Въведение

Virtual Connect е допълнителна опция за добавка за свързване в облака към специализиран екземпляр за webex извикване (специализиран екземпляр). Virtual Connect дава възможност на Клиентите сигурно да разширят своята Частна мрежа по интернет с помощта на IP VPN тунели от точка до точка. Тази опция за свързване осигурява бързо установяване на Частна мрежова връзка чрез използване на съществуващото клиентско предварително оборудване (CPE) и интернет свързаност.

Cisco хоства, управлява и уверява излишниТЕ IP VPN тунели и необходимия достъп до интернет в региона(ите) за специализиран център за данни на Cisco, където се изисква услугата. По същия начин Администраторът отговаря за съответните им CPE и Интернет услуги, които се изискват за установяване на Virtual Connect.

Всяка поръчка на Virtual Connect в определен регион "Специален екземпляр" би включвала два генерични тунела за маршрутизиране (GRE), защитени от IPSec криптиране (GRE през IPSec), по един към избрания от Cisco datacentre в Региона.

Virtual Connect има ограничение на честотната лента от 250 Mbps на тунел и се препоръчва за по-малки разгръщания. Тъй като два VPN тунела от точка до точка се използват целия трафик към облака трябва да мине през клиентския headend CPE и затова може да не е подходящ там, където има много отдалечени сайтове. За други алтернативни опции за връстване направете справка с Cloud Connectivity.

Преди да изпратите заявка за пиъринг за Virtual Connect, уверете се, че услугата Dedicated Instance е активирана в съответния регион.

Предварителни изисквания

Предпоставките за установяване на Virtual Connect включват:

  • Клиентът предоставя

    • Интернет връзка с достатъчно налична честотна лента в подкрепа на разполагането

    • Публичен IP адрес(и) за два IPSec тунела

    • Клиент страна GRE транспорт IP адреси за двата GRE тунели

  • Партньор и Клиент

    • Работете заедно за оценка на изискванията за пропускателната способност

    • Осигурете маршрутизиране на мрежово(и) устройство(а) за поддръжка на border Gateway Protocol (BGP) и GRE през IPSec тунелен дизайн

  • Партньор или Клиент предоставя

    • Мрежов екип с познания по VPN тунелни технологии от сайт към сайт

    • Мрежов екип със знания за BGP, eBGP и общи принципи на маршрутизиране

  • Cisco

    • Cisco присвоени частни автономни системни номера (ASNs) и преходно IP адресиране за GRE тунелни интерфейси

    • Cisco присвоен публичен, но не интернет рутируем клас C (/24) мрежа за посветен екземпляр облак адресиране

Ако даден клиент има само 1 CPE устройство, то 2-те тунела към дейтацентровете на Cisco (DC1 и DC2) във всеки регион, ще бъдат от това CPE устройство. Клиентът също има опция за 2 CPE устройства, тогава всяко CPE устройство трябва да се свърже с 1 тунел само към Datacenters на Cisco (DC1 и DC2) във всеки регион. Допълнително уволнение може да бъде постигнато чрез прекратяване на всеки тунел в отделен физически обект/местоположение в рамките на инфраструктурата на Клиента.

Технически данни

Модел на внедряване

Virtual Connect използва архитектура с двустепенни глави, където контролните равнини за маршрутизиране и GRE са осигурени от едно устройство, а контролната равнина IPSec се осигурява от друго.

След завършване на свързването с Virtual Connect ще бъдат създадени два GRE през IPSec тунела между корпоративната мрежа на Клиента и дейтацентровете на Dedicated Instance Cisco. По един към всеки излишен datacenter в рамките на съответния Регион. Допълнителни елементи за работа в мрежа, необходими за връстването, се обменят от Партньора или Клиента към Cisco чрез формуляра за активиране на Виртуална връзка на контролния център.

Фигурата по-долу показва пример за модел на внедряване на виртуално свързване за опцията с 2 концентратора от страна на клиента.

Virtual Connect - VPN е дизайн на концентратор, където Сайтовете на центъра на клиента са свързани към DC1 и DC2 на дейтацентровете на Dedicated Instance в рамките на определен регион.

Два обекта на Хъб се препоръчват за по-добро съкращаване, но сайтът one Hub с два тунела също е поддържан модел за разполагане.

