Вступ

Virtual Connect - це додаткова опція для хмарного підключення до виділеного екземпляра для викликів Webex (Dedicated Instance). Virtual Connect дозволяє клієнтам безпечно розширювати свою приватну мережу через Інтернет, використовуючи тунелі IP VPN типу точка-точка. Цей варіант підключення забезпечує швидке встановлення з 'єднання з приватною мережею за допомогою існуючого обладнання приміщення клієнта (CPE) та підключення до Інтернету.

Cisco розміщує, керує та забезпечує резервні тунелі IP VPN та необхідний доступ до Інтернету в регіоні(ах) центрів обробки даних виділеного екземпляра Cisco, де потрібна послуга. Аналогічно, Адміністратор несе відповідальність за відповідні послуги CPE та Інтернету, які необхідні для встановлення віртуального з 'єднання.

Кожне замовлення Virtual Connect у певній області виділеного екземпляра включатиме два загальних тунелі інкапсуляції маршрутизації (GRE), захищених шифруванням IPSec (GRE over IPSec), по одному для кожного центру обробки даних Cisco у вибраному регіоні.

Virtual Connect має обмеження пропускної здатності 250 Мбіт/с на тунель і рекомендується для невеликих розгортань. Оскільки використовуються два VPN-тунелі «точка-точка», весь трафік в хмару повинен проходити через головну частину клієнта CPE, і тому він може не підходити там, де є багато віддалених сайтів. Інші альтернативні варіанти пірингу див. у розділі Підключення до хмари.

Передумови

Передумови для встановлення Virtual Connect включають:

  • Замовник надає

    • Підключення до Інтернету з достатньою доступною пропускною здатністю для підтримки розгортання

    • Публічні IP-адреси для двох тунелів IPSec

    • Транспортні IP-адреси GRE на стороні клієнта для двох тунелів GRE

  • Партнер і клієнт

    • Працюйте разом, щоб оцінити вимоги до пропускної здатності

    • Переконайтеся, що мережеві пристрої підтримують маршрутизацію протоколу прикордонного шлюзу (BGP) та дизайн тунелю GRE over IPSec

  • Партнер або клієнт надає

    • Мережева команда зі знанням технологій VPN-тунелю site-to-site

    • Мережева команда зі знанням BGP, eBGP та загальних принципів маршрутизації

  • Cisco

    • Cisco призначила приватні автоматичні системні номери (Asn) та перехідну IP-адресу для інтерфейсів тунелю GRE

    • Cisco призначила загальнодоступну, але не маршрутизовану мережу класу C (/24) для адреси Dedicated Instance Cloud

Якщо у клієнта є лише 1 пристрій CPE, то 2 тунелі до центрів обробки даних Cisco (DC1 І DC2) в кожному регіоні будуть з цього пристрою CPE. Замовник також має опцію для 2 пристроїв CPE, тоді кожен пристрій CPE повинен підключатися до 1 тунелю тільки до центрів обробки даних Cisco (DC1 і DC2) у кожному регіоні. Додаткове резервування може бути досягнуто шляхом припинення кожного тунелю на окремому фізичному майданчику/місці в інфраструктурі Замовника.

Технічні деталі

Модель розгортання

Virtual Connect використовує дворівневу головну архітектуру, де площини маршрутизації та управління GRE забезпечуються одним пристроєм, а площина управління IPSec забезпечується іншим.

Після завершення підключення Virtual Connect між корпоративною мережею Замовника та центрами обробки даних Cisco Dedicated Instance буде створено два тунелі GRE over IPSec. По одному для кожного резервного центру обробки даних у відповідному регіоні. Додаткові мережеві елементи, необхідні для пірингу, обмінюються Партнером або Клієнтом з Cisco через форму активації віртуального підключення Control Hub.

На малюнку 1 показаний приклад моделі розгортання Virtual Connect для опції 2-концентратора на стороні клієнта.

