Einführung

Virtual Connect ist eine zusätzliche Add-on-Option für Cloud-Konnektivität zu dedizierter Instanz Webex Calling (dedizierte Instanz). Mit Virtual Connect können Kunden ihr privates Netzwerk mithilfe von Point-to-Point-IP-VPN-Tunneln sicher über das Internet ausdehnen. Diese Verbindungsoption ermöglicht eine schnelle Einrichtung der Verbindung zum privaten Netzwerk unter Verwendung der vorhandenen Customer Premise Equipment (CPE) und der Internetverbindung.

Cisco hostet, verwaltet und stellt redundante IP-VPN-Tunnel und den erforderlichen Internetzugriff im/den dedizierten Instanz-Rechenzentrum(en) von Cisco sicher, wo der Dienst benötigt wird. In ähnlicher Weise ist der Administrator für die entsprechenden CPE- und Internet-Dienste verantwortlich, die für die Virtual Connect-Erstellung erforderlich sind.

Jede Virtuelle Connect-Bestellung in einer bestimmten Dedicated Instance-Region umfasst zwei generische Routing-Encapsulationstunnel (SEKTE),die durch IPSec-Verschlüsselung (SEKTE über IPSec) geschützt sind; jeweils einen Tunnel zu den Cisco-Rechenzentren in der ausgewählten Region.

Virtual Connect hat ein Bandbreitenlimit von 250 MBit/s pro Tunnel und wird für kleinere Bereitstellungen empfohlen. Da zwei Point-to-Point-VPN-Tunnels für den sämtlichen Datenverkehr zur Cloud verwendet werden, muss dieser den CPE der Kunden durchgehen. Daher ist es eventuell nicht geeignet, wenn sich viele Remote-Sites befinden. Weitere Optionen für alternative Peering finden Sie unter Cloudkonnektivität.

Bevor Sie die Peering-Anfrage für Virtual Connect übermitteln, stellen Sie sicher, dass der Dienst „Dedicated Instance“ in der jeweiligen Region aktiviert ist.

Voraussetzungen

Voraussetzungen für die Einrichtung von Virtual Connect sind:

  • Der Kunde stellt Ihnen

    • Internetverbindung mit genügend verfügbarer Bandbreite zur Unterstützung der Bereitstellung

    • Öffentliche IP-Adresse(n) für zwei IPSec-Tunnel

    • Kundenseitige TRANSPORT-IP-Adressen für die beiden ANDERE-TUNNEL

  • Partner und Kunde

    • Arbeiten Sie zusammen, um die Bandbreitenanforderungen zu bewerten.

    • Stellen Sie sicher, dass Netzwerkgeräte die Unterstützung Border Gateway Protocol (BGP)-Routing und ein MUSS über IPSec-Tunneldesign unterstützen

  • Partner oder Kunde stellt

    • Netzwerkteam mit Kenntnissen von STANDORT-zu-Standort-VPN-Tunneltechnologien

    • Netzwerkteam mit Kenntnissen von BGP, eBGP und allgemeinen Routing-Prinzipien

  • Cisco

    • Cisco hat private autonoumous Systemnummern (ASNs) und eine vorübergehende IP-Adresse für DIE COOKIES-Tunnelschnittstellen zugewiesen.

    • Cisco weist ein öffentliches, aber nicht routingfähiges Internet-Klassennetzwerk (/24) für die Cloud-Adressierung für dedizierte Instanz zu

Wenn ein Kunde nur über ein CPE-Gerät verfügt, dann werden die 2 Tunnel zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region von diesem CPE-Gerät kommen. Der Kunde hat auch die Möglichkeit, 2 CPE-Geräte zu verwenden. Danach sollte jedes CPE-Gerät sich mit einem Tunnel nur zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region verbinden. Zusätzliche Redundanz kann erreicht werden, indem jeder Tunnel an einem separaten physischen Standort/Standort innerhalb der Infrastruktur des Kunden beendet wird.

Technische Angaben

Bereitstellungsmodell

Virtual Connect verwendet eine Dual-Tier-Kopfend-Architektur, bei der die Routing- und VIRTUELL-Steuerungsebenen von einem Gerät bereitgestellt werden und die IPSec-Steuerungsebene von einem anderen Gerät bereitgestellt wird.

Nach Abschluss der Virtual Connect-Konnektivität werden zwei SEKTE-Tunnel über IPSec zwischen dem Unternehmensnetzwerk des Kunden und den Cisco-Datenzentren der dedizierten Instanz erstellt. Eins zu jedem redundanten Rechenzentrum innerhalb der jeweiligen Region. Zusätzliche für das Peering erforderliche Netzwerkelemente werden vom Partner oder Kunden über das Aktivierungsformular für den virtuellen Control Hub Connect an Cisco ausgetauscht.

Die folgende Abbildung zeigt das Beispiel des Virtual Connect-Bereitstellungsmodells für die 2-Konzentrator-Option auf der Kundenseite.

Virtual Connect – VPN ist ein Hub-Design, bei dem die Hub-Sites des Kunden mit dc1 und DC2 der Datenzentren der dedizierten Instanz innerhalb einer bestimmten Region verbunden sind.

Für eine bessere Redundanz werden zwei Hub-Sites empfohlen. Ein Hub-Standort mit zwei Tunnels wird jedoch ebenfalls als Bereitstellungsmodell unterstützt.

