Einführung

Virtual Connect ist eine zusätzliche Add-on-Option für die Cloud-Verbindung zur dedizierten Instanz für Webex Calling (dedizierte Instanz). Mit Virtual Connect können Kunden ihr Privates Netzwerk mithilfe von Punkt-zu-Punkt-IP-VPN-Tunneln sicher über das Internet erweitern. Diese Verbindungsoption bietet eine schnelle Einrichtung einer privaten Netzwerkverbindung durch Verwendung der vorhandenen CPE (Customer Premise Equipment) und Internetkonnektivität.

Cisco hostet, verwaltet und stellt redundante IP-VPN-Tunnel und den erforderlichen Internetzugang in der bzw. den Region(en) des Rechenzentrums für dedizierte Instanz von Cisco sicher, in der der Dienst erforderlich ist. In ähnlicher Weise ist der Administrator für die entsprechenden CPE- und Internetdienste verantwortlich, die für die Einrichtung von Virtual Connect erforderlich sind.

Jeder Virtual Connect-Auftrag in einer bestimmten Region der dedizierten Instanz würde zwei durch IPSec-Verschlüsselung (GRE über IPSec) geschützte allgemeine Routing Encapsulation (GRE)-Tunnel enthalten, einen zu jedem Rechenzentrum von Cisco in der ausgewählten Region.

Virtual Connect hat eine Bandbreitenbeschränkung von 250 MBit/s pro Tunnel und wird für kleinere Bereitstellungen empfohlen. Da zwei Punkt-zu-Punkt-VPN-Tunnel verwendet werden, muss der gesamte Datenverkehr zur Cloud durch das Kunden-Headend-CPE gehen, und daher ist er möglicherweise nicht geeignet, wenn es viele Remote-Standorte gibt. Weitere alternative Peering-Optionen finden Sie unter Cloud-Konnektivität .


 

Bevor Sie die Peering-Anfrage für Virtual Connect senden, stellen Sie sicher, dass der Dienst Dedicated Instance in dieser entsprechenden Region aktiviert ist.

Voraussetzungen

Die Voraussetzungen für die Einrichtung von Virtual Connect umfassen:

  • Kunden bietet

    • Internetverbindung mit ausreichender verfügbarer Bandbreite zur Unterstützung der Bereitstellung

    • Öffentliche IP-Adresse(n) für zwei IPSec-Tunnel

    • Kundenseitige GRE-Transport-IP-Adressen für die beiden GRE-Tunnel

  • Partner und Kunde

    • Arbeiten Sie zusammen, um die Bandbreitenanforderungen zu bewerten

    • Sicherstellen, dass Netzwerkgeräte Border Gateway Protocol (BGP)-Routing und ein GRE-over-IPSec-Tunneldesign unterstützen

  • Partner oder Kunde bietet

    • Netzwerkteam mit Kenntnissen von Standort-zu-Standort VPN-Tunnel-Technologien

    • Netzwerkteam mit Kenntnissen von BGP, eBGP und allgemeinen Routing-Prinzipien

  • Cisco

    • Cisco hat private autonome Systemnummern (ASNs) und transiente IP-Adressen für GRE-Tunnelschnittstellen zugewiesen

    • Cisco hat ein öffentliches, aber nicht internetfähiges Class-C-Netzwerk (/24) für die Adressierung der dedizierten Instanz in der Cloud zugewiesen


 

Wenn ein Kunde nur 1 CPE-Gerät hat, stammen die 2 Tunnel zu den Rechenzentren von Cisco (DC1 und DC2) in jeder Region von diesem CPE-Gerät. Der Kunde hat auch eine Option für 2 CPE-Geräte. Anschließend sollte jedes CPE-Gerät mit einem Tunnel verbunden werden, nur in Richtung der Rechenzentren von Cisco (DC1 und DC2) in jeder Region. Zusätzliche Redundanz kann erreicht werden, indem jeder Tunnel an einem separaten physischen Standort/Standort innerhalb der Infrastruktur des Kunden beendet wird.

Technische Angaben

Bereitstellungsmodell

Virtual Connect verwendet eine Dual-Tier-Headend-Architektur, bei der die Routing- und GRE-Steuerungsebenen von einem Gerät bereitgestellt werden und die IPSec-Steuerungsebene von einem anderen.