Virtual Connect - VPN - це конструкція концентратора, де сайти концентратора Клієнта підключаються до DC1 та DC2 центрів обробки даних Dedicated Instance у певному регіоні.

Для кращого резервування рекомендуються два сайти концентратора, але сайт One Hub з двома тунелями також є підтримуваною моделлю розгортання.

Пропускна здатність одного тунелю обмежена 250 Мбіт/с.

Віддалені об 'єкти Замовника в тому ж регіоні повинні бути підключені до об' єкта(ів) концентратора через WAN Замовника, і Cisco не несе відповідальності за це підключення.

Очікується, що партнери будуть тісно співпрацювати з Клієнтами, забезпечуючи вибір найбільш оптимального шляху для регіону обслуговування «Віртуальне з ’єднання».

На малюнку 2 показані пирингові області підключення до виділеного екземпляра хмарного сховища.

Маршрутизація

Маршрутизація для додатку Virtual Connect реалізується за допомогою зовнішнього BGP (eBGP) між виділеним екземпляром та обладнанням приміщення клієнта (CPE). Cisco буде рекламувати свою відповідну мережу для кожного резервного постійного струму в межах регіону до CPE Замовника, і CPE повинен рекламувати маршрут за замовчуванням до Cisco.

  • Cisco підтримує та призначає

    • IP-адресація тунельного інтерфейсу (перехідна лінія для маршрутизації) Cisco призначає з призначеного спільного адресного простору (не публічно маршрутизується)

    • Адреса призначення тунельного транспорту (сторона Cisco)

    • Приватні автономні системні номери (Asn) для конфігурації маршрутизації BGP замовника

      • Cisco призначає з призначеного діапазону приватного використання: від 64512 до 65534

  • eBGP використовується для обміну маршрутами між виділеним екземпляром та CPE

    • Cisco розділить призначену /24 мережу на 2 /25 по одному для кожного постійного струму у відповідному регіоні

    • У Virtual Connect кожна /25 мережа рекламується назад до CPE компанією Cisco через відповідні VPN-тунелі точка-точка (перехідна лінія)

    • CPE повинен бути налаштований з відповідними сусідами eBGP. Якщо використовується один CPE, будуть використовуватися два сусіди eBGP, один з яких вказує на кожен віддалений тунель. Якщо використовується два CPE, то кожен CPE матиме одного сусіда eBGP, який відправлятиметься в єдиний віддалений тунель для CPE.

    • Сторона Cisco кожного тунелю GRE (IP інтерфейсу тунелю) налаштована як сусід BGP на CPE

    • CPE зобов 'язаний рекламувати маршрут за замовчуванням над кожним з тунелів

    • CPE відповідає за перерозподіл, за необхідності, вивчених маршрутів в мережі підприємства-розробника.

  • За умови відсутності відмови зв 'язку один CPE матиме два активні/активні тунелі. Для двох вузлів CPE кожен CPE буде мати один активний тунель, і обидва вузли CPE повинні бути активними та передавати трафік. За сценарієм без збоїв, трафік повинен розділитися на два тунелі, що йдуть до правильного /25 пунктів призначення, якщо один з тунелів рухається вниз, інший тунель може нести трафік для обох. За такого сценарію відмови, коли мережа/25 не працює, мережа/24 використовується як резервний маршрут. Cisco буде відправляти клієнтський трафік через свою внутрішню WAN до DC, який втратив зв 'язок.

Процес підключення

Наступні кроки високого рівня описують, як встановити з 'єднання з віртуальним Connect for Dedicated Instance.

1.

Оформити замовлення в Cisco CCW
2.

Активувати віртуальне з 'єднання з Control Hub
3.

Cisco виконує налаштування мережі
4.

Клієнт виконує налаштування мережі

Крок 1. Замовлення CCW

Virtual Connect - це додаток для виділеного екземпляра в CCW.

1.

Перейдіть на сайт замовлення CCW, а потім натисніть Login (Увійти), щоб увійти на сайт:

https://apps.cisco.com/Commerce/guest.
2.

