介绍

虚拟连接是云连接到专用实例(专用实例)的附加Webex Calling选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。此连接选项使用现有客户设施设备 (CPE) 和互联网连接快速加快专用网络连接。

Cisco 在需要服务的 Cisco 专用实例数据中心区域主持、管理和确保冗余 IP VPN 隧道和所需的互联网访问。同样,管理员还负责其相应的 CPE 和互联网服务(虚拟连接设置需要这些服务)。

特定专用实例区域的每一个虚拟连接订单包括两个通用路由桥 (NF) 隧道,这些隧道受 IPSec 加密(通过 IPSec 的 SSL 保护),每个 Cisco 在所选区域的数据中心各一个。

虚拟连接每个隧道的带宽限制为 250 Mbps,建议用于较小的部署。由于使用两个点对点 VPN 隧道,所有到云的流量必须经过客户前端 CPE,因此,在有许多远程站点的地方可能并不适合它。有关其他对等连接选项,请参阅 云连接

在提交虚拟连接的对等请求之前,请确保专用实例服务已在相应区域中激活。

必要条件

建立虚拟连接的先决条件包括:

  • 客户提供

    • 足以支持部署的可用带宽的互联网连接

    • 两个 IPSec 隧道的公共 IP 地址

    • 客户一侧的 1000 个 12000 和 12000 个 12000 或 3000 个 120

  • 合作伙伴和客户

    • 通过协作评估带宽要求

    • 确保网络设备支持 BGP 边界网关协议 IPSec 隧道设计

  • 合作伙伴或客户提供

    • 具备站点对站点 VPN 隧道技术知识的网络团队

    • 具备 BGP、eBGP 和通用路由原理的知识的网络团队

  • Cisco

    • Cisco 为 VPN 隧道接口分配专用自动系统号码 (ASNS) 和瞬态 IP 地址

    • Cisco 为专用实例云地址分配了公共而非互联网可路由类 C (/24) 网络

如果客户只有 1 个 CPE 设备,则每个区域中的 2 条向 Cisco 数据中心(DC1 和 DC2)的隧道将来自该 CPE 设备。客户还可以选择 2 个 CPE 设备,那么每个 CPE 设备应仅连接到每个区域中的 1 个隧道,以至 Cisco 的数据中心(DC1 和 DC2)。要达到更多冗余,可以在客户的基础结构中终止各个隧道(位于单独的物理站点/位置中)。

技术详情

部署模型

虚拟连接使用双层前端体系结构,其中路由和流量控制设置由一个设备提供,IPSec 控制飞机由另一台设备提供。

在完成虚拟 连接 连接后,将在客户的企业网络和 Cisco 专用实例的数据中心之间创建两个通过 IPSec 的 4000 至 19993 年 4 月 24 日 24933 年 12 月 24 日。。每个冗余数据中心位于各“地区”内。合作伙伴或客户通过 Control Hub 虚拟连接激活表单向 Cisco 交换对等连接所需的其他联网元素。

下图显示了客户端 2 集中器选项的虚拟连接部署模型示例。

虚拟连接 - VPN 是 Hub 设计,客户的 Hub 站点连接到特定区域内的专用实例的 DC1 和 DC2 数据中心。

建议使用两个 Hub 站点以实现更好的冗余,但是一个拥有两个隧道的 Hub 站点也是受支持的部署模型。

每个隧道的带宽限制为 250 Mbps。为了确保有效的故障转移,两个隧道之间的总流量不得超过 250 Mbps,因为一旦发生故障,所有流量都将通过一个隧道进行路由。

在同一地区的客户远程站点,将需要通过客户的 WAN 重新连接到 Hub 站点,并且 Cisco 不负责该连接。

合作伙伴应与客户密切合作,确保为 Virtual Connect 服务区域选择最优路径。

下图显示了专用实例云连接对等区域。

虚拟连接区域

路由

虚拟连接加载项的路由通过专用实例与客户本地设备 (CPE) 之间的外部 BGP (eBGP) 实现。Cisco 将针对一个地区的每个冗余 DC 将各自的网络播发到客户的 CPE,而 CPE 需要将缺省路由播发到 Cisco。

  • Cisco 维护和分配

    • 隧道接口 IP 地址(传送的瞬态链接)Cisco 从指定的共享地址空间分配(不可公开路由)

    • 隧道传输解说地址(Cisco 一方)

    • 用于客户 BGP 路由配置的专用自治系统号码 (ASNS)