Die Bandbreite pro Tunnel ist auf 250 MBit/s begrenzt. Um ein effektives Failover zu gewährleisten, darf der kombinierte Datenverkehr über beide Tunnel 250 Mbit/s nicht überschreiten, da im Falle eines Fehlers der gesamte Datenverkehr durch einen Tunnel geleitet wird.

Die entfernten Sites des Kunden innerhalb derselben Region müssten über das WAN des Kunden zurück zur Hub-Site(s) verbunden werden, und die Verantwortung für diese Verbindung liegt nicht in Der Verantwortung von Cisco.

Von den Partnern wird erwartet, dass sie eng mit den Kunden zusammenarbeiten und sicherstellen, dass der optimale Pfad für die Serviceregion von Virtual Connect gewählt wird.

Die folgende Abbildung zeigt die Peering-Regionen der Cloud-Konnektivität der dedizierten Instanz.

Virtuelle Verbindungsbereiche

Routing

Das Routing für das Virtual Connect-Add-on wird mithilfe einer externen BGP (eBGP) zwischen dedizierter Instanz und dem Customer Premise Equipment (CPE) implementiert. Cisco wird das entsprechende Netzwerk für jeden redundanten DC innerhalb einer Region für den CPE des Kunden ankämten, und der CPE ist erforderlich, um eine Standard-Route an Cisco zu angekündigt.

  • Cisco verwaltet und weist zu

    • Tunnel-Interface-IP-Adressierung (vorübergehende Weiterleitungsverbindung) Cisco-Zuweisungen von einem bestimmten gemeinsam genutzten Adressbereich (nicht öffentlich routingfähig)

    • Tunneltransportdeitierungsadresse (Seite von Cisco)

    • Private AsNs (Private Routing System Numbers) für BGP-Routing-Konfiguration des Kunden

      • Cisco weist aus dem angegebenen Bereich für die private Nutzung: 64512 bis 65534

  • eBGP zum Austausch von Routen zwischen dedizierter Instanz und CPE

    • Cisco teilt das zugewiesene /24-Netzwerk für jeden DC in der jeweiligen Region in 2 /25.

    • In Virtual Connect wird jedes /25-Netzwerk von Cisco über die entsprechenden Point-to-Point-VPN-Tunnel (vorübergehende Verbindung) dem CPE zurück angekündigt

    • CPE muss mit den entsprechenden eBGP-Neighbors konfiguriert werden. Wenn Sie einen CPE verwenden, werden zwei eBGP-Neighbors verwendet, die jeweils einen zu jedem Ferntunnel zeigen. Wenn sie zwei CPE verwenden, dann hat jeder CPE einen eBGP-Nachbar, der zum einzigen Remote-Tunnel der CPE wird.

    • Die Cisco-Seite jedes TUNNEL-Tunnels (Tunnel-Schnittstellen-IP) ist als BGP-Nachbar des CPE konfiguriert.

    • CPE ist erforderlich, um eine Standardroute über jeden Tunnel zu stellen

    • CPE kann, wie erforderlich, für die Neuverteilung der Lernrouten innerhalb des Unternehmensnetzwerks der Cutomer verantwortlich sein.

  • Unter der Bedingung eines Ausfallausfalls der Verbindung wird ein einzelner CPE zwei Aktive/Aktiv-Tunnel haben. Für zwei CPE-Knoten hat jeder CPE einen aktiven Tunnel, und beide CPE-Knoten sollten aktiv sein und den Datenverkehr übergeben. Unter Nicht-Ausfall-Szenarios muss sich der Verkehr in zwei Tunnels teilen, die zu den korrekten /25-Zielen gehen. Wenn einer der Tunnels abläuft, kann der verbleibende Tunnel den Verkehr für beide Personen führen. Bei einem solchen Ausfallszenario wird bei Ausfällen des /25-Netzwerks das /24-Netzwerk als Backup-Route verwendet. Cisco sendet den Kundenverkehr über sein internes WAN nach DC, wodurch die Konnektivität verloren geht.

Virtueller Verbindungsverkehrsfluss

Verkehrsfluss, wenn beide Tunnel in Betrieb sind

Dedizierte Instanz – Virtuelle Verbindung

Dieses Bild veranschaulicht eine Virtual Connect -Netzwerkarchitektur und zeigt detailliert den Verkehrsfluss, wenn sowohl der primäre als auch der sekundäre Tunnel in Betrieb sind.

Es handelt sich um ein aktives Konnektivitätsmodell, mit dem Kunden auf UC-Anwendungen zugreifen können, die in den Rechenzentren von Cisco gehostet werden. Dabei wird die duale GRE/IPSEC Tunnel über das Internet mit BGP zum Routenaustausch.

