurisan.

  • Ne postoji povezanost između klijenta i IP-a namenske instance tunela.

  • Parametri sesije IKEv2 se ne podudaraju između strane namenske instance i korisničke strane.

  • Zaštitni zid blokira IKEv2 UDP pakete.

Prvo proverite IPsec evidencije za poruke koje prikazuju napredak pregovora o tunelu IKEv2. Evidencije mogu da ukazuju na to gde postoji problem sa IKEv2 pregovorima. Nedostatak poruka za evidentaciju može takođe ukazivali na to da IKEv2 sesija nije aktivirana.

Neke uobičajene greške u pregovaranju IKEv2 su:

  • Postavke za IKEv2 na CPE strani se ne podudaraju sa Cisco, ponovo provera podešavanja pomenuta:

    • Proverite da li je IKE verzija verzija 2.

    • Proverite da li se parametri šifrovanja i potvrde identiteta podudaraju sa očekivanim šifrovanjem na strani namenske instance.

      Kada je u upotrebi cifru "GCM", GCM protokol obrađuje potvrdu identiteta i postavlja parametar za potvrdu identiteta na NULL.

    • Potvrdite postavku za trajanje.

    • Potvrdite Diffie Hellman grupu modula.

    • Potvrdite podešavanja Pseudo nasumičnih funkcija.

  • Datoteka lista za pristup kripto mape nije podešena na:

    • Dozvolite GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255.255" (ili jednaka komanda)

      Navedene lista za pristup moraju biti posebno za "GRE" protokol, a protokol "IP" neće funkcionisati.

Ako poruke evidencije ne prikazuju nikakvu aktivnost u pregovorima za IKEv2 fazu, onda će snimak paket biti potreban.

Strana namenske instance možda neće uvek započinjati IKEv2 razmenu i možda očekuje da CPE strana kupca bude inicijator.

Proverite konfiguraciju CPE strane za sledeće preduslove za pokretanje sesije IKEv2:

  • Proverite IPsec kripto lista za pristup za GRE saobraćaj (protokol 50) od IP-a tunela CPE tunela do IP-a tunela namenske instance.

  • Uverite se da je GRE interfejs tunela omogućen za GRE keepalives, ako oprema ne podržava GRE keepalives, onda će Cisco biti obavešten jer će GRE držati uključeno priključivanje na strani namenske instance.

  • Uverite se da je BGP omogućen i konfigurisan sa adresom suseda tunela namenske instance.

Kada je pravilno konfigurisano, počinje IPsec tunel i prva faza IKEv2 pregovora:

  • GRE иuva od interfejsa CPE boиnog tunela do namenske strane GRE interfejsa tunela.

  • BGP komšija TCP sesije sa CPE bočnog BGP suseda na strani namenske instance BGP suseda.

  • Ping iz CPE bočnog tunela IP adresa na jednu stranu tunela namenske instance IP adresa.

    Ping ne može biti tunel za transport IP-a tunela, IP mora da je tunel IP do tunela IP.

Ako je za IKEv2 saobraćaj potreban praćenje paketa, podesite filter za UDP i port 500 (kada nema NAT uređaja na sredini IPsec krajnjih tačaka) ili porta 4500 (kada se NAT uređaj ubaci usred IPsec krajnjih tačaka).

Proverite da li se IKEv2 UDP paketi sa portom 500 ili 4500 šalju i primaju na IPsec IP adresa.

Center podataka namenske instance možda neće uvek pokrenuti prvi IKEv2 paket. Zahtev je da CPE uređaj može da pokrene prvi IKEv2 paket prema strani namenske instance.

Ako lokalni zaštitni zid to dozvoli, onda takođe pokušajte da ping na udaljenu IPsec adresu. Ako ping nije uspeo sa lokalne na udaljenu IPsec adresu, onda obavite usmeravanje praćenja da biste pomogli i utvrdite gde se paket ispušta.

Neki zaštitni zidovi i oprema za internet možda neće dozvoliti rutu praćenja.

Rešavanje i provera IPsec Druge faze (IPsec pregovora)

Proverite da li je IPsec prva faza (to je, IKEv2 bezbednosno povezivanje) aktivna pre rešavanja IPsec druge faze. Izvršite komandu "prikaži crypto ikev2 sa" ili jednaku komandu da biste potvrdili IKEv2 sesiju. U izlazu, potvrdite da je IKEv2 sesija nagore više od nekoliko sekundi i da se ne odbija. Vreme rada sesije se prikazuje kao sesija "Aktivno vreme" ili kao npr.