      • Cisco 从指定的专用使用范围分配:64512 到 65534

  • eBGP 用于在专用实例和 CPE 之间交换路由

    • Cisco 将分配 /24 网络分给相应区域每个 DC 的 2 /25 一个。

    • 在虚拟连接中,Cisco 通过各自的点对点 VPN 隧道(瞬态链接)将每个 /25 网络播发回 CPE。

    • CPE 必须配置有相应的 eBGP 位位器。如果使用 1 个 CPE,将使用两个 eBGP 高分值,一个指向每个远程隧道。如果使用两个 CPE,那么每个 CPE 都有一个 eBGP neighbor neighborit to single remote tunnel to CPE。

    • 每个 BGP 隧道(隧道接口 IP)的 Cisco 端配置为 CPE 上的 BGP 相邻

    • 需要 CPE 才能在每个隧道上播发缺省路由

    • CPE 可重新分发(根据要求)在客户企业网络中学习路由。

  • 在非故障链接失败的状况下,单个 CPE 将拥有两个活动/活动隧道。对于两个 CPE 节点,每个 CPE 都有一个活动隧道,两个 CPE 节点都应活动且传递流量。在非故障情况下,流量必须分流到正确的 /25 个目的地的两个隧道,如果其中一个隧道下行,其余隧道可同时传输这两个流量。在此类故障情境下,当 /25 网络出现故障时,将 /24 网络用作备份路由。Cisco 会通过内部 WAN 将客户流量发送到丢失连接的 DC。

虚拟连接流量

两条隧道通车时的交通流量

专用实例 - 虚拟连接

该图展示了 Virtual Connect 网络架构,详细说明了主隧道和辅助隧道均运行时的流量。

它代表了一种主动连接模型,客户可以访问思科数据中心托管的 UC 应用程序,利用双重 GRE/IPSEC 使用 BGP 在互联网上建立隧道以交换路由。

定义:

  • 客户前提:
    • 这代表客户的现场网络,用户及其设备(例如,IP 电话、运行 UC 客户端的计算机)位于此处。
    • 来自这里的流量需要到达思科数据中心托管的 UC 应用程序。
  • Cisco Webex Calling 专用实例(专用实例)数据中心(WxC-DI DC-A 和 WxC-DI DC-B):
    • 这些是托管 UC 应用程序的思科数据中心。
    • DC-A 和 DC-B 在地理位置上不同,从而提供冗余。
    • 每个数据中心都有自己的 UC 应用程序子网:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec 隧道(1号隧道和2号隧道):
    • 这些是通过公共互联网在 客户端思科数据中心 之间建立的安全加密连接。
    • GRE(通用路由封装):该协议用于在虚拟点对点链路内封装各种网络层协议。它允许 BGP 等路由协议通过隧道运行。
    • IPsec(Internet 协议安全):这套协议为 IP 通信提供加密安全服务(身份验证、完整性、机密性)。它对 GRE 封装的流量进行加密,确保互联网上的数据安全传输。
  • 边界网关协议(BGP):
    • BGP 是用于在 客户场所Cisco 数据中心之间交换路由信息的路由协议。

如上图所示,部署在客户场所的设备需要建立两个 GRE/IPSEC 隧道。

下面使用的命名约定是 XX / YY、DC-A DC-B 是所有提供专用实例的区域的通用名称。这些值对于每个地区都是唯一的,并且是每个地区的实际值。具体值是在虚拟连接激活期间提供的。

在思科端,IPSec 和 GRE 隧道将在不同的设备上终止。因此,客户必须确保在设备上相应地配置 IPSec 目标和 GRE 目标 IP。如果客户的设备支持 GRE 和 IPSEC,他们可以对它们使用相同的 IP。请参阅上图。在门户上激活虚拟连接期间提供 IP 相关值。

  • 隧道 1: 通过互联网将客户端连接到“专用实例 DC-A”(数据中心 A)。该隧道使用 BGP AS:64XX1 在客户端和 BGP AS:64XX2 在专用实例 DC-A 端。IPSEC 和 GRE 隧道源配置分为客户提供的详细信息和 Cisco 提供的详细信息。
  • 隧道 2: 通过互联网将客户端连接到“专用实例 DC-B”(数据中心 B)。该隧道使用 BGP AS:64YY1 在客户端和 BGP AS:64YY2 在专用实例 DC-B 端。与隧道 1 一样,IPSEC 和 GRE 隧道源配置在客户和思科之间共享。

