Einführung

Virtual Connect ist eine zusätzliche Add-on-Option für Cloud-Konnektivität zu dedizierter Instanz Webex Calling (dedizierte Instanz). Mit Virtual Connect können Kunden ihr privates Netzwerk mithilfe von Point-to-Point-IP-VPN-Tunneln sicher über das Internet ausdehnen. Diese Verbindungsoption ermöglicht eine schnelle Einrichtung der Verbindung zum privaten Netzwerk unter Verwendung der vorhandenen Customer Premise Equipment (CPE) und der Internetverbindung.

Cisco hostet, verwaltet und stellt redundante IP-VPN-Tunnel und den erforderlichen Internetzugriff im/den dedizierten Instanz-Rechenzentrum(en) von Cisco sicher, wo der Dienst benötigt wird. In ähnlicher Weise ist der Administrator für die entsprechenden CPE- und Internet-Dienste verantwortlich, die für die Virtual Connect-Erstellung erforderlich sind.

Jede Virtuelle Connect-Bestellung in einer bestimmten Dedicated Instance-Region umfasst zwei generische Routing-Encapsulationstunnel (SEKTE),die durch IPSec-Verschlüsselung (SEKTE über IPSec) geschützt sind; jeweils einen Tunnel zu den Cisco-Rechenzentren in der ausgewählten Region.

Virtual Connect hat ein Bandbreitenlimit von 250 MBit/s pro Tunnel und wird für kleinere Bereitstellungen empfohlen. Da zwei Point-to-Point-VPN-Tunnels für den sämtlichen Datenverkehr zur Cloud verwendet werden, muss dieser den CPE der Kunden durchgehen. Daher ist es eventuell nicht geeignet, wenn sich viele Remote-Sites befinden. Weitere Optionen für alternative Peering finden Sie unter Cloudkonnektivität.

Bevor Sie die Peering-Anfrage für Virtual Connect senden, stellen Sie sicher, dass der Dienst der dedizierten Instanz in der jeweiligen Region aktiviert ist.

Voraussetzungen

Voraussetzungen für die Einrichtung von Virtual Connect sind:

  • Der Kunde stellt Ihnen

    • Internetverbindung mit genügend verfügbarer Bandbreite zur Unterstützung der Bereitstellung

    • Öffentliche IP-Adresse(n) für zwei IPSec-Tunnel

    • Kundenseitige TRANSPORT-IP-Adressen für die beiden ANDERE-TUNNEL

  • Partner und Kunde

    • Arbeiten Sie zusammen, um die Bandbreitenanforderungen zu bewerten.

    • Stellen Sie sicher, dass Netzwerkgeräte die Unterstützung Border Gateway Protocol (BGP)-Routing und ein MUSS über IPSec-Tunneldesign unterstützen

  • Partner oder Kunde stellt

    • Netzwerkteam mit Kenntnissen von STANDORT-zu-Standort-VPN-Tunneltechnologien

    • Netzwerkteam mit Kenntnissen von BGP, eBGP und allgemeinen Routing-Prinzipien

  • Cisco

    • Cisco hat private autonoumous Systemnummern (ASNs) und eine vorübergehende IP-Adresse für DIE COOKIES-Tunnelschnittstellen zugewiesen.

    • Cisco weist ein öffentliches, aber nicht routingfähiges Internet-Klassennetzwerk (/24) für die Cloud-Adressierung für dedizierte Instanz zu

Wenn ein Kunde nur über ein CPE-Gerät verfügt, dann werden die 2 Tunnel zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region von diesem CPE-Gerät kommen. Der Kunde hat auch die Möglichkeit, 2 CPE-Geräte zu verwenden. Danach sollte jedes CPE-Gerät sich mit einem Tunnel nur zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region verbinden. Zusätzliche Redundanz kann erreicht werden, indem jeder Tunnel an einem separaten physischen Standort/Standort innerhalb der Infrastruktur des Kunden beendet wird.

Technische Angaben

Bereitstellungsmodell

Virtual Connect verwendet eine Dual-Tier-Kopfend-Architektur, bei der die Routing- und VIRTUELL-Steuerungsebenen von einem Gerät bereitgestellt werden und die IPSec-Steuerungsebene von einem anderen Gerät bereitgestellt wird.

