Einführung

Virtual Connect ist eine zusätzliche Add-on-Option für Cloud-Konnektivität zu dedizierter Instanz Webex Calling (dedizierte Instanz). Mit Virtual Connect können Kunden ihr privates Netzwerk mithilfe von Point-to-Point-IP-VPN-Tunneln sicher über das Internet ausdehnen. Diese Verbindungsoption ermöglicht eine schnelle Einrichtung der Verbindung zum privaten Netzwerk unter Verwendung der vorhandenen Customer Premise Equipment (CPE) und der Internetverbindung.

Cisco hostet, verwaltet und stellt redundante IP-VPN-Tunnel und den erforderlichen Internetzugriff im/den dedizierten Instanz-Rechenzentrum(en) von Cisco sicher, wo der Dienst benötigt wird. In ähnlicher Weise ist der Administrator für die entsprechenden CPE- und Internet-Dienste verantwortlich, die für die Virtual Connect-Erstellung erforderlich sind.

Jede Virtuelle Connect-Bestellung in einer bestimmten Dedicated Instance-Region umfasst zwei generische Routing-Encapsulationstunnel (SEKTE),die durch IPSec-Verschlüsselung (SEKTE über IPSec) geschützt sind; jeweils einen Tunnel zu den Cisco-Rechenzentren in der ausgewählten Region.

Virtual Connect hat ein Bandbreitenlimit von 250 MBit/s pro Tunnel und wird für kleinere Bereitstellungen empfohlen. Da zwei Point-to-Point-VPN-Tunnels für den sämtlichen Datenverkehr zur Cloud verwendet werden, muss dieser den CPE der Kunden durchgehen. Daher ist es eventuell nicht geeignet, wenn sich viele Remote-Sites befinden. Weitere Optionen für alternative Peering finden Sie unter Cloudkonnektivität.

Bevor Sie die Peering-Anfrage für Virtual Connect senden, stellen Sie sicher, dass der Dienst Dedicated Instance in dieser entsprechenden Region aktiviert ist.

Voraussetzungen

Voraussetzungen für die Einrichtung von Virtual Connect sind:

  • Der Kunde stellt Ihnen

    • Internetverbindung mit genügend verfügbarer Bandbreite zur Unterstützung der Bereitstellung

    • Öffentliche IP-Adresse(n) für zwei IPSec-Tunnel

    • Kundenseitige TRANSPORT-IP-Adressen für die beiden ANDERE-TUNNEL

  • Partner und Kunde

    • Arbeiten Sie zusammen, um die Bandbreitenanforderungen zu bewerten.

    • Stellen Sie sicher, dass Netzwerkgeräte die Unterstützung Border Gateway Protocol (BGP)-Routing und ein MUSS über IPSec-Tunneldesign unterstützen

  • Partner oder Kunde stellt

    • Netzwerkteam mit Kenntnissen von STANDORT-zu-Standort-VPN-Tunneltechnologien

    • Netzwerkteam mit Kenntnissen von BGP, eBGP und allgemeinen Routing-Prinzipien

  • Cisco

    • Cisco hat private autonoumous Systemnummern (ASNs) und eine vorübergehende IP-Adresse für DIE COOKIES-Tunnelschnittstellen zugewiesen.

    • Cisco weist ein öffentliches, aber nicht routingfähiges Internet-Klassennetzwerk (/24) für die Cloud-Adressierung für dedizierte Instanz zu

Wenn ein Kunde nur über ein CPE-Gerät verfügt, dann werden die 2 Tunnel zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region von diesem CPE-Gerät kommen. Der Kunde hat auch die Möglichkeit, 2 CPE-Geräte zu verwenden. Danach sollte jedes CPE-Gerät sich mit einem Tunnel nur zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region verbinden. Zusätzliche Redundanz kann erreicht werden, indem jeder Tunnel an einem separaten physischen Standort/Standort innerhalb der Infrastruktur des Kunden beendet wird.

Technische Angaben

Bereitstellungsmodell

Virtual Connect verwendet eine Dual-Tier-Kopfend-Architektur, bei der die Routing- und VIRTUELL-Steuerungsebenen von einem Gerät bereitgestellt werden und die IPSec-Steuerungsebene von einem anderen Gerät bereitgestellt wird.