在 BGP 中 AS:64XX 和 BGP AS:64YY, XX 和 YY 特定于某个区域。

一旦 GRE/IPSEC 建立到 Webex Calling 专用实例数据中心(A 和 B)的隧道后,客户应该会通过相应的 BGP 会话收到从 Cisco 通告的以下路由。

  • 对于 DC-A:从思科发布的路线将 X.X.X.0/25 和 X.X.x.0/24. (可选)如果为客户路由请求并配置了 IaaS Y.Y.Y.0/25 和 Y.Y.Y.0/24 将会由思科进行宣传。
  • 对于 DC-B:从思科发布的路线将 X.X.X.128/25 和 X.X.x.0/24. (可选)如果为客户路由请求并配置了 IaaS Y.Y.Y.128/25 和 Y.Y.Y.0/24 将会由思科进行宣传。
  • 客户需要宣传 0.0.0./0 通过两个连接(隧道)路由到思科
  • 客户必须遵循最长的前缀 (/25) 当两个隧道都启动时,路由通过相应的隧道将流量发送到思科。
  • 思科将通过相同的隧道返回流量以保持流量对称。

交通流量:

  • 发往“DC-A UC 应用”的流量 (X.X.X.0/25) 从客户处流经隧道 1。
  • 发往“DC-B UC 应用”的流量 (X.X.X.128/25) 来自客户场所的流量通过隧道 2。

故障转移场景 : 当其中一条隧道关闭时,交通流量

专用实例 - 虚拟连接

如上图所示,当通往 DC-A 的隧道中断时,通过隧道建立的通往 DC-A 的 BGP 也将中断。

对 BGP的影响 : 当隧道 1 中断时,该隧道上的 BGP 会话也将中断。因此,DC-A 将不再能够通告其路由(特别是 X.X.X.0/25) 通过此路径发送给客户。因此,客户路由器将检测到该路径不可达。

现在,由于隧道 1 已关闭,客户所在地的客户路由器将自动从其路由表中删除通过隧道 1 了解到的路由或将其标记为不可达。

  • 发往 UC 应用网络的流量 (X.X.X.0/24) 或 DC-A 子网 (X.X.X.0/25) 然后将通过工作隧道重定向到 DC-B,DC-B 继续通告 X.X.X.0/24 其中包括 X.X.X.0/25 网络。
  • 如果到 DC-B 的隧道关闭而到 DC-A 的隧道仍然开启,则会看到类似的行为。

连接过程

以下高级步骤说明如何与专用实例的虚拟 Connect 建立连接。
1

在 Cisco CCW 中下单

2

从 Control Hub 激活虚拟连接

3

Cisco 执行网络配置

4

客户执行网络配置

步骤 1:CCW 订单

虚拟连接是 CCW 中专用实例的附加组件。

1

导航至 CCW 订购站点,然后单击登录以登录站点:

https://apps.cisco.com/Commerce/guest.
2

创建估计值。

3

添加“A-FLEX-3”SKU。

4

选择编辑选项。

5

在出现的订阅标签页中,选择选项和加载项。

6

在附加附加组件下,选中“专用实例虚拟连接”旁的复选框。SKU 名称为“A-FLEX-DI-VC”。

7

输入需要虚拟连接的区域的数量和数量。

虚拟连接数量不应超出为专用实例购买的区域总数。此外,每个区域只允许有一个虚拟连接订单。
8

当您对选择感到满意时,单击页面右上角的验证并保存。

9

单击“保存并继续”,完成您的订单。您最终的订单现在将在订单网格中处理。

步骤 2:在 Control Hub 中激活虚拟连接

1

登录到 Control Hub https://admin.webex.com/login

2

在服务 部分中 ,导航 至呼叫>专用>云连接

3

在虚拟连接卡中列出购买的虚拟连接数量。管理员现在可单击 激活 以启动虚拟连接激活。

激活过程只能由具有“客户完全权限管理员”角色的管理员触发。但是,具有“客户只读管理员”角色的管理员只能查看状态。
4

单击“ 激活 ”按钮后 ,将显示“激活虚拟连接 ”表单,以便管理员提供 Cisco 一侧对等配置所需的虚拟连接技术详细信息。

该表单还提供基于所选区域在 Cisco 一侧的静态信息。这些信息对于客户管理员非常有用,他们在一侧配置 CPE 以建立连接。

  1. GRE隧道传输IP地址: 客户必须提供客户的侧隧道传输 IP 地址,并且 Cisco 将在激活完成后动态分配 IP 地址。用于趣味流量的 IPSec ACL 应允许本地隧道传输 IP/32 至远程隧道传输 IP/32。ACL 还应仅指定一个 只支持 1000 000 个 1000 000 1000 0