Nach Abschluss der Virtual Connect-Verbindung werden zwischen dem Unternehmensnetzwerk des Kunden und den Rechenzentren der dedizierten Instanz von Cisco zwei GRE-over-IPSec-Tunnel erstellt. Eines zu jedem redundanten Rechenzentrum innerhalb der jeweiligen Region. Weitere für das Peering erforderliche Netzwerkelemente werden vom Partner oder Kunden über das Aktivierungsformular für Control Hub Virtual Connect an Cisco ausgetauscht.

Abbildung 1 zeigt ein Beispiel des Virtual Connect-Bereitstellungsmodells für die 2-Konzentrator-Option auf Kundenseite.

Virtual Connect – VPN ist ein Hub-Design, bei dem die Hub-Sites des Kunden mit DC1 und DC2 der Rechenzentren der dedizierten Instanz in einer bestimmten Region verbunden sind.

Zwei Hub-Standorte werden für eine bessere Redundanz empfohlen, aber Ein Hub-Standort mit zwei Tunneln ist auch ein unterstütztes Bereitstellungsmodell.


 

Die Bandbreite pro Tunnel ist auf 250 MBit/s begrenzt.


 

Die Remote-Standorte des Kunden innerhalb derselben Region müssten über das WAN des Kunden wieder mit den Hub-Standorten verbunden werden, und Cisco ist nicht für diese Konnektivität verantwortlich.

Von den Partnern wird eine enge Zusammenarbeit mit den Kunden erwartet, um sicherzustellen, dass der optimale Weg für die „Virtual Connect“-Serviceregion gewählt wird.

Abbildung 2 zeigt die Peering-Regionen für die Cloud-Konnektivität der dedizierten Instanz.

Weiterleitung

Das Routing für das Virtual Connect Add-on wird mithilfe eines externen BGP (eBGP) zwischen der dedizierten Instanz und dem CPE (Customer Premise Equipment) implementiert. Cisco kündigt sein jeweiliges Netzwerk für jedes redundante DC in einer Region an den CPE des Kunden an, und der CPE ist erforderlich, um eine Standardroute an Cisco anzukündigen.

  • Cisco pflegt und weist zu

    • IP-Adressierung der Tunnelschnittstelle (transienter Link für das Routing), die Cisco von einem festgelegten gemeinsam genutzten Adressbereich zuweist (nicht öffentlich routbar)

    • Adresse für Tunneltransport-Desitination (von Cisco)

    • Private autonome Systemnummern (ASNs) für die BGP-Routing-Konfiguration des Kunden

      • Cisco weist aus dem angegebenen privaten Nutzungsbereich zu: 64512 bis 65534

  • eBGP verwendet, um Routen zwischen Dedicated Instance und CPE auszutauschen

    • Cisco teilt das zugewiesene /24-Netzwerk in 2/25 für jedes DC in der jeweiligen Region auf.

    • In Virtual Connect wird jedes /25-Netzwerk von Cisco über die jeweiligen Punkt-zu-Punkt-VPN-Tunnel an CPE zurückgemeldet (transiente Verbindung).

    • CPE muss mit den entsprechenden eBGP-Nachbarn konfiguriert werden. Wenn Sie ein CPE verwenden, werden zwei eBGP-Nachbarn verwendet, einer zeigt auf jeden entfernten Tunnel. Wenn Sie zwei CPE verwenden, dann wird jeder CPE einen eBGP-Nachbarn haben, der zum einzigen Remote-Tunnel für den CPE peilt.

    • Die Cisco-Seite jedes GRE-Tunnels (Tunnel Interface IP) ist als BGP-Nachbar auf dem CPE konfiguriert.

    • CPE ist erforderlich, um eine Standardroute über jeden Tunnel anzukündigen

    • CPE kann die erlernten Routen innerhalb des Unternehmensnetzwerks des Cutomers nach Bedarf umverteilen.

  • Unter "Nicht-Fehler-Link-Fehler"-Bedingung wird ein einzelnes CPE zwei aktive/aktive Tunnel haben. Für zwei CPE-Knoten hat jeder CPE einen aktiven Tunnel, und beide CPE-Knoten sollten aktiv und passierender Datenverkehr sein. Bei Nichtausfall muss der Verkehr in zwei Tunnel aufgeteilt werden, die zu den korrekten /25 Zielen gehen, wenn einer der Tunnel abfällt, kann der restliche Tunnel den Verkehr für beide tragen. Bei einem solchen Fehlerszenario wird das /24-Netzwerk als Backup-Route verwendet, wenn das /25-Netzwerk ausgefallen ist. Cisco sendet Kundendatenverkehr über das interne WAN an das DC, bei dem die Konnektivität verloren geht.