Kada IKEv2 sesija potvrdi da je ažurirana i aktivna, istražite IPsec sesiju. Kao i u IKEv2 sesiji, obavite "prikaži kripto ipsec sa" ili jednaku komandu za potvrdu IPsec sesije. I IKEv2 sesija i IPsec sesija moraju biti aktivni pre nego što se uspostavi GRE tunel. Ako se IPsec sesija ne prikaže kao aktivna, proverite IPsec evidencije da biste potražili poruke o greškama ili greške u pregovorima.

Neki od uobičajenijih problema sa kojima se može suočavati tokom IPsec pregovora su:

Postavke na CPE strani se ne podudaraju sa bočom namenske instance, ponovo izaberite podešavanja:

  • Proverite da li se parametri šifrovanja i potvrde identiteta podudaraju sa postavkama na strani namenske instance.

  • Potvrdite postavke za savršeno prosleđivanje tajnosti i da li se podudaraju postavke na strani namenske instance.

  • Verifikujte podešavanja za trajanje.

  • Proverite da li je IPsec konfigurisan u režimu tunela.

  • Potvrdite izvorne i odredišne IPsec adrese.

Rešavanje problema i provera tunela interfejsa

Kada su sesije IPsec i IKEv2 potvrđene kao gore i aktivne, paketi sa GRE tunelom koji mogu da teku između krajnjih tačaka namenske instance i CPE tunela. Ako interfejs tunela ne prikazuje status, neki od uobičajenih problema su:

  • Transport interfejsa tunela VRF se ne podudara sa VRF-om interfejsa za petlju (ako se VRF konfiguracija koristi na interfejsu tunela).

    Ako se VRF konfiguracija ne koristi na interfejsu tunela, ovu proveru možete zanemarili.

  • Držani uređaji nisu omogućeni na interfejsu tunela na CPE strani

    Ako čuvanja nisu podržana na CPE opremi, onda Cisco treba da budete obavešteni tako da su i podrazumevani aktivanti na strani namenske instance onemogućeni.

    Ako su podržane žale, proverite da li su držači omogućeni.

  • Maska ili IP adresa interfejsa tunela nisu tačni i ne podudaraju se sa očekivanim vrednostima namenske instance.

  • Adresa transporta izvora ili odredišnog tunela nije tačna i ne podudara se sa očekivanim vrednostima namenske instance.

  • Zaštitni zid blokira GRE pakete koji su poslati u IPsec tunel ili primljen iz IPsec tunela (GRE tunel se prenosi preko IPsec tunela)

Ping test bi trebalo da potvrdi da je lokalni tunel interfejs povezan nagore i da je povezanost sa udaljenim interfejsom tunela. Obavite ping proveru od IP-a tunela (a ne transporta IP) do IP-a udaljenog tunela.

Kripto lista za pristup za IPsec tunel koji nosi saobraćaj na GRE tunelu omogućava da pređu samo GRE paketi. Kao rezultat toga, ping-a neće funkcionisati od IP-a tunela za transport do daljinskog transporta IP-a.

Ping provera rezultira GRE paketom koji je generisan iz izvornog tunela IP za transport do odredišnog IP-a transporta, dok će korisni teret GRE paketa (unutar IP- a) biti izvor i odredišni tunel IP.

Ako ping test nije uspeo i prethodne stavke su potvrđene, onda će snimak paket biti potreban za obezbeđivanje da icmp ping rezultira GRE paketom koji se zatim nalazi u IPsec paketu, a zatim se šalje sa izvorne IPsec adrese na odredišnu IPsec adresu. Brojači na INTERFEJSU GRE tunela i IPsec brojač sesija takođe mogu da pomognu da se prikaže. ako se slanje i prijem paketa poveća.

Pored ping saobraćaja, na snimku bi trebalo da se prikažu i čuvani GRE paketi čak i tokom neaktivnog saobraćaja. Na kraju, ako je BGP konfigurisan, BGP čuvani paketi bi trebalo da se šalju i kao GRE paketi šifrovani u IPSEC paketima, kao i preko VPN-a.

BGP rešavanje problema i provera

BGP sesije

BGP je potreban kao protokol usmeravanja preko VPN IPsec tunela. Lokalni BGP komšija treba da uspostavi eBGP sesiju sa BGP susedom namenske instance. IP adrese eBGP suseda su iste kao lokalne i udaljene IP adrese tunela. Prvo se uverite da je BGP sesija ažurirana, a zatim proverite da li se ispravni usmeravanja primaju iz namenske instance i da se ispravan podrazumevani usmeravanje šalje namensku instancu.