    客户提供的 IP 地址可以是私有的,也可以为公用的。

  2. IPSec 对等体: 客户必须提供 IPSec 隧道的源 IP 地址,Cisco 分配 IPSec 目标 IP 地址。如果需要,还可执行将内部 IPSEC 隧道地址到公用地址的 NAT 转换。

    客户提供的 IP 地址应该为公开地址。

    激活屏幕中提供的其他静态信息均符合 Cisco 的安全和加密标准。该静态配置不可自定义或修改。对于 Cisco 一方静态配置的任何进一步协助,客户将需要联系 TAC。
5

在填写 所有 必填字段后,单击激活按钮。

6

在部分部分区域完成虚拟连接激活表单后,客户可以从 Control Hub、呼叫 > 专用实例 > 云连接标签页导出激活表单并单击导出设置。

出于安全原因,身份验证和 BGP 密码将不会在导出的文档中提供,但管理员可以通过单击 Control Hub 下的 查看设置 ,在 Control Hub 中查看相同的内容。 > 专用实例 > 云连接选项卡。

步骤 3:Cisco 执行网络配置

1

虚拟连接激活表单完成后 ,状态将更新为“呼叫云连接虚拟连接”卡中的>进行中的>操作。

2

思科将在 5个工作日内完成思科方设备所需的配置。成功完成后,Control Hub 中该特定区域的状态将被更新为“已激活”。

步骤 4:客户执行网络配置

状态更改为“已激活”以通知客户管理员 Cisco 一侧的 IP VPN 连接配置已根据客户提供的输入完成。但是,客户管理员应该完成其一侧的 CPEs 配置,并测试虚拟连接隧道的连接路由为在线。如果配置或连接时遇到任何问题,客户可以联系 Cisco TAC 寻求帮助。

疑难解答

IPsec 第一阶段(IKEv2 协商)故障排除和验证

IPsec隧道协商包括两个阶段:IKEv2阶段和IPsec阶段。如果 IKEv2 阶段协商未完成,则不会启动第二个 IPsec 阶段。首先,在第三方设备上发出命令“show crypto ikev2 sa”(在思科设备上)或类似命令,以验证 IKEv2 会话是否处于活动状态。如果 IKEv2 会话未激活,则可能的原因如下:

  • 有趣的流量不会触发 IPsec 隧道。

  • IPsec 隧道访问列表配置错误。

  • 客户与专用实例 IPsec 隧道端点 IP 之间没有连接。

  • 专用实例端和客户端之间的 IKEv2 会话参数不匹配。

  • 防火墙正在阻止 IKEv2 UDP 数据包。

首先,检查 IPsec 日志中是否有任何显示 IKEv2 隧道协商进度的消息。日志可能表明 IKEv2 协商中存在问题的地方。缺少日志消息也可能表明 IKEv2 会话未被激活。

IKEv2 协商的一些常见错误包括:

  • CPE 端的 IKEv2 设置与 Cisco 端不匹配,请重新检查提到的设置:

    • 检查IKE版本是否为版本2。

    • 验证加密和身份验证参数是否与专用实例端的预期加密匹配。

      当使用“GCM”密码时,GCM 协议处理身份验证并将身份验证参数设置为 NULL。

    • 验证使用寿命设置。

    • 验证 Diffie Hellman 模量组。

    • 验证伪随机函数设置。

  • 加密映射的访问列表未设置为:

    • 允许 GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255"(或等效命令)

      访问列表必须专门针对“GRE”协议,“IP”协议将不起作用。

如果日志消息没有显示 IKEv2 阶段的任何协商活动,则可能需要捕获数据包。

专用实例端可能不会总是开始 IKEv2 交换,有时可能期望客户 CPE 端作为发起者。

检查 CPE 端配置是否满足以下 IKEv2 会话启动的先决条件:

  • 检查从 CPE 隧道传输 IP 到专用实例隧道传输 IP 的 GRE 流量(协议 50)的 IPsec 加密访问列表。

  • 确保 GRE 隧道接口已启用 GRE 保持连接,如果设备不支持 GRE 保持连接,则会通知 Cisco,因为默认情况下将在专用实例端启用 GRE 保持连接。

  • 确保已启用 BGP 并配置专用实例隧道 IP 的邻居地址。

正确配置后,将开始 IPsec 隧道和第一阶段 IKEv2 协商:

