簡介

虛擬 Connect 是雲端與專用實例(專用實例)的Webex Calling附加元件選項。虛擬連接使客戶能夠使用點到點 IP VPN 隧道,在網際網路上安全地延伸其私人網路。此連接選項使用現有的客戶部署設備 (CPE) 和網際網路連接,快速建立私人網路連接。

Cisco 在需要服務的 Cisco 專用實例資料中心地區託管、管理和確保冗余 IP VPN 隧道和所需的網際網路存取權。同樣地,管理員負責建立虛擬 Connect 所需的相應 CPE 和網際網路服務。

特定專用實例區域的每個虛擬 Connect 訂單將包含兩個通用路由封裝 (GRE) 隧道,受 IPSec 加密 (GRE over IPSec) 保護,一個到所選地區中每個 Cisco 的資料中心。

虛擬 Connect 每個管道的頻寬限制為 250 Mbps,建議用於較小的部署。由於使用兩個點到點 VPN 隧道,至雲端的所有流量必須經過客戶前端 CPE,因此它不適用於存在許多遠端月臺的地方。有關其他替代對等選項,請參閱 雲端連接

在提交虛擬連線的對等請求之前,請確保專用實例服務已在相應區域中啟動。

必要條件

建立虛擬 Connect 的先決條件包括:

  • 客戶提供

    • 網際網路連接,具有足夠的可用頻寬來支援部署

    • 兩個 IPSec 隧道的公用 IP 位址

    • 兩個 GRE 隧道的用戶端 GRE 傳輸 IP 位址

  • 合作夥伴和客戶

    • 協同工作以評估頻寬需求

    • 確保網路裝置支援 邊界閘道通訊協定 (BGP) 路由和一個 GRE over IPSec 隧道設計

  • 合作夥伴或客戶提供

    • 瞭解網站至網站 VPN 隧道技術的網路團隊

    • 瞭解 BGP、eBGP 及一般路由原理的網路小組

  • Cisco

    • Cisco 為 GRE 隧道介面指派了私人自動傳訊系統號碼 (ASN) 和暫時 IP 定址

    • Cisco 為專用實例雲端定址指定公開但非網際網路路由類別 C (/24) 網路

如果客戶只有 1 個 CPE 裝置,則每個地區的 2 個到 Cisco 資料中心(DC1 和 DC2)的隧道將來自該 CPE 裝置。客戶也有 2 個 CPE 裝置的選項,則每個 CPE 裝置應該僅連接到每個地區的 Cisco 資料中心(DC1 和 DC2)的 1 個管道。可以終止客戶基礎結構內不同實體網站/位置中的每個隧道,實現附加的冗余。

技術詳細資料

部署模型

Virtual Connect 使用雙重前端架構,其中路由和 GRE 控制端由一個裝置提供,而 IPSec 控制平面由另一個裝置提供。

完成虛擬 Connect 連接後,將在客戶的商業網路和 Cisco 專用實例資料中心之間建立兩個 GRE over IPSec 隧道。一個到各自地區內的每個冗余資料中心。對等所需的其他網路元素由合作夥伴或客戶透過 Control Hub 虛擬 Connect 啟動表單交換給 Cisco。

下圖顯示了用戶端 2 集中器選項的虛擬連線部署模型範例。

Virtual Connect - VPN 是中樞設計,客戶的中樞網站連接到特定地區內專用實例資料中心的 DC1 和 DC2。

建議使用兩個中樞網站以提供更好的冗余,但具有兩個隧道的一個中樞網站也支援部署模型。

每個隧道的頻寬限制為 250 Mbps。為了確保有效的故障轉移,兩個隧道之間的總流量不得超過 250 Mbps,因為一旦發生故障,所有流量都將透過一個隧道進行路由。