Nach Abschluss der Virtual Connect-Konnektivität werden zwei SEKTE-Tunnel über IPSec zwischen dem Unternehmensnetzwerk des Kunden und den Cisco-Datenzentren der dedizierten Instanz erstellt. Eins zu jedem redundanten Rechenzentrum innerhalb der jeweiligen Region. Zusätzliche für das Peering erforderliche Netzwerkelemente werden vom Partner oder Kunden über das Aktivierungsformular für den virtuellen Control Hub Connect an Cisco ausgetauscht.

In Abbildung 1 ist ein Beispiel für das Virtual Connect-Bereitstellungsmodell für die Option 2-Geber auf Kundenseite dargestellt.

Virtual Connect – VPN ist ein Hub-Design, bei dem die Hub-Sites des Kunden mit dc1 und DC2 der Datenzentren der dedizierten Instanz innerhalb einer bestimmten Region verbunden sind.

Für eine bessere Redundanz werden zwei Hub-Sites empfohlen. Ein Hub-Standort mit zwei Tunnels wird jedoch ebenfalls als Bereitstellungsmodell unterstützt.

Die Bandbreite pro Tunnel ist auf 250 MBit/s begrenzt.

Die entfernten Sites des Kunden innerhalb derselben Region müssten über das WAN des Kunden zurück zur Hub-Site(s) verbunden werden, und die Verantwortung für diese Verbindung liegt nicht in Der Verantwortung von Cisco.

Von partnern wird erwartet, dass sie eng mit den Kunden zusammenarbeiten und sicherstellen, dass der optimale Pfad für die "Virtual Connect"-Serviceregion gewählt wird.

Abbildung 2 zeigt die Peering-Regionen für dedizierte Cloudkonnektivität.

Routing

Das Routing für das Virtual Connect-Add-on wird mithilfe einer externen BGP (eBGP) zwischen dedizierter Instanz und dem Customer Premise Equipment (CPE) implementiert. Cisco wird das entsprechende Netzwerk für jeden redundanten DC innerhalb einer Region für den CPE des Kunden ankämten, und der CPE ist erforderlich, um eine Standard-Route an Cisco zu angekündigt.

  • Cisco verwaltet und weist zu

    • Tunnel-Interface-IP-Adressierung (vorübergehende Weiterleitungsverbindung) Cisco-Zuweisungen von einem bestimmten gemeinsam genutzten Adressbereich (nicht öffentlich routingfähig)

    • Tunneltransportdeitierungsadresse (Seite von Cisco)

    • Private AsNs (Private Routing System Numbers) für BGP-Routing-Konfiguration des Kunden

      • Cisco weist aus dem angegebenen Bereich für die private Nutzung: 64512 bis 65534

  • eBGP zum Austausch von Routen zwischen dedizierter Instanz und CPE

    • Cisco teilt das zugewiesene /24-Netzwerk für jeden DC in der jeweiligen Region in 2 /25.

    • In Virtual Connect wird jedes /25-Netzwerk von Cisco über die entsprechenden Point-to-Point-VPN-Tunnel (vorübergehende Verbindung) dem CPE zurück angekündigt

    • CPE muss mit den entsprechenden eBGP-Neighbors konfiguriert werden. Wenn Sie einen CPE verwenden, werden zwei eBGP-Neighbors verwendet, die jeweils einen zu jedem Ferntunnel zeigen. Wenn sie zwei CPE verwenden, dann hat jeder CPE einen eBGP-Nachbar, der zum einzigen Remote-Tunnel der CPE wird.

    • Die Cisco-Seite jedes TUNNEL-Tunnels (Tunnel-Schnittstellen-IP) ist als BGP-Nachbar des CPE konfiguriert.

    • CPE ist erforderlich, um eine Standardroute über jeden Tunnel zu stellen

    • CPE kann, wie erforderlich, für die Neuverteilung der Lernrouten innerhalb des Unternehmensnetzwerks der Cutomer verantwortlich sein.