Честотната лента на тунел е ограничена до 250 Mbps. За да се осигури ефективно превключване при срив, комбинираният трафик през двата тунела не трябва да надвишава 250 Mbps, тъй като в случай на повреда целият трафик ще бъде пренасочен през един тунел.

Отдалечените сайтове на Клиента в рамките на същия регион, ще трябва да се свържат обратно към сайта(ите) на Хъб над WAN на Клиента и не е отговорност на Cisco за тази свързаност.

Очаква се партньорите да работят в тясно сътрудничество с клиентите, като гарантират, че е избран най-оптималният път за региона на обслужване Virtual Connect.

Фигурата по-долу показва регионите за пиъринг на свързаност в облака на Dedicated Instance.

Виртуални свързващи региони

Маршрутизиране

Маршрутизирането за добавка virtual Connect се осъществява с помощта на външен BGP (eBGP) между специализиран екземпляр и клиентската предпоставка за оборудване (CPE). Cisco ще рекламира съответната си мрежа за всеки излишен постоянен ток в рамките на регион към CPE на Клиента и cPE е длъжна да рекламира маршрут по подразбиране до Cisco.

  • Cisco поддържа и възлага

    • Тунелен интерфейс IP адресиране (преходна връзка за маршрутизиране) Cisco присвоява от определен Споделено адресно пространство (непублично рутируем)

    • Адрес за десистинация на тунелния транспорт (страна на Cisco)

    • Частни автономни системни номера (ASNs) за клиент BGP маршрутизиране конфигурация

      • Cisco присвоява от определения диапазон за частно ползване: 64512 чрез 65534

  • eBGP, използвани за обмен на маршрути между специализиран екземпляр и CPE

    • Cisco ще раздели присвоената /24 мрежа на 2 /25 по един за всеки постоянен ток в съответния регион

    • В Virtual Connect всяка /25 мрежа се рекламира обратно към CPE от Cisco през съответните VPN тунели от точка до точка (преходна връзка)

    • CPE трябва да бъде конфигуриран със съответните съседи на eBGP. Ако се използва един CPE, ще се използват два eBGP съседи, по един сочещ към всеки отдалечен тунел. Ако използвате две CPE, тогава всеки CPE ще има един eBGP съсед понитиране към единния отдалечен тунел за CPE.

    • Cisco страна на всеки GRE тунел (тунелен интерфейс IP) е конфигуриран като bgP съсед на CPE

    • CPE е длъжен да рекламира маршрут по подразбиране над всеки от тунелите

    • CPE е откликнато за преразпределяне, както се изисква, на научените маршрути в рамките на корпоративната мрежа на cutomer.

  • При условие за отказ на връзка без отказ, един CPE ще има два активни/активни тунела. За два CPE възела всеки CPE ще има един активен тунел и двата CPE възела трябва да бъдат активни и преминаващи трафик. При сценарий без отказ трафикът трябва да се раздели в два тунела, отиващи на правилните /25 дестинации, ако някой от тунела се спусне, останалият тунел може да пренесе трафика и за двете. При такъв сценарий на повреда, когато мрежата /25 е надолу след това мрежата /24 се използва като резервен маршрут. Cisco ще изпрати трафик на клиенти чрез вътрешния си WAN към DC който загуби свързаност.

Поток на трафика от виртуална връзка

Поток на трафик, когато и двата тунела са в експлоатация

Специализиран екземпляр - Виртуална връзка

Това изображение илюстрира мрежова архитектура на Virtual Connect, описваща подробно трафика, когато работят както първичните, така и вторичните тунели.

Той представлява активен модел на свързаност, за да може клиентът да има достъп до UC приложения, хоствани в центровете за данни на Cisco, използвайки двойна... GRE/IPSEC тунели през интернет с BGP за обмен на маршрути.