Створити оцінку.
3.

Додайте артикул "A-FLEX-3".
4.

Виберіть Редагувати параметри.
5.

На вкладці підписки, яка з 'явиться, виберіть Параметри та додатки.
6

У розділі Додаткові додатки встановіть прапорець поруч із пунктом "Віртуальне з 'єднання для виділеного екземпляра". Назва артикулу - "A-FLEX-DI-VC".
7

Введіть кількість і кількість регіонів, в яких потрібне віртуальне з 'єднання.


 
Кількість віртуальних з 'єднань не повинна перевищувати загальну кількість регіонів, придбаних для виділеного екземпляра. Крім того, для кожного регіону дозволено лише одне замовлення Virtual Connect.
8

Коли ви будете задоволені своїм вибором, натисніть Перевірити та Зберегти у верхній правій частині сторінки.
9

Натисніть Зберегти та продовжити, щоб завершити замовлення. Ваше остаточне замовлення тепер відображається в сітці замовлень.

Крок 2. Активація Virtual Connect в Control Hub

1.

Увійдіть в Control Hubhttps://admin.webex.com/login.
2.

У розділі "Послуги" перейдіть до розділу "Виклики" > "Виділені інсталяції" > "Підключення до хмари".
3.

На картці Virtual Connect вказано придбану кількість Virtual Connect. Тепер адміністратор може натиснути кнопку Активувати, щоб ініціювати активацію Virtual Connect.


 
Процес активації може бути запущений лише адміністраторами з роллю «Клієнт повний адміністратор». Адміністратор з роллю «Клієнт тільки для читання» може переглядати лише статус.
4.

Після натискання кнопки Активувати відображається форма Активувати віртуальне з 'єднання, щоб адміністратор міг надати технічні відомості щодо віртуального з' єднання, необхідні для конфігурацій пірингу на стороні Cisco.


 
Форма також надає статичну інформацію на стороні Cisco, засновану на обраному регіоні. Ця інформація буде корисною для адміністраторів Замовника для налаштування CPE на своєму боці для встановлення підключення.

  1. IP-адреса тунельного транспорту GRE: Клієнт зобов 'язаний надати IP-адреси тунельного транспорту на стороні клієнта, і Cisco буде динамічно виділяти IP-адреси після завершення активації. Список доступу IPSec для цікавого трафіку повинен дозволяти локальний тунельний транспорт IP/32 для віддаленого тунельного транспорту IP/32. ACL також повинен вказувати лише протокол GRE IP.


     
    IP-адреса, надана клієнтом, може бути приватною або публічною.

  2. Вузли IPSec: Клієнт зобов 'язаний надати вихідні IP-адреси тунелю IPSec, а Cisco виділяє IP-адресу призначення IPSec. Виконання трансляції NAT внутрішньої адреси тунелю IPSEC на загальнодоступну адресу також підтримується, якщо це необхідно.


     

    IP-адреса, надана клієнтом, повинна бути публічною.

     
    Вся інша статична інформація, надана на екрані активації, - це стандарти безпеки та шифрування Cisco. Цю статичну конфігурацію не можна налаштувати або змінити. Щоб отримати додаткову допомогу щодо статичних конфігурацій на стороні Cisco, клієнту потрібно звернутися до TAC.
5.

Натисніть кнопку Активувати після заповнення всіх обов 'язкових полів.
6

Після заповнення форми активації віртуального з 'єднання для регіону частинок клієнт може експортувати форму активації з Центру керування, зателефонувавши > Виділений екземпляр > вкладка Підключення до хмари та натиснувши Налаштування експорту.


 
З міркувань безпеки автентифікація та пароль BGP не будуть доступні в експортованому документі, але адміністратор може переглянути їх у Control Hub, натиснувши Переглянути налаштування в Control Hub, Виклик > Виділений екземпляр > вкладка Cloud Connectivity.

Крок 3: Cisco виконує налаштування мережі

1.