Nach Abschluss der Virtual Connect-Konnektivität werden zwei SEKTE-Tunnel über IPSec zwischen dem Unternehmensnetzwerk des Kunden und den Cisco-Datenzentren der dedizierten Instanz erstellt. Eins zu jedem redundanten Rechenzentrum innerhalb der jeweiligen Region. Zusätzliche für das Peering erforderliche Netzwerkelemente werden vom Partner oder Kunden über das Aktivierungsformular für den virtuellen Control Hub Connect an Cisco ausgetauscht.

Die folgende Abbildung zeigt das Beispiel des Bereitstellungsmodells für virtuelle Verbindung für die Option 2-Konzentrator auf Kundenseite.

Virtual Connect – VPN ist ein Hub-Design, bei dem die Hub-Sites des Kunden mit dc1 und DC2 der Datenzentren der dedizierten Instanz innerhalb einer bestimmten Region verbunden sind.

Für eine bessere Redundanz werden zwei Hub-Sites empfohlen. Ein Hub-Standort mit zwei Tunnels wird jedoch ebenfalls als Bereitstellungsmodell unterstützt.

Die Bandbreite pro Tunnel ist auf 250 MBit/s begrenzt.

Die entfernten Sites des Kunden innerhalb derselben Region müssten über das WAN des Kunden zurück zur Hub-Site(s) verbunden werden, und die Verantwortung für diese Verbindung liegt nicht in Der Verantwortung von Cisco.

Von den Partnern wird erwartet, dass sie eng mit den Kunden zusammenarbeiten und sicherstellen, dass für die Virtual Connect -Dienstregion der optimale Pfad gewählt wird.

Die folgende Abbildung zeigt die Cloud-Konnektivität-Peering-Regionen der dedizierten Instanz.

Virtual Connect-Regionen

Routing

Das Routing für das Virtual Connect-Add-on wird mithilfe einer externen BGP (eBGP) zwischen dedizierter Instanz und dem Customer Premise Equipment (CPE) implementiert. Cisco wird das entsprechende Netzwerk für jeden redundanten DC innerhalb einer Region für den CPE des Kunden ankämten, und der CPE ist erforderlich, um eine Standard-Route an Cisco zu angekündigt.

  • Cisco verwaltet und weist zu

    • Tunnel-Interface-IP-Adressierung (vorübergehende Weiterleitungsverbindung) Cisco-Zuweisungen von einem bestimmten gemeinsam genutzten Adressbereich (nicht öffentlich routingfähig)

    • Tunneltransportdeitierungsadresse (Seite von Cisco)

    • Private AsNs (Private Routing System Numbers) für BGP-Routing-Konfiguration des Kunden

      • Cisco weist aus dem angegebenen Bereich für die private Nutzung: 64512 bis 65534

  • eBGP zum Austausch von Routen zwischen dedizierter Instanz und CPE

    • Cisco teilt das zugewiesene /24-Netzwerk für jeden DC in der jeweiligen Region in 2 /25.

    • In Virtual Connect wird jedes /25-Netzwerk von Cisco über die entsprechenden Point-to-Point-VPN-Tunnel (vorübergehende Verbindung) dem CPE zurück angekündigt

    • CPE muss mit den entsprechenden eBGP-Neighbors konfiguriert werden. Wenn Sie einen CPE verwenden, werden zwei eBGP-Neighbors verwendet, die jeweils einen zu jedem Ferntunnel zeigen. Wenn sie zwei CPE verwenden, dann hat jeder CPE einen eBGP-Nachbar, der zum einzigen Remote-Tunnel der CPE wird.

    • Die Cisco-Seite jedes TUNNEL-Tunnels (Tunnel-Schnittstellen-IP) ist als BGP-Nachbar des CPE konfiguriert.

    • CPE ist erforderlich, um eine Standardroute über jeden Tunnel zu stellen

    • CPE kann, wie erforderlich, für die Neuverteilung der Lernrouten innerhalb des Unternehmensnetzwerks der Cutomer verantwortlich sein.

