Вступ

Віртуальне з 'єднання - це додаткова опція для підключення хмари до виділеного екземпляра для виклику Webex (виділений екземпляр). Virtual Connect дозволяє клієнтам безпечно розширювати свою приватну мережу через Інтернет, використовуючи тунелі IP VPN. Цей варіант підключення забезпечує швидке встановлення приватного мережевого з 'єднання за допомогою існуючого обладнання для приміщення клієнта (CPE) та підключення до Інтернету.

Cisco розміщує, керує та забезпечує резервні тунелі IP VPN та необхідний доступ до Інтернету в регіоні(-ах) виділеного центру (-ів) даних Cisco, де потрібна послуга. Подібним чином, адміністратор несе відповідальність за свої відповідні послуги CPE та Інтернету, які необхідні для створення Virtual Connect.

Кожне замовлення на віртуальне з 'єднання в певній області виділеного екземпляра включатиме два загальні тунелі інкапсуляції маршрутизації (GRE), захищені шифруванням IPSec (GRE по IPSec), по одному для кожного центру даних Cisco в обраному регіоні.

Virtual Connect має обмеження пропускної здатності 250 Мбіт/с на тунель і рекомендується для меншого розгортання. Оскільки використовуються два VPN-тунелі «точка-точка», весь трафік до хмари повинен проходити через головний CPE клієнта, і тому він може не підходити там, де є багато віддалених сайтів. Інші альтернативні варіанти пірингу див. у розділі Хмарне з 'єднання.

Перш ніж надіслати запит пірингу для Virtual Connect, переконайтеся, що служба виділеного екземпляра активована у відповідному регіоні.

Передумови

Передумови для створення Virtual Connect включають:

  • Замовник надає

    • Інтернет-з 'єднання з достатньою доступною пропускною здатністю для підтримки розгортання

    • Публічні IP-адреси для двох тунелів IPSec

    • Транспортні IP-адреси GRE на стороні клієнта для двох тунелів GRE

  • Партнер і Замовник

    • Спільна робота для оцінки вимог до пропускної здатності

    • Забезпечити підтримку мережевими пристроями маршрутизації протоколу прикордонних шлюзів (BGP) та проектування тунелю GRE через IPSec

  • Партнер або Замовник надає

    • Мережева команда, яка знає технології VPN-тунелю від місця до місця

    • Мережева команда зі знанням BGP, eBGP та загальних принципів маршрутизації

  • Cisco

    • Cisco присвоїла приватні номери автонумусних систем (ASN) і тимчасову IP-адресу для інтерфейсів тунелю GRE

    • Cisco призначила загальнодоступну, але не маршрутизовану мережу класу C (/24) для виділеної хмарної адреси екземпляра

Якщо клієнт має лише 1 пристрій CPE, то 2 тунелі до дата-центрів Cisco (DC1 і DC2) у кожному регіоні будуть з цього пристрою CPE. Клієнт також має опцію для 2 пристроїв CPE, тоді кожен пристрій CPE повинен підключатися до 1 тунелю тільки в напрямку до дата-центрів Cisco (DC1 і DC2) в кожному регіоні. Додаткове резервування може бути досягнуто шляхом закінчення кожного тунелю в окремому фізичному місці/місці в межах інфраструктури Замовника.

Технічні деталі

Модель розгортання

Virtual Connect використовує дворівневу архітектуру головного пристрою, де площини маршрутизації та управління GRE забезпечуються одним пристроєм, а площина управління IPSec - іншим.

Після завершення підключення до Virtual Connect буде створено два тунелі GRE через IPSec між корпоративною мережею Клієнта та центрами обробки даних Cisco Dedicated Instance. По одному до кожного резервного центру даних у відповідному регіоні. Додаткові елементи мережі, необхідні для пірингу, обмінюються Партнером або Клієнтом з Cisco через форму активації Control Hub Virtual Connect.

Малюнок 1 показує приклад моделі розгортання Virtual Connect для опції 2-концентратора на стороні клієнта.

