Sanal Bağlantı seçeneği, noktadan noktaya IP VPN tünellerini kullanarak özel ağlarını internet üzerinden güvenli bir şekilde genişletmeye yardımcı olur.
Giriş
Sanal Bağlantı, Webex Calling (Adanmış Örnek) için Ayrılmış Örneğe Bulut Bağlantısı için ek bir eklenti seçeneğidir. Sanal Bağlantı, Müşterilerin noktadan noktaya IP VPN Tünellerini kullanarak Özel Ağlarını internet üzerinden güvenli bir şekilde genişletmelerini sağlar. Bu bağlantı seçeneği, mevcut Müşteri Tesis Ekipmanı (CPE) ve internet bağlantısı kullanılarak Özel Ağ bağlantısının hızlı bir şekilde kurulmasını sağlar.
Cisco , hizmetin gerekli olduğu Cisco'nun Tahsis Edilmiş Örnek veri merkezi bölgelerinde yedekli IP VPN Tünellerini ve gerekli İnternet erişimini barındırır, yönetir ve sağlar. Benzer şekilde, Yönetici, Sanal Bağlantı kurulması için gerekli olan ilgili CPE ve İnternet hizmetlerinden sorumludur.
Belirli bir Tahsis Edilmiş Örnek bölgesindeki her Sanal Bağlantı siparişi, seçilen Bölgedeki her Cisco veri merkezine bir tane olmak üzere, IPSec şifrelemesi ( IPSec üzerinden GRE) ile korunan iki genel yönlendirme kapsülleme (GRE) tüneli içerecektir.
Virtual Connect'in tünel başına 250 Mbps bant genişliği sınırı vardır ve daha küçük dağıtımlar için önerilir. İki noktadan noktaya VPN tüneli kullanıldığından, buluta giden tüm trafiğin müşteri başı CPE'sinden geçmesi gerekir ve bu nedenle çok sayıda uzak sitenin olduğu yerlerde uygun olmayabilir. Diğer alternatif eşleme seçenekleri için bkz. Bulut Bağlantısı .
 |
Sanal Bağlantı için eşleme isteğini göndermeden önce, ilgili bölgede Tahsis Edilmiş Örnek hizmetinin etkinleştirildiğinden emin olun. |
Cisco WebEx Meeting Center Yapılandırma Kılavuzları
Sanal Bağlantı kurmak için ön koşullar şunları içerir:
Müşteri sağlar
Dağıtımı desteklemek için yeterli bant genişliğine sahip İnternet bağlantısı
İki IPSec tüneli için genel IP adresi (ler)
İki GRE tüneli için müşteri tarafı GRE aktarım IP adresleri
İş Ortağı ve Müşteri
Bant genişliği gereksinimlerini değerlendirmek için birlikte çalışın
ağ cihazı/cihazlarının, Sınır Ağ Geçidi Protokolü (BGP) yönlendirmesini ve IPSec tünel tasarımı üzerinden GRE'yi desteklediğinden emin olun
İş Ortağı veya Müşteri şunları sağlar:
Siteden siteye VPN tünel teknolojileri bilgisine sahip ağ ekibi
BGP, eBGP ve genel yönlendirme ilkeleri bilgisine sahip ağ ekibi
Cisco
GRE tünel arayüzleri için Cisco tarafından atanan özel otonom sistem numaraları (ASN'ler) ve geçici IP adreslemesi
Cisco , Adanmış Örnek Bulut adreslemesi için genel olarak atanmış, ancak İnternet'e yönlendirilemez C Sınıfı (/24) ağı atadı
|
Bir müşterinin yalnızca 1 CPE cihazı varsa, her bölgedeki Cisco veri merkezlerine (DC1 ve DC2) giden 2 tünel o CPE cihazından olacaktır. Müşterinin ayrıca 2 CPE cihazı seçeneği vardır, daha sonra her CPE cihazı, her bölgedeki yalnızca Cisco'nun Veri Merkezlerine (DC1 ve DC2) doğru 1 tünele bağlanmalıdır. Müşterinin altyapısı içinde ayrı bir fiziksel sahada/konumda her tünel sonlandırılarak ek yedeklilik sağlanabilir. |
Teknik Ayrıntılar
Dağıtım Modeli
Virtual Connect, yönlendirme ve GRE kontrol düzlemlerinin bir cihaz tarafından sağlandığı ve IPSec kontrol düzleminin başka bir cihaz tarafından sağlandığı çift katmanlı bir headend mimarisi kullanır.