Після заповнення форми активації Virtual Connect статус буде оновлено до Activation In-Progress у розділі Calling > Dedicated Instance > Cloud Connectivity Virtual Connect card.
2.

Компанія Cisco виконає необхідні конфігурації бічного обладнання Cisco протягом 5 робочих днів. Після успішного завершення статус буде оновлено до «Активовано» для цього конкретного регіону в Центрі керування.

Крок 4: Клієнт виконує налаштування мережі

Статус змінюється на «Активовано», щоб повідомити адміністратора Замовника про те, що сторона конфігурацій Cisco для підключення IP VPN була завершена на основі вхідних даних, наданих Замовником. Але очікується, що адміністратор клієнта завершить свою сторону конфігурацій на CPE і перевірить маршрути підключення для тунелю Virtual Connect, щоб бути онлайн. У разі виникнення будь-яких проблем під час налаштування або підключення клієнт може звернутися за допомогою до Cisco TAC.

Виправлення неполадок

Перший етап IPsec (узгодження IKEv2) Усунення несправностей та перевірка

Переговори щодо тунелю IPsec включають дві фази: фазу IKEv2 та фазу IPsec. Якщо узгодження фази IKEv2 не завершено, то немає ініціювання другої фази IPsec. Спочатку видайте команду "show crypto ikev2 sa" (на обладнанні Cisco) або аналогічну команду на сторонньому обладнанні, щоб перевірити, чи активний сеанс IKEv2. Якщо сеанс IKEv2 не активний, потенційними причинами можуть бути:

  • Цікавий трафік не запускає тунель IPsec.

  • Неправильно налаштовано список доступу до тунелю IPsec.

  • Між клієнтом і кінцевою точкою IP тунелю Dedicated Instance IPsec немає з 'єднання.

  • Параметри сеансу IKEv2 не збігаються між стороною виділеного екземпляра та стороною клієнта.

  • Брандмауер блокує пакети IKEv2 UDP.

По-перше, перевірте журнали IPsec на наявність будь-яких повідомлень, які показують хід переговорів про тунель IKEv2. Журнали можуть вказувати, де є проблема з переговорами IKEv2. Відсутність повідомлень журналювання також може вказувати на те, що сеанс IKEv2 не активується.

Деякі поширені помилки з переговорами IKEv2:

  • Налаштування для IKEv2 на стороні CPE не збігаються зі стороною Cisco, ще раз перевірте зазначені налаштування:

    • Переконайтеся, що ВЕРСІЯ IKE є версією 2.

    • Переконайтеся, що параметри шифрування та автентифікації відповідають очікуваному шифруванню на стороні виділеного екземпляра.

      Коли використовується шифр "GCM", протокол GCM обробляє автентифікацію і встановлює параметр автентифікації на NULL.

    • Перевірте налаштування терміну служби.

    • Перевірте групу модулів Диффі Хеллмана.

    • Перевірте налаштування псевдовипадкової функції.

  • Список доступу для криптографічної карти не налаштований на:

    • Дозвіл GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (або еквівалентна команда)

      Список доступу повинен бути спеціально для протоколу "GRE", а протокол "IP" не працюватиме.

Якщо повідомлення журналу не показують ніякої переговорної активності для фази IKEv2, то може знадобитися захоплення пакетів.

Виділена сторона екземпляра не завжди може почати обмін IKEv2 і іноді може очікувати, що сторона CPE клієнта буде ініціатором.

Перевірте конфігурацію сторони CPE на наявність наступних передумов для ініціювання сеансу IKEv2:

  • Перевірте наявність списку крипто-доступу IPsec для трафіку GRE (протокол 50) від IP транспорту тунелю CPE до IP транспорту тунелю виділеного екземпляра.

  • Переконайтеся, що інтерфейс тунелю GRE увімкнено для GRE keepalives, якщо обладнання не підтримує GRE keepalives, тоді Cisco отримує повідомлення, оскільки GRE keepalives буде увімкнено на стороні виділеного екземпляра за замовчуванням.