Definitionen:

  • Kundenpräsenz:
    • Dies stellt das Netzwerk vor Ort beim Kunden dar, in dem sich Benutzer und ihre Geräte (z. B. IP-Telefone, Computer mit UC-Clients) befinden.
    • Der von hier ausgehende Datenverkehr muss die in den Rechenzentren von Cisco gehosteten UC-Anwendungen erreichen.
  • Cisco Webex Calling Dedicated Instance (Dedicated Instance) Rechenzentren (WxC-DI DC-A und WxC-DI DC-B):
    • Dies sind die Rechenzentren von Cisco, in denen die UC-Anwendungen gehostet werden.
    • DC-A und DC-B sind geografisch getrennt, was für Redundanz sorgt.
    • Jedes Rechenzentrum verfügt über ein eigenes Subnetz für UC-Anwendungen:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Tunnel (Tunnel 1 und Tunnel 2):
    • Dies sind die sicheren, verschlüsselten Verbindungen zwischen dem Kundenstandort und dem Cisco-Rechenzentrum über das öffentliche Internet.
    • GRE (Generische Routing-Kapselung): Dieses Protokoll wird verwendet, um verschiedene Netzwerkschichtprotokolle in virtuellen Punkt-zu-Punkt-Verbindungen zu kapseln. Es ermöglicht den Betrieb von Routing-Protokollen wie BGP über den Tunnel.
    • IPsec (Internet Protocol Security): Diese Protokollsuite bietet kryptografische Sicherheitsdienste (Authentifizierung, Integrität, Vertraulichkeit) für die IP-Kommunikation. Es verschlüsselt den GRE-gekapselten Datenverkehr und gewährleistet so eine sichere Datenübertragung über das Internet.
  • Border Gateway Protocol (BGP):
    • BGP ist das Routing-Protokoll, das zum Austausch von Routing-Informationen zwischen dem Kundenstandort und den Cisco-Rechenzentrenverwendet wird.

Wie im obigen Diagramm gezeigt, müssen Geräte, die auf dem Gelände des Kunden eingesetzt werden, zwei GRE/IPSEC Tunnel.

Die unten verwendeten Namenskonventionen mit XX / YY, DC-A und DC-B sind generisch für alle Regionen, in denen Dedicated Instance angeboten wird. Diese Werte sind für jede Region eindeutig und stellen die tatsächlichen Werte jeder Region dar. Die konkreten Werte werden bei der Aktivierung der virtuellen Verbindung bereitgestellt.

Auf der Cisco-Seite werden die IPSec- und GRE-Tunnel auf verschiedenen Geräten beendet. Der Kunde muss daher sicherstellen, dass die IPSec-Ziel- und GRE-Ziel-IPs auf den Geräten entsprechend konfiguriert werden. Kunden können dieselbe IP für GRE und IPSEC verwenden, wenn dies auf ihren Geräten unterstützt wird. Siehe das Diagramm oben. Die IP-bezogenen Werte werden während der Aktivierung der virtuellen Verbindung auf dem Portal bereitgestellt.

  • Tunnel 1: Verbindet den Kundenstandort über das Internet mit „Dedicated Instance DC-A“ (Rechenzentrum A). Dieser Tunnel verwendet BGP AS:64XX1 auf der Kundenseite und BGP AS:64XX2 auf der Dedicated Instance DC-A-Seite. Die Quellkonfigurationen für IPSEC- und GRE-Tunnel werden zwischen vom Kunden und von Cisco bereitgestellten Details aufgeteilt.
  • Tunnel 2: Verbindet den Kundenstandort über das Internet mit „Dedicated Instance DC-B“ (Rechenzentrum B). Dieser Tunnel verwendet BGP AS:64YY1 auf der Kundenseite und BGP AS:64YY2 auf der Dedicated Instance DC-B-Seite. Wie bei Tunnel 1 werden die IPSEC- und GRE-Tunnelquellkonfigurationen zwischen dem Kunden und Cisco geteilt.

In BGP AS:64XX und BGP AS:64YY, XX und YY sind spezifisch für eine bestimmte Region.

Sobald die GRE/IPSEC Tunnel werden zu den Rechenzentren der Webex Calling Dedicated Instance (A und B) eingerichtet. Der Kunde sollte die folgenden von Cisco angekündigten Routen über die entsprechenden BGP-Sitzungen erhalten.

  • Für DC-A: Von Cisco angekündigte Routen werden X.X.X.0/25 Und X.X.x.0/24. Optional, wenn IaaS angefordert und für die Kundenrouten konfiguriert ist Y.Y.Y.0/25 Und Y.Y.Y.0/24 wird von Cisco angekündigt.
  • Für DC-B: Von Cisco angekündigte Routen werden X.X.X.128/25 Und X.X.x.0/24. Optional, wenn IaaS angefordert und für die Kundenrouten konfiguriert ist Y.Y.Y.128/25 Und Y.Y.Y.0/24 wird von Cisco angekündigt.
  • Der Kunde muss werben für die 0.0.0./0 Route zu Cisco über beide Verbindungen (Tunnel)
  • Der Kunde muss dem längsten Präfix folgen (/25) Routen, um Datenverkehr durch die jeweiligen Tunnel an Cisco zu senden, wenn beide Tunnel aktiv sind.
  • Cisco leitet den Datenverkehr durch dieselben Tunnel zurück, um die Symmetrie des Datenverkehrs aufrechtzuerhalten.

Verkehrsfluss:

  • Für „DC-A UC Apps“ bestimmter Datenverkehr (X.X.X.0/25) vom Kundengelände fließt durch Tunnel 1.
  • Verkehr bestimmt für „DC-B UC Apps“ (X.X.X.128/25) vom Kundengelände fließt durch Tunnel 2.