Virtual Connect - VPN - це дизайн концентратора, де сайти концентратора клієнта підключаються до DC1 і DC2 центрів обробки даних Dedicated Instance у певному регіоні.

Для кращого резервування рекомендується два вузли, але також підтримується модель розгортання One Hub з двома тунелями.

Пропускна здатність на тунель обмежена 250 Мбіт/с.

Віддалені сайти Клієнта в межах одного регіону повинні будуть з 'єднуватися з місцем(ами) концентратора через WAN Клієнта, і Cisco не несе відповідальності за це з' єднання.

Очікується, що партнери будуть тісно співпрацювати з Клієнтами, забезпечуючи вибір найбільш оптимального шляху для регіону обслуговування «Virtual Connect».

Малюнок 2 показує виділені області підключення до хмари виділених екземплярів.

Маршрутизація

Маршрутизація для доповнення Virtual Connect здійснюється за допомогою зовнішнього BGP (eBGP) між виділеним екземпляром та обладнанням приміщення клієнта (CPE). Cisco буде рекламувати свою відповідну мережу для кожного надлишкового постійного струму в межах регіону CPE Клієнта, і CPE зобов 'язаний рекламувати маршрут за замовчуванням до Cisco.

  • Cisco підтримує та призначає

    • IP-адреса інтерфейсу тунелю (перехідний зв 'язок для маршрутизації) Cisco призначає з визначеного спільного адресного простору (непублічно маршрутизується)

    • Адреса дезінфекції тунельного транспорту (сторона Cisco)

    • Приватні автономні номери систем (ASN) для конфігурації маршрутизації BGP клієнта

      • Cisco призначає з визначеного діапазону приватного використання: 64512 - 65534

  • eBGP використовується для обміну маршрутами між виділеним екземпляром та CPE

    • Cisco розділить призначену /24 мережу на 2 /25 по одному для кожного постійного струму у відповідному регіоні

    • У Virtual Connect кожна /25 мережа рекламується Cisco CPE через відповідні тунелі VPN з точкою до точки (перехідний зв 'язок)

    • CPE повинен бути налаштований з відповідними сусідами eBGP. Якщо використовується один CPE, будуть використовуватися два сусіди eBGP, один з яких вказує на кожен віддалений тунель. Якщо використовується два CPE, то кожен CPE матиме одного сусіда eBGP, що понізує до єдиного віддаленого тунелю для CPE.

    • Сторона Cisco кожного тунелю GRE (IP інтерфейсу тунелю) налаштована як сусід BGP на CPE

    • CPE зобов 'язаний рекламувати маршрут за замовчуванням по кожному з тунелів

    • CPE відповідає за перерозподіл, за необхідності, вивчених маршрутів в межах мережі підприємства Cutomer.

  • За умови невідмовності зв 'язку, один CPE буде мати два активних/активних тунелі. Для двох вузлів CPE кожен CPE матиме один активний тунель, і обидва вузли CPE повинні бути активними та передавати трафік. За сценарієм невідмовності, трафік повинен розділятися на два тунелі, що йдуть до правильних /25 пунктів призначення, якщо один з тунелів рухається вниз, решта тунелів може нести трафік для обох. За такого сценарію відмови, коли мережа/25 вимкнена, тоді мережа/24 використовується як резервний маршрут. Cisco надсилатиме трафік клієнтів через свою внутрішню глобальну мережу до DC, який втратив зв 'язок.

Процес підключення

Наступні кроки на високому рівні описують, як встановити з 'єднання з віртуальним підключенням для виділеного екземпляра.
1

Оформити замовлення в ККТ Cisco

2

Активувати віртуальне з 'єднання з центру керування

3

Cisco виконує налаштування мережі

4

Клієнт виконує налаштування мережі

Крок 1. Наказ ККТ

Virtual Connect - це доповнення для виділеного екземпляра в CCW.

1

Перейдіть на сайт замовлення CCW, а потім натисніть Увійти, щоб увійти на сайт:

https://apps.cisco.com/Commerce/guest.
2

Створіть кошторис.