  • Переконайтеся, що BGP увімкнено та налаштовано з сусідньою адресою IP тунелю виділеного екземпляра.

При правильному налаштуванні наступне починає тунель IPsec і першу фазу узгодження IKEv2:

  • GRE зберігає дані від інтерфейсу тунелю GRE на стороні CPE до інтерфейсу тунелю GRE на стороні виділеного екземпляра.

  • Сесія TCP сусіда BGP від сторони CPE сусіда BGP до сторони виділеного екземпляра сусіда BGP.

  • Пінг з IP-адреси бічного тунелю CPE на IP-адресу виділеного екземпляра бічного тунелю.

    Ping не може бути IP тунельного транспорту до IP тунельного транспорту, він повинен бути IP тунельного транспорту до IP тунельного транспорту.

Якщо трасування пакетів необхідне для трафіку IKEv2, встановіть фільтр для UDP і або порту 500 (коли жоден NAT-пристрій не знаходиться посередині кінцевих точок IPsec), або порту 4500 (коли NAT-пристрій вставляється посередині кінцевих точок IPsec).

Переконайтеся, що UDP-пакети IKEv2 з портом 500 або 4500 відправляються та отримуються на IP-адресу DI IPsec та з неї.

Виділений центр обробки даних екземплярів не завжди може розпочати перший пакет IKEv2. Вимога полягає в тому, що пристрій CPE здатний ініціювати перший пакет IKEv2 на сторону виділеного екземпляра.

Якщо локальний брандмауер дозволяє це, то також спробуйте пінг на віддалену адресу IPsec. Якщо пінг не вдається від локальної до віддаленої адреси IPsec, виконайте трасування маршруту, щоб допомогти, і визначити, де пакет скидається.

Деякі брандмауери та інтернет-обладнання можуть не дозволяти прокладати маршрут.

Другий етап IPsec (узгодження IPsec) Усунення несправностей та перевірка

Перевірте, чи активна перша фаза IPsec (тобто асоціація безпеки IKEv2) перед усуненням несправностей другої фази IPsec. Виконайте команду "show crypto ikev2 sa" або еквівалентну команду для перевірки сесії IKEv2. На виході переконайтеся, що сеанс IKEv2 працює більше декількох секунд і що він не відскакує. Час безперебійної роботи сеансу відображається як сеанс "Активний час" або еквівалент у виході.

Після того, як сеанс IKEv2 перевіряється як активний і активний, вивчіть сеанс IPsec. Як і у випадку з сеансом IKEv2, виконайте "show crypto ipsec sa" або еквівалентну команду для перевірки сеансу IPsec. І сесія IKEv2, і сесія IPsec повинні бути активними до встановлення тунелю GRE. Якщо сеанс IPsec не відображається як активний, перевірте журнали IPsec на наявність повідомлень про помилки або помилок узгодження.

Деякі з найбільш поширених проблем, з якими можна зіткнутися під час переговорів щодо IPsec:

Налаштування на стороні CPE не збігаються зі стороною Dedicated Instance (Виділений екземпляр), перевірте ще раз налаштування:

  • Переконайтеся, що параметри шифрування та автентифікації збігаються з параметрами на стороні виділеного екземпляра.

  • Перевірте налаштування Perfect Forward Secrecy та відповідність налаштувань на стороні Dedicated Instance (Виділений екземпляр).

  • Перевірте налаштування терміну служби.

  • Переконайтеся, що IPsec налаштовано в тунельному режимі.

  • Перевірте адреси IPsec джерела та призначення.

Усунення несправностей та перевірка інтерфейсу тунелю

Коли сеанси IPsec і IKEv2 перевіряються як вгору і активні, GRE-тунель зберігає живі пакети, здатні протікати між виділеним екземпляром і кінцевими точками тунелю CPE. Якщо інтерфейс тунелю не відображається, деякі поширені проблеми:

  • Транспортний VRF інтерфейсу тунелю не відповідає VRF інтерфейсу петлі (якщо на інтерфейсі тунелю використовується конфігурація VRF).