Failover-Szenario : Verkehrsfluss, wenn einer der Tunnel ausfällt

Dedizierte Instanz – Virtuelle Verbindung

Wie im obigen Diagramm gezeigt, fällt das über den Tunnel zu DC-A hergestellte BGP aus, wenn der Tunnel zu DC-A ausfällt.

Auswirkungen auf BGP: Wenn Tunnel 1 ausfällt, wird auch die BGP-Sitzung über diesen Tunnel unterbrochen. Folglich kann DC-A seine Strecken nicht mehr bewerben (insbesondere X.X.X.0/25) über diesen Weg an den Kunden. Daher erkennt der Kundenrouter den Pfad als nicht erreichbar.

Da Tunnel 1 nun ausgefallen ist, entfernt der Kundenrouter beim Kunden automatisch die über Tunnel 1 gelernten Routen aus seiner Routing-Tabelle oder markiert sie als nicht erreichbar.

  • Für das UC App Network bestimmter Datenverkehr (X.X.X.0/24) oder das DC-A-Subnetz (X.X.X.0/25) wird dann durch den Arbeitstunnel in Richtung DC-B umgeleitet, das weiterhin für die X.X.X.0/24 Dazu gehört die X.X.X.0/25 Netzwerk.
  • Ein ähnliches Verhalten ist zu beobachten, wenn der Tunnel zu DC-B ausgefallen ist, während der Tunnel zu DC-A noch aktiv ist.

Verbindungsprozess

In den folgenden großen Schritten wird beschrieben, wie Eine Verbindung mit virtueller Connect für dedizierte Instanz hergestellt werden kann.
1

Bestellung in Cisco CCW platzieren

2

Virtuelle Verbindung über Control Hub aktivieren

3

Cisco führt Netzwerkkonfiguration durch

4

Kunde führt Netzwerkkonfiguration durch

Schritt 1: CCW-Bestellung

Virtual Connect ist ein Add-On für dedizierte Instanz in CCW.

1

Navigieren Sie zur CCW-Bestellseite und klicken Sie dann auf Anmelden, um sich auf der Site anzumelden:

https://apps.cisco.com/Commerce/guest.
2

Schätzung erstellen.

3

Fügen Sie "A-FLEX-3" SKU hinzu.

4

Wählen Sie Optionen bearbeiten aus.

5

Wählen Sie in der nun angezeigten Registerkarte Abonnement die Option Optionen und Add-ons.

6

Aktivieren Sie unter Zusätzliche Add-Ons das Kontrollkästchen neben "Virtual Connect for Dedicated Instance". Der Name der SKU ist "A-FLEX-DI-VC".

7

Geben Sie die Menge und Anzahl der Regionen ein, in denen Virtual Connect erforderlich ist.

Die Menge der virtuellen Connect darf die Gesamtzahl an Regionen, die für eine dedizierte Instanz erworben wurden, nicht überschreiten. Außerdem ist nur eine virtuelle Connect-Bestellung pro Region zulässig.
8

Wenn Sie mit Ihrer Auswahl zufrieden sind, klicken Sie oben rechts auf der Seite auf Überprüfen und speichern.

9

Klicken Sie auf Speichern und Weiter, um die Bestellung fertig zu machen. Ihre endgültige Reihenfolge wird jetzt im Reihenfolgeraster angezeigt.

Schritt 2: Aktivierung von Virtual Connect im Control Hub

1

Melden Sie sich bei Control Hub an https://admin.webex.com/login.

2

Navigieren Sie im Bereich Dienste zu Anrufdienst > Dedizierte Instacnce > Cloudkonnektivität.

3

Auf der Virtuellen Connect-Karte wird die erworbene Virtual Connect-Menge aufgeführt. Der Administrator kann nun auf Aktivieren klicken, um die Aktivierung für virtuelles Connect zu starten.

Der Aktivierungsprozess kann nur von Administratoren mit der Rolle "Kunden volladministrator" ausgelöst werden. Während Ein Administrator mit der Rolle "Kunde schreibgeschützt" nur den Status einlesen kann.
4

Wenn der Administrator auf die Schaltfläche Activate (Aktivieren) klickt, wird das Formular "Activate Virtual Connect" (Virtuelles Connect aktivieren) angezeigt, in dem er die für die Peering-Konfigurationen erforderlichen technischen Details für Virtual Connect an die Seite von Cisco weitersendet.

Das Formular enthält auch statische Informationen auf Cisco-Seite basierend auf der ausgewählten Region. Diese Informationen sind für Kundenadministratoren nützlich, um das CPE auf ihrer Seite zu konfigurieren, um die Konnektivität zu herstellen.

  1. GRE Tunnel Transport IP-Adresse: Der Kunde muss die Seit-Tunnel-Transport-IP-Adressen des Kunden bereitstellen. Nach der Aktivierung verteilt Cisco die IP-Adressen dynamisch. IpSec ACL für interessanten Datenverkehr sollte den lokalen Tunneltransport IP/32 zum Ferntunneltransport IP/32 erlauben. Die ACL sollte außerdem nur das IP-Protokoll DESTE-Protokolls angeben.

    Die vom Kunden angegebene IP-Adresse kann privat oder öffentlich sein.