Konnektivitätsprozess

In den folgenden allgemeinen Schritten wird beschrieben, wie Sie eine Konnektivität mit virtueller Verbindung für dedizierte Instanz herstellen.
1

Eine Bestellung in Cisco CCW aufgeben

2

Virtual Connect über Control Hub aktivieren

3

Cisco führt Netzwerkkonfiguration durch

4

Kunde führt Netzwerkkonfiguration durch

Schritt 1: CCW-Bestellung

Virtual Connect ist ein Add-on für dedizierte Instanzen in CCW.

1

Navigieren Sie zur CCW-Bestellseite und klicken Sie dann auf „Anmelden“, um sich bei der Site anzumelden:

2

Schätzung erstellen.

3

Fügen Sie „A-FLEX-3“-SKU hinzu.

4

Wählen Sie „Optionen bearbeiten“ aus.

5

Wählen Sie auf der angezeigten Abonnement-Registerkarte Optionen und Add-ons aus.

6

Aktivieren Sie unter Zusätzliche Add-ons das Kontrollkästchen neben „Virtual Connect for Dedicated Instance“ (Virtuelle Verbindung für dedizierte Instanz). Der SKU-Name lautet "A-FLEX-DI-VC".

7

Geben Sie die Anzahl und die Anzahl der Regionen ein, in denen Virtual Connect erforderlich ist.


 
Die Anzahl der virtuellen Verbindungen sollte die Gesamtzahl der Regionen, die für dedizierte Instanz gekauft wurden, nicht überschreiten. Außerdem ist nur eine Virtual Connect-Bestellung pro Region zulässig.
8

Wenn Sie mit Ihrer Auswahl zufrieden sind, Klicken Sie oben rechts auf der Seite auf Überprüfen und Speichern.

9

Klicken Sie auf „Speichern“ und auf „Weiter“, um Ihre Bestellung abzuschließen. Ihre endgültige Bestellung wird jetzt im Bestellraster angezeigt.

Schritt 2: Aktivierung von Virtual Connect im Control Hub

1

Melden Sie sich bei Control Hub https://admin.webex.com/login an.

2

Navigieren Sie im Abschnitt Dienste zu Anrufe > Dedizierte Instanz > Cloud-Konnektivität .

3

Auf der Virtual Connect-Karte ist die gekaufte Virtual Connect-Menge aufgeführt. Der Administrator kann jetzt auf „ Aktivieren“ klicken , um die Virtual Connect-Aktivierung zu starten.


 
Der Aktivierungsprozess kann nur von Administratoren mit der Rolle „Vollständiger Kundenadministrator“ ausgelöst werden. Ein Administrator mit „schreibgeschützter Kundenadministratorrolle“ kann hingegen nur den Status anzeigen.
4

Beim Klicken auf die Schaltfläche Aktivieren wird das Formular Virtuelle Verbindung aktivieren angezeigt, über das der Administrator die für die Peering-Konfigurationen auf der Cisco-Seite erforderlichen technischen Details für die virtuelle Verbindung bereitstellen kann.


 
Das Formular bietet auch statische Informationen auf der Seite von Cisco, basierend auf der ausgewählten Region. Diese Informationen sind für Kundenadministratoren nützlich, um das CPE auf ihrer Seite zu konfigurieren, um die Konnektivität herzustellen.
  1. GRE-Tunnel-Transport-IP-Adresse : Der Kunde muss die IP-Adressen für den Tunnel-Transport des Kunden bereitstellen und Cisco wird die IP-Adressen nach Abschluss der Aktivierung dynamisch zuweisen. Der IPSec ACL für Interessanten Verkehr sollte den lokalen Tunneltransport IP/32 zu entfernten Tunneltransport IP/32 erlauben. Der ACL sollte auch nur das GRE-IP-Protokoll angeben.


     
    Die vom Kunden angegebene IP-Adresse kann privat oder öffentlich sein.
  2. IPSec-Peers : Der Kunde muss die IP-Quelladressen des IPSec-Tunnels bereitstellen, und Cisco weist die IP-Zieladresse des IPSec zu. Bei Bedarf wird auch die NAT-Übersetzung einer internen IPSEC-Tunneladresse in eine öffentliche Adresse unterstützt.


     

    Die vom Kunden angegebene IP-Adresse sollte öffentlich sein.