  • Unter der Bedingung eines Ausfallausfalls der Verbindung wird ein einzelner CPE zwei Aktive/Aktiv-Tunnel haben. Für zwei CPE-Knoten hat jeder CPE einen aktiven Tunnel, und beide CPE-Knoten sollten aktiv sein und den Datenverkehr übergeben. Unter Nicht-Ausfall-Szenarios muss sich der Verkehr in zwei Tunnels teilen, die zu den korrekten /25-Zielen gehen. Wenn einer der Tunnels abläuft, kann der verbleibende Tunnel den Verkehr für beide Personen führen. Bei einem solchen Ausfallszenario wird bei Ausfällen des /25-Netzwerks das /24-Netzwerk als Backup-Route verwendet. Cisco sendet den Kundenverkehr über sein internes WAN nach DC, wodurch die Konnektivität verloren geht.

Verbindungsprozess

In den folgenden großen Schritten wird beschrieben, wie Eine Verbindung mit virtueller Connect für dedizierte Instanz hergestellt werden kann.
1

Bestellung in Cisco CCW platzieren

2

Virtuelle Verbindung über Control Hub aktivieren

3

Cisco führt Netzwerkkonfiguration durch

4

Kunde führt Netzwerkkonfiguration durch

Schritt 1: CCW-Bestellung

Virtual Connect ist ein Add-On für dedizierte Instanz in CCW.

1

Navigieren Sie zur CCW-Bestellseite und klicken Sie dann auf Anmelden, um sich auf der Site anzumelden:

https://apps.cisco.com/Commerce/guest.
2

Schätzung erstellen.

3

Fügen Sie "A-FLEX-3" SKU hinzu.

4

Wählen Sie Optionen bearbeiten aus.

5

Wählen Sie in der nun angezeigten Registerkarte Abonnement die Option Optionen und Add-ons.

6

Aktivieren Sie unter Zusätzliche Add-Ons das Kontrollkästchen neben "Virtual Connect for Dedicated Instance". Der Name der SKU ist "A-FLEX-DI-VC".

7

Geben Sie die Menge und Anzahl der Regionen ein, in denen Virtual Connect erforderlich ist.

Die Menge der virtuellen Connect darf die Gesamtzahl an Regionen, die für eine dedizierte Instanz erworben wurden, nicht überschreiten. Außerdem ist nur eine virtuelle Connect-Bestellung pro Region zulässig.
8

Wenn Sie mit Ihrer Auswahl zufrieden sind, klicken Sie oben rechts auf der Seite auf Überprüfen und speichern.

9

Klicken Sie auf Speichern und Weiter, um die Bestellung fertig zu machen. Ihre endgültige Reihenfolge wird jetzt im Reihenfolgeraster angezeigt.

Schritt 2: Aktivierung von Virtual Connect im Control Hub

1

Melden Sie sich bei Control Hub an https://admin.webex.com/login.

2

Navigieren Sie im Bereich Dienste zu Anrufdienst > Dedizierte Instacnce > Cloudkonnektivität.

3

Auf der Virtuellen Connect-Karte wird die erworbene Virtual Connect-Menge aufgeführt. Der Administrator kann nun auf Aktivieren klicken, um die Aktivierung für virtuelles Connect zu starten.

Der Aktivierungsprozess kann nur von Administratoren mit der Rolle "Kunden volladministrator" ausgelöst werden. Während Ein Administrator mit der Rolle "Kunde schreibgeschützt" nur den Status einlesen kann.
4

Wenn der Administrator auf die Schaltfläche Activate (Aktivieren) klickt, wird das Formular "Activate Virtual Connect" (Virtuelles Connect aktivieren) angezeigt, in dem er die für die Peering-Konfigurationen erforderlichen technischen Details für Virtual Connect an die Seite von Cisco weitersendet.

Das Formular enthält auch statische Informationen auf Cisco-Seite basierend auf der ausgewählten Region. Diese Informationen sind für Kundenadministratoren nützlich, um das CPE auf ihrer Seite zu konfigurieren, um die Konnektivität zu herstellen.

  1. GRE-Tunnel-Transport-IP-Adresse : Der Kunde muss die Seit-Tunnel-Transport-IP-Adressen des Kunden bereitstellen. Nach der Aktivierung verteilt Cisco die IP-Adressen dynamisch. IpSec ACL für interessanten Datenverkehr sollte den lokalen Tunneltransport IP/32 zum Ferntunneltransport IP/32 erlauben. Die ACL sollte außerdem nur das IP-Protokoll DESTE-Protokolls angeben.

    Die vom Kunden angegebene IP-Adresse kann privat oder öffentlich sein.