3

Додайте артикул "A-FLEX-3".

4

Виберіть Edit options (Редагувати параметри).

5

На вкладці підписки, що з 'явиться, виберіть Параметри та надбудови.

6

У розділі Додаткові доповнення встановіть прапорець поруч із пунктом "Віртуальне з 'єднання для виділеного екземпляра". Назва артикулу - "A-FLEX-DI-VC".

7

Введіть кількість і кількість регіонів, у яких необхідне віртуальне з 'єднання.

Кількість віртуального з 'єднання не повинна перевищувати загальну кількість регіонів, придбаних для виділеного екземпляра. Крім того, для кожного регіону дозволено лише одне замовлення Virtual Connect.
8

Коли ви задоволені вибором, натисніть Перевірити та Зберегти у верхній правій частині сторінки.

9

Натисніть Зберегти та продовжити, щоб завершити замовлення. Ваше остаточне замовлення тепер відображається в сітці замовлень.

Крок 2: Активація віртуального з 'єднання в концентраторі керування

1

Увійдіть у Центр https://admin.webex.com/loginкерування .

2

У розділі "Послуги" перейдіть до розділу "Виклик" > "Виділений інсталяція" > "Хмарне з 'єднання".

3

На картці Virtual Connect відображається придбана кількість Virtual Connect. Тепер адміністратор може натиснути кнопку Активація, щоб ініціювати активацію віртуального з 'єднання.

Процес активації може бути запущений лише адміністраторами з роллю "Клієнт повний адміністратор". Тоді як адміністратор з роллю "Адміністратор тільки для читання клієнтом" може лише переглядати статус.
4

При натисканні кнопки Activate (Активувати) відображається форма Activate Virtual Connect (Активувати віртуальне з 'єднання), за допомогою якої адміністратор може надати технічні дані про віртуальне з' єднання, необхідні для налаштувань пірингу на стороні Cisco.

Форма також надає статичну інформацію на стороні Cisco на основі обраного Регіону. Ця інформація буде корисною для адміністраторів Клієнта, щоб налаштувати CPE на їхній стороні для встановлення підключення.

  1. IP-адреса тунельного переходу GRE: Клієнт зобов 'язаний надати IP-адреси тунельного транспорту на стороні клієнта, і Cisco буде динамічно розподіляти IP-адреси після завершення активації. IPSec ACL для цікавого трафіку повинен дозволяти локальному транспорту тунелю IP/32 до віддаленого транспорту тунелю IP/32. ACL також повинен вказувати лише протокол GRE IP.

    IP-адреса, надана клієнтом, може бути приватною або загальнодоступною.

  2. Рівноправні учасники IPSec: Клієнт зобов 'язаний надати вихідні IP-адреси тунелю IPSec, а Cisco виділяє IP-адресу призначення IPSec. Виконання NAT-трансляції внутрішньої адреси тунелю IPSEC до загальної адреси також підтримується, якщо це необхідно.

    IP-адреса, надана замовником, повинна бути загальнодоступною.

    Вся інша статична інформація, надана на екрані активації, є стандартом безпеки та шифрування сторони Cisco. Цю статичну конфігурацію не можна налаштувати або змінити. Для отримання будь-якої подальшої допомоги щодо статичних конфігурацій на стороні Cisco клієнту потрібно звернутися до TAC.
5

Натисніть кнопку «Активувати» після заповнення всіх обов 'язкових полів.

6

Після заповнення форми активації віртуального з 'єднання для певної області клієнт може експортувати форму активації з Control Hub, Calling > Dedicated Instance > Cloud Connectivity tab і натиснути Export settings (Експортувати налаштування).

З міркувань безпеки автентифікація та пароль BGP не будуть доступні в експортованому документі, однак адміністратор може переглянути ті самі дані в Control Hub, натиснувши Переглянути налаштування в Control Hub, Виклик > Виділений екземпляр > Підключення до хмари.