  • Unter der Bedingung eines Ausfallausfalls der Verbindung wird ein einzelner CPE zwei Aktive/Aktiv-Tunnel haben. Für zwei CPE-Knoten hat jeder CPE einen aktiven Tunnel, und beide CPE-Knoten sollten aktiv sein und den Datenverkehr übergeben. Unter Nicht-Ausfall-Szenarios muss sich der Verkehr in zwei Tunnels teilen, die zu den korrekten /25-Zielen gehen. Wenn einer der Tunnels abläuft, kann der verbleibende Tunnel den Verkehr für beide Personen führen. Bei einem solchen Ausfallszenario wird bei Ausfällen des /25-Netzwerks das /24-Netzwerk als Backup-Route verwendet. Cisco sendet den Kundenverkehr über sein internes WAN nach DC, wodurch die Konnektivität verloren geht.

Verbindungsprozess

In den folgenden großen Schritten wird beschrieben, wie Eine Verbindung mit virtueller Connect für dedizierte Instanz hergestellt werden kann.
1

Bestellung in Cisco CCW platzieren

2

Virtuelle Verbindung über Control Hub aktivieren

3

Cisco führt Netzwerkkonfiguration durch

4

Kunde führt Netzwerkkonfiguration durch

Schritt 1: CCW-Bestellung

Virtual Connect ist ein Add-On für dedizierte Instanz in CCW.

1

Navigieren Sie zur CCW-Bestellseite und klicken Sie dann auf Anmelden, um sich auf der Site anzumelden:

https://apps.cisco.com/Commerce/guest.
2

Schätzung erstellen.

3

Fügen Sie "A-FLEX-3" SKU hinzu.

4

Wählen Sie Optionen bearbeiten aus.

5

Wählen Sie in der nun angezeigten Registerkarte Abonnement die Option Optionen und Add-ons.

6

Aktivieren Sie unter Zusätzliche Add-Ons das Kontrollkästchen neben "Virtual Connect for Dedicated Instance". Der Name der SKU ist "A-FLEX-DI-VC".

7

Geben Sie die Menge und Anzahl der Regionen ein, in denen Virtual Connect erforderlich ist.

Die Menge der virtuellen Connect darf die Gesamtzahl an Regionen, die für eine dedizierte Instanz erworben wurden, nicht überschreiten. Außerdem ist nur eine virtuelle Connect-Bestellung pro Region zulässig.
8

Wenn Sie mit Ihrer Auswahl zufrieden sind, klicken Sie oben rechts auf der Seite auf Überprüfen und speichern.

9

Klicken Sie auf Speichern und Weiter, um die Bestellung fertig zu machen. Ihre endgültige Reihenfolge wird jetzt im Reihenfolgeraster angezeigt.

Schritt 2: Aktivierung von Virtual Connect im Control Hub

1

Melden Sie sich bei Control Hub an https://admin.webex.com/login.

2

Navigieren Sie im Bereich Dienste zu Anrufdienst > Dedizierte Instacnce > Cloudkonnektivität.

3

Auf der Virtuellen Connect-Karte wird die erworbene Virtual Connect-Menge aufgeführt. Der Administrator kann nun auf Aktivieren klicken, um die Aktivierung für virtuelles Connect zu starten.

Der Aktivierungsprozess kann nur von Administratoren mit der Rolle "Kunden volladministrator" ausgelöst werden. Während Ein Administrator mit der Rolle "Kunde schreibgeschützt" nur den Status einlesen kann.
4

Wenn der Administrator auf die Schaltfläche Activate (Aktivieren) klickt, wird das Formular "Activate Virtual Connect" (Virtuelles Connect aktivieren) angezeigt, in dem er die für die Peering-Konfigurationen erforderlichen technischen Details für Virtual Connect an die Seite von Cisco weitersendet.

Das Formular enthält auch statische Informationen auf Cisco-Seite basierend auf der ausgewählten Region. Diese Informationen sind für Kundenadministratoren nützlich, um das CPE auf ihrer Seite zu konfigurieren, um die Konnektivität zu herstellen.

  1. GRE-Tunnel-Transport-IP-Adresse: Der Kunde muss die Seit-Tunnel-Transport-IP-Adressen des Kunden bereitstellen. Nach der Aktivierung verteilt Cisco die IP-Adressen dynamisch. IpSec ACL für interessanten Datenverkehr sollte den lokalen Tunneltransport IP/32 zum Ferntunneltransport IP/32 erlauben. Die ACL sollte außerdem nur das IP-Protokoll DESTE-Protokolls angeben.

    Die vom Kunden angegebene IP-Adresse kann privat oder öffentlich sein.