  2. IPSec-Peers : Der Kunde muss die Quell-IP-Adressen des IPSec-Tunnels angeben, und Cisco verteilt die IPSec-Ziel-IP-Adresse. Die NAT-Übersetzung einer internen IPSEC-Tunneladresse in eine öffentliche Adresse wird bei Bedarf ebenfalls unterstützt.

    Die vom Kunden angegebene IP-Adresse muss öffentlich sein.

    Alle anderen statischen Informationen, die im Aktivierungsbildschirm angegeben sind, sind die Sicherheits- und Verschlüsselungsstandards von Cisco. Diese statische Konfiguration ist nicht anpassbar oder modifizierbar. Für weitere Unterstützung bezüglich der statischen Konfigurationen auf Ciscos Seite, muss sich der Kunde an TAC wenden.
5

Klicken Sie auf die Schaltfläche Aktivieren , sobald alle Pflichtfelder ausgefüllt sind.

6

Nachdem das Aktivierungsformular für virtuelles Connect für eine teilscheinende Region abgeschlossen wurde, kann der Kunde das Aktivierungsformular aus Control Hub exportieren, > Dedizierte Instanz > Cloudkonnektivität exportieren und auf Exporteinstellungen klicken.

Aus Sicherheitsgründen sind die Authentifizierung und das BGP-Kennwort im exportierten Dokument nicht verfügbar. Der Administrator kann diese jedoch in Control Hub anzeigen, indem er auf Einstellungen anzeigen unter Control Hub, Calling > Dedicated Instance > Cloud-Konnektivität klickt.

Schritt 3: Cisco führt Netzwerkkonfiguration durch

1

Nach Abschluss des Aktivierungsformulars für virtuelles Connect wird der Status auf die Karte Activation In Progress in Calling > Dedicated Instance > Cloud Connectivity Virtual Connect (Aktivierung in Gang) aktualisiert.

2

Cisco führt die erforderlichen Konfigurationen auf dem seitlichen Gerät von Cisco innerhalb von 5 Werktagen aus. Nach der erfolgreichen Fertigstellung wird der Status für diese spezielle Region im Control Hub in "Aktiviert" aktualisiert.

Schritt 4: Kunde führt Netzwerkkonfiguration durch

Der Status wird in "Aktiviert" geändert, um den Kundenadministrator darüber zu informieren, dass die Konfigurationen der IP-VPN-Verbindung von Cisco auf Grundlage der vom Kunden bereitgestellten Eingänge abgeschlossen wurden. Von den Kundenadministratoren wird jedoch erwartet, dass sie die Konfiguration der CPEs abschließen und die Verbindungsrouten für den Virtual Connect-Tunnel testen, der online sein soll. Im Fall von Problemen, die während der Konfiguration oder der Verbindung verbunden sind, kann sich der Kunde an Cisco TAC wenden, um Unterstützung zu erhalten.

Fehlerbehebung

IPsec Erste Phase (IKEv2-Verhandlung) Fehlerbehebung und Validierung

Die IPsec-Tunnelverhandlung umfasst zwei Phasen, die IKEv2-Phase und die IPsec-Phase. Wenn die IKEv2-Phase-Verhandlung nicht abgeschlossen ist, dann gibt es keine Einleitung einer zweiten IPsec-Phase. Geben Sie zunächst den Befehl „show crypto ikev2 sa“ (auf Cisco-Geräten) oder einen ähnlichen Befehl auf Geräten eines Drittanbieters aus, um zu überprüfen, ob die IKEv2-Sitzung aktiv ist. Wenn die IKEv2-Sitzung nicht aktiv ist, können die möglichen Gründe dafür sein:

  • Interessanter Verkehr löst den IPsec-Tunnel nicht aus.

  • Die IPsec-Tunnelzugriffsliste ist falsch konfiguriert.

  • Es besteht keine Verbindung zwischen dem Kunden und der IPsec-Tunnel-Endpunkt-IP der dedizierten Instanz.

  • Die IKEv2-Sitzungsparameter stimmen zwischen der Seite der dedizierten Instanz und der Kundenseite nicht überein.

  • Eine Firewall blockiert die IKEv2 UDP-Pakete.