  • 从 CPE 端 GRE 隧道接口到专用实例端 GRE 隧道接口的 GRE 保持连接。

  • 从 CPE 端 BGP 邻居到专用实例端 BGP 邻居的 BGP 邻居 TCP 会话。

  • 从 CPE 侧隧道 IP 地址 ping 专用实例侧隧道 IP 地址。

    Ping 不能是隧道传输 IP 到隧道传输 IP,必须是隧道 IP 到隧道 IP。

如果 IKEv2 流量需要数据包跟踪,请设置 UDP 过滤器和端口 500(当 IPsec 端点中间没有 NAT 设备时)或端口 4500(当 IPsec 端点中间插入 NAT 设备时)。

验证端口为 500 或 4500 的 IKEv2 UDP 数据包是否与 DI IPsec IP 地址发送和接收。

专用实例数据中心可能不会总是启动第一个 IKEv2 数据包。要求是 CPE 设备能够向专用实例端发起第一个 IKEv2 数据包。

如果本地防火墙允许,则也尝试 ping 远程 IPsec 地址。如果从本地到远程 IPsec 地址的 ping 操作不成功,则执行跟踪路由来提供帮助,并确定数据包丢失的位置。

某些防火墙和互联网设备可能不允许跟踪路由。

IPsec 第二阶段(IPsec 协商)故障排除和验证

在对 IPsec 第二阶段进行故障排除之前,请验证 IPsec 第一阶段(即 IKEv2 安全关联)是否处于活动状态。执行“show crypto ikev2 sa”或等效命令来验证 IKEv2 会话。在输出中,验证 IKEv2 会话是否已启动超过几秒钟并且没有反弹。会话正常运行时间在输出中显示为会话“活动时间”或等效时间。

一旦 IKEv2 会话验证已启动并处于活动状态,请调查 IPsec 会话。与 IKEv2 会话一样,执行“show crypto ipsec sa”或等效命令来验证 IPsec 会话。在建立 GRE 隧道之前,IKEv2 会话和 IPsec 会话都必须处于活动状态。如果 IPsec 会话未显示为活动状态,请检查 IPsec 日志中是否存在错误消息或协商错误。

IPsec 协商期间可能遇到的一些更常见问题是:

CPE端的设置与专用实例端的设置不匹配,请重新检查设置:

  • 验证加密和身份验证参数是否与专用实例端的设置匹配。

  • 验证完美前向保密设置以及专用实例端的匹配设置。

  • 验证生命周期设置。

  • 验证 IPsec 是否已在隧道模式下配置。

  • 验证源和目标 IPsec 地址。

隧道接口故障排除和验证

当 IPsec 和 IKEv2 会话被验证为启动且处于活动状态时,GRE 隧道保持活动数据包能够在专用实例和 CPE 隧道端点之间流动。如果隧道接口未显示状态,则一些常见问题是:

  • 隧道接口传输 VRF 与环回接口的 VRF 不匹配(如果隧道接口上使用了 VRF 配置)。

    如果隧道接口上没有使用VRF配置,则可以忽略此检查。

  • CPE 侧隧道接口上未启用 Keepalive

    如果 CPE 设备不支持保持连接,则必须通知思科,以便专用实例端的默认保持连接也被禁用。

    如果支持保持连接,请验证保持连接是否已启用。

  • 隧道接口的掩码或 IP 地址不正确,与专用实例预期值不匹配。

  • 源或目标隧道传输地址不正确,与专用实例预期值不匹配。

  • 防火墙阻止 GRE 数据包发送到 IPsec 隧道或从 IPsec 隧道接收(GRE 隧道通过 IPsec 隧道传输)

ping 测试应验证本地隧道接口是否已启动以及与远程隧道接口的连接是否良好。从隧道 IP(不是传输 IP)到远程隧道 IP 执行 ping 检查。

承载 GRE 隧道流量的 IPsec 隧道的加密访问列表仅允许 GRE 数据包通过。因此,从隧道传输 IP 到远程隧道传输 IP 的 ping 操作将不起作用。

ping 检查的结果是生成一个从源隧道传输 IP 到目标隧道传输 IP 的 GRE 数据包,而 GRE 数据包的有效负载(内部 IP)将是源和目标隧道 IP。

如果 ping 测试不成功,并且验证了上述项目,则可能需要进行数据包捕获,以确保 icmp ping 产生 GRE 数据包,然后将其封装到 IPsec 数据包中,然后从源 IPsec 地址发送到目标 IPsec 地址。GRE 隧道接口上的计数器和 IPsec 会话计数器也可以帮助显示发送和接收数据包是否在增加。