  2. IPSec-Peers: Der Kunde muss die Quell-IP-Adressen des IPSec-Tunnels angeben, und Cisco verteilt die IPSec-Ziel-IP-Adresse. Die NAT-Übersetzung einer internen IPSEC-Tunneladresse in eine öffentliche Adresse wird bei Bedarf ebenfalls unterstützt.

    Die vom Kunden angegebene IP-Adresse muss öffentlich sein.

    Alle anderen statischen Informationen, die im Aktivierungsbildschirm angegeben sind, sind die Sicherheits- und Verschlüsselungsstandards von Cisco. Diese statische Konfiguration ist nicht anpassbar oder modifizierbar. Für weitere Unterstützung bezüglich der statischen Konfigurationen auf Ciscos Seite, muss sich der Kunde an TAC wenden.
5

Klicken Sie auf die Schaltfläche Aktivieren , sobald alle Pflichtfelder ausgefüllt sind.

6

Nachdem das Aktivierungsformular für virtuelles Connect für eine teilscheinende Region abgeschlossen wurde, kann der Kunde das Aktivierungsformular aus Control Hub exportieren, > Dedizierte Instanz > Cloudkonnektivität exportieren und auf Exporteinstellungen klicken.

Aus Sicherheitsgründen stehen die Authentifizierung und das BGP-Kennwort im exportierten Dokument nicht zur Verfügung. Der Administrator kann diese jedoch in Control Hub anzeigen, indem er auf Einstellungen anzeigen unter Control Hub, Calling > Dedicated Instance > Cloud-Konnektivität klickt.

Schritt 3: Cisco führt Netzwerkkonfiguration durch

1

Nach Abschluss des Aktivierungsformulars für virtuelles Connect wird der Status auf die Karte Activation In Progress in Calling > Dedicated Instance > Cloud Connectivity Virtual Connect (Aktivierung in Gang) aktualisiert.

2

Cisco schließt die erforderlichen Konfigurationen auf der Cisco-Seitenausrüstung innerhalb von 5 Werktagen ab. Nach der erfolgreichen Fertigstellung wird der Status für diese spezielle Region im Control Hub in "Aktiviert" aktualisiert.

Schritt 4: Kunde führt Netzwerkkonfiguration durch

Der Status wird in "Aktiviert" geändert, um den Kundenadministrator darüber zu informieren, dass die Konfigurationen der IP-VPN-Verbindung von Cisco auf Grundlage der vom Kunden bereitgestellten Eingänge abgeschlossen wurden. Von den Kundenadministratoren wird jedoch erwartet, dass sie die Konfiguration der CPEs abschließen und die Verbindungsrouten für den Virtual Connect-Tunnel testen, der online sein soll. Im Fall von Problemen, die während der Konfiguration oder der Verbindung verbunden sind, kann sich der Kunde an Cisco TAC wenden, um Unterstützung zu erhalten.

Fehlerbehebung

Fehlerbehebung und Validierung in der ersten IPsec-Phase (IKEv2-Verhandlung)

Die IPsec-Tunnelverhandlung umfasst zwei Phasen, die IKEv2-Phase und die IPsec-Phase. Wenn die Aushandlung der IKEv2-Phase nicht abgeschlossen ist, erfolgt keine zweite IPsec-Phase. Geben Sie zunächst den Befehl „show crypto ikev2 sa“ (auf Cisco-Geräten) oder einen ähnlichen Befehl auf der Drittanbieterausrüstung aus, um zu überprüfen, ob die IKEv2-Sitzung aktiv ist. Wenn die IKEv2-Sitzung nicht aktiv ist, könnten folgende Gründe vorliegen:

  • Interessanter Datenverkehr löst den IPsec-Tunnel nicht aus.

  • Die IPsec-Tunnel-Zugriffsliste ist falsch konfiguriert.

  • Es besteht keine Konnektivität zwischen dem Kunden und der IPsec-Tunnel-Endpunkt-IP der dedizierten Instanz.

  • Die IKEv2-Sitzungsparameter stimmen zwischen der dedizierten Instanz und der Kundenseite nicht überein.

  • Eine Firewall blockiert die IKEv2 UDP-Pakete.