     
    Alle anderen statischen Informationen, die im Aktivierungsbildschirm bereitgestellt werden, sind die Sicherheits- und Verschlüsselungsstandards von Cisco. Diese statische Konfiguration kann nicht angepasst oder geändert werden. Für weitere Unterstützung in Bezug auf die statischen Konfigurationen auf der Seite von Cisco müsste sich der Kunde an TAC wenden.
5

Klicken Sie auf die Schaltfläche Aktivieren , sobald alle Pflichtfelder ausgefüllt sind.

6

Nachdem das Virtual Connect-Aktivierungsformular für eine bestimmte Region ausgefüllt wurde, kann der Kunde das Aktivierungsformular aus Control Hub, Calling > Dedicated Instance > Cloud Connectivity Exportieren und auf „Einstellungen exportieren“ klicken.


 
Aus Sicherheitsgründen sind die Authentifizierung und das BGP-Kennwort im exportierten Dokument nicht verfügbar, aber der Administrator kann dasselbe in Control Hub anzeigen, indem er auf Einstellungen anzeigen unter Control Hub, Anrufe > Dedizierte Instanz > Cloud-Konnektivität klickt.

Schritt 3: Cisco führt Netzwerkkonfiguration durch

1

Nach Abschluss des Virtual Connect-Aktivierungsformulars wird der Status auf der Karte „Anrufe > Dedizierte Instanz > Cloud-Konnektivität – Virtual Connect“ auf „ Aktivierung in Bearbeitung“ aktualisiert.

2

Cisco führt die erforderlichen Konfigurationen auf dem seitlichen Gerät von Cisco innerhalb von 5 Werktagen aus. Nach erfolgreichem Abschluss wird der Status für diese bestimmte Region in Control Hub auf „Aktiviert“ aktualisiert.

Schritt 4: Kunde führt Netzwerkkonfiguration durch

Der Status wird in „Aktiviert“ geändert, um den Kunden-Adminstrator darüber zu informieren, dass die Cisco-Seite der Konfigurationen für die IP-VPN-Verbindung basierend auf den vom Kunden bereitgestellten Eingaben abgeschlossen wurde. Es wird jedoch erwartet, dass der Kundenadministrator die Seite der Konfigurationen auf den CPEs vervollständigt und die Verbindungsrouten testet, damit der Virtual Connect-Tunnel Online ist. Im Falle von Problemen, die zum Zeitpunkt der Konfiguration oder Konnektivität auftreten, kann sich der Kunde an Cisco TAC wenden, um Unterstützung zu erhalten.

Fehlerbehebung

IPsec Erste Phase (IKEv2-Verhandlung) Fehlerbehebung und Validierung

Die IPsec-Tunnelverhandlung umfasst zwei Phasen, die IKEv2-Phase und die IPsec-Phase. Wenn die IKEv2-Phase-Verhandlung nicht abgeschlossen ist, dann gibt es keine Einleitung einer zweiten IPsec-Phase. Geben Sie zunächst den Befehl „show crypto ikev2 sa“ (auf Cisco-Geräten) oder einen ähnlichen Befehl auf Geräten eines Drittanbieters aus, um zu überprüfen, ob die IKEv2-Sitzung aktiv ist. Wenn die IKEv2-Sitzung nicht aktiv ist, können die möglichen Gründe dafür sein:

  • Interessanter Verkehr löst den IPsec-Tunnel nicht aus.

  • Die IPsec-Tunnelzugriffsliste ist falsch konfiguriert.

  • Es besteht keine Verbindung zwischen dem Kunden und der IPsec-Tunnel-Endpunkt-IP der dedizierten Instanz.

  • Die IKEv2-Sitzungsparameter stimmen zwischen der Seite der dedizierten Instanz und der Kundenseite nicht überein.

  • Eine Firewall blockiert die IKEv2 UDP-Pakete.

Prüfen Sie zunächst die IPsec-Protokolle auf alle Nachrichten, die den Fortschritt der IKEv2-Tunnelverhandlung anzeigen. Die Protokolle können anzeigen, wo es ein Problem mit der IKEv2-Verhandlung gibt. Ein Mangel an Protokollierungsnachrichten kann auch darauf hinweisen, dass die IKEv2-Sitzung nicht aktiviert wird.

Einige häufige Fehler bei der IKEv2-Verhandlung sind:

  • Die Einstellungen für IKEv2 auf der CPE-Seite stimmen nicht mit der Cisco-Seite überein. Überprüfen Sie die genannten Einstellungen:

    • Überprüfen Sie, ob die IKE-Version Version 2 ist.