Дефиниции:

  • Помещение на клиента:
    • Това представлява локалната мрежа на клиента, където се намират потребителите и техните устройства (напр. IP телефони, компютри, работещи с UC клиенти).
    • Трафикът, произхождащ оттук, трябва да достигне до UC приложенията, хоствани в центровете за данни на Cisco.
  • Центрове за данни на Cisco Webex Calling Dedicated Instance (Dedicated Instance) (WxC-DI DC-A и WxC-DI DC-B):
    • Това са центровете за данни на Cisco, които хостват UC приложенията.
    • DC-A и DC-B са географски различни, което осигурява излишък.
    • Всеки център за данни има своя собствена подмрежа за UC приложения:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Тунели (Тунел 1 и Тунел 2):
    • Това са защитените, криптирани връзки между клиентското помещение и центъра за данни на Cisco през публичния интернет.
    • GRE (Общо капсулиране на маршрутизация): Този протокол се използва за капсулиране на различни протоколи на мрежово ниво във виртуални връзки от точка до точка. Това позволява на протоколи за маршрутизация като BGP да работят през тунела.
    • IPsec (Защита на интернет протокола): Този набор от протоколи предоставя криптографски услуги за сигурност (удостоверяване, цялостност, поверителност) за IP комуникации. Той криптира GRE-капсулирания трафик, осигурявайки сигурно предаване на данни през интернет.
  • Протокол за граничен шлюз (BGP):
    • BGP е протоколът за маршрутизация, използван за обмен на информация за маршрутизация между клиентското помещение и центровете за данни на Cisco.

Както е показано на горната диаграма, устройствата, разположени в помещенията на клиента, трябва да установят две GRE/IPSEC тунели.

Използваните по-долу конвенции за именуване с XX / YY, DC-A DC-B са общи за всички региони, където се предлага Dedicated Instance. Тези стойности ще бъдат уникални за всеки регион, както и действителните стойности за всеки регион. Конкретните стойности се предоставят по време на активирането на виртуалната връзка.

От страна на Cisco, IPSec и GRE тунелите ще бъдат терминирани на различни устройства. Така че клиентът трябва да се увери, че е конфигурирал съответно IPSec и GRE IP адресите на устройствата. Клиентите могат да използват един и същ IP адрес за GRE и IPSEC, ако това се поддържа на техните устройства. Вижте диаграмата по-горе. Стойностите, свързани с IP адреса, се предоставят по време на активирането на виртуалната връзка в портала.

  • Тунел 1: Свързва помещението на клиента с "Dedicated Instance DC-A" (Data Center A) чрез интернет. Този тунел използва BGP AS:64XX1 от страна на клиента и BGP AS:64XX2 от страната на DC-A на специализирания екземпляр. Конфигурациите на източниците на тунели IPSEC и GRE са разделени на данни, предоставени от клиента, и данни, предоставени от Cisco.
  • Тунел 2: Свързва помещението на клиента с "Dedicated Instance DC-B" (Data Center B) чрез интернет. Този тунел използва BGP AS:64YY1 от страна на клиента и BGP AS:64YY2 от страната на DC-B на специализирания екземпляр. Подобно на Тунел 1, конфигурациите на източниците на IPSEC и GRE тунели се споделят между клиента и Cisco.

В BGP AS:64XX и BGP AS:64YY, XX и YY са специфични за определен регион.

След като GRE/IPSEC След като се установят тунели към центрове за данни на Webex Calling Dedicated Instance (A и B), клиентът трябва да получи следните маршрути, рекламирани от Cisco през съответните BGP сесии.

  • За DC-A: Маршрутите, рекламирани от Cisco, ще бъдат X.X.X.0/25 и X.X.x.0/24. По избор, ако IaaS е заявен и конфигуриран за клиентските маршрути Y.Y.Y.0/25 и Y.Y.Y.0/24 ще бъде рекламирано от Cisco.
  • За DC-B: Маршрутите, рекламирани от Cisco, ще бъдат X.X.X.128/25 и X.X.x.0/24. По избор, ако IaaS е заявен и конфигуриран за клиентските маршрути Y.Y.Y.128/25 и Y.Y.Y.0/24 ще бъде рекламирано от Cisco.
  • Клиентът трябва да рекламира 0.0.0./0 маршрут към Cisco през двете връзки (тунели)
  • Клиентът трябва да следва най-дългия префикс (/25) маршрути за изпращане на трафик към Cisco през съответните тунели, когато и двата тунела са активни.
  • Cisco ще връща трафика през същите тунели, за да поддържа симетрията на трафика.