Prüfen Sie zunächst die IPsec-Protokolle auf alle Nachrichten, die den Fortschritt der IKEv2-Tunnelverhandlung anzeigen. Die Protokolle können anzeigen, wo es ein Problem mit der IKEv2-Verhandlung gibt. Ein Mangel an Protokollierungsnachrichten kann auch darauf hinweisen, dass die IKEv2-Sitzung nicht aktiviert wird.

Einige häufige Fehler bei der IKEv2-Verhandlung sind:

  • Die Einstellungen für IKEv2 auf der CPE-Seite stimmen nicht mit der Cisco-Seite überein. Überprüfen Sie die genannten Einstellungen:

    • Überprüfen Sie, ob die IKE-Version Version 2 ist.

    • Stellen Sie sicher, dass die Verschlüsselungs- und Authentifizierungsparameter mit der erwarteten Verschlüsselung auf der Seite der dedizierten Instanz übereinstimmen.

      Wenn die „GCM“-Verschlüsselung verwendet wird, verarbeitet das GCM-Protokoll die Authentifizierung und legt den Authentifizierungsparameter auf „NULL“ fest.

    • Überprüfen Sie die Einstellung für die Lebensdauer.

    • Überprüfen Sie die Diffie Hellman Modulgruppe.

    • Überprüfen Sie die Einstellungen für die Pseudo-Zufallsfunktion.

  • Die Zugriffsliste für die Kryptokarte ist nicht festgelegt auf:

    • GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255" (oder gleichwertiger Befehl) zulassen

      Die Zugriffsliste muss speziell für das "GRE"-Protokoll sein und das "IP"-Protokoll funktioniert nicht.

Wenn in den Protokollnachrichten keine Verhandlungsaktivität für die IKEv2-Phase angezeigt wird, kann eine Paketerfassung erforderlich sein.

Die Seite der dedizierten Instanz beginnt möglicherweise nicht immer mit dem IKEv2-Austausch und kann manchmal erwarten, dass die CPE-Seite des Kunden der Initiator ist.

Überprüfen Sie die CPE-Seitenkonfiguration für die folgenden Voraussetzungen für die IKEv2-Sitzungsinitiierung:

  • Suchen Sie nach einer IPsec-Verschlüsselungszugriffsliste für GRE-Datenverkehr (Protokoll 50) von der CPE-Tunneltransport-IP zur dedizierten Instanztunnel-Transport-IP.

  • Stellen Sie sicher, dass die GRE-Tunnelschnittstelle für GRE-Keepalives aktiviert ist. Wenn das Gerät GRE-Keepalives nicht unterstützt, wird Cisco benachrichtigt, da GRE-Keepalives standardmäßig auf der Seite der dedizierten Instanz aktiviert werden.

  • Stellen Sie sicher, dass BGP aktiviert und mit der Nachbaradresse der Tunnel-IP der dedizierten Instanz konfiguriert ist.

Bei ordnungsgemäßer Konfiguration beginnen die folgenden Schritte mit dem IPsec-Tunnel und der IKEv2-Verhandlung der ersten Phase:

  • GRE-Keepalives von der CPE-Seite GRE-Tunnelschnittstelle zur Dedicated Instance-Seite GRE-Tunnelschnittstelle.

  • BGP-Nachbar-TCP-Sitzung von der CPE-Seite BGP-Nachbar zur Seite der dedizierten Instanz BGP-Nachbar.

  • Ping von der IP-Adresse des CPE-Seitentunnels zur IP-Adresse des Seitentunnels der dedizierten Instanz.

    Ping kann nicht die Tunnel-Transport-IP zu Tunnel-Transport-IP sein, es muss Tunnel-IP zu Tunnel-IP sein.

Wenn für den IKEv2-Datenverkehr eine Paketverfolgung benötigt wird, legen Sie den Filter für UDP und Port 500 (wenn sich kein NAT-Gerät in der Mitte der IPsec-Endpunkte befindet) oder Port 4500 (wenn ein NAT-Gerät in der Mitte der IPsec-Endpunkte eingefügt wird) fest.

Stellen Sie sicher, dass IKEv2 UDP-Pakete mit Port 500 oder 4500 an die und von der DI IPsec-IP-Adresse gesendet und empfangen werden.

Das Rechenzentrum der dedizierten Instanz startet möglicherweise nicht immer das erste IKEv2-Paket. Die Anforderung ist, dass das CPE-Gerät das erste IKEv2-Paket in Richtung der dedizierten Instanz initiieren kann.