Prüfen Sie zunächst die IPsec-Protokolle auf Nachrichten, die den Fortschritt der IKEv2-Tunnel-Aushandlung anzeigen. Die Protokolle können anzeigen, wo ein Problem mit der IKEv2-Verhandlung vorliegt. Das Fehlen von Protokollierungsmeldungen kann auch darauf hinweisen, dass die IKEv2-Sitzung nicht aktiviert wird.

Einige häufige Fehler bei der IKEv2-Verhandlung sind:

  • Die Einstellungen für IKEv2 auf der CPE-Seite stimmen nicht mit denen von Cisco überein. Überprüfen Sie die erwähnten Einstellungen erneut:

    • Stellen Sie sicher, dass die IKE-Version Version 2 ist.

    • Stellen Sie sicher, dass die Verschlüsselungs- und Authentifizierungsparameter mit der erwarteten Verschlüsselung auf der Seite der dedizierten Instanz übereinstimmen.

      Wenn die GCM-Verschlüsselung verwendet wird, verarbeitet das GCM-Protokoll die Authentifizierung und legt den Authentifizierungsparameter auf NULL fest.

    • Überprüfen Sie die Lebenszeiteinstellung.

    • Überprüfen Sie die Diffie-Hellman-Modul-Gruppe.

    • Überprüfen Sie die Einstellungen der Pseudozufallsfunktion.

  • Die Zugriffsliste für die Kryptokarte ist nicht festgelegt auf:

    • Permit GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (oder gleichwertiger Befehl)

      Die Zugriffsliste muss speziell für das „GRE“-Protokoll sein, und das „IP“-Protokoll funktioniert nicht.

Wenn in den Protokollnachrichten keine Aushandlungsaktivität für die IKEv2-Phase angezeigt wird, kann eine Paketerfassung erforderlich sein.

Die dedizierte Instanz beginnt möglicherweise nicht immer mit dem IKEv2-Austausch und erwartet manchmal, dass die CPE-Seite des Kunden der Initiator ist.

Überprüfen Sie die CPE-Seitenkonfiguration auf die folgenden Voraussetzungen für die Einleitung der IKEv2-Sitzung:

  • Suchen Sie nach einer IPsec-Krypto-Zugriffsliste für GRE-Datenverkehr (Protokoll 50) von der CPE-Tunneltransport-IP zur Tunneltransport-IP der dedizierten Instanz.

  • Stellen Sie sicher, dass die GRE-Tunnel-Schnittstelle für GRE-Keepalives aktiviert ist. Wenn das Gerät keine GRE-Keepalives unterstützt, wird Cisco benachrichtigt, weil GRE-Keepalives standardmäßig auf der Seite der dedizierten Instanz aktiviert sind.

  • Stellen Sie sicher, dass BGP aktiviert und mit der Nachbaradresse der Tunnel-IP der dedizierten Instanz konfiguriert ist.

Bei ordnungsgemäßer Konfiguration beginnt Folgendes mit dem IPsec-Tunnel und der ersten Phase der IKEv2-Aushandlung:

  • GRE-Keepalives von der CPE-seitigen GRE-Tunnelschnittstelle zur GRE-Tunnelschnittstelle der dedizierten Instanz.

  • BGP-Nachbar-TCP-Sitzung vom BGP-Nachbar der CPE-Seite zum BGP-Nachbar der dedizierten Instanz.

  • Pingen Sie die IP-Adresse des CPE-Seitentunnels an die IP-Adresse des Seitentunnels der dedizierten Instanz.

    Ping kann nicht die Tunnel-Transport-IP zu Tunnel-Transport-IP sein, es muss Tunnel-IP zu Tunnel-IP sein.

Wenn für den IKEv2-Datenverkehr eine Paketverfolgung erforderlich ist, legen Sie den Filter für UDP und entweder Port 500 (wenn sich kein NAT-Gerät in der Mitte der IPsec-Endpunkte befindet) oder Port 4500 (wenn ein NAT-Gerät in der Mitte der IPsec-Endpunkte befindet) fest.

Stellen Sie sicher, dass IKEv2 UDP-Pakete mit Port 500 oder 4500 an und von der DI IPsec-IP-Adresse gesendet und empfangen werden.

Das Rechenzentrum der dedizierten Instanz beginnt möglicherweise nicht immer mit dem ersten IKEv2-Paket. Voraussetzung ist, dass das CPE-Gerät in der Lage ist, das erste IKEv2-Paket zur Seite der dedizierten Instanz zu initiieren.