tamamlanmasının ardından Sanal Bağlantı Müşterinin kurumsal ağı ile Adanmış Örnek Cisco'nun veri merkezleri arasında IPSec üzerinden iki GRE tüneli oluşturulacaktır. İlgili Bölge içindeki her bir yedek veri merkezine bir tane. Eşleme için gereken ek ağ öğeleri, İş Ortağı veya Müşteri tarafından Control Hub Virtual Connect etkinleştirme formu aracılığıyla Cisco ile değiştirilir.
Şekil 1, müşteri tarafında 2 yoğunlaştırıcı seçeneği için Sanal Bağlantı dağıtım modeli bir örneğini gösterir.
Sanal Bağlantı - VPN , Müşterinin Merkez Sitelerinin belirli bir bölgedeki Tahsis Edilmiş Eşgörünüm veri merkezlerinin DC1 ve DC2'sine bağlandığı bir Merkez tasarımıdır.
Daha iyi yedeklilik için iki Hub sitesi önerilir, ancak iki tünelli Tek Hub sitesi de desteklenen bir dağıtım modeli.
|
Tünel başına bant genişliği 250 Mbps ile sınırlıdır. |
 |
Müşterinin aynı bölgedeki uzak sitelerinin, Müşterinin WAN'ı üzerinden Hub sitelerine tekrar bağlanması gerekir ve bu bağlantıdan Cisco sorumlu değildir. |
Ortakların Müşterilerle yakın bir şekilde çalışması ve 'Sanal Bağlantı' hizmet bölgesi için en uygun yolun seçilmesini sağlamaları beklenir.
Şekil 2, Ayrılmış Örnek Bulut Bağlantısı eşleme Bölgelerini gösterir.
Yönlendirme
Sanal Bağlantı eklenti için yönlendirme, Tahsis Edilmiş Eşgörünüm ile Müşteri Tesis Ekipmanı (CPE) arasında harici BGP (eBGP) kullanılarak uygulanır. Cisco , bir bölgedeki her yedek DC için kendi ağının reklamını Müşterinin CPE'sine yapacaktır ve CPE'nin Cisco varsayılan bir rotanın reklamını yapması gerekir.
Cisco korur ve atar
Tünel Arayüzü IP adresleme (yönlendirme için geçici bağlantı) Cisco , belirlenmiş bir Paylaşılan Adres Alanından atar (genel olarak yönlendirilemez)
Tünel taşıma varış adresi (Cisco tarafı)
Müşteri BGP yönlendirme yapılandırması için özel otonom sistem numaraları (ASN'ler)
Cisco , belirlenen özel kullanım aralığından atama yapar: 64512 ila 65534
Tahsis Edilmiş Bulut Sunucusu ve CPE arasında rota alışverişi yapmak için kullanılan eBGP
Cisco , atanan /24 ağı, ilgili bölgedeki her DC için 2 /25'e böler
Virtual Connect'te her /25 ağı, ilgili noktadan noktaya VPN tünelleri (geçici bağlantı) üzerinden Cisco tarafından CPE'ye geri bildirilir.
CPE, uygun eBGP komşularıyla yapılandırılmalıdır. Bir CPE kullanılıyorsa, her biri uzak tünele işaret eden iki eBGP komşusu kullanılacaktır. İki CPE kullanılıyorsa, her CPE'nin CPE için tek uzak tünele işaret eden bir eBGP komşusu olacaktır.
Her GRE tünelinin Cisco tarafı (tünel arayüzü IP), CPE'de BGP komşusu olarak yapılandırılmıştır.
Tünellerin her biri üzerinde varsayılan bir rotanın reklamını yapmak için CPE gereklidir
CPE, müşterinin kurumsal ağı içinde öğrenilen rotaları gerektiği gibi yeniden dağıtmaktan sorumludur.