客戶在同一地區的遠端網站,將需要通過客戶的 WAN 重新連接到中樞網站,而 Cisco 對於該連接不負責。

合作夥伴應與客戶密切合作,確保為 Virtual Connect 服務區域選擇最優路徑。

下圖顯示了專用實例雲端連線對等區域。

虛擬連接區域

路由

虛擬 Connect 附加元件路由是使用專用例項與客戶內部部署設備 (CPE) 之間的外部 BGP (eBGP) 執行。Cisco 會針對一個地區的每個冗余 DC 將各自網路通告客戶的 CPE,而且需要 CPE 才能通告到 Cisco 的預設路由。

  • Cisco 維護及指定

    • 隧道介面 IP 定址(路由的暫時連結)Cisco 從指定的共用位址空間指派(無法公開路由)

    • 隧道傳輸解說位址(Cisco 端)

    • 用於客戶 BGP 路由組的私人獨立系統號碼 (ASN)

      • Cisco 從指定的私人使用範圍指定:64512 到 65534

  • eBGP 用於交換專用例項與 CPE 之間的路由

    • Cisco 將針對各自區域的每一個 DC 將指定的 /24 網路分割為 2 /25 一個

    • 在 Virtual Connect 中,Cisco 將每個 /25 網路通告回 CPE,其方式為各點至點 VPN 隧道(暫時鏈結)

    • CPE 必須使用適當的 eBGP 多埠來組配置。如果使用一個 CPE,將會使用兩個 eBGP 專案,一個指向每個遠端隧道。如果使用兩個 CPE,則每個 CPE 都將有一個 eBGP 鄰接點到 CPE 的單一遠端隧道。

    • 每個 GRE 隧道的 Cisco 端(隧道介面 IP)在 CPE 上會當做 BGP 鄰接方

    • 需要 CPE 才能在每個隧道上通告預設路由

    • CPE 需要重新分發,在 cutomer 的商業網路中執行得知的路由。

  • 在非失敗連結失敗狀況下,單一 CPE 將具有兩個使用中/主動的隧道。對於兩個 CPE 節點,每個 CPE 將具有一個使用中的隧道,而且兩個 CPE 節點都應該在使用中且傳遞流量。在非失敗情況下,流量必須分割成兩個進入正確 /25 目的地的隧道,如果其中一個隧道關閉,則剩餘的隧道可以同時為兩者傳輸流量。在此類失敗情況下,當 /25 網路當掉時,則 /24 網路用作備份路由。Cisco 將透過內部 WAN 將客戶流量傳送給中斷連接之 DC。

虛擬連線流量

兩條隧道通車時的交通流量

專用實例 - 虛擬連接

此圖展示了 Virtual Connect 網路架構,詳細說明了主隧道和輔助隧道均運作時的流量。

它代表了一種主動連接模型,客戶可以存取思科資料中心託管的 UC 應用程序,利用雙重 GRE/IPSEC 使用 BGP 在網際網路上建立隧道以交換路由。

定義:

  • 客戶前提:
    • 這代表客戶的現場網絡,使用者及其設備(例如,IP 電話、運行 UC 用戶端的電腦)位於此處。
    • 來自這裡的流量需要到達思科資料中心託管的 UC 應用程式。
  • Cisco Webex Calling 專用實例(專用實例)資料中心(WxC-DI DC-A 和 WxC-DI DC-B):
    • 這些是託管 UC 應用程式的思科資料中心。
    • DC-A 和 DC-B 在地理位置上不同,從而提供冗餘。
    • 每個資料中心都有自己的 UC 應用程式子網路:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec 隧道(1號隧道和2號隧道):
    • 這些是透過公共網際網路在 客戶端思科資料中心 之間建立的安全加密連線。
    • GRE(通用路由封裝):此協定用於在虛擬點對點鏈路內封裝各種網路層協定。它允許 BGP 等路由協定通過隧道運行。
    • IPsec(Internet 協定安全性):這套協定為 IP 通訊提供加密安全服務(身份驗證、完整性、機密性)。它會對 GRE 封裝的流量進行加密,確保網路上的資料安全傳輸。
  • 邊界網關協定(BGP):
    • BGP 是用於在 客戶場所Cisco 資料中心之間交換路由資訊的路由協定。