Wenn die lokale Firewall dies zulässt, versuchen Sie auch ein Ping an die Remote-IPsec-Adresse. Wenn das Ping von der lokalen zur entfernten IPsec-Adresse nicht erfolgreich ist, führen Sie eine Trace-Route durch, um zu helfen, und bestimmen Sie, wo das Paket gelöscht wird.

Einige Firewalls und Internetgeräte lassen möglicherweise keine Trace-Route zu.

Fehlerbehebung und Validierung in der zweiten IPsec-Phase (IPsec-Verhandlung)

Überprüfen Sie, ob die erste IPsec-Phase (d. h. IKEv2-Sicherheitszuordnung) aktiv ist, bevor Sie die zweite IPsec-Phase beheben. Führen Sie den Befehl "show crypto ikev2 sa" oder einen gleichwertigen Befehl aus, um die IKEv2-Sitzung zu überprüfen. Überprüfen Sie in der Ausgabe, ob die IKEv2-Sitzung seit mehr als ein paar Sekunden aktiv ist und nicht springt. Die Betriebszeit der Sitzung wird als „Aktive Zeit“ der Sitzung oder gleichwertige Ausgabe angezeigt.

Nachdem die IKEv2-Sitzung verifiziert wurde, Untersuchen Sie die IPsec-Sitzung. Führen Sie wie bei der IKEv2-Sitzung den Befehl "show crypto ipsec sa" oder einen gleichwertigen Befehl aus, um die IPsec-Sitzung zu überprüfen. Sowohl die IKEv2-Sitzung als auch die IPsec-Sitzung müssen aktiv sein, bevor der GRE-Tunnel eingerichtet wird. Wenn die IPsec-Sitzung nicht als aktiv angezeigt wird, überprüfen Sie die IPsec-Protokolle auf Fehlermeldungen oder Verhandlungsfehler.

Einige der häufigsten Probleme, die während der IPsec-Verhandlungen auftreten können, sind:

Die Einstellungen auf der CPE-Seite stimmen nicht mit der Seite der dedizierten Instanz überein. Überprüfen Sie die Einstellungen erneut:

  • Überprüfen Sie, ob die Verschlüsselungs- und Authentifizierungsparameter mit den Einstellungen auf der Seite der dedizierten Instanz übereinstimmen.

  • Überprüfen Sie die Einstellungen für die perfekte Weiterleitung der Geheimhaltung und vergewissern Sie sich, dass die Einstellungen auf der Seite der dedizierten Instanz übereinstimmen.

  • Überprüfen Sie die Lifetime-Einstellungen.

  • Stellen Sie sicher, dass IPsec im Tunnel-Modus konfiguriert wurde.

  • Überprüfen Sie die Quell- und Ziel-IPsec-Adressen.

Fehlerbehebung und Validierung der Tunnelschnittstelle

Wenn die IPsec- und IKEv2-Sitzungen als aktiv und aktiv überprüft werden, können die GRE-Tunnel-Keepalive-Pakete zwischen den dedizierten Instanzen und den CPE-Tunnel-Endpunkten fließen. Wenn die Tunnelschnittstelle keinen Status anzeigt, sind einige häufige Probleme:

  • Der Transport-VRF der Tunnelschnittstelle stimmt nicht mit dem VRF der Loopback-Schnittstelle überein (wenn die VRF-Konfiguration auf der Tunnelschnittstelle verwendet wird).

    Wenn die VRF-Konfiguration auf der Tunnelschnittstelle nicht verwendet wird, kann diese Überprüfung ignoriert werden.

  • Keepalives sind auf der CPE-Seitentunnelschnittstelle nicht aktiviert

    Wenn Keepalives auf dem CPE-Gerät nicht unterstützt werden, muss Cisco benachrichtigt werden, damit die Standard-Keepalives auf der Seite der dedizierten Instanz ebenfalls deaktiviert sind.

    Wenn Keepalives unterstützt werden, überprüfen Sie, ob die Keepalives aktiviert sind.