Крок 3: Cisco виконує налаштування мережі

1

Після заповнення форми активації віртуального з 'єднання статус буде оновлено до статусу Активація виконується в меню Виклик > Виділений екземпляр > Карта віртуального з' єднання Cloud Connect.

2

Cisco завершить необхідні конфігурації на боковому обладнанні Cisco протягом 5 робочих днів. Після успішного завершення статус буде оновлено до "Активовано" для цього конкретного регіону в Центрі управління.

Крок 4: Клієнт виконує налаштування мережі

Статус змінюється на "Активовано", щоб повідомити адміністратора Клієнта про те, що сторона конфігурацій Cisco для з 'єднання IP VPN була завершена на основі вхідних даних, наданих Клієнтом. Але очікується, що адміністратор клієнта завершить свою сторону конфігурацій на CPE і перевірить маршрути з 'єднання для тунелю Virtual Connect, який буде онлайн. У разі виникнення будь-яких проблем під час налаштування або підключення, клієнт може звернутися за допомогою до Cisco TAC.

Усунення несправностей

Виправлення та перевірка неполадок IPsec (узгодження IKEv2)

Узгодження тунелю IPsec включає дві фази, фазу IKEv2 і фазу IPsec. Якщо узгодження фази IKEv2 не завершено, то ініціювання другої фази IPsec не відбувається. Спочатку видайте команду «показати крипто ikev2 sa» (на обладнанні Cisco) або подібну команду на сторонньому обладнанні, щоб перевірити, чи активний сеанс IKEv2. Якщо сеанс IKEv2 не активний, потенційними причинами можуть бути:

  • Цікавий трафік не запускає тунель IPsec.

  • Список доступу до тунелю IPsec неправильно налаштований.

  • Немає підключення між клієнтом і IP-адресою кінцевої точки тунелю виділеного екземпляра IPsec.

  • Параметри сеансу IKEv2 не збігаються між стороною виділеного екземпляра та стороною клієнта.

  • Брандмауер блокує пакети UDP IKEv2.

По-перше, перевірте журнали IPsec на наявність будь-яких повідомлень, які показують хід переговорів щодо тунелю IKEv2. Журнали можуть вказати, де виникла проблема з переговорами IKEv2. Відсутність повідомлень ведення журналу також може свідчити про те, що сеанс IKEv2 не активовано.

Деякі поширені помилки під час узгодження IKEv2:

  • Налаштування для IKEv2 на стороні CPE не збігаються зі стороною Cisco. Перевірте наведені нижче налаштування.

    • Перевірте, чи встановлено версію IKE версії 2.

    • Переконайтеся, що параметри шифрування та автентифікації збігаються з очікуваним шифруванням на стороні виділеного екземпляра.

      Коли використовується шифр "GCM", протокол GCM обробляє автентифікацію та встановлює параметр автентифікації значення NULL.

    • Перевірте налаштування тривалості.

    • Перевірте групу модулів Діффі Геллмана.

    • Перевірте налаштування псевдовипадкової функції.

  • Для списку доступу для криптокарти не встановлено значення:

    • Дозволити GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (або еквівалентну команду)

      Список доступу повинен бути спеціально для протоколу "GRE", а протокол "IP" не працюватиме.

Якщо в повідомленнях журналу не відображається жодної активності під час узгодження фази IKEv2, може знадобитися захоплення пакетів.

Сторона виділеного екземпляра не завжди може розпочати обмін IKEv2, і іноді може очікувати, що ініціатором стане сторона CPE клієнта.

Перевірте конфігурацію сторони CPE, щоб визначити наведені нижче умови для ініціювання сеансу IKEv2.

  • Перевірте список доступу до криптографії IPsec для трафіку GRE (протокол 50) від IP-адреси тунелю CPE до IP-адреси тунелю виділеного екземпляра.