如上圖所示,部署在客戶場所的設備需要建立兩個 GRE/IPSEC 隧道。

下面使用的命名約定是 XX / YY、DC-A DC-B 是所有提供專用實例的區域的通用名稱。這些值對於每個地區都是唯一的,並且是每個地區的實際值。具體值是在虛擬連接啟動期間提供的。

在思科端,IPSec 和 GRE 隧道將在不同的裝置上終止。因此,客戶必須確保在裝置上相應地配置 IPSec 目標和 GRE 目標 IP。如果客戶的裝置支援 GRE 和 IPSEC,他們可以對它們使用相同的 IP。請參閱上圖。在入口網站上啟動虛擬連線期間提供 IP 相關值。

  • 隧道 1: 透過網際網路將客戶端連接到「專用執行個體 DC-A」(資料中心 A)。該隧道使用 BGP AS:64XX1 在客戶端和 BGP AS:64XX2 在專用實例 DC-A 端。IPSEC 和 GRE 隧道來源配置分為客戶提供的詳細資訊和 Cisco 提供的詳細資訊。
  • 隧道 2: 透過網際網路將客戶端連接到「專用執行個體 DC-B」(資料中心 B)。該隧道使用 BGP AS:64YY1 在客戶端和 BGP AS:64YY2 在專用實例 DC-B 端。與隧道 1 一樣,IPSEC 和 GRE 隧道來源配置在客戶和思科之間共用。

在 BGP 中 AS:64XX 和 BGP AS:64YY, XX 和 YY 特定於某個區域。

一旦 GRE/IPSEC 建立到 Webex Calling 專用實例資料中心(A 和 B)的隧道後,客戶應該會收到透過對應的 BGP 會話從 Cisco 通告的以下路由。

  • 對於 DC-A:從思科發布的路線將 X.X.X.0/25 和 X.X.x.0/24. (可選)如果為客戶路由請求並配置了 IaaS Y.Y.Y.0/25 和 Y.Y.Y.0/24 將會由思科進行宣傳。
  • 對於 DC-B:從思科發布的路線將 X.X.X.128/25 和 X.X.x.0/24. (可選)如果為客戶路由請求並配置了 IaaS Y.Y.Y.128/25 和 Y.Y.Y.0/24 將會由思科進行宣傳。
  • 客戶需要宣傳 0.0.0./0 透過兩個連接(隧道)路由到思科
  • 客戶必須遵循最長的前綴 (/25) 當兩個隧道都啟動時,路由會透過對應的隧道將流量傳送到思科。
  • 思科將透過相同的隧道返回流量以保持流量對稱。

交通流量:

  • 發送至「DC-A UC 應用」的流量 (X.X.X.0/25) 從客戶處流經隧道 1。
  • 發送至「DC-B UC 應用」的流量 (X.X.X.128/25) 來自客戶場所的流量通過隧道 2。

故障轉移場景 : 當其中一條隧道關閉時,交通流量

專用實例 - 虛擬連接

如上圖所示,通往 DC-A 的隧道中斷時,透過隧道建立的通往 DC-A 的 BGP 也將中斷。

對 BGP的影響 : 當隧道 1 中斷時,該隧道上的 BGP 會話也會中斷。因此,DC-A 將不再能夠通告其路由(特別是 X.X.X.0/25) 透過此路徑發送給客戶。因此,客戶路由器將偵測到該路徑不可達。

現在,由於隧道 1 已關閉,客戶所在地的客戶路由器將自動從其路由表中刪除透過隧道 1 了解到的路由或將其標記為不可達。

  • 發送至 UC 應用網路的流量 (X.X.X.0/24) 或 DC-A 子網 (X.X.X.0/25) 然後將透過工作隧道重定向到 DC-B,DC-B 繼續通告 X.X.X.0/24 其中包括 X.X.X.0/25 網路。
  • 如果到 DC-B 的隧道關閉而到 DC-A 的隧道仍然開啟,則會看到類似的行為。