  • Die Maske oder die IP-Adresse der Tunnelschnittstelle ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Die Transportadresse des Quell- oder Zieltunnels ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Eine Firewall verhindert, dass GRE-Pakete in den IPsec-Tunnel gesendet oder vom IPsec-Tunnel empfangen werden (der GRE-Tunnel wird über den IPsec-Tunnel transportiert)

Ein Ping-Test sollte sicherstellen, dass die lokale Tunnelschnittstelle aktiviert ist und die Verbindung zur entfernten Tunnelschnittstelle gut ist. Führen Sie die Ping-Prüfung von der Tunnel-IP (nicht von der Transport-IP) zur entfernten Tunnel-IP durch.

Die Krypto-Zugriffsliste für den IPsec-Tunnel, der den GRE-Tunnel-Verkehr führt, erlaubt nur das Überqueren von GRE-Paketen. Daher funktionieren Pings nicht von Tunnel-Transport-IP zu Remote-Tunnel-Transport-IP.

Die Ping-Prüfung führt zu einem GRE-Paket, das von der Quell-Tunnel-Transport-IP zur Zieltunnel-Transport-IP generiert wird, während die Nutzlast des GRE-Pakets (die interne IP) die Quell- und Zieltunnel-IP ist.

Wenn der Ping-Test nicht erfolgreich ist und die vorhergehenden Elemente verifiziert sind, kann eine Paketerfassung erforderlich sein, um sicherzustellen, dass das icmp-Ping zu einem GRE-Paket führt, das dann in ein IPsec-Paket eingekapselt und dann von der Quell-IPsec-Adresse an die Ziel-IPsec-Adresse gesendet wird. Die Zähler auf der GRE-Tunnelschnittstelle und den IPsec-Sitzungszählern können ebenfalls hilfreich sein, um anzuzeigen, ob die Sende- und Empfangspakete inkrementieren.

Zusätzlich zum Ping-Datenverkehr sollte die Erfassung auch bei inaktivem Datenverkehr keepalive GRE-Pakete anzeigen. Wenn BGP konfiguriert ist, sollten BGP-Keepalive-Pakete auch als GRE-Pakete gesendet werden, die in IPSEC-Paketen eingeschlossen sind, sowie über das VPN.

BGP-Fehlerbehebung und -Validierung

BGP-Sitzungen

BGP ist als Routing-Protokoll über den VPN-IPsec-Tunnel erforderlich. Der lokale BGP-Nachbar sollte eine eBGP-Sitzung mit dem BGP-Nachbar der dedizierten Instanz einrichten. Die eBGP-Nachbar-IP-Adressen sind die gleichen wie die lokalen und entfernten Tunnel-IP-Adressen. Stellen Sie zunächst sicher, dass die BGP-Sitzung aktiviert ist, und stellen Sie anschließend sicher, dass die richtigen Routen von der dedizierten Instanz empfangen und die richtige Standardroute an die dedizierte Instanz gesendet wird.

Wenn der GRE-Tunnel aktiv ist, überprüfen Sie, ob ein Ping zwischen der lokalen und der entfernten GRE-Tunnel-IP erfolgreich ist. Wenn das Ping erfolgreich ist, aber die BGP-Sitzung nicht verfügbar ist, untersuchen Sie das BGP-Protokoll auf BGP-Installationsfehler.

Einige der häufigsten BGP-Verhandlungsprobleme sind:

  • Die Remote-AS-Nummer stimmt nicht mit der AS-Nummer überein, die auf der Seite der dedizierten Instanz konfiguriert ist. Überprüfen Sie erneut die Konfiguration der Nachbars-AS.

  • Die lokale AS-Nummer stimmt nicht mit den Erwartungen der Seite der dedizierten Instanz überein. Überprüfen Sie, ob die lokale AS-Nummer den erwarteten Parametern der dedizierten Instanz entspricht.

  • Eine Firewall verhindert, dass in GRE-Paketen eingekapselte BGP-TCP-Pakete in den IPsec-Tunnel gesendet oder vom IPSEC-Tunnel empfangen werden

  • Die entfernte BGP-Nachbar-IP stimmt nicht mit der entfernten GRE-Tunnel-IP überein.

BGP-Routenaustausch

Nachdem die BGP-Sitzung für beide Tunnel überprüft wurde, stellen Sie sicher, dass die richtigen Routen von der Seite der dedizierten Instanz gesendet und empfangen werden.