  • Переконайтеся, що інтерфейс тунелю GRE увімкнено для збереження GRE. Якщо обладнання не підтримує збереження GRE, тоді Cisco буде сповіщено, оскільки збереження GRE буде ввімкнено на стороні виділеного екземпляра за замовчуванням.

  • Переконайтеся, що BGP увімкнено та налаштовано з сусідньою адресою IP-адреси тунелю виділеного екземпляра.

Після правильного налаштування починається тунель IPsec і переговори щодо IKEv2 першого етапу:

  • Збереження GRE від інтерфейсу тунелю GRE на стороні CPE до інтерфейсу тунелю GRE на стороні виділеного екземпляра.

  • Сеанс TCP сусіда BGP від сусіда BGP на стороні CPE до сусіда виділеного екземпляра.

  • Перевірка зв’язку з IP-адресою тунелю бокового CPE на IP-адресу тунелю виділеного екземпляра.

    Ping не може бути IP-адресою тунельного переходу до IP-адреси тунельного переходу. Вона повинна бути IP-адресою тунелю до IP-адреси тунелю.

Якщо для трафіку IKEv2 потрібен трасування пакетів, установіть фільтр для UDP і порту 500 (якщо пристрій NAT не розташовано посередині кінцевих точок IPsec) або порту 4500 (якщо пристрій NAT вставлено посередині кінцевих точок IPsec).

Переконайтеся, що пакети UDP IKEv2 з портом 500 або 4500 надсилаються та отримують на IPsec-адресу DI IPsec.

Центр даних виділеного екземпляра не завжди може починати перший пакет IKEv2. Вимога полягає в тому, що пристрій CPE здатний ініціювати перший пакет IKEv2 зі сторони виділеного екземпляра.

Якщо це дозволяє локальний брандмауер, спробуйте також перевірити зв’язок на віддалену IPsec-адресу. Якщо не вдається перевірити зв’язок з локальної адреси IPsec на віддалений, виконайте трасування, щоб допомогти, і визначте, де скинуто пакет.

Деякі брандмауери та інтернет-обладнання можуть не дозволяти маршрутизацію трасування.

Виправлення та перевірка неполадок IPsec другої фази (узгодження IPsec)

Переконайтеся, що перша фаза IPsec (тобто асоціація безпеки IKEv2) активна, перш ніж усунути несправності другої фази IPsec. Виконайте "показати криптографію ikev2 sa" або еквівалентну команду, щоб перевірити сеанс IKEv2. У виведенні переконайтеся, що сеанс IKEv2 був відсутній більше ніж кілька секунд і що він не відскакує. Час очікування сеансу відображається як сеанс «Активний час» або його еквівалент у виході.

Після того як сеанс IKEv2 буде перевірено як активний, дослідіть сеанс IPsec. Як і у сеансі IKEv2, виконайте "показати crypto ipsec sa" або еквівалентну команду, щоб перевірити сеанс IPsec. Сеанс IKEv2 та сеанс IPsec мають бути активними, перш ніж буде встановлено тунель GRE. Якщо сеанс IPsec не відображається як активний, перевірте журнали IPsec на наявність повідомлень про помилку або помилок переговорів.

Деякі з найбільш поширених питань, які можуть виникнути під час переговорів IPsec:

Налаштування на стороні CPE не збігаються зі стороною виділеного екземпляра. Перевірте налаштування:

  • Переконайтеся, що параметри шифрування та автентифікації збігаються з параметрами на стороні виділеного екземпляра.

  • Переконайтеся, що параметри Perfect Forward Secrecy збігаються з параметрами виділеного екземпляра.

  • Перевірте налаштування тривалості.

  • Переконайтеся, що IPsec налаштовано в режимі тунелю.

  • Перевірте адреси IPsec джерела та призначення.

Виправлення та перевірка несправностей тунельного інтерфейсу

Коли сеанси IPsec і IKEv2 перевіряються як увімкнені та активні, тунель GRE підтримує живі пакети, які можуть проходити між виділеним екземпляром і кінцевими точками тунелю CPE. Якщо інтерфейс тунелю не відображає стан, деякі поширені проблеми:

  • Протокол транспортування тунельного інтерфейсу VRF не відповідає VRF інтерфейсу петлі (якщо конфігурація VRF використовується в інтерфейсі тунелю).