Поток на трафика:

  • Трафик, насочен към „DC-A UC Apps“ (X.X.X.0/25) от помещението на клиента преминава през тунел 1.
  • Трафик, насочен към „DC-B UC Apps“ (X.X.X.128/25) от помещението на клиента преминава през тунел 2.

Сценарий за превключване при отказ : поток на трафик, когато един от тунелите е затворен

Специализиран екземпляр - Виртуална връзка

Както е показано на горната диаграма, когато тунелът към DC-A е неработещ, bgp, установен през тунела към DC-A, ще бъде неработещ.

Въздействие върху BGP: Когато Тунел 1 прекъсне, BGP сесията през този тунел също ще прекъсне. Следователно, DC-A вече няма да може да рекламира маршрутите си (по-специално X.X.X.0/25) до клиента по този път. Следователно, клиентският рутер ще открие пътя като недостъпен.

Тъй като Тунел 1 не работи, клиентският рутер в помещението на клиента автоматично ще премахне маршрутите, научени чрез Тунел 1, от своята таблица за маршрутизиране или ще ги маркира като недостъпни.

  • Трафик, насочен към мрежата за UC приложения (X.X.X.0/24) или подмрежата DC-A (X.X.X.0/25) след това ще бъде пренасочен през работния тунел към DC-B, който продължава да рекламира X.X.X.0/24 това включва X.X.X.0/25 мрежа.
  • Подобно поведение ще се наблюдава, ако тунелът към DC-B не работи, докато тунелът към DC-A все още е активен.

Процес на свързване

Следните стъпки на високо ниво описват как да установите свързаност с виртуален Connect for Dedicated Instance.
1

Направете поръчка в Cisco CCW

2

Активиране на виртуално свързване от контролния център

3

Cisco извършва мрежова конфигурация

4

Клиентът извършва мрежова конфигурация

Стъпка 1: Поръчка на CCW

Virtual Connect е добавка за специализиран екземпляр в CCW.

1

Навигирайте до сайта за поръчка на CCW и след това щракнете върху Вход, за да влезете в сайта:

https://apps.cisco.com/Commerce/guest.
2

Създаване на оценка.

3

Добавете "A-FLEX-3" SKU.

4

Изберете Редактиране на опциите.

5

В раздела за абонамент, който се появява, Изберете Опции и Добавки.

6

Под Допълнителни добавки поставете отметка в квадратчето до "Виртуална връзка за специализиран екземпляр". Името на SKU е "A-FLEX-DI-VC".

7

Въведете количеството и броя на регионите, в които се изисква Virtual Connect.

Количеството "Виртуално свързване" не трябва да надвишава общия брой на регионите, закупени за "Специализиран екземпляр". Също така, само една поръчка virtual Connect е разрешена за регион.
8

Когато сте доволни от селекциите си, кликнете върху Потвърждаване и записване в горната дясната част на страницата.

9

Кликнете върху Запазване и продължаване, за да финализирате поръчката си. Финализираната ви поръчка сега кандидатства в мрежата за поръчки.

Стъпка 2: Активиране на виртуално свързване в контролния център

1

Влезте в Control Hub https://admin.webex.com/login.

2

В секцията Услуги навигирайте до Извикване на > специализиран instacnce > свързванев облака.

3

В картата "Виртуално свързване" е изброено закупеното количество "Виртуално свързване". Администраторът вече може да кликне върху Активиране , за да инициира активирането на Virtual Connect.

Процесът на активиране може да бъде задействан само от Администратори с роля "Клиент пълен администратор". като има предвид, че администратор с "Клиент само за четене администратор" Роля може само да видите състоянието.
4

При щракване върху бутона Активиране , Активиране на virtual Connect формуляр се показва за администратора да предостави виртуалната връзка технически подробности, необходими за peering конфигурации от страна на Cisco.

Формулярът също така предоставя статична информация от страна на Cisco, въз основа на избрания Регион. Тази информация ще бъде полезна за администраторите на Клиенти да конфигурират CPE от тяхна страна, за да установят Свързването.

  1. IP адрес на GRE тунелен транспорт: От клиента се изисква да предостави страничните IP адреси на Tunnel Transport на клиента и Cisco динамично ще разпредели IP адресите, след като активирането приключи. IPSec ACL за интересен трафик трябва да позволи на местния тунел транспорт IP/32 да отдалечен тунел транспорт IP/32. ACL следва също така да посочи само ПРОТОКОЛА GRE IP.