Ako je GRE tunel gore, potvrdite da je ping uspeo izmeрu lokalnog i udaljenog GRE tunela IP. Ako je ping uspeo, ali BGP sesija ne dolazi, onda istražite BGP evidenciju za greške BGP uspostavljanja.

Neka od uobičajenijih problema u vezi sa BGP pregovorima su:

  • Udaljeni AS broj se ne podudara sa AS brojem koji je konfigurisan na strani namenske instance, ponovo proverite suseda AS konfiguraciju.

  • Lokalni AS broj se ne podudara sa očekivanim parametrima namenske instance. Potvrdite da se lokalni AS broj podudara sa očekivanim parametrima namenske instance.

  • Zaštitni zid blokira BGP TCP pakete koji su šifrovani u GRE paketima od slanja u IPsec tunel ili kada budu primljeni iz tunela IPSEC

  • Udaljeni BGP komšija IP se ne podudara sa udaljenim GRE tunelom IP-a.

BGP razmena ruta

Kada se BGP sesija potvrdi za oba tunela, uverite se da se ispravni rute šalju i primaju sa strane namenske instance.

Rešenje VPN namenske instance očekuje da dva tunela budu uspostavljena sa korisničke/partnerove strane. Prvi tunel pokazuje namenski centar podataka A, a drugi tunel pokazuje nacentar B namenske instance. Oba tunela moraju biti u aktivnom stanju, a rešenje zahteva aktivno/aktivno raspoređivanje. Svaki centar podataka namenske instance reklamirajuće se da je to lokalna /25 usmeravanje, kao i usmeravanje rezervnih kopija /24. Prilikom provere dolaznih BGP ruta iz namenske instance, uverite se da BGP sesija povezana sa tunelom koji upućuje na centar podataka namenske instance A dobijacentar podataka namenske instance A/25 lokalna ruta kao /24 rezervnu rutu. Pored toga, osigurajte da tunel koji upucuje nacentar namenske instance B recitujecent podataka namenske instance B /25 lokalna ruta kao i /24 rezervnu rutu. Imajte na umu da će usmeravanje rezervne kopije za /24 biti ista usmeravanje oglašena izcentera podataka namenske instance A i centra podataka namenske instance B.

Redundantnost se obezbeđuje zacentar podataka namenske instance ako tunel interfejs za taj centar podataka propadne. Ako se izgubljena mogućnosti povezivanja nacentar A namenske instance, saobraćaj će se prosleđivanje iz centra podataka namenske instance B ucentar A. U ovom scenariju, tunel za centar podataka B koristiće rutu B /25 za slanje saobraćaja na centar podataka B, a tunel za centar podataka B koristiće rezervnu /24 rutu za slanje saobraćaja u centar podataka A putemcentra podataka B.

Važno je da se, kada su oba tunela aktivna, tunel A koji se ne koristi za slanje saobraćaja na centar B i obrnuto. U ovom scenariju, ako se saobraćaj šalje u centar podataka A sa odredištamacentra podataka B,centar podataka A će proslediti saobraćaj na centar podataka B, a onda će centar podataka B pokušati da vrati saobraćaj na izvor putem tunela B za podatke. To će dovesti do neo optimalnog usmeravanja, a takođe može da prolomi i zaštitne zidove za prelaženje saobraćaja. Stoga je važno da oba tunela budu u aktivnoj/aktivnoj konfiguraciji tokom normalnog rada.

Usmeravanje 0.0.0/0 mora da se oglašava sa strane kupca na stranu centra podataka namenske instance. Strana namenske instance neće prihvatiti određenije rute. Uverite se da je ruta 0.0.0/0 oglašena iz tunela namenske instance A i tunela za podatke namenske instance B.

MTU konfiguracija

Na strani namenske instance dve funkcije su omogućene da se dinamički podese MTU za velike veličine paketa. GRE tunel dodaje još zaglavlja na IP pakete koji teku kroz VPN sesiju. Tunel IPsec dodaje dodatna zaglavlja preko GRE zaglavlja i dalje će smanjiti najveći MTU dozvoljen preko tunela.

GRE tunel podešava MSS funkciju, a GRE putanja tunela u funkciji MTU otkrivanja je omogućena na strani namenske instance. Konfigurišite "ip tcp podešavanje mss 1350" ili jednaku komandu, kao i "tunelska putanja\u0002mtu-otkrivanje" ili jednaka komanda sa korisničke strane kako bi nam pomogla prilikom dinamičkog podešavanja MTU saobraćaja kroz VPN tunel.