Hatasız bağlantı hatası koşulu altında, tek bir CPE'nin iki aktif/aktif tüneli olacaktır. İki CPE düğümü için, her CPE'nin bir aktif tüneli olacaktır ve her iki CPE düğümü de aktif ve geçen trafik olmalıdır. Arızasızlık senaryosunda, trafik doğru /25 varış noktasına giden iki tünele bölünmelidir, tünellerden biri çökerse kalan tünel her ikisi için de trafiği taşıyabilir. Böyle bir hata senaryosunda, /25 ağı kapalı olduğunda, /24 ağı bir yedekleme yolu olarak kullanılır. Cisco , müşteri trafiğini dahili WAN aracılığıyla, bağlantıyı kaybeden DC'ye gönderir.
Bağlantı Süreci
| 1 | |
| 2 | |
| 3 | |
| 4 |
1. Adım: CCW Siparişi
Virtual Connect, CCW'deki Tahsis Edilmiş Örnek için bir eklenti .
| 1 | CCW sipariş sitesine gidin ve ardından sitede oturum açmak için Oturum Aç'a tıklayın: |
||
| 2 | Tahmin Oluştur. |
||
| 3 | "A-FLEX-3" SKU'sunu ekleyin. |
||
| 4 | Seçenekleri düzenle'yi seçin. |
||
| 5 | Görüntülenen abonelik sekmesinde, Seçenekler ve Eklentiler'i seçin. |
||
| 6 | Ek Eklentiler altında, "Adanmış Örnek için Sanal Bağlantı"nın yanındaki onay kutusu seçin. SKU adı "A-FLEX-DI-VC"dir. |
||
| 7 | Sanal Bağlantının gerekli olduğu bölgelerin miktarını ve sayısını girin.
|
||
| 8 | Seçimlerinizden memnun kaldığınızda, sayfanın sağ üst kısmındaki Doğrula ve Kaydet'e tıklayın. |
||
| 9 | Siparişinizi tamamlamak için Kaydet ve Devam Et'e tıklayın. Kesinleşmiş siparişiniz artık sipariş tablosunda görünür. |
2. Adım: Control Hub'da Sanal Bağlantının Etkinleştirilmesi
| 1 | Control Hub'da oturum açınhttps://admin.webex.com/login . |
||||||||
| 2 | içinde Hizmetler bölümüne gidin Arama > Adanmış Örnek > Bulut Bağlantısı . |
||||||||
| 3 | Sanal Bağlantı kartında satın alınan Sanal Bağlantı miktarı listelenir. Yönetici şimdi tıklayabilir etkinleştir Sanal Bağlantı aktivasyonunu başlatmak için. 
|
||||||||
| 4 | tıklandığında etkinleştir düğme, Sanal Bağlantıyı Etkinleştir yöneticinin Cisco tarafında eşleme yapılandırmaları için gereken Sanal Bağlantı teknik ayrıntılarını sağlaması için bir form görüntülenir.
|
||||||||
| 5 | üzerine tıklayın etkinleştir Tüm zorunlu alanlar doldurulduktan sonra düğmesine basın. |
||||||||
| 6 | Belirli bir bölge için Sanal Bağlantı Etkinleştirme formu tamamlandıktan sonra müşteri, etkinleştirme formunu Control Hub, Arama > Tahsis Edilmiş Örnek > Bulut Bağlantısı sekmesinden Dışa Aktarabilir ve Ayarları Dışa Aktar'a tıklayabilir. 