    ПРЕДОСТАВЕНИЯТ ОТ КЛИЕНТА IP адрес може да бъде частен или публичен.

  2. IPSec партньори: Клиентът е длъжен да предостави IP адресите източник IP тунел IPSec и Cisco разпределя IP адрес местоназначение IP. Извършване на NAT превод на вътрешен IPSEC тунел адрес на публичен адрес също се поддържа, ако се изисква.

    IP адресът, предоставен от клиента, следва да бъде публичен.

    Цялата друга статична информация, предоставена в екрана за активиране, е следвани страничните стандарти за сигурност и криптиране на Cisco. Тази статична конфигурация не е адаптивна или променяема. За всяка допълнителна помощ по отношение на статичните конфигурации от страна на Cisco, клиентът ще трябва да достигне до ТАС.
5

Кликнете върху бутона Активиране , след като всички задължителни полета бъдат попълнени.

6

След като формулярът "Активиране на виртуалната връзка" е завършен за регион с частици, клиентът може да експортира формуляра за активиране от Контролния център, Call > специализиран екземпляр > Cloud Connectivity раздела и да кликне върху Експортиране на настройките.

Поради съображения за сигурност, удостоверяването и BGP паролата няма да бъдат налични в експортирания документ, но администраторът може да ги види в Control Hub, като кликне върху Преглед на настройките под Control Hub, Разговори > Специализиран екземпляр > Раздел „Свързване в облака“.

Стъпка 3: Cisco извършва мрежова конфигурация

1

След като формулярът за активиране на виртуално свързване завърши, състоянието ще бъде актуализирано до Активиране в ход при извикване > специализиран екземпляр > карта Cloud Connectivity Virtual Connect.

2

Cisco ще завърши необходимите конфигурации на оборудването на Cisco в рамките на 5 работни дни. При успешно завършване състоянието ще бъде актуализирано на "Активиран" за този конкретен регион в контролния център.

Стъпка 4: Клиентът извършва мрежова конфигурация

Състоянието се променя на "Активиран", за да уведоми администратора на Клиента, че страната на Cisco на конфигурациите за IP VPN свързаността е завършена на базата на предоставените от Клиента входове. Но се очаква администраторът на клиента да завърши своята страна на конфигурациите на CPEs и да тества маршрутите за свързване за тунела Virtual Connect, за да бъде Online. В случай на проблеми, пред които е изправено по време на конфигурацията или свързаността, клиентът може да достигне до Cisco TAC за съдействие.

Отстраняване на неизправности

Отстраняване на неизправности и валидиране на IPsec от първа фаза (IKEv2 преговори)

Договарянето на IPsec тунела включва две фази, фазата IKEv2 и фазата IPsec. Ако договарянето на фазата IKEv2 не завърши, тогава няма да се започне втора IPsec фаза. Първо, издайте командата „show crypto ikev2 sa“ (на оборудване на Cisco) или подобна команда на оборудване на трета страна, за да проверите дали IKEv2 сесията е активна. Ако IKEv2 сесията не е активна, потенциалните причини могат да бъдат:

  • Интересният трафик не задейства IPsec тунела.

  • Списъкът за достъп до IPsec тунела е неправилно конфигуриран.

  • Няма свързаност между клиента и IP адреса на крайната точка на тунела на IPsec за специален екземпляр.

  • Параметрите на IKEv2 сесията не съвпадат между страната на специалния екземпляр и страната на клиента.

  • Защитна стена блокира IKEv2 UDP пакетите.

Първо, проверете IPsec регистрационните файлове за съобщения, които показват напредъка на договарянето на IKEv2 тунела. Регистрационните файлове може да показват къде има проблем с IKEv2 договарянето. Липсата на съобщения в регистрационните файлове може също да показва, че IKEv2 сесията не се активира.

Някои често срещани грешки при договарянето на IKEv2 са:

  • Настройките за IKEv2 от страната на CPE не съвпадат с тези на Cisco, проверете отново споменатите настройки:

    • Проверете дали версията на IKE е версия 2.

    • Проверете дали параметрите за шифроване и удостоверяване съответстват на очакваното криптиране от страната на специалния екземпляр.