Wenn die lokale Firewall dies zulässt, versuchen Sie auch, einen Ping an die Remote-IPsec-Adresse zu senden. Wenn der Ping von einer lokalen IPsec-Adresse zur Remote-IPsec-Adresse nicht erfolgreich ist, führen Sie eine Nachverfolgungsroute aus, um zu helfen, und bestimmen Sie, wo das Paket gelöscht wird.

Einige Firewalls und Internetgeräte erlauben möglicherweise keine Nachverfolgungsroute.

IPsec Zweite Phase (IPsec-Verhandlung) Fehlerbehebung und Validierung

Stellen Sie sicher, dass die erste IPsec-Phase (d. h. IKEv2-Sicherheitsverknüpfung) aktiv ist, bevor Sie die zweite IPsec-Phase beheben. Führen Sie einen Befehl "show crypto ikev2 sa" oder einen entsprechenden Befehl aus, um die IKEv2-Sitzung zu überprüfen. Überprüfen Sie in der Ausgabe, ob die IKEv2-Sitzung mehr als ein paar Sekunden lang aktiv war und nicht abprallt. Die Verfügbarkeit der Sitzung wird als „Aktive Zeit“ der Sitzung oder gleichwertig in der Ausgabe angezeigt.

Sobald die IKEv2-Sitzung als aktiv verifiziert wurde, Untersuchen Sie die IPsec-Sitzung. Führen Sie wie bei der IKEv2-Sitzung einen Befehl "show crypto ipsec sa" oder einen entsprechenden Befehl aus, um die IPsec-Sitzung zu überprüfen. Sowohl die IKEv2-Sitzung als auch die IPsec-Sitzung müssen aktiv sein, bevor der GRE-Tunnel eingerichtet wird. Wenn die IPsec-Sitzung nicht als aktiv angezeigt wird, überprüfen Sie die IPsec-Protokolle auf Fehlermeldungen oder Aushandlungsfehler.

Einige der häufigsten Probleme, die während der IPsec-Verhandlungen auftreten können, sind:

Die Einstellungen auf der CPE-Seite stimmen nicht mit der Seite der dedizierten Instanz überein. Überprüfen Sie die Einstellungen erneut:

  • Stellen Sie sicher, dass die Verschlüsselungs- und Authentifizierungsparameter mit den Einstellungen auf der Seite der dedizierten Instanz übereinstimmen.

  • Überprüfen Sie die Perfect Forward Secrecy-Einstellungen und die Übereinstimmungseinstellungen auf der Seite der dedizierten Instanz.

  • Überprüfen Sie die Lifetime-Einstellungen.

  • Stellen Sie sicher, dass das IPsec im Tunnelmodus konfiguriert wurde.

  • Überprüfen Sie die IPsec-Quell- und Ziel-Adressen.

Fehlerbehebung und Validierung der Tunnelschnittstelle

Wenn die IPsec- und IKEv2-Sitzungen als aktiv verifiziert werden, können die Keepalive-Pakete des GRE-Tunnels zwischen den Endpunkten der dedizierten Instanz und dem CPE-Tunnel fließen. Wenn die Tunnelschnittstelle nicht den Status anzeigt, sind einige häufige Probleme:

  • Der Transport der Tunnelschnittstelle VRF stimmt nicht mit dem VRF der Loopback-Schnittstelle überein (wenn die VRF-Konfiguration auf der Tunnelschnittstelle verwendet wird).

    Wenn die VRF-Konfiguration nicht auf der Tunnelschnittstelle verwendet wird, kann diese Überprüfung ignoriert werden.

  • Keepalives sind auf der CPE-Seitentunnelschnittstelle nicht aktiviert

    Wenn Keepalives auf dem CPE-Gerät nicht unterstützt werden, muss Cisco benachrichtigt werden, damit die Standard-Keepalives auf der Seite der dedizierten Instanz ebenfalls deaktiviert werden.

    Wenn Keepalives unterstützt werden, überprüfen Sie, ob die Keepalives aktiviert sind.