|
3. Adım: Cisco , Ağ Yapılandırmasını gerçekleştirir
| 1 | Sanal Bağlantı Aktivasyon formu tamamlandığında, durum şu şekilde güncellenecektir: Aktivasyon Devam Ediyor Arama > Tahsis Edilmiş Örnek > Bulut Bağlantısı Sanal Bağlantı kartında. |
| 2 | Cisco , Cisco'nun yan ekipmanında gerekli yapılandırmaları 5 iş günü . Başarılı bir şekilde tamamlandığında durum, Control Hub'da söz konusu bölge için "Etkinleştirildi" olarak güncellenecektir. |
4. Adım: Müşteri, Ağ Yapılandırmasını gerçekleştirir
Durum, Müşteri tarafından sağlanan girişlere dayalı olarak IP VPN bağlantısı için Cisco'nun yapılandırma tarafının tamamlandığını Müşteri yöneticisine bildirmek için "Etkinleştirildi" olarak değiştirilir. Ancak müşteri yöneticisinin, CPE'lerdeki yapılandırmaların kendi tarafını tamamlaması ve Sanal Bağlantı tünelinin Çevrimiçi olması için bağlantı yollarını test etmesi beklenir. Yapılandırma veya bağlantı sırasında karşılaşılan herhangi bir sorun olması durumunda, müşteri yardım için Cisco TAC ile iletişime geçebilir. |
Sorun Giderme
IPsec Birinci Aşama (IKEv2 Pazarlığı) Sorun Giderme ve Doğrulama
IPsec tünel anlaşması, IKEv2 aşaması ve IPsec aşaması olmak üzere iki aşamadan oluşur. IKEv2 aşaması anlaşması tamamlanmazsa, ikinci bir IPsec aşaması başlatılmaz. İlk olarak, IKEv2 oturumunun etkin olup olmadığını doğrulamak için "show crypto ikev2 sa" ( Cisco ekipmanında) komutunu veya üçüncü taraf ekipmanında benzer bir komutu verin. IKEv2 oturumu etkin değilse, olası nedenler şunlar olabilir:
İlginç trafik, IPsec tünelini tetiklemez.
IPsec tünel erişim listesi yanlış yapılandırılmış.
Müşteri ile Tahsis Edilmiş Örnek IPsec tünel uç noktası IP arasında bağlantı yoktur.
IKEv2 oturum parametreleri, Tahsis Edilmiş Örnek tarafı ile müşteri tarafı arasında eşleşmiyor.
Bir güvenlik duvarı IKEv2 UDP paketlerini engelliyor.
İlk olarak, IKEv2 tünel anlaşmasının ilerlemesini gösteren mesajlar için IPsec günlüklerini kontrol edin. Günlükler, IKEv2 anlaşmasıyla ilgili bir sorunun nerede olduğunu gösterebilir. Günlüğe kaydetme mesajlarının olmaması, IKEv2 oturumunun etkinleştirilmediğini de gösterebilir.
CPE tarafındaki IKEv2 ayarları Cisco tarafıyla eşleşmiyor, belirtilen ayarları tekrar kontrol edin:
IKE sürümünün sürüm 2 olup olmadığını kontrol edin.
Şifreleme ve Kimlik Doğrulama parametrelerinin Tahsis Edilmiş Örnek tarafında beklenen şifrelemeyle eşleştiğini doğrulayın.
"GCM" şifresi kullanımdayken, GCM protokolü kimlik doğrulamayı işler ve kimlik doğrulama parametresini NULL olarak ayarlar.
Ömür boyu ayarını doğrulayın.
Diffie Hellman modül grubunu doğrulayın.
Sözde Rastgele İşlev ayarlarını doğrulayın.
Kripto haritasının erişim listesi şu şekilde ayarlanmamıştır:
GRE'ye izin ver (local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip ) 255.255.255.255" (veya eşdeğer komut)
erişim listesi özel olarak "GRE" protokolü için olmalıdır ve "IP" protokolü çalışmayacaktır.
Günlük mesajları IKEv2 aşaması için herhangi bir anlaşma etkinliği göstermiyorsa, bir paket yakalama gerekebilir.
|
Tahsis Edilmiş Eşgörünüm tarafı her zaman IKEv2 değişimini başlatmayabilir ve bazen müşteri CPE tarafının başlatıcı olmasını bekleyebilir. IKEv2 oturum başlatma için aşağıdaki ön koşullar için CPE tarafı yapılandırmasını kontrol edin:
|
Düzgün yapılandırıldığında, IPsec tüneli ve birinci aşama IKEv2 anlaşması aşağıdakiler başlar:
GRE, CPE tarafı GRE tünel arayüzünden Tahsis Edilmiş Bulut Sunucusu tarafı GRE tünel arayüzüne kadar canlı tutar.
CPE tarafındaki BGP komşusundan Tahsis Edilmiş Örnek tarafındaki BGP komşusuna BGP komşu TCP oturumu.
CPE yan tünel IP adresi Tahsis Edilmiş Eşgörünüm yan tünel IP adresi ping işlemi yapın.
Ping, tünel aktarım IP tünel aktarım IP olamaz, tünel IP tünel IP olmalıdır.