      Когато се използва шифърът "GCM", протоколът GCM обработва удостоверяването и задава параметъра за удостоверяване на NULL.

    • Проверете настройката за цял живот.

    • Проверете групата на модулите на Дифи-Хелман.

    • Проверете настройките на псевдослучайната функция.

  • Списъкът за достъп за крипто картата не е зададен на:

    • Разрешение GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (или еквивалентна команда)

      Списъкът за достъп трябва да е специално за протокола "GRE" и протоколът "IP" няма да работи.

Ако съобщенията в лога не показват никаква активност по договаряне за фазата IKEv2, може да е необходимо заснемане на пакети.

Страната на специализирания екземпляр не винаги може да започне IKEv2 обмена и понякога може да очаква страната на клиентското CPE да бъде инициаторът.

Проверете конфигурацията от страна на CPE за следните предварителни изисквания за иницииране на IKEv2 сесия:

  • Проверете за IPsec крипто списък за достъп за GRE трафик (протокол 50) от CPE тунелния транспортен IP адрес до тунелния транспортен IP адрес на специалния екземпляр.

  • Уверете се, че GRE тунелният интерфейс е активиран за GRE keepalives. Ако оборудването не поддържа GRE keepalives, Cisco ще бъде уведомен, защото GRE keepalives ще бъдат активирани от страната на специалния екземпляр по подразбиране.

  • Уверете се, че BGP е активиран и конфигуриран с адреса на съседа на IP адреса на тунела на Dedicated Instance.

Когато е конфигуриран правилно, следното стартира IPsec тунела и първата фаза на IKEv2 договаряне:

  • GRE keepalives от GRE тунелния интерфейс от страната на CPE към GRE тунелния интерфейс от страната на специалния екземпляр.

  • BGP съсед - TCP сесия от BGP съсед от страната на CPE към BGP съсед от страната на специализирания екземпляр.

  • Изпратете команда „ping“ от IP адреса на тунела от страната на CPE устройството до IP адреса на тунела от страната на специалния екземпляр.

    Ping не може да бъде IP адресът за транспортиране на тунела към IP адрес за транспортиране на тунела, а трябва да бъде IP адресът за транспортиране на тунела към IP адрес за тунела.

Ако е необходимо проследяване на пакети за IKEv2 трафика, задайте филтъра за UDP и порт 500 (когато няма NAT устройство по средата на крайните точки на IPsec) или порт 4500 (когато е поставено NAT устройство по средата на крайните точки на IPsec).

Проверете дали IKEv2 UDP пакетите с порт 500 или 4500 се изпращат и получават до и от DI IPsec IP адреса.

Центърът за данни на специализиран екземпляр може не винаги да започне първия IKEv2 пакет. Изискването е CPE устройството да може да инициира първия IKEv2 пакет към страната на специалния екземпляр.

Ако локалната защитна стена го позволява, опитайте да направите и ping към отдалечения IPsec адрес. Ако ping-ването не е успешно от локален към отдалечен IPsec адрес, изпълнете проследяване на маршрут, за да помогнете и да определите къде е изпуснат пакетът.

Някои защитни стени и интернет оборудване може да не позволяват проследяване на маршрут.

Отстраняване на неизправности и валидиране на втора фаза на IPsec (IPsec преговори)

Проверете дали първата фаза на IPsec (т.е. асоциацията за сигурност IKEv2) е активна, преди да отстраните неизправностите на втората фаза на IPsec. Изпълнете командата „show crypto ikev2 sa“ или еквивалентна, за да проверите IKEv2 сесията. В резултата проверете дали IKEv2 сесията е активна повече от няколко секунди и дали не се случват прекъсвания. Времето на работа на сесията се показва като „Активно време“ на сесията или еквивалент в изхода.

След като IKEv2 сесията се потвърди като активна, проверете IPsec сесията. Както при IKEv2 сесията, изпълнете командата „show crypto ipsec sa“ или еквивалентна, за да проверите IPsec сесията. Както IKEv2 сесията, така и IPsec сесията трябва да са активни, преди да се установи GRE тунелът. Ако IPsec сесията не се показва като активна, проверете IPsec регистрационните файлове за съобщения за грешки или грешки при договаряне.