  2. IPSec-Peers: Der Kunde muss die Quell-IP-Adressen des IPSec-Tunnels angeben, und Cisco verteilt die IPSec-Ziel-IP-Adresse. Die NAT-Übersetzung einer internen IPSEC-Tunneladresse in eine öffentliche Adresse wird bei Bedarf ebenfalls unterstützt.

    Die vom Kunden angegebene IP-Adresse muss öffentlich sein.

    Alle anderen statischen Informationen, die im Aktivierungsbildschirm angegeben sind, sind die Sicherheits- und Verschlüsselungsstandards von Cisco. Diese statische Konfiguration ist nicht anpassbar oder modifizierbar. Für weitere Unterstützung bezüglich der statischen Konfigurationen auf Ciscos Seite, muss sich der Kunde an TAC wenden.
5

Klicken Sie auf die Schaltfläche Aktivieren , sobald alle Pflichtfelder ausgefüllt sind.

6

Nachdem das Aktivierungsformular für virtuelles Connect für eine teilscheinende Region abgeschlossen wurde, kann der Kunde das Aktivierungsformular aus Control Hub exportieren, > Dedizierte Instanz > Cloudkonnektivität exportieren und auf Exporteinstellungen klicken.

Aus Sicherheitsgründen sind die Authentifizierung und das BGP-Passwort im exportierten Dokument nicht verfügbar, aber der Administrator kann diese im Control Hub anzeigen, indem er unter Control Hub, Anrufen auf Einstellungen anzeigen klickt. > Dedizierte Instanz > Registerkarte „Cloud-Konnektivität“.

Schritt 3: Cisco führt Netzwerkkonfiguration durch

1

Nach Abschluss des Aktivierungsformulars für virtuelles Connect wird der Status auf die Karte Activation In Progress in Calling > Dedicated Instance > Cloud Connectivity Virtual Connect (Aktivierung in Gang) aktualisiert.

2

Cisco wird die erforderlichen Konfigurationen auf der Cisco-Seite innerhalb von 5 Werktagenabschließen. Nach der erfolgreichen Fertigstellung wird der Status für diese spezielle Region im Control Hub in "Aktiviert" aktualisiert.

Schritt 4: Kunde führt Netzwerkkonfiguration durch

Der Status wird in "Aktiviert" geändert, um den Kundenadministrator darüber zu informieren, dass die Konfigurationen der IP-VPN-Verbindung von Cisco auf Grundlage der vom Kunden bereitgestellten Eingänge abgeschlossen wurden. Von den Kundenadministratoren wird jedoch erwartet, dass sie die Konfiguration der CPEs abschließen und die Verbindungsrouten für den Virtual Connect-Tunnel testen, der online sein soll. Im Fall von Problemen, die während der Konfiguration oder der Verbindung verbunden sind, kann sich der Kunde an Cisco TAC wenden, um Unterstützung zu erhalten.

Fehlerbehebung

Fehlerbehebung und Validierung in der ersten Phase von IPsec (IKEv2-Aushandlung)

Die IPsec-Tunnelaushandlung umfasst zwei Phasen, die IKEv2-Phase und die IPsec-Phase. Wenn die Aushandlung der IKEv2-Phase nicht abgeschlossen wird, erfolgt keine Einleitung einer zweiten IPsec-Phase. Geben Sie zunächst den Befehl „show crypto ikev2 sa“ (auf Cisco-Geräten) oder einen ähnlichen Befehl auf Geräten von Drittanbietern ein, um zu überprüfen, ob die IKEv2-Sitzung aktiv ist. Wenn die IKEv2-Sitzung nicht aktiv ist, kann dies folgende Gründe haben:

  • Interessanter Datenverkehr löst den IPsec-Tunnel nicht aus.

  • Die IPsec-Tunnelzugriffsliste ist falsch konfiguriert.

  • Es besteht keine Verbindung zwischen dem Kunden und der IPsec-Tunnel-Endpunkt-IP der dedizierten Instanz.

  • Die IKEv2-Sitzungsparameter stimmen auf der Seite der dedizierten Instanz und auf der Kundenseite nicht überein.

  • Eine Firewall blockiert die IKEv2-UDP-Pakete.

Überprüfen Sie zunächst die IPsec-Protokolle auf Meldungen, die den Fortschritt der IKEv2-Tunnelaushandlung anzeigen. Die Protokolle können Hinweise darauf geben, wo bei der IKEv2-Aushandlung ein Problem vorliegt. Das Fehlen von Protokollierungsmeldungen kann auch darauf hinweisen, dass die IKEv2-Sitzung nicht aktiviert wird.

Einige häufige Fehler bei der IKEv2-Aushandlung sind:

  • Die Einstellungen für IKEv2 auf der CPE-Seite stimmen nicht mit denen von Cisco überein. Überprüfen Sie die genannten Einstellungen erneut:

    • Überprüfen Sie, ob die IKE-Version Version 2 ist.

    • Überprüfen Sie, ob die Verschlüsselungs- und Authentifizierungsparameter mit der erwarteten Verschlüsselung auf der Seite der dedizierten Instanz übereinstimmen.

      Wenn die „GCM“-Verschlüsselung verwendet wird, übernimmt das GCM-Protokoll die Authentifizierung und setzt den Authentifizierungsparameter auf NULL.

    • Überprüfen Sie die Lebensdauereinstellung.

    • Überprüfen Sie die Diffie-Hellman-Modulgruppe.