IKEv2 trafiği için bir paket izlemesi gerekiyorsa, UDP ve 500 numaralı bağlantı noktası (IPsec uç noktalarının ortasında NAT aygıtı olmadığında) veya 4500 numaralı bağlantı noktası (IPsec'in ortasına bir NAT aygıtı takıldığında) için filtreyi ayarlayın. uç noktalar).
500 veya 4500 bağlantı noktasına sahip IKEv2 UDP paketlerinin DI IPsec IP adresi gönderilip alındığını doğrulayın.
|
Tahsis Edilmiş Örnek veri merkezi her zaman ilk IKEv2 paketini başlatmayabilir. Gereklilik, CPE cihazının Tahsis Edilmiş Örnek tarafına doğru ilk IKEv2 paketini başlatabilmesidir. Yerel güvenlik duvarı izin veriyorsa, uzak IPsec adresine ping göndermeyi de deneyin. Yerelden uzak IPsec adresine ping başarılı olmazsa, yardım için bir izleme yolu gerçekleştirin ve paketin nereye düştüğünü belirleyin. Bazı güvenlik duvarları ve internet ekipmanı, izleme rotasına izin vermeyebilir. |
IPsec İkinci Aşama (IPsec Anlaşması) Sorun Giderme ve Doğrulama
IPsec ikinci aşamasında sorun gidermeden önce IPsec birinci aşamasının (yani IKEv2 güvenlik ilişkisinin) etkin olduğunu doğrulayın. IKEv2 oturumunu doğrulamak için bir "crypt ikev2 sa göster" veya eşdeğer bir komut gerçekleştirin. Çıktıda, IKEv2 oturumunun birkaç saniyeden uzun süredir çalıştığını ve sıçramadığını doğrulayın. Oturum çalışma süresi, çıktıda "Aktif Süre" oturumu veya eşdeğeri olarak gösterilir.
IKEv2 oturumunun açık ve etkin olduğunu doğruladıktan sonra, IPsec oturumunu araştırın. IKEv2 oturumunda olduğu gibi, IPsec oturumunu doğrulamak için bir "kripto ipsec sa göster" veya eşdeğer bir komut gerçekleştirin. GRE tüneli kurulmadan önce hem IKEv2 oturumu hem de IPsec oturumu etkin olmalıdır. IPsec oturumu etkin olarak görünmüyorsa, hata mesajları veya anlaşma hataları için IPsec günlüklerini kontrol edin.
IPsec müzakereleri sırasında karşılaşılabilecek daha yaygın sorunlardan bazıları şunlardır:
CPE tarafındaki ayarlar Tahsis Edilmiş Bulut Sunucusu tarafıyla eşleşmiyor, ayarları tekrar kontrol edin:
Şifreleme ve Kimlik Doğrulama parametrelerinin Tahsis Edilmiş Örnek tarafındaki ayarlarla eşleştiğini doğrulayın.
Kusursuz İletim Gizliliği ayarlarını ve Özel Durum tarafında eşleşme ayarlarının doğru olduğunu doğrulayın.
Ömür boyu ayarlarını doğrulayın.
IPsec'in tünel modunda yapılandırıldığını doğrulayın.
Kaynak ve hedef IPsec adreslerini doğrulayın.
Tünel Arayüzü Sorun Giderme ve Doğrulama
IPsec ve IKEv2 oturumlarının çalışır durumda ve etkin olduğu doğrulandığında, GRE tüneli paketleri Adanmış Örnek ve CPE tünel uç noktaları arasında akabilir. Tünel arayüzü durumu göstermiyorsa, bazı yaygın sorunlar şunlardır:
Tünel arabirimi aktarım VRF'si, geri döngü arabiriminin VRF'si ile eşleşmiyor (tünel arabiriminde VRF yapılandırması kullanılıyorsa).
Tünel arayüzünde VRF konfigürasyonu kullanılmıyorsa bu kontrol göz ardı edilebilir.
Keepalives, CPE yan tünel arayüzünde etkinleştirilmedi
Canlı tutmalar CPE ekipmanında desteklenmiyorsa, Adanmış Örnek tarafındaki varsayılan canlı tutmaların da devre dışı bırakılması için Cisco bildirilmelidir.