    Якщо конфігурація VRF не використовується в інтерфейсі тунелю, цю перевірку можна проігнорувати.

  • Keepalives не ввімкнено на інтерфейсі бокового тунелю CPE

    Якщо утримання не підтримується на обладнанні CPE, необхідно повідомити Cisco, щоб утримання за замовчуванням на стороні виділеного екземпляра також було вимкнено.

    Якщо підтримуються Keepalives, перевірте, чи увімкнено Keepalives.

  • Маска або IP-адреса інтерфейсу тунелю неправильна і не відповідає очікуваним значенням виділеного екземпляра.

  • Адреса транспортування тунелю джерела або призначення неправильна і не відповідає очікуваним значенням виділеного екземпляра.

  • Брандмауер блокує GRE-пакети з відправлених в тунель IPsec або отриманих з тунелю IPsec (тунель GRE транспортується через тунель IPsec)

Тест ping повинен перевірити, чи локальний інтерфейс тунелю ввімкнений, а з 'єднання з віддаленим інтерфейсом тунелю є хорошим. Виконайте перевірку ping з IP-адреси тунелю (не транспортної IP-адреси) на віддалену IP-адресу тунелю.

Список крипто-доступу для тунелю IPsec, який несе трафік тунелю GRE, дозволяє перетинати тільки пакети GRE. Як наслідок, пінг не буде працювати від IP тунельного транспорту до IP віддаленого тунельного транспорту.

Перевірка ping призводить до створення пакету GRE, який генерується з IP транспорту тунелю джерела до IP транспорту тунелю призначення, тоді як корисним навантаженням пакета GRE (всередині IP) буде IP тунелю джерела та призначення.

Якщо тест ping не пройшов успішно і попередні елементи перевірені, то може знадобитися захоплення пакету, щоб переконатися, що icmp ping призводить до пакету GRE, який потім інкапсулюється в пакет IPsec, а потім відправляється з адреси IPsec джерела на адресу IPsec призначення. Лічильники на інтерфейсі тунелю GRE та сеансові лічильники IPsec також можуть допомогти показати, чи збільшуються пакети відправки та отримання.

На додаток до пінг-трафіку, захоплення також повинно показувати збереження пакетів GRE навіть під час простою трафіку. Нарешті, якщо налаштовано BGP, пакети BGP Keepalive також повинні надсилатися як пакети GRE, інкапсульовані в пакети IPSEC, а також через VPN.

Усунення несправностей та перевірка BGP

Сесії BGP

BGP необхідний як протокол маршрутизації через тунель VPN IPsec. Місцевий сусід BGP повинен встановити сеанс eBGP з виділеним сусідом BGP. IP-адреси сусідів eBGP такі ж, як локальні та віддалені тунельні IP-адреси. Спочатку переконайтеся, що сеанс BGP ввімкнено, а потім переконайтеся, що з виділеного екземпляра отримано правильні маршрути, і правильний маршрут за замовчуванням надсилається до виділеного екземпляра.

Якщо тунель GRE вгору, переконайтеся, що ping успішно виконано між локальним та віддаленим IP-адресами тунелю GRE. Якщо пінг пройшов успішно, але сеанс BGP не наближається, то перевірте журнал BGP на наявність помилок встановлення BGP.

Деякі з найбільш поширених питань переговорів щодо BGP:

  • Номер віддаленого AS не збігається з номером AS, який налаштовано на стороні виділеного екземпляра, повторно перевірте конфігурацію сусіднього AS.

  • Локальний номер AS не відповідає тому, що очікує сторона Dedictaed Instance, переконайтеся, що локальний номер AS відповідає очікуваним параметрам Dedicated Instance.