    • Überprüfen Sie die Einstellungen der Pseudozufallsfunktion.

  • Die Zugriffsliste für die Crypto Map ist nicht auf Folgendes eingestellt:

    • Permit GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (oder gleichwertiger Befehl)

      Die Zugriffsliste muss speziell für das „GRE“-Protokoll sein, das „IP“-Protokoll funktioniert nicht.

Wenn die Protokollmeldungen keine Verhandlungsaktivität für die IKEv2-Phase anzeigen, ist möglicherweise eine Paketerfassung erforderlich.

Die Seite der dedizierten Instanz beginnt möglicherweise nicht immer mit dem IKEv2-Austausch und erwartet manchmal, dass die CPE-Seite des Kunden der Initiator ist.

Überprüfen Sie die CPE-seitige Konfiguration auf die folgenden Voraussetzungen für die Initiierung einer IKEv2-Sitzung:

  • Suchen Sie nach einer IPsec-Kryptozugriffsliste für GRE-Verkehr (Protokoll 50) von der CPE-Tunneltransport-IP zur Dedicated Instance-Tunneltransport-IP.

  • Stellen Sie sicher, dass die GRE-Tunnelschnittstelle für GRE-Keepalives aktiviert ist. Wenn das Gerät GRE-Keepalives nicht unterstützt, wird Cisco benachrichtigt, da GRE-Keepalives auf der Seite der dedizierten Instanz standardmäßig aktiviert werden.

  • Stellen Sie sicher, dass BGP aktiviert und mit der Nachbaradresse der Tunnel-IP der dedizierten Instanz konfiguriert ist.

Bei richtiger Konfiguration beginnt der IPsec-Tunnel und die erste Phase der IKEv2-Aushandlung mit Folgendem:

  • GRE-Keepalives von der GRE-Tunnelschnittstelle auf der CPE-Seite zur GRE-Tunnelschnittstelle auf der Dedicated Instance-Seite.

  • BGP-Nachbar-TCP-Sitzung vom BGP-Nachbarn auf der CPE-Seite zum BGP-Nachbarn auf der Dedicated Instance-Seite.

  • Ping von der Tunnel-IP-Adresse auf der CPE-Seite zur Tunnel-IP-Adresse auf der Dedicated Instance-Seite.

    Der Ping kann nicht von Tunnel-Transport-IP zu Tunnel-Transport-IP erfolgen, er muss von Tunnel-IP zu Tunnel-IP erfolgen.

Wenn eine Paketverfolgung für den IKEv2-Verkehr erforderlich ist, stellen Sie den Filter für UDP und entweder Port 500 (wenn sich kein NAT-Gerät in der Mitte der IPsec-Endpunkte befindet) oder Port 4500 (wenn ein NAT-Gerät in der Mitte der IPsec-Endpunkte eingefügt ist) ein.

Überprüfen Sie, ob IKEv2-UDP-Pakete mit Port 500 oder 4500 an die DI-IPsec-IP-Adresse gesendet und von dieser empfangen werden.

Das Dedicated Instance-Rechenzentrum beginnt möglicherweise nicht immer mit dem ersten IKEv2-Paket. Voraussetzung ist, dass das CPE-Gerät in der Lage ist, das erste IKEv2-Paket zur Dedicated Instance-Seite zu initiieren.

Wenn die lokale Firewall dies zulässt, versuchen Sie auch einen Ping an die Remote-IPsec-Adresse. Wenn der Ping von der lokalen zur Remote-IPsec-Adresse nicht erfolgreich ist, führen Sie zur Hilfe einen Traceroute durch und ermitteln Sie, wo das Paket verloren gegangen ist.

Einige Firewalls und Internetgeräte lassen Traceroute möglicherweise nicht zu.

Fehlerbehebung und Validierung der zweiten Phase von IPsec (IPsec-Aushandlung)

Stellen Sie sicher, dass die erste Phase von IPsec (d. h. die IKEv2-Sicherheitszuordnung) aktiv ist, bevor Sie die Fehlerbehebung für die zweite Phase von IPsec durchführen. Führen Sie „show crypto ikev2 sa“ oder einen gleichwertigen Befehl aus, um die IKEv2-Sitzung zu überprüfen. Überprüfen Sie in der Ausgabe, ob die IKEv2-Sitzung länger als ein paar Sekunden aktiv ist und nicht abprallt. Die Sitzungsverfügbarkeit wird in der Ausgabe als „Aktive Zeit“ der Sitzung oder als Äquivalent angezeigt.

Sobald bestätigt wurde, dass die IKEv2-Sitzung aktiv ist, untersuchen Sie die IPsec-Sitzung. Führen Sie wie bei der IKEv2-Sitzung einen „show crypto ipsec sa“- oder gleichwertigen Befehl aus, um die IPsec-Sitzung zu überprüfen. Sowohl die IKEv2-Sitzung als auch die IPsec-Sitzung müssen aktiv sein, bevor der GRE-Tunnel hergestellt wird. Wenn die IPsec-Sitzung nicht als aktiv angezeigt wird, überprüfen Sie die IPsec-Protokolle auf Fehlermeldungen oder Verhandlungsfehler.