Die Dedicated Instance VPN-Lösung erwartet, dass zwei Tunnel von der Kunden-/Partnerseite eingerichtet werden. Der erste Tunnel verweist auf das Rechenzentrum A der dedizierten Instanz und der zweite Tunnel verweist auf das Rechenzentrum B der dedizierten Instanz. Beide Tunnel müssen sich im aktiven Status befinden und die Lösung erfordert eine aktive/aktive Bereitstellung. Jedes Rechenzentrum der dedizierten Instanz kündigt die lokale /25-Route sowie eine /24-Backup-Route an. Stellen Sie bei der Überprüfung der eingehenden BGP-Routen von der dedizierten Instanz sicher, dass die BGP-Sitzung, die mit dem Tunnel verknüpft ist, der auf das Rechenzentrum A der dedizierten Instanz zeigt, die lokale Route des Rechenzentrums A /25 sowie die /24-Backup-Route erhält. Stellen Sie außerdem sicher, dass der Tunnel, der auf das Rechenzentrum B der dedizierten Instanz verweist, die lokale Route des Rechenzentrums B /25 sowie die Backup-Route für die dedizierte Instanz erhält. Beachten Sie, dass die /24-Backup-Route dieselbe Route ist, die über das Rechenzentrum A der dedizierten Instanz und das Rechenzentrum B der dedizierten Instanz angekündigt wird.

Für ein Rechenzentrum der dedizierten Instanz wird Redundanz bereitgestellt, wenn die Tunnelschnittstelle zu diesem Rechenzentrum ausfällt. Wenn die Verbindung zum Rechenzentrum A der dedizierten Instanz unterbrochen wird, wird der Datenverkehr vom Rechenzentrum B der dedizierten Instanz zum Rechenzentrum A weitergeleitet. In diesem Szenario verwendet der Tunnel zum Rechenzentrum B die Route Rechenzentrum B /25, um Datenverkehr an das Rechenzentrum B zu senden, und der Tunnel zum Rechenzentrum B verwendet die Backup-Route /24, um Datenverkehr über das Rechenzentrum B an das Rechenzentrum A zu senden.

Es ist wichtig, dass bei aktiven beiden Tunneln das Rechenzentrum A nicht verwendet wird, um den Verkehr in das Rechenzentrum B zu senden und umgekehrt. Wird in diesem Szenario Verkehr an das Rechenzentrum A mit einem Ziel des Rechenzentrums B gesendet, leitet das Rechenzentrum A den Verkehr an das Rechenzentrum B weiter und dann versucht das Rechenzentrum B, den Verkehr über den Rechenzentrums-B-Tunnel an die Quelle zurückzusenden. Dies führt zu einer suboptimalen Weiterleitung und kann auch Firewalls unterbrechen, die den Datenverkehr durchqueren. Daher ist es wichtig, dass sich beide Tunnel während des normalen Betriebs in einer aktiven/aktiven Konfiguration befinden.

Die 0.0.0.0/0-Route muss von der Kundenseite zur Rechenzentrums-Seite der dedizierten Instanz angekündigt werden. Spezifischere Routen werden von der Seite der dedizierten Instanz nicht akzeptiert. Stellen Sie sicher, dass die 0.0.0.0/0-Route sowohl über das Rechenzentrum A als auch über das Rechenzentrum B der dedizierten Instanz angekündigt wird.

MTU-Konfiguration

Auf der Seite der dedizierten Instanz sind zwei Funktionen aktiviert, um die MTU für große Paketgrößen dynamisch anzupassen. Der GRE-Tunnel fügt den IP-Paketen, die durch die VPN-Sitzung fließen, weitere Header hinzu. Der IPsec-Tunnel fügt die zusätzlichen Header über den GRE-Header hinzu. Dadurch wird die größte MTU, die über den Tunnel erlaubt ist, weiter reduziert.

Der GRE-Tunnel passt die MSS-Funktion an, und der GRE-Tunnelpfad in der MTU-Erkennungsfunktion ist auf der Seite der dedizierten Instanz aktiviert. Konfigurieren Sie „ip tcp adjust-mss 1350“ oder einen gleichwertigen Befehl sowie „Tunnelpfad\u0002mtu-discovery“ oder einen gleichwertigen Befehl auf Kundenseite, um die dynamische Anpassung der MTU des Datenverkehrs durch den VPN-Tunnel zu unterstützen.