連接過程

下列高層級步驟說明如何使用專用實例的虛擬 Connect 建立連接。
1

在 Cisco CCW 中下單

2

從 Control Hub 啟動虛擬 Connect

3

Cisco 會執行網路組配置

4

客戶執行網路組配置

步驟 1:CCW 訂單

Virtual Connect 是 CCW 中專用實例的附加元件。

1

導覽至 CCW 訂購網站,然後按一下登入以登入網站:

https://apps.cisco.com/Commerce/guest.
2

建立估計值。

3

新增「A-FLEX-3」SKU。

4

選取編輯選項。

5

在出現的訂閱標籤中,選取選項和附加元件。

6

在附加元件下,選取「專用實例的虛擬連接」旁的勾選方塊。SKU 名稱為「A-FLEX-DI-VC」。

7

輸入需要虛擬 Connect 的地區數量和數目。

虛擬 Connect 數量不應超過為專用實例購買的總區域數。另外,每個地區只允許一個虛擬 Connect 訂單。
8

當您滿意選擇後,按一下頁面右上角的驗證並儲存。

9

按一下「儲存並繼續」以完成您的訂單。您最終完成的訂單現在會用在訂單網格中。

步驟 2:在 Control Hub 中啟動虛擬 Connect

1

請登錄 Control Hub https://admin.webex.com/login

2

在服務 段, 導覽至 Calling >專用 Instacnce >雲端連接

3

在虛擬 Connect 卡片中,列出購買的虛擬 Connect 數量。管理員現在可以按一下啟動 啟動虛擬 Connect。

啟動過程只能由具有「客戶完全管理員」角色的管理員觸發。而具有「客戶唯讀管理員」角色的管理員只能查看狀態。
4

按一下啟動 按鈕即會顯示啟動虛擬 Connect 表單,讓管理員提供 Cisco 端對等配置所需的 Virtual Connect 技術詳細資料。

此表單也會根據選取的地區在 Cisco 端提供靜態資訊。此資訊對於客戶管理員在側邊設定 CPE 以建立連線性十分有用。

  1. GRE隧道傳輸IP位址: 需要客戶提供客戶的側道傳輸 IP 位址,而 Cisco 將在啟動完成後動態配置 IP 位址。用於有趣流量的 IPSec ACL 應允許本地隧道傳輸 IP/32 至遠端隧道傳輸 IP/32。ACL 也只應該指定 GRE IP 通訊協定。

    客戶提供的 IP 位址可以是私人的或公用的。

  2. IPSec 對等體: 需要客戶提供 IPSec 隧道的來源 IP 位址,而 Cisco 會配置 IPSec 目的地 IP 位址。如果需要,也支援對內部 IPSEC 隧道位址對公用位址執行 NAT 轉換。

    客戶提供的 IP 位址應為公用。

    啟動畫面中提供的所有其它靜態資訊都是遵循 Cisco 端安全性和加密標準。此靜態組配置不可自訂或修改。對於 Cisco 端靜態配置的任何進一步協助,客戶將需要與 TAC 聯繫。
5

填入所有 必要欄位後,按一下啟用按鈕。

6

當部分地區的虛擬 Connect 啟動表單完成之後,客戶可以從 Control Hub、呼叫 > 專用實例 > 雲端連接」標籤匯出啟動表單,然後按一下匯出設定。

出於安全原因,身份驗證和 BGP 密碼將不會在匯出的文件中提供,但管理員可以透過點擊 Control Hub 下的 查看設定 ,在 Control Hub 中查看相同的內容。 > 專用實例 > 雲端連線選項卡。

步驟 3:Cisco 會執行網路組配置

1

完成虛擬 Connect 啟動表單後 ,狀態將會更新為使用雲端連接虛擬 Connect 卡片呼叫專用實例>進行>進行中。

2

思科將在 5個工作天內完成思科方設備所需的設定。成功完成後,在 Control Hub 中該特定區域的狀態將更新為「已啟動」。

步驟 4:客戶執行網路組配置

狀態變更為「已啟動」以通知客戶管理員,Cisco 端 IP VPN 連接配置已根據客戶提供的輸入完成。但是,預期客戶管理員完成其一端 CPES 上的組配置,並測試連線路由,使虛擬連線隧道連線至線上。在組配置或連接時遇到任何問題時,客戶可以聯繫 Cisco TAC 以尋求協助。