Zu den häufigeren Problemen, die während der IPsec-Verhandlungen auftreten können, gehören:

Die Einstellungen auf der CPE-Seite stimmen nicht mit denen der dedizierten Instanz überein. Überprüfen Sie die Einstellungen erneut:

  • Überprüfen Sie, ob die Verschlüsselungs- und Authentifizierungsparameter mit den Einstellungen auf der Seite der dedizierten Instanz übereinstimmen.

  • Überprüfen Sie die Perfect Forward Secrecy-Einstellungen und stellen Sie sicher, dass die Einstellungen auf der Seite der dedizierten Instanz übereinstimmen.

  • Überprüfen Sie die Lebensdauereinstellungen.

  • Stellen Sie sicher, dass IPsec im Tunnelmodus konfiguriert wurde.

  • Überprüfen Sie die Quell- und Ziel-IPsec-Adressen.

Fehlerbehebung und Validierung der Tunnelschnittstelle

Wenn die IPsec- und IKEv2-Sitzungen als aktiv und aufrecht verifiziert sind, können die Keepalive-Pakete des GRE-Tunnels zwischen den Endpunkten der dedizierten Instanz und des CPE-Tunnels fließen. Wenn der Status der Tunnelschnittstelle nicht angezeigt wird, können dies einige häufige Probleme sein:

  • Das Transport-VRF der Tunnelschnittstelle stimmt nicht mit dem VRF der Loopback-Schnittstelle überein (wenn auf der Tunnelschnittstelle eine VRF-Konfiguration verwendet wird).

    Wenn die VRF-Konfiguration auf der Tunnelschnittstelle nicht verwendet wird, kann diese Prüfung ignoriert werden.

  • Keepalives sind auf der CPE-seitigen Tunnelschnittstelle nicht aktiviert

    Wenn Keepalives auf der CPE-Ausrüstung nicht unterstützt werden, muss Cisco benachrichtigt werden, damit die Standard-Keepalives auf der Seite der dedizierten Instanz ebenfalls deaktiviert werden.

    Wenn Keepalives unterstützt werden, überprüfen Sie, ob die Keepalives aktiviert sind.

  • Die Maske oder IP-Adresse der Tunnelschnittstelle ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Die Quell- oder Ziel-Tunneltransportadresse ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Eine Firewall blockiert das Senden und Empfangen von GRE-Paketen in den IPsec-Tunnel (der GRE-Tunnel wird über den IPsec-Tunnel transportiert).

Ein Ping-Test sollte bestätigen, dass die lokale Tunnelschnittstelle aktiv ist und eine gute Verbindung zur Remote-Tunnelschnittstelle besteht. Führen Sie den Ping-Check von der Tunnel-IP (nicht der Transport-IP) zur Remote-Tunnel-IP durch.

Die Krypto-Zugriffsliste für den IPsec-Tunnel, der den GRE-Tunnelverkehr überträgt, lässt nur die Durchquerung von GRE-Paketen zu. Dies hat zur Folge, dass Pings von der Tunneltransport-IP zur Remote-Tunneltransport-IP nicht funktionieren.

Die Ping-Prüfung führt zu einem GRE-Paket, das von der Quell-Tunneltransport-IP zur Ziel-Tunneltransport-IP generiert wird, während die Nutzlast des GRE-Pakets (die interne IP) die Quell- und Ziel-Tunnel-IP ist.

Wenn der Ping-Test nicht erfolgreich ist und die vorhergehenden Elemente überprüft werden, ist möglicherweise eine Paketerfassung erforderlich, um sicherzustellen, dass der ICMP-Ping zu einem GRE-Paket führt, das dann in ein IPsec-Paket gekapselt und dann von der Quell-IPsec-Adresse an die Ziel-IPsec-Adresse gesendet wird. Zähler auf der GRE-Tunnelschnittstelle und die IPsec-Sitzungszähler können ebenfalls dabei helfen, anzuzeigen, ob die gesendeten und empfangenen Pakete inkrementell sind.

Zusätzlich zum Ping-Verkehr sollte die Erfassung auch Keepalive-GRE-Pakete anzeigen, selbst während des Leerlaufverkehrs. Wenn BGP konfiguriert ist, sollten BGP-Keepalive-Pakete schließlich auch als in IPSEC-Paketen gekapselte GRE-Pakete über das VPN gesendet werden.

BGP-Fehlerbehebung und -Validierung

BGP-Sitzungen

BGP wird als Routing-Protokoll über den VPN-IPsec-Tunnel benötigt. Der lokale BGP-Nachbar sollte eine eBGP-Sitzung mit dem BGP-Nachbarn der dedizierten Instanz herstellen. Die eBGP-Nachbar-IP-Adressen sind dieselben wie die lokalen und Remote-Tunnel-IP-Adressen. Stellen Sie zunächst sicher, dass die BGP-Sitzung aktiv ist, und überprüfen Sie dann, ob die richtigen Routen von der dedizierten Instanz empfangen werden und die richtige Standardroute an die dedizierte Instanz gesendet wird.

Wenn der GRE-Tunnel aktiv ist, überprüfen Sie, ob ein Ping zwischen der lokalen und der Remote-GRE-Tunnel-IP erfolgreich ist. Wenn der Ping erfolgreich ist, die BGP-Sitzung jedoch nicht zustande kommt, untersuchen Sie das BGP-Protokoll auf BGP-Einrichtungsfehler.