  • Die Maske oder IP-Adresse der Tunnelschnittstelle ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Die Transportadresse für den Quell- oder Zieltunnel ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Eine Firewall blockiert GRE-Pakete, die in den IPsec-Tunnel gesendet oder vom IPsec-Tunnel empfangen werden (der GRE-Tunnel wird über den IPsec-Tunnel transportiert)

Ein Ping-Test sollte überprüfen, ob die lokale Tunnelschnittstelle funktioniert und die Konnektivität zur entfernten Tunnelschnittstelle gut ist. Führen Sie eine Ping-Prüfung von der Tunnel-IP (nicht der Transport-IP) zur Remote-Tunnel-IP durch.

Die Crypto-Zugriffsliste für den IPsec-Tunnel, der den GRE-Tunnelverkehr trägt, erlaubt nur das Überqueren von GRE-Paketen. Infolgedessen funktionieren Pings nicht vom Tunneltransport-IP zum entfernten Tunneltransport-IP.

Die Ping-Prüfung ergibt ein GRE-Paket, das vom Quell-Tunnel-Transport IP zum Ziel-Tunnel-Transport IP generiert wird, während die Nutzlast des GRE-Pakets (die innere IP) die Quell- und Ziel-Tunnel-IP ist.

Wenn der Ping-Test nicht erfolgreich ist und die vorhergehenden Elemente überprüft werden, muss möglicherweise eine Paketerfassung durchgeführt werden, um sicherzustellen, dass der icmp-Ping zu einem GRE-Paket führt, das dann in ein IPsec-Paket eingekapselt und dann von der Quell-IPsec-Adresse an die Ziel-IPsec-Adresse gesendet wird. Zähler auf der GRE-Tunnelschnittstelle und die IPsec-Sitzungszähler können ebenfalls helfen zu zeigen, ob die Sende- und Empfangspakete inkrementieren.

Neben dem Ping-Verkehr sollte die Erfassung auch keepalive GRE-Pakete auch während des inaktiven Datenverkehrs anzeigen. Wenn BGP konfiguriert ist, sollten BGP-Keepalive-Pakete auch als GRE-Pakete gesendet werden, die in IPSEC-Paketen sowie über das VPN eingeschlossen sind.

BGP Fehlerbehebung und Validierung

BGP-Sitzungen

BGP ist als Routing-Protokoll über den VPN IPsec-Tunnel erforderlich. Der lokale BGP-Nachbar sollte eine eBGP-Sitzung mit dem BGP-Nachbar der dedizierten Instanz einrichten. Die eBGP-Nachbar-IP-Adressen entsprechen den lokalen und entfernten Tunnel-IP-Adressen. Stellen Sie zunächst sicher, dass die BGP-Sitzung aktiv ist, und stellen Sie dann sicher, dass die richtigen Routen von der dedizierten Instanz empfangen werden und die richtige Standardroute an die dedizierte Instanz gesendet wird.

Wenn der GRE-Tunnel aktiv ist, überprüfen Sie, ob ein Ping zwischen der lokalen und der entfernten IP des GRE-Tunnels erfolgreich ist. Wenn der Ping erfolgreich ist, aber die BGP-Sitzung nicht beginnt, untersuchen Sie das BGP-Protokoll auf Fehler bei der BGP-Einrichtung.

Einige der häufigsten BGP-Verhandlungsthemen sind:

  • Die Remote-AS-Nummer stimmt nicht mit der AS-Nummer überein, die auf der Seite der dedizierten Instanz konfiguriert ist. Überprüfen Sie die AS-Konfiguration des Nachbarn erneut.

  • Die lokale AS-Nummer stimmt nicht mit den erwarteten Parametern der dedizierten Instanz überein. Überprüfen Sie, ob die lokale AS-Nummer mit den erwarteten Parametern der dedizierten Instanz übereinstimmt.

  • Eine Firewall blockiert, dass in GRE-Paketen eingekapselte BGP TCP-Pakete in den IPsec-Tunnel gesendet oder vom IPSEC-Tunnel empfangen werden

  • Die Remote-BGP-Nachbar-IP stimmt nicht mit der Remote-GRE-Tunnel-IP überein.

BGP-Routenaustausch

Sobald die BGP-Sitzung für beide Tunnel verifiziert wurde, stellen Sie sicher, dass die richtigen Routen von der Seite der dedizierten Instanz gesendet und empfangen werden.