疑難排解

IPsec 第一階段(IKEv2 協商)故障排除與驗證

IPsec隧道協商包含兩個階段:IKEv2階段和IPsec階段。如果 IKEv2 階段協商未完成,則不會啟動第二個 IPsec 階段。首先,在第三方裝置上發出指令「show crypto ikev2 sa」(在思科裝置上)或類似指令,以驗證 IKEv2 會話是否處於作用中狀態。如果 IKEv2 會話未激活,則可能的原因如下:

  • 有趣的流量不會觸發 IPsec 隧道。

  • IPsec 隧道存取清單設定錯誤。

  • 客戶與專用實例 IPsec 隧道端點 IP 之間沒有連線。

  • 專用實例端和客戶端之間的 IKEv2 會話參數不符。

  • 防火牆正在阻止 IKEv2 UDP 封包。

首先,檢查 IPsec 日誌中是否有任何顯示 IKEv2 隧道協商進度的訊息。日誌可能表明 IKEv2 協商中存在問題的地方。缺少日誌訊息也可能表示 IKEv2 會話未被啟動。

IKEv2 協商的一些常見錯誤包括:

  • CPE 端的 IKEv2 設定與 Cisco 端不匹配,請重新檢查所提及的設定:

    • 檢查IKE版本是否為版本2。

    • 驗證加密和身份驗證參數是否與專用實例端的預期加密相符。

      當使用“GCM”密碼時,GCM 協定處理身份驗證並將身份驗證參數設為 NULL。

    • 驗證使用壽命設定。

    • 驗證 Diffie Hellman 模量組。

    • 驗證偽隨機函數設定。

  • 加密映射的存取清單未設定為:

    • 允許 GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255"(或等效指令)

      訪問清單必須專門針對“GRE”協議,“IP”協議將不起作用。

如果日誌訊息沒有顯示 IKEv2 階段的任何協商活動,則可能需要擷取封包。

專用實例端可能不會總是開始 IKEv2 交換,有時可能會期望客戶 CPE 端作為發起者。

檢查 CPE 端設定是否符合下列 IKEv2 會話啟動的先決條件:

  • 檢查從 CPE 隧道傳輸 IP 到專用實例隧道傳輸 IP 的 GRE 流量(協定 50)的 IPsec 加密存取清單。

  • 確保 GRE 隧道介面已啟用 GRE 保持連接,如果裝置不支援 GRE 保持連接,則會通知 Cisco,因為預設會在專用實例端啟用 GRE 保持連線。

  • 確保已啟用 BGP 並設定專用實例隧道 IP 的鄰居位址。

正確配置後,將開始 IPsec 隧道和第一階段 IKEv2 協商:

  • 從 CPE 端 GRE 隧道介面到專用實例端 GRE 隧道介面的 GRE 保持連線。

  • 從 CPE 端 BGP 鄰居到專用實例端 BGP 鄰居的 BGP 鄰居 TCP 會話。

  • 從 CPE 側隧道 IP 位址 ping 專用實例側隧道 IP 位址。

    Ping 不能是隧道傳輸 IP 到隧道傳輸 IP,必須是隧道 IP 到隧道 IP。

如果 IKEv2 流量需要封包追蹤,請設定 UDP 過濾器和連接埠 500(當 IPsec 端點中間沒有 NAT 裝置時)或連接埠 4500(當 IPsec 端點中間插入 NAT 裝置時)。

驗證連接埠為 500 或 4500 的 IKEv2 UDP 封包是否與 DI IPsec IP 位址傳送和接收。

專用實例資料中心可能不會總是啟動第一個 IKEv2 資料包。要求是 CPE 設備能夠向專用實例端發起第一個 IKEv2 封包。

如果本機防火牆允許,則也嘗試 ping 遠端 IPsec 位址。如果從本地到遠端 IPsec 位址的 ping 操作不成功,則執行追蹤路由來提供協助,並確定封包遺失的位置。