除了 ping 流量之外,捕获还应显示即使在空闲流量期间也保持活动的 GRE 数据包。最后,如果配置了 BGP,BGP 保持活动数据包也应作为封装在 IPSEC 数据包中的 GRE 数据包通过 VPN 发送。

BGP 故障排除和验证

BGP 会话

VPN IPsec 隧道上需要 BGP 作为路由协议。本地 BGP 邻居应该与专用实例 BGP 邻居建立 eBGP 会话。eBGP 邻居 IP 地址与本地和远程隧道 IP 地址相同。首先确保 BGP 会话已启动,然后验证是否从专用实例接收了正确的路由,并且正确的默认路由是否发送到专用实例。

如果 GRE 隧道已启动,请验证本地和远程 GRE 隧道 IP 之间的 ping 是否成功。如果 ping 成功但 BGP 会话未启动,则调查 BGP 日志中是否存在 BGP 建立错误。

一些更常见的 BGP 协商问题包括:

  • 远程 AS 号与专用实例端配置的 AS 号不匹配,请重新检查邻居 AS 配置。

  • 本地 AS 编号与专用实例端预期的不匹配,请验证本地 AS 编号是否与预期的专用实例参数匹配。

  • 防火墙阻止封装在 GRE 数据包中的 BGP TCP 数据包发送到 IPsec 隧道或从 IPSEC 隧道接收

  • 远程 BGP 邻居 IP 与远程 GRE 隧道 IP 不匹配。

BGP路由交换

一旦验证了两个隧道的 BGP 会话,请确保从专用实例端发送和接收正确的路由。

专用实例 VPN 解决方案需要从 customer/partner 边。第一条隧道指向专用实例数据中心 A,第二条隧道指向专用实例数据中心 B。两条隧道必须处于活动状态,并且该解决方案需要 active/active 部署。每个专用实例数据中心都会公布其本地 /25 路线以及 /24 备用路线。检查来自专用实例的传入 BGP 路由时,确保与指向专用实例数据中心 A 的隧道关联的 BGP 会话接收专用实例数据中心 A /25 当地路线以及 /24 备用路线。此外,确保指向专用实例数据中心 B 的隧道接收专用实例数据中心 B /25 当地路线以及 /24 备用路线。请注意 /24 备份路由将与专用实例数据中心 A 和专用实例数据中心 B 公布的路由相同。

如果到专用实例数据中心的隧道接口出现故障,则会为该数据中心提供冗余。如果与专用实例数据中心 A 的连接丢失,则流量将从专用实例数据中心 B 转发到数据中心 A。在这种情况下,到数据中心 B 的隧道将使用数据中心 B /25 路由将流量发送到数据中心 B,而到数据中心 B 的隧道将使用备份 /24 通过数据中心 B 将流量发送到数据中心 A 的路由。

重要的是,当两个隧道都处于活动状态时,数据中心 A 隧道不会用于向数据中心 B 发送流量,反之亦然。在这种情况下,如果流量发送到数据中心 A 并且目的地是数据中心 B,则数据中心 A 会将流量转发到数据中心 B,然后数据中心 B 将尝试通过数据中心 B 隧道将流量发送回源。这将导致次优路由,还可能破坏穿越防火墙的流量。因此,两条隧道必须处于 active/active 正常运行期间的配置。

这 0.0.0.0/0 路由必须从客户端通告到专用实例数据中心端。专用实例端将不接受更具体的路线。确保 0.0.0.0/0 路由从专用实例数据中心 A 隧道和专用实例数据中心 B 隧道中公布。

MTU配置

在专用实例方面,启用了两个功能来动态调整大数据包大小的 MTU。GRE 隧道为流经 VPN 会话的 IP 数据包添加更多标头。IPsec 隧道在 GRE 报头顶部添加额外的报头,将进一步减少隧道允许的最大 MTU。

专用实例端启用了MTU发现功能中的GRE隧道调整MSS功能和GRE隧道路径。配置“ip tcp Adjust-mss 1350”或等效命令以及“隧道 path\u0002mtu-discovery" 或在客户端使用等效命令来帮助动态调整通过 VPN 隧道的流量的 MTU。