    Якщо конфігурація VRF не використовується в інтерфейсі тунелю, цю перевірку можна проігнорувати.

  • Збереження даних не ввімкнено на інтерфейсі тунелю на боці CPE

    Якщо дані збереження не підтримуються на обладнанні CPE, необхідно повідомити Cisco, щоб дані збереження за замовчуванням на стороні виділеного екземпляра також вимкнено.

    Якщо підтримується збереження файлу, переконайтеся, що його ввімкнено.

  • Маска або IP-адреса інтерфейсу тунелю неправильні та не відповідають очікуваним значенням виділеного екземпляра.

  • Адреса транспортування тунелю джерела або призначення неправильна й не відповідає очікуваним значенням виділеного екземпляра.

  • Брандмауер блокує пакети GRE, надіслані в тунель IPsec або отримані з тунелю IPsec (тунель GRE транспортується через тунель IPsec)

Тест перевірки зв’язку повинен переконатися, що локальний інтерфейс тунелю вимкнено, а підключення до інтерфейсу віддаленого тунелю відповідає вимогам. Виконайте перевірку перевірки зв’язку з IP-адресою тунелю (не IP-адресою транспортування) до IP-адреси віддаленого тунелю.

Список доступу до шифрування для тунелю IPsec, який несе трафік тунелю GRE, дозволяє перетинати тільки пакети GRE. У результаті пінги не працюватимуть з IP-адреси тунельного переходу до IP-адреси віддаленого тунельного переходу.

Перевірка перевірки зв’язку призводить до пакету GRE, який створюється з IP-адреси тунелю джерела до IP-адреси тунелю призначення, тоді як корисним навантаженням пакета GRE (внутрішня IP-адреса) буде IP-адресою тунелю джерела та призначення.

Якщо тест перевірки перевірки не пройшов і попередні елементи перевірені, може знадобитися захоплення пакетів, щоб переконатися, що icmp ping призведе до пакета GRE, який потім інкапсулюється в пакет IPsec і потім надсилається з адреси IPsec джерела на адресу IPsec призначення. Лічильники на інтерфейсі тунелю GRE та лічильники сеансу IPsec також можуть допомогти у відображенні. якщо посилення надсилання та отримання пакетів.

На додаток до трафіку пінгів, запис повинен також показувати живі пакети GRE навіть під час бездіяльності трафіку. Нарешті, якщо налаштовано BGP, пакети BGP keepalive також повинні бути надіслані як пакети GRE, інкапсульовані в пакетах IPSEC, а також через VPN.

Виправлення та перевірка несправностей BGP

Сеанси BGP

BGP потрібен як протокол маршрутизації через тунель VPN IPsec. Локальний сусід BGP повинен встановити сеанс eBGP із сусідом виділеного екземпляра. IP-адреси сусіда eBGP збігаються з IP-адресами локального та віддаленого тунелю. Спочатку переконайтеся, що сеанс BGP увімкнено, а потім переконайтеся, що від виділеного екземпляра отримані правильні маршрути та правильний маршрут за замовчуванням надіслано до виділеного екземпляра.

Якщо тунель GRE увімкнено, перевірте успішність перевірки зв’язку між локальною та віддаленою IP-адресою тунелю GRE. Якщо ping успішний, але сеанс BGP не надходить, перевірте журнал BGP на наявність помилок установлення BGP.

Деякі з найбільш поширених питань узгодження BGP є:

  • Віддалений номер AS не збігається з номером AS, налаштованим на стороні виділеного екземпляра. Повторно перевірте конфігурацію сусіда AS.

  • Локальний номер AS не збігається з очікуванням сторони виділеного екземпляра. Переконайтеся, що локальний номер AS збігається з очікуваними параметрами виділеного екземпляра.