Zu den häufigeren Problemen bei BGP-Aushandlungen zählen:

  • Die Remote-AS-Nummer stimmt nicht mit der AS-Nummer überein, die auf der Seite der dedizierten Instanz konfiguriert ist. Überprüfen Sie die Konfiguration des benachbarten AS erneut.

  • Die lokale AS-Nummer stimmt nicht mit den Erwartungen der dedizierten Instanzseite überein. Überprüfen Sie, ob die lokale AS-Nummer mit den erwarteten Parametern der dedizierten Instanz übereinstimmt.

  • Eine Firewall blockiert das Senden und Empfangen von in GRE-Paketen gekapselten BGP-TCP-Paketen in den IPsec-Tunnel.

  • Die Remote-BGP-Nachbar-IP stimmt nicht mit der Remote-GRE-Tunnel-IP überein.

BGP-Routenaustausch

Sobald die BGP-Sitzung für beide Tunnel überprüft wurde, stellen Sie sicher, dass von der Seite der dedizierten Instanz die richtigen Routen gesendet und empfangen werden.

Die Dedicated Instance VPN-Lösung erwartet den Aufbau von zwei Tunneln vom customer/partner Seite. Der erste Tunnel zeigt auf das Dedicated Instance-Rechenzentrum A und der zweite Tunnel auf das Dedicated Instance-Rechenzentrum B. Beide Tunnel müssen aktiv sein und die Lösung erfordert eine active/active Einsatz. Jedes Dedicated Instance-Rechenzentrum gibt seine lokale /25 Route sowie eine /24 Backup-Route. Stellen Sie beim Überprüfen der eingehenden BGP-Routen von Dedicated Instance sicher, dass die BGP-Sitzung, die mit dem Tunnel verknüpft ist, der auf Dedicated Instance-Rechenzentrum A verweist, das Dedicated Instance-Rechenzentrum A empfängt /25 lokale Route sowie die /24 Backup-Route. Stellen Sie außerdem sicher, dass der Tunnel, der auf das Dedicated Instance-Rechenzentrum B zeigt, das Dedicated Instance-Rechenzentrum B empfängt /25 lokale Route sowie die /24 Backup-Route. Beachten Sie, dass die /24 Die Backup-Route ist dieselbe Route, die aus den Rechenzentren A und B der dedizierten Instanz angekündigt wird.

Einem Dedicated Instance-Rechenzentrum wird Redundanz bereitgestellt, wenn die Tunnelschnittstelle zu diesem Rechenzentrum ausfällt. Wenn die Verbindung zum Dedicated Instance-Rechenzentrum A verloren geht, wird der Datenverkehr vom Dedicated Instance-Rechenzentrum B zum Rechenzentrum A weitergeleitet. In diesem Szenario verwendet der Tunnel zum Rechenzentrum B das Rechenzentrum B. /25 Route zum Senden von Verkehr an Rechenzentrum B und der Tunnel zu Rechenzentrum B verwendet die Backup- /24 Route zum Senden von Datenverkehr an Rechenzentrum A über Rechenzentrum B.

Wenn beide Tunnel aktiv sind, ist es wichtig, dass der Tunnel von Rechenzentrum A nicht zum Senden von Datenverkehr an Rechenzentrum B verwendet wird und umgekehrt. Wenn in diesem Szenario Datenverkehr an Rechenzentrum A mit dem Ziel Rechenzentrum B gesendet wird, leitet Rechenzentrum A den Datenverkehr an Rechenzentrum B weiter und dann versucht Rechenzentrum B, den Datenverkehr über den Tunnel von Rechenzentrum B zurück an die Quelle zu senden. Dies führt zu einem suboptimalen Routing und kann auch den Datenverkehr beim Durchqueren von Firewalls beeinträchtigen. Daher ist es wichtig, dass sich beide Tunnel in einer active/active Konfiguration während des Normalbetriebs.

Der 0.0.0.0/0 Die Route muss von der Kundenseite zur Seite des Rechenzentrums der dedizierten Instanz angekündigt werden. Spezifischere Routen werden von der Dedicated Instance-Seite nicht akzeptiert. Stellen Sie sicher, dass die 0.0.0.0/0 Die Route wird sowohl aus dem Tunnel des Dedicated Instance-Rechenzentrums A als auch aus dem Tunnel des Dedicated Instance-Rechenzentrums B angekündigt.

MTU-Konfiguration

Auf der Seite der dedizierten Instanz sind zwei Funktionen aktiviert, um die MTU für große Paketgrößen dynamisch anzupassen. Der GRE-Tunnel fügt den IP-Paketen, die durch die VPN-Sitzung fließen, weitere Header hinzu. Der IPsec-Tunnel fügt die zusätzlichen Header über den GRE-Headern hinzu und reduziert so die größte über den Tunnel zulässige MTU weiter.

Der GRE-Tunnel passt die MSS-Funktion an und der GRE-Tunnelpfad in der MTU-Erkennungsfunktion ist auf der Seite der dedizierten Instanz aktiviert. Konfigurieren Sie "ip tcp adjust-mss 1350" oder einen gleichwertigen Befehl sowie "tunnel path\u0002mtu-discovery" oder ein gleichwertiger Befehl auf der Kundenseite, um die dynamische Anpassung der MTU des Datenverkehrs durch den VPN-Tunnel zu unterstützen.