某些防火牆和網際網路設備可能不允許追蹤路由。

IPsec 第二階段(IPsec 協商)故障排除與驗證

在對 IPsec 第二階段進行故障排除之前,請先確認 IPsec 第一階段(即 IKEv2 安全關聯)是否處於作用中狀態。執行“show crypto ikev2 sa”或等效指令來驗證 IKEv2 會話。在輸出中,驗證 IKEv2 會話是否已啟動超過幾秒鐘並且沒有反彈。會話正常運行時間在輸出中顯示為會話「活動時間」或等效時間。

一旦 IKEv2 會話驗證已啟動並處於活動狀態,請調查 IPsec 會話。與 IKEv2 會話一樣,執行「show crypto ipsec sa」或等效指令來驗證 IPsec 會話。在建立 GRE 隧道之前,IKEv2 會話和 IPsec 會話都必須處於活動狀態。如果 IPsec 工作階段未顯示為活動狀態,請檢查 IPsec 日誌中是否有錯誤訊息或協商錯誤。

IPsec 協商期間可能遇到的一些更常見問題是:

CPE端的設定與專用實例端的設定不匹配,請重新檢查設定:

  • 驗證加密和身份驗證參數是否與專用實例端的設定相符。

  • 驗證完美前向保密設定以及專用實例端的匹配設定。

  • 驗證生命週期設定。

  • 驗證 IPsec 是否已在隧道模式下設定。

  • 驗證來源和目標 IPsec 位址。

隧道介面故障排除和驗證

當 IPsec 和 IKEv2 會話被驗證為啟動且處於活動狀態時,GRE 隧道保持活動封包能夠在專用實例和 CPE 隧道端點之間流動。如果隧道介面未顯示狀態,則一些常見問題是:

  • 隧道介面傳輸 VRF 與環回介面的 VRF 不符(如果隧道介面上使用了 VRF 設定)。

    如果隧道介面上沒有使用VRF配置,則可以忽略此檢查。

  • CPE 側隧道介面上未啟用 Keepalive

    如果 CPE 設備不支援保持連接,則必須通知思科,以便專用實例端的預設保持連接也被停用。

    如果支援保持連接,請驗證保持連接是否已啟用。

  • 隧道介面的遮罩或 IP 位址不正確,與專用實例預期值不符。

  • 來源或目標隧道傳輸位址不正確,與專用實例預期值不符。

  • 防火牆阻止 GRE 封包傳送至 IPsec 隧道或從 IPsec 隧道接收(GRE 隧道透過 IPsec 隧道傳輸)

ping 測試應驗證本機隧道介面是否已啟動以及與遠端隧道介面的連線是否良好。從隧道 IP(不是傳輸 IP)到遠端隧道 IP 執行 ping 檢查。

承載 GRE 隧道流量的 IPsec 隧道的加密存取清單僅允許 GRE 封包通過。因此,從隧道傳輸 IP 到遠端隧道傳輸 IP 的 ping 操作將無法運作。

ping 檢查的結果是產生一個從來源隧道傳輸 IP 到目標隧道傳輸 IP 的 GRE 封包,而 GRE 封包的有效負載(內部 IP)將是來源和目標隧道 IP。

如果 ping 測試不成功,並且驗證了上述項目,則可能需要進行封包捕獲,以確保 icmp ping 產生 GRE 封包,然後將其封裝到 IPsec 封包中,然後從來源 IPsec 位址傳送至目標 IPsec 位址。GRE 隧道介面上的計數器和 IPsec 會話計數器也可以協助顯示傳送和接收封包是否正在增加。

除了 ping 流量之外,擷取還應顯示即使在空閒流量期間也保持活動的 GRE 封包。最後,如果配置了 BGP,BGP 保持活動封包也應作為封裝在 IPSEC 封包中的 GRE 封包透過 VPN 傳送。