Някои от по-често срещаните проблеми, които могат да възникнат по време на IPsec преговорите, са:

Настройките от страната на CPE не съвпадат с тези от страната на Dedicated Instance, проверете отново настройките:

  • Проверете дали параметрите за шифроване и удостоверяване съответстват на настройките от страната на специалния екземпляр.

  • Проверете настройките за Perfect Forward Secrecy и дали съвпадат с настройките от страната на Dedicated Instance.

  • Проверете настройките за целия живот.

  • Проверете дали IPsec е конфигуриран в тунелен режим.

  • Проверете IPsec адресите на източника и получателя.

Отстраняване на неизправности и валидиране на тунелния интерфейс

Когато сесиите на IPsec и IKEv2 бъдат потвърдени като активни, пакетите за поддържане на активността на GRE тунела могат да се предават между крайните точки на специалния екземпляр и CPE тунела. Ако интерфейсът на тунела не показва състояние, някои често срещани проблеми са:

  • VRF на транспортния интерфейс на тунела не съвпада с VRF на интерфейса за обратна връзка (ако на интерфейса на тунела се използва VRF конфигурация).

    Ако VRF конфигурацията не се използва на тунелния интерфейс, тази проверка може да бъде игнорирана.

  • Функциите за поддържане на връзката (keepalive) не са активирани на интерфейса на тунела от страната на CPE.

    Ако keepalive функциите не се поддържат на CPE оборудването, тогава Cisco трябва да бъде уведомен, така че keepalive функциите по подразбиране от страната на Dedicated Instance също да бъдат деактивирани.

    Ако се поддържат keepalive функции, проверете дали keepalive функциите са активирани.

  • Маската или IP адресът на тунелния интерфейс не са правилни и не съответстват на очакваните стойности за Dedicated Encrypt.

  • Адресът за транспорт на тунела на източника или местоназначението не е правилен и не съответства на очакваните стойности за специалния екземпляр.

  • Защитна стена блокира GRE пакетите, изпращани в IPsec тунела или получавани от IPsec тунела (GRE тунелът се транспортира през IPsec тунела).

Ping тестът трябва да потвърди, че локалният тунелен интерфейс е активен и че връзката с отдалечения тунелен интерфейс е добра. Извършете ping проверката от IP адреса на тунела (не транспортния IP адрес) към IP адреса на отдалечения тунел.

Списъкът за крипто достъп за IPsec тунела, който пренася GRE тунелния трафик, позволява преминаването само на GRE пакети. В резултат на това, ping-овете няма да работят от IP адреса на тунелния транспорт до отдалечен IP адрес на тунелния транспорт.

Проверката ping води до GRE пакет, който се генерира от IP адреса на източника на тунела към IP адреса на местоназначението на тунела, докато полезният товар на GRE пакета (вътрешният IP адрес) ще бъде IP адресът на източника и местоназначението на тунела.

Ако ping тестът не е успешен и предходните елементи са проверени, може да се наложи заснемане на пакети, за да се гарантира, че ICMP ping води до GRE пакет, който след това се капсулира в IPsec пакет и след това се изпраща от IPsec адреса на източника до IPsec адреса на местоназначението. Броячите на GRE тунелния интерфейс и броячите на IPsec сесиите също могат да помогнат да се покаже дали пакетите за изпращане и получаване се увеличават.

В допълнение към ping трафика, записът трябва да показва и keepalive GRE пакети, дори по време на неактивен трафик. Накрая, ако BGP е конфигуриран, BGP keepalive пакетите също трябва да се изпращат като GRE пакети, капсулирани в IPSEC пакети, през VPN.

Отстраняване на проблеми и валидиране на BGP

BGP сесии

BGP е необходим като протокол за маршрутизиране през VPN IPsec тунела. Локалният BGP съсед трябва да установи eBGP сесия със съседния BGP сървър на Dedicated Instance. IP адресите на съседите на eBGP са същите като IP адресите на локалния и отдалечения тунел. Първо се уверете, че BGP сесията е активна, след което проверете дали се получават правилните маршрути от Dedicated Instance и дали към Dedicated Instance се изпраща правилният маршрут по подразбиране.

Ако GRE тунелът е активен, проверете дали ping е успешно извършен между локалния и отдалечения IP адрес на GRE тунела. Ако ping-ът е успешен, но BGP сесията не се осъществява, проверете BGP лога за грешки при установяване на BGP.