Canlı tutmalar destekleniyorsa, canlı tutmaların etkinleştirildiğini doğrulayın.
Tünel arabiriminin maskesi veya IP adresi doğru değil ve Ayrılmış Örnek beklenen değerleriyle eşleşmiyor.
Kaynak veya hedef tünel aktarım adresi doğru değil ve Tahsis Edilmiş Örnek beklenen değerleriyle eşleşmiyor.
Bir güvenlik duvarı, GRE paketlerinin IPsec tüneline gönderilmesini veya IPsec tünelinden alınmasını engelliyor (GRE tüneli, IPsec tüneli üzerinden taşınır)
Bir ping testi, yerel tünel arayüzünün çalıştığını ve uzak tünel arayüzüne bağlantının iyi olduğunu doğrulamalıdır. Tünel IP (aktarım IP değil) uzak tünel IP ping kontrolü yapın.
|
GRE tünel trafiğini taşıyan IPsec tüneli için kripto erişim listesi , yalnızca GRE paketlerinin geçmesine izin verir. Sonuç olarak, tünel taşıma IP uzak tünel taşıma IP ping'ler çalışmayacaktır. |
Ping denetimi, kaynak tünel aktarım IP hedef tünel aktarım IP oluşturulan bir GRE paketiyle sonuçlanırken, GRE paketinin yükü (iç IP) kaynak ve hedef tünel IP olacaktır.
Ping testi başarılı olmazsa ve önceki öğeler doğrulanırsa, icmp ping'in daha sonra bir IPsec paketine kapsüllenen ve ardından kaynak IPsec adresinden şu adrese gönderilen bir GRE paketiyle sonuçlanmasını sağlamak için bir paket yakalama gerekebilir. hedef IPsec adresi. GRE tünel arabirimindeki sayaçlar ve IPsec oturum sayaçları da gösterilmesine yardımcı olabilir. gönderme ve alma paketleri artıyorsa.
Ping trafiğine ek olarak, yakalama, boş trafik sırasında bile canlı tutma GRE paketlerini göstermelidir. Son olarak, BGP yapılandırılırsa, BGP canlı tutma paketleri de VPN üzerinden IPSEC paketlerinde kapsüllenmiş GRE paketleri olarak gönderilmelidir.
BGP Sorun Giderme ve Doğrulama
BGP Oturumları
VPN IPsec tüneli üzerinden yönlendirme protokolü olarak BGP gereklidir. Yerel BGP komşusu, Tahsis Edilmiş Örnek BGP komşusu ile bir eBGP oturumu kurmalıdır. eBGP komşu IP adresleri, yerel ve uzak tünel IP adresleriyle aynıdır. Önce BGP oturumunun açık olduğundan emin olun ve ardından Tahsis Edilmiş Bulut Sunucusundan doğru yolların alındığını ve Tahsis Edilmiş Bulut Sunucusuna doğru varsayılan yolun gönderildiğini doğrulayın.
GRE tüneli çalışıyorsa, yerel ve uzak GRE tünel IP arasında bir ping işleminin başarılı olduğunu doğrulayın. Ping başarılıysa ancak BGP oturumu gelmiyorsa, BGP kuruluş hataları için BGP günlüğünü inceleyin.
Daha yaygın BGP müzakere sorunlarından bazıları şunlardır:
Uzak AS numarası, Tahsis Edilmiş Örnek tarafında yapılandırılan AS numarasıyla eşleşmiyor, komşu AS yapılandırmasını yeniden kontrol edin.
Yerel AS numarası, Tahsis Edilmiş Örnek tarafının beklediğiyle eşleşmiyor, yerel AS numarasının beklenen Tahsis Edilmiş Örnek parametreleriyle eşleştiğini doğrulayın.
Bir güvenlik duvarı, GRE paketlerinde kapsüllenen BGP TCP paketlerinin IPsec tüneline gönderilmesini veya IPSEC tünelinden alınmasını engelliyor
Uzak BGP komşu IP , uzak GRE tünel IP ile eşleşmiyor.
BGP Rota Değişimi
BGP oturumu her iki tünel için de doğrulandıktan sonra, Tahsis Edilmiş Örnek tarafından doğru yolların gönderilip alındığından emin olun.