Die VPN-Lösung der dedizierten Instanz erwartet, dass von der Kunden-/Partnerseite zwei Tunnel eingerichtet werden. Der erste Tunnel zeigt auf das Rechenzentrum der dedizierten Instanz A und der zweite Tunnel auf das Rechenzentrum der dedizierten Instanz B. Beide Tunnel müssen sich im aktiven Status befinden und die Lösung erfordert eine aktive/aktive Bereitstellung. Jedes Rechenzentrum der dedizierten Instanz kündigt die lokale /25-Route sowie eine /24-Backup-Route an. Stellen Sie bei der Überprüfung der eingehenden BGP-Routen von Dedicated Instance sicher, dass die BGP-Sitzung, die mit dem Tunnel verknüpft ist, der auf das Rechenzentrum A der dedizierten Instanz verweist, die lokale Route der dedizierten Instanz A /25 sowie die Backup-Route /24 erhält. Stellen Sie außerdem sicher, dass der Tunnel, der auf das Rechenzentrum B der dedizierten Instanz verweist, die lokale Route der dedizierten Instanz B /25 sowie die Backup-Route /24 erhält. Beachten Sie, dass die Sicherungsroute /24 dieselbe Route ist, die im Rechenzentrum A der dedizierten Instanz und im Rechenzentrum B der dedizierten Instanz angekündigt wurde.

Redundanz wird einem Rechenzentrum der dedizierten Instanz bereitgestellt, wenn die Tunnelschnittstelle zu diesem Rechenzentrum ausfällt. Wenn die Konnektivität zum Rechenzentrum der dedizierten Instanz A verloren geht, wird der Datenverkehr vom Rechenzentrum der dedizierten Instanz B zum Rechenzentrum A weitergeleitet. In diesem Szenario verwendet der Tunnel zum Rechenzentrum B die Route des Rechenzentrums B /25, um den Datenverkehr an das Rechenzentrum B zu senden, und der Tunnel zum Rechenzentrum B verwendet die Backup-Route /24, um den Datenverkehr über das Rechenzentrum B an das Rechenzentrum A zu senden.

Wenn beide Tunnel aktiv sind, ist es wichtig, dass Rechenzentrum Ein Tunnel nicht verwendet wird, um Datenverkehr an Rechenzentrum B zu senden und umgekehrt. Wenn der Datenverkehr in diesem Szenario an Rechenzentrum A mit dem Ziel Rechenzentrum B gesendet wird, leitet Rechenzentrum A den Datenverkehr an Rechenzentrum B weiter und Rechenzentrum B versucht dann, den Datenverkehr über den Tunnel des Rechenzentrums B an die Quelle zurückzuschicken. Dies führt zu einer nicht optimalen Weiterleitung und kann auch das Überqueren von Firewalls durch den Datenverkehr beeinträchtigen. Daher ist es wichtig, dass beide Tunnel während des normalen Betriebs in einer aktiven/aktiven Konfiguration sind.

Die Route 0.0.0.0/0 muss von Kundenseite an die Seite des Rechenzentrums der dedizierten Instanz herangetragen werden. Genauere Routen werden von der Seite der dedizierten Instanz nicht akzeptiert. Stellen Sie sicher, dass die Route 0.0.0.0/0 sowohl aus dem Tunnel der dedizierten Instanz A als auch aus dem Tunnel der dedizierten Instanz B bekannt gegeben wird.

MTU-Konfiguration

Auf der Seite der dedizierten Instanz können zwei Funktionen die MTU bei großen Paketgrößen dynamisch anpassen. Der GRE-Tunnel fügt weitere Header zu den IP-Paketen hinzu, die durch die VPN-Sitzung fließen. Durch den IPsec-Tunnel mit den zusätzlichen Headern auf den GRE-Headern wird die größte über dem Tunnel zulässige MTU weiter reduziert.

Der GRE-Tunnel passt die MSS-Funktion an und der GRE-Tunnelpfad in der MTU-Erkennungsfunktion ist auf der Seite der dedizierten Instanz aktiviert. Konfigurieren Sie "ip tcp adjust-mss 1350" oder äquivalenter Befehl sowie "Tunnel path\u0002mtu-discovery" oder äquivalenter Befehl auf Kundenseite, um die dynamische Anpassung der MTU des Datenverkehrs durch den VPN-Tunnel zu unterstützen.