  • Брандмауер блокує відправку пакетів BGP TCP, інкапсульованих в пакети GRE, в тунель IPsec або отримання з тунелю IPSEC

  • Віддалена IP-адреса сусіда BGP не збігається з віддаленою IP-адресою тунелю GRE.

Обмін маршрутами BGP

Після перевірки сеансу BGP для обох тунелів переконайтеся, що правильні маршрути надсилаються та отримуються зі сторони виділеного екземпляра.

Рішення Dedicated Instance VPN передбачає встановлення двох тунелів з боку клієнта/партнера. Перший тунель вказує на виділений центр обробки даних екземпляра A, а другий тунель вказує на виділений центр обробки даних екземпляра B. Обидва тунелі повинні бути в активному стані, і рішення вимагає активного/активного розгортання. Кожен виділений центр обробки даних буде рекламувати свій локальний /25 маршрут, а також резервний маршрут/24. Перевіряючи вхідні маршрути BGP з виділеного екземпляра, переконайтеся, що сеанс BGP, пов 'язаний з тунелем, що вказує на центр обробки даних виділеного екземпляра A, отримує локальний маршрут центру обробки даних виділеного екземпляра A /25, а також резервний маршрут/24. Крім того, переконайтеся, що тунель, що вказує на центр обробки даних виділеного екземпляра B, отримує локальний маршрут центру обробки даних виділеного екземпляра B /25, а також резервний маршрут/24. Зверніть увагу, що маршрут резервного копіювання/24 буде тим самим маршрутом, який рекламується в центрі обробки даних виділеного екземпляра A та центрі обробки даних виділеного екземпляра B.

Резервування надається центру обробки даних виділеного екземпляра, якщо інтерфейс тунелю до цього центру обробки даних знижується. Якщо зв 'язок з виділеним центром обробки даних екземпляра A буде втрачено, трафік буде перенаправлено з виділеного центру обробки даних екземпляра B до центру обробки даних A. У цьому сценарії тунель до центру обробки даних B буде використовувати маршрут центру обробки даних B /25 для відправки трафіку до центру обробки даних B, а тунель до центру обробки даних B буде використовувати резервний /24 маршрут для відправки трафіку до центру обробки даних A через центр обробки даних B.

Важливо, щоб, коли обидва тунелі активні, тунель A центру обробки даних не використовувався для відправки трафіку до центру обробки даних B і навпаки. У цьому сценарії, якщо трафік надсилається до центру обробки даних A з призначенням центру обробки даних B, центр обробки даних A пересилає трафік до центру обробки даних B, а потім центр обробки даних B намагається відправити трафік назад до джерела через тунель центру обробки даних B. Це призведе до неоптимальної маршрутизації, а також може порушити проходження трафіку через брандмауери. Тому важливо, щоб обидва тунелі були в активній/активній конфігурації під час нормальної роботи.

Маршрут 0.0.0.0/0 повинен бути прорекламований від сторони клієнта до сторони центру обробки даних Dedicated Instance. Більш конкретні маршрути не будуть прийняті на стороні виділеного екземпляра. Переконайтеся, що маршрут 0.0.0.0/0 рекламується як з тунелю A Центру обробки даних виділеного екземпляра, так і з тунелю B Центру обробки даних виділеного екземпляра.

Конфігурація MTU

На стороні виділеного екземпляра увімкнено дві функції для динамічного налаштування MTU для великих розмірів пакетів. Тунель GRE додає більше заголовків до IP-пакетів, що проходять через сеанс VPN. Тунель IPsec додає додаткові заголовки поверх заголовків GRE, що ще більше зменшить найбільший MTU, дозволений над тунелем.

Тунель GRE налаштовує функцію MSS, а шлях тунелю GRE у функції виявлення MTU ввімкнено на стороні виділеного екземпляра. Налаштуйте "ip tcp adjust-mss 1350" або еквівалентну команду, а також "шлях тунелю\ u0002mtu-discovery" або еквівалентну команду на стороні клієнта, щоб допомогти з динамічним налаштуванням MTU трафіку через тунель VPN.