  • Брандмауер блокує пакети BGP TCP, інкапсульовані в пакети GRE, від надсилання в тунель IPsec або отримання з тунелю IPSEC

  • IP-адреса віддаленого сусіда BGP не збігається з IP-адресою тунелю GRE.

Обмін маршрутами BGP

Після перевірки сеансу BGP для обох тунелів переконайтеся, що з боку виділеного екземпляра надсилаються та отримують правильні маршрути.

Рішення Dedicated Instance VPN очікує встановлення двох тунелів із боку клієнта/партнера. Перший тунель вказує на центр обробки даних виділеного екземпляра A, а другий тунель вказує на центр обробки даних виділеного екземпляра B. Обидва тунелі повинні бути в активному стані, і рішення потребує активного/активного розгортання. Кожен центр обробки даних виділеного екземпляра рекламуватиме локальний маршрут /25, а також резервний маршрут /24. Під час перевірки вхідних маршрутів BGP із виділеного екземпляра переконайтеся, що сеанс BGP, пов’язаний із тунелем, що вказує на центр обробки даних виділеного екземпляра A, отримує локальний маршрут центру обробки даних виділеного екземпляра A /25, а також резервний маршрут /24. Крім того, переконайтеся, що тунель, який вказує на центр обробки даних виділеного екземпляра B, отримує локальний маршрут центру обробки даних виділеного екземпляра B /25, а також резервний маршрут /24. Зауважте, що резервний маршрут /24 буде тим самим маршрутом, який рекламується в центрі обробки даних виділеного екземпляра A і центрі обробки даних виділеного екземпляра B.

Резервування надається центру обробки даних виділеного екземпляра, якщо інтерфейс тунелю до цього центру обробки даних знижується. Якщо втрачено підключення до центру обробки даних виділеного екземпляра A, трафік буде переадресовано з центру обробки даних виділеного екземпляра B до центру обробки даних A. У цьому сценарії тунель до центру обробки даних B використовуватиме маршрут центру обробки даних B /25 для надсилання трафіку до центру обробки даних B, а тунель до центру обробки даних B використовуватиме резервний маршрут /24 для надсилання трафіку до центру обробки даних A через центр обробки даних B.

Важливо, щоб, коли обидва тунелі активні, тунель центру обробки даних A не використовується для надсилання трафіку до центру обробки даних B і навпаки. У цьому сценарії, якщо трафік надсилається до центру обробки даних A з адресатом центру обробки даних B, центр обробки даних A переадресує трафік до центру обробки даних B, а потім центр обробки даних B спробує відправити трафік назад до джерела через тунель центру обробки даних B. Це призведе до неоптимальної маршрутизації, а також може порушити роботу брандмауера, який проходить через трафік. Тому важливо, щоб обидва тунелі перебували в активній/активній конфігурації під час звичайної роботи.

Маршрут 0.0.0.0/0 має бути оголошено від боку клієнта до центру обробки даних виділеного екземпляра. Сторона виділеного екземпляра не прийме більш конкретні маршрути. Переконайтеся, що маршрут 0.0.0.0/0 рекламується як з тунелю центру обробки даних виділеного екземпляра A, так і з тунелю центру обробки даних виділеного екземпляра B.

Конфігурація MTU

На стороні виділеного екземпляра ввімкнено дві функції, щоб динамічно коригувати MTU для великих розмірів пакетів. Тунель GRE додає більше заголовків до IP-пакетів, що проходять через сеанс VPN. Тунель IPsec додає додаткові заголовки зверху заголовків GRE ще більше зменшить найбільший MTU, дозволений за тунелем.

Тунель GRE налаштовує функцію MSS, а шлях тунелю GRE у функції виявлення MTU увімкнено на стороні виділеного екземпляра. Налаштуйте "ip tcp adjust-mss 1350" або еквівалентну команду, а також "tunnel path\u0002mtu-discovery" або еквівалентну команду на стороні клієнта, щоб допомогти з динамічним налаштуванням MTU трафіку через тунель VPN.