Някои от по-често срещаните проблеми при договарянето на BGP са:

  • Номерът на отдалечената AS не съвпада с номера на AS, конфигуриран от страната на специалния екземпляр. Проверете отново конфигурацията на съседната AS.

  • Номерът на локалната AS не съвпада с очакванията на страната на Dedicated Instance. Проверете дали номерът на локалната AS съвпада с очакваните параметри на Dedicated Instance.

  • Защитна стена блокира BGP TCP пакети, капсулирани в GRE пакети, от изпращане в IPsec тунела или получаване от IPSEC тунела.

  • IP адресът на отдалечения BGP съсед не съвпада с IP адреса на отдалечения GRE тунел.

BGP обмен на маршрути

След като BGP сесията бъде проверена и за двата тунела, уверете се, че от страната на специалния екземпляр се изпращат и получават правилните маршрути.

Решението за VPN с дедикиран инстанс очаква да бъдат създадени два тунела от customer/partner страна. Първият тунел сочи към центъра за данни на специализиран екземпляр A, а вторият тунел сочи към центъра за данни на специализиран екземпляр B. И двата тунела трябва да са в активно състояние и решението изисква active/active разполагане. Всеки център за данни с специално предназначени инстанции ще рекламира локалния си /25 маршрут, както и /24 резервен маршрут. Когато проверявате входящите BGP маршрути от Dedicated Instance, уверете се, че BGP сесията, свързана с тунела, сочещ към Dedicated Instance data center A, получава Dedicated Instance data center A. /25 местен маршрут, както и /24 резервен маршрут. Освен това, уверете се, че тунелът, сочещ към център за данни на специален екземпляр B, получава центъра за данни на специален екземпляр B. /25 местен маршрут, както и /24 резервен маршрут. Обърнете внимание, че /24 Резервният маршрут ще бъде същият маршрут, обявен от център за данни на специален инстанс A и център за данни на специален инстанс B.

Резервиране се осигурява на център за данни с Специализиран екземпляр, ако тунелният интерфейс към този център за данни прекъсне. Ако се загуби връзка с център за данни на специален екземпляр A, трафикът ще бъде пренасочен от център за данни на специален екземпляр B към център за данни A. В този сценарий тунелът към център за данни B ще използва център за данни B. /25 маршрут за изпращане на трафик към център за данни B и тунелът към център за данни B ще използва резервното копие /24 маршрут за изпращане на трафик към център за данни A през център за данни B.

Важно е, когато и двата тунела са активни, тунелът на център за данни А да не се използва за изпращане на трафик към център за данни Б и обратно. В този сценарий, ако трафикът се изпраща към център за данни A с дестинация център за данни B, център за данни A ще пренасочи трафика към център за данни B, а след това център за данни B ще се опита да изпрати трафика обратно към източника през тунела на център за данни B. Това ще доведе до неоптимално маршрутизиране и може също да наруши преминаването на трафика през защитните стени. Следователно е важно и двата тунела да са в active/active конфигурация по време на нормална работа.

The 0.0.0.0/0 Маршрутът трябва да бъде обявен от страната на клиента до страната на центъра за данни на специалния екземпляр. По-специфични маршрути няма да бъдат приемани от страната на Специализирания екземпляр. Уверете се, че 0.0.0.0/0 Маршрутът се рекламира както от тунела на център за данни A на специален екземпляр, така и от тунела на център за данни B на специален екземпляр.

MTU конфигурация

В страната на Dedicated Instance са активирани две функции за динамично регулиране на MTU за големи размери на пакети. GRE тунелът добавя още заглавки към IP пакетите, преминаващи през VPN сесията. IPsec тунелът добавя допълнителни заглавки върху GRE заглавките, което допълнително ще намали най-големия разрешен MTU през тунела.

GRE тунелът настройва функцията MSS, а пътят на GRE тунела във функцията за откриване на MTU е активиран от страната на специалния екземпляр. Конфигурирайте "ip tcp adjust-mss 1350" или еквивалентна команда, както и "tunnel path\u0002mtu-discovery" или еквивалентна команда от страна на клиента, която да помогне за динамичното регулиране на MTU на трафика през VPN тунела.