BGP 故障排除和驗證

BGP 會話

VPN IPsec 隧道上需要 BGP 作為路由協定。本機 BGP 鄰居應該與專用實例 BGP 鄰居建立 eBGP 會話。eBGP 鄰居 IP 位址與本機和遠端隧道 IP 位址相同。首先確保 BGP 會話已啟動,然後驗證是否從專用實例接收了正確的路由,並且正確的預設路由是否傳送到專用實例。

如果 GRE 隧道已啟動,請驗證本機和遠端 GRE 隧道 IP 之間的 ping 是否成功。如果 ping 成功但 BGP 會話未啟動,則調查 BGP 日誌中是否存在 BGP 建立錯誤。

一些較常見的 BGP 協商問題包括:

  • 遠端 AS 號與專用實例端配置的 AS 號不匹配,請重新檢查鄰居 AS 設定。

  • 本機 AS 編號與專用實例端預期的不匹配,請驗證本機 AS 編號是否與預期的專用實例參數相符。

  • 防火牆阻止封裝在 GRE 封包中的 BGP TCP 封包傳送至 IPsec 隧道或從 IPSEC 隧道接收

  • 遠端 BGP 鄰居 IP 與遠端 GRE 隧道 IP 不符。

BGP路由交換

一旦驗證了兩個隧道的 BGP 會話,請確保從專用實例端發送和接收正確的路由。

專用實例 VPN 解決方案需要從 customer/partner 邊。第一條隧道指向專用實例資料中心 A,第二個隧道指向專用實例資料中心 B。兩條隧道必須處於活動狀態,並且該解決方案需要 active/active 部署。每個專用實例資料中心都會公佈其本地 /25 路線以及 /24 備用路線。檢查來自專用實例的傳入 BGP 路由時,請確保與指向專用實例資料中心 A 的隧道關聯的 BGP 會話接收專用實例資料中心 A /25 當地路線以及 /24 備用路線。此外,請確保指向專用實例資料中心 B 的隧道接收專用實例資料中心 B /25 當地路線以及 /24 備用路線。請注意 /24 備份路由將與專用實例資料中心 A 和專用實例資料中心 B 公佈的路由相同。

如果到專用實例資料中心的隧道介面發生故障,則會為該資料中心提供冗餘。如果與專用實例資料中心 A 的連線遺失,則流量將從專用實例資料中心 B 轉送到資料中心 A。在這種情況下,到資料中心 B 的隧道將使用資料中心 B /25 路由將流量傳送到資料中心 B,而到資料中心 B 的隧道將使用備份 /24 透過資料中心 B 將流量傳送到資料中心 A 的路由。

重要的是,當兩個隧道都處於活動狀態時,資料中心 A 隧道不會用於向資料中心 B 發送流量,反之亦然。在這種情況下,如果流量傳送到資料中心 A 且目的地是資料中心 B,則資料中心 A 會將流量轉送到資料中心 B,然後資料中心 B 將嘗試透過資料中心 B 隧道將流量傳送回來源。這將導致次優路由,也可能破壞穿越防火牆的流量。因此,兩條隧道必須處於 active/active 正常運作期間的配置。

這 0.0.0.0/0 路由必須從客戶端通告到專用實例資料中心端。專用實例端將不接受更具體的路線。確保 0.0.0.0/0 路由從專用實例資料中心 A 隧道和專用實例資料中心 B 隧道中公佈。

MTU配置

在專用實例方面,啟用了兩個功能來動態調整大資料包大小的 MTU。GRE 隧道為流經 VPN 會話的 IP 封包增加更多標頭。IPsec 隧道在 GRE 報頭頂部添加額外的報頭,將進一步減少隧道允許的最大 MTU。

專用實例端啟用了MTU發現功能中的GRE隧道調整MSS功能和GRE隧道路徑。設定“ip tcp Adjust-mss 1350”或等效命令以及“隧道 path\u0002mtu-discovery" 或在用戶端使用等效命令來幫助動態調整通過 VPN 隧道的流量的 MTU。