Dedicated Instance VPN çözümü, müşteri/ortak tarafından iki tünelin kurulmasını bekler. İlk tünel, Tahsis Edilmiş Örnek veri merkezi A'yı ve ikinci tünel, Tahsis Edilmiş Örnek veri merkezi B'yi işaret eder. Her iki tünel de etkin durumda olmalıdır ve çözüm, etkin/etkin bir dağıtım gerektirir. Her Adanmış Örnek veri merkezi, yerel /25 yolunun yanı sıra bir /24 yedekleme yolunun reklamını yapacaktır. Tahsis Edilmiş Eşgörünümden gelen BGP rotalarını kontrol ederken, Tahsis Edilmiş Örnek veri merkezi A'ya işaret eden tünel ile ilişkili BGP oturumunun, Tahsis Edilmiş Örnek veri merkezi A/25 yerel yön ve ayrıca /24 yedekleme yolunu aldığından emin olun. Ayrıca, Tahsis Edilmiş Örnek veri merkezi B'ye işaret eden tünelin, Tahsis Edilmiş Örnek veri merkezi B/25 yerel yön yanı sıra /24 yedekleme yolunu da aldığından emin olun. /24 yedekleme yolunun, Tahsis Edilmiş Eşgörünüm veri merkezi A ve Tahsis Edilmiş Eşgörünüm veri merkezi B'den bildirilen yolla aynı olacağını unutmayın.
Bir Tahsis Edilmiş Eşgörünüm veri merkezine, o veri merkezine giden tünel arabirimi bozulursa yedeklilik sağlanır. Tahsis Edilmiş Örnek veri merkezi A ile bağlantı kesilirse, trafik Tahsis Edilmiş Örnek veri merkezi B'den veri merkezi A'ya iletilecektir. Bu senaryoda, veri merkezine giden tünel, veri merkezi B'ye ve tünele trafik göndermek için veri merkezi B/25 yolunu kullanacaktır. veri merkezi B'ye, veri merkezi B aracılığıyla veri merkezi A'ya trafik göndermek için yedekleme /24 yolunu kullanacaktır.
Her iki tünel de aktif olduğunda, veri merkezi A tünelinin veri merkezi B'ye trafik göndermek için kullanılmaması ve bunun tersi önemlidir. Bu senaryoda, veri merkezi A'ya veri merkezi B hedefi ile trafik gönderilirse, veri merkezi A trafiği veri merkezi B'ye iletir ve ardından veri merkezi B, veri merkezi B tüneli aracılığıyla trafiği kaynağa geri göndermeye çalışır. Bu, optimal olmayan yönlendirmeye neden olur ve ayrıca güvenlik duvarlarından geçen trafiği de bozabilir. Bu nedenle, normal çalışma sırasında her iki tünelin de aktif/aktif konfigürasyonda olması önemlidir.
0.0.0.0/0 yolu, müşteri tarafından Tahsis Edilmiş Örnek veri merkezi tarafına bildirilmelidir. Daha spesifik rotalar, Tahsis Edilmiş Bulut Sunucusu tarafından kabul edilmeyecektir. 0.0.0.0/0 yolunun hem Tahsis Edilmiş Örnek veri merkezi A tünelinden hem de Tahsis Edilmiş Örnek veri merkezi B tünelinden bildirildiğinden emin olun.
MTU Yapılandırması
Tahsis Edilmiş Örnek tarafında, büyük paket boyutları için MTU'yu dinamik olarak ayarlamak üzere iki özellik etkinleştirilmiştir. GRE tüneli, VPN oturumu boyunca akan IP paketlerine daha fazla başlık ekler. IPsec tüneli, GRE başlıklarının üstüne ek başlıklar ekler, tünel üzerinde izin verilen en büyük MTU'yu daha da azaltır.
GRE tüneli MSS özelliğini ayarlar ve MTU bulma özelliğindeki GRE tünel yolu, Tahsis Edilmiş Örnek tarafında etkinleştirilir. VPN tüneli üzerinden trafiğin MTU'sunun dinamik olarak ayarlanmasına yardımcı olmak için müşteri tarafında "ip tcp ayar-mss 1350" veya eşdeğer komutun yanı sıra "tünel yolu\u0002mtu-keşif" veya eşdeğer komutu yapılandırın.
