Asignación de Subred de Pool IP de Acceso Seguro y Anuncio de Ruta BGP

Opciones de descarga

  • PDF     (234.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de marzo de 2026
ID del documento:225624

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

El conjunto de IP configurado con una subred /20 muestra dos subredes /22 instaladas en las rutas de la nube en lugar de las dos subredes /21 esperadas. Esta configuración sólo proporciona la mitad del espacio de direcciones esperado.

Entorno

  • Tecnología: Asistencia para soluciones (SSPT, contrato necesario)
  • Subtecnología: Acceso seguro
  • Familia de productos: SECACCS
  • Versión del software: ALL
  • Configuración: Agrupaciones IP con configuraciones de subred /20
  • Infraestructura: Dos cabeceras VPN activas con anuncio de ruta BGP

Resolución

Tamaño del Pool VPN de Usuario y Anuncio BGP

El BGP de acceso seguro no anuncia un prefijo mayor que /22. Cuando configura un grupo de VPN de usuario para VPN de acceso remoto (RAVPN) en Secure Access, la plataforma procesa la red de la manera correspondiente:

  • Si la red proporcionada es mayor que /22 (como /20), la plataforma divide automáticamente la red internamente en varios fragmentos /22.
Ejemplo:
Debe proporcionar un conjunto /20.
Secure Access lo divide en 4 × /22 subredes internamente.
Cada /22 se alquila a demanda por un Data Center de la región.
Cuando un centro de datos arrienda un /22, anuncia solamente ese /22 (o más pequeño) sobre BGP — no el /20 completo.
  • Si la red proporcionada es /22 o menor (como /24), la plataforma divide la red en al menos dos subredes más pequeñas para admitir una alta disponibilidad en un mínimo de dos Data Centers de la región.
Ejemplo:
Debe proporcionar un conjunto /24.
Secure Access lo divide en 2 × /25 subredes.
Cada /25 se asigna a un Data Center diferente en la región.
Cada centro de datos anuncia su /25 respectivo sobre BGP.

No todas las subredes del conjunto VPN se anuncian simultáneamente. En su lugar, se asignan y se anuncian a demanda a medida que aumenta el número de conexiones del cliente VPN de RA:

  • Inicialmente, sólo la primera subred (como el primer /22 de un /20) se arrienda y se anuncia a través de BGP.
  • A medida que crece la demanda, los Data Centers alquilan subredes adicionales, que posteriormente se anuncian.
  • Esto es coherente con la forma en que se amplían dinámicamente los recursos de la nube.
Ejemplo:
Configure 4 × /22 grupos para cubrir un rango /20.
Con un volumen de conexión bajo, BGP anuncia solamente el primer /22.
A medida que aumentan las conexiones RAVPN, los /22 agrupamientos restantes se activan y anuncian incrementalmente.

Importante: Si observa que sólo se está anunciando uno de los pools configurados, se espera este comportamiento. Los pools adicionales se anuncian según lo requiera la ampliación.

Summary

Tamaño de conjunto proporcionadoDivisión internaanuncio BGPMotivo
Mayor que /22 (como /20)Dividir en varios /22 s (como 4 × /22)Cada /22 o menos, a demandaEl prefijo máximo anunciado es /22; escala a petición
/22Dividir en 2 o más subredes más pequeñasCada subred más pequeña, a demandaAlta disponibilidad entre ≥2 Data Centers
Menor que /22 (como /24)Dividir en al menos 2 subredes (como 2 × /25)Cada subred, a demandaAlta disponibilidad entre ≥2 Data Centers
  • Prefijo máximo anunciado de BGP: /22 — Secure Access nunca anuncia una red mayor que /22 sobre BGP.
  • División automática: las redes se dividen internamente para ofrecer alta disponibilidad (mínimo 2 Data Centers por región) y escalabilidad.
  • Anuncio a petición: las subredes se anuncian a través de BGP sólo cuando un Data Center las arrienda de forma activa para servir conexiones. No todos los agrupamientos aparecen en BGP a la vez.
  • La escalabilidad es dinámica: las subredes de grupos adicionales se activan a medida que aumentan los recuentos de conexiones de clientes RAVPN, en cumplimiento con los principios de escalabilidad de recursos nativos de la nube.

Causa

Este es el comportamiento diseñado del algoritmo de asignación de subredes del sistema Secure Access. El sistema divide automáticamente las subredes configuradas en subredes más pequeñas de igual tamaño y las distribuye entre las cabeceras VPN disponibles mediante la ordenación lexicográfica para garantizar patrones de asignación coherentes y predecibles.

Contenido relacionado

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
19-Mar-2026
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Amit Arora
    Ingeniero de consultoría técnica

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco