Attribution de sous-réseau de pool IP d'accès sécurisé et annonce de route BGP

Problème

Le pool d'adresses IP configuré avec un sous-réseau /20 affiche deux sous-réseaux /22 installés dans les routes du cloud au lieu des deux sous-réseaux /21 attendus. Cette configuration ne fournit que la moitié de l'espace d'adressage attendu.

Environnement

• Technologie : Assistance pour les solutions (SSPT - contrat requis)
• Sous-technologie : Accès sécurisé
• Gamme de produits : SECACS
• Version du logiciel: TOUS
• Configuration: Pools IP avec configurations de sous-réseau /20
• Infrastructure : Deux têtes de réseau VPN actives avec annonce de route BGP

Résolution

Dimensionnement du pool VPN utilisateur et annonce BGP

Accès sécurisé Le protocole BGP n'annonce pas un préfixe supérieur à /22. Lorsque vous configurez un pool VPN utilisateur pour le VPN d'accès à distance (RAVPN) dans Accès sécurisé, la plate-forme traite le réseau en conséquence :

• Si le réseau fourni est plus grand que /22 (par exemple /20), la plate-forme divise automatiquement le réseau en interne en plusieurs segments /22.

Exemple :

Vous fournissez un pool /20.

Secure Access le divise en 4 sous-réseaux × /22 en interne.

Chaque /22 est loué à la demande par un data center de la région.

Lorsqu'un data center loue un /22, il annonce uniquement ce /22 (ou moins) sur BGP, et non le /20 complet.

• Si le réseau fourni est /22 ou plus petit (tel que /24), la plate-forme divise le réseau en au moins deux sous-réseaux plus petits pour prendre en charge la haute disponibilité sur un minimum de deux centres de données dans la région.

Exemple :

Vous fournissez un pool /24.

Secure Access le divise en sous-réseaux 2 × /25.

Chaque /25 est attribué à un data center différent dans la région.

Chaque data center annonce son /25 respectif sur BGP.

Les sous-réseaux de pool VPN ne sont pas tous annoncés simultanément. Ils sont alloués et annoncés à la demande à mesure que le nombre de connexions client RAVPN augmente :

• Initialement, seul le premier sous-réseau (tel que le premier /22 d'un /20) est loué et annoncé via BGP.
• À mesure que la demande augmente, des sous-réseaux supplémentaires sont loués par les data centers et annoncés par la suite.
• Cela est cohérent avec la manière dont les ressources cloud évoluent dynamiquement.

Exemple :

Vous configurez 4 × /22 pools pour couvrir une plage /20.

À faible volume de connexion, BGP annonce uniquement le premier /22.

À mesure que les connexions RAVPN augmentent, les pools /22 restants sont activés et annoncés de manière incrémentielle.

Important : si vous constatez qu'un seul de vos pools configurés est annoncé, il s'agit d'un comportement attendu. Des pools supplémentaires sont annoncés comme demandes d'évolutivité requises.

Résumé

• Préfixe BGP maximum annoncé : /22 — Secure Access n'annonce jamais un réseau supérieur à /22 sur BGP.
• Fractionnement automatique : les réseaux sont fractionnés en interne pour garantir la haute disponibilité (au moins 2 data centers par région) et l'évolutivité.
• Annonce à la demande — Les sous-réseaux sont annoncés via BGP uniquement lorsqu'ils sont loués activement par un data center pour servir des connexions. Tous les pools n'apparaissent pas en même temps dans BGP.
• L'évolutivité est dynamique : des sous-réseaux de pool supplémentaires sont activés à mesure que le nombre de connexions client RAVPN augmente, conformément aux principes d'évolutivité des ressources natives du cloud.

Motif

Il s’agit du comportement conçu par l’algorithme d’allocation de sous-réseaux du système d’accès sécurisé. Le système fractionne automatiquement les sous-réseaux configurés en sous-réseaux plus petits et de même taille et les distribue entre les têtes de réseau VPN disponibles à l’aide d’un tri lexicographique afin de garantir des modèles d’allocation cohérents et prévisibles.

Autres informations utiles

• Assistance technique de Cisco et téléchargements