    • Stellen Sie sicher, dass die Verschlüsselungs- und Authentifizierungsparameter mit der erwarteten Verschlüsselung auf der Seite der dedizierten Instanz übereinstimmen.


       

      Wenn die „GCM“-Verschlüsselung verwendet wird, verarbeitet das GCM-Protokoll die Authentifizierung und legt den Authentifizierungsparameter auf „NULL“ fest.

    • Überprüfen Sie die Einstellung für die Lebensdauer.

    • Überprüfen Sie die Diffie Hellman Modulgruppe.

    • Überprüfen Sie die Einstellungen für die Pseudo-Zufallsfunktion.

  • Die Zugriffsliste für die Kryptokarte ist nicht festgelegt auf:

    • GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (oder gleichwertiger Befehl) zulassen


       

      Die Zugriffsliste muss speziell für das "GRE"-Protokoll sein und das "IP"-Protokoll funktioniert nicht.

Wenn in den Protokollnachrichten keine Verhandlungsaktivität für die IKEv2-Phase angezeigt wird, kann eine Paketerfassung erforderlich sein.


 

Die Seite der dedizierten Instanz beginnt möglicherweise nicht immer mit dem IKEv2-Austausch und kann manchmal erwarten, dass die CPE-Seite des Kunden der Initiator ist.

Überprüfen Sie die CPE-Seitenkonfiguration für die folgenden Voraussetzungen für die IKEv2-Sitzungsinitiierung:

  • Suchen Sie nach einer IPsec-Verschlüsselungszugriffsliste für GRE-Datenverkehr (Protokoll 50) von der CPE-Tunneltransport-IP zur dedizierten Instanztunnel-Transport-IP.

  • Stellen Sie sicher, dass die GRE-Tunnelschnittstelle für GRE-Keepalives aktiviert ist. Wenn das Gerät GRE-Keepalives nicht unterstützt, wird Cisco benachrichtigt, da GRE-Keepalives standardmäßig auf der Seite der dedizierten Instanz aktiviert werden.

  • Stellen Sie sicher, dass BGP aktiviert und mit der Nachbaradresse der Tunnel-IP der dedizierten Instanz konfiguriert ist.

Bei ordnungsgemäßer Konfiguration beginnen die folgenden Schritte mit dem IPsec-Tunnel und der IKEv2-Verhandlung der ersten Phase:

  • GRE-Keepalives von der CPE-Seite GRE-Tunnelschnittstelle zur Dedicated Instance-Seite GRE-Tunnelschnittstelle.

  • BGP-Nachbar-TCP-Sitzung von der CPE-Seite BGP-Nachbar zur Seite der dedizierten Instanz BGP-Nachbar.

  • Ping von der IP-Adresse des CPE-Seitentunnels zur IP-Adresse des Seitentunnels der dedizierten Instanz.


     

    Ping kann nicht die Tunnel-Transport-IP zu Tunnel-Transport-IP sein, es muss Tunnel-IP zu Tunnel-IP sein.

Wenn für den IKEv2-Datenverkehr eine Paketverfolgung benötigt wird, legen Sie den Filter für UDP und Port 500 (wenn sich kein NAT-Gerät in der Mitte der IPsec-Endpunkte befindet) oder Port 4500 (wenn ein NAT-Gerät in der Mitte der IPsec-Endpunkte eingefügt wird) fest.

Stellen Sie sicher, dass IKEv2 UDP-Pakete mit Port 500 oder 4500 an die und von der DI IPsec-IP-Adresse gesendet und empfangen werden.


 

Das Rechenzentrum der dedizierten Instanz startet möglicherweise nicht immer das erste IKEv2-Paket. Die Anforderung ist, dass das CPE-Gerät das erste IKEv2-Paket in Richtung der dedizierten Instanz initiieren kann.

Wenn die lokale Firewall dies zulässt, versuchen Sie auch, einen Ping an die Remote-IPsec-Adresse zu senden. Wenn der Ping von einer lokalen IPsec-Adresse zur Remote-IPsec-Adresse nicht erfolgreich ist, führen Sie eine Nachverfolgungsroute aus, um zu helfen, und bestimmen Sie, wo das Paket gelöscht wird.

Einige Firewalls und Internetgeräte erlauben möglicherweise keine Nachverfolgungsroute.

IPsec Zweite Phase (IPsec-Verhandlung) Fehlerbehebung und Validierung

Stellen Sie sicher, dass die erste IPsec-Phase (d. h. IKEv2-Sicherheitsverknüpfung) aktiv ist, bevor Sie die zweite IPsec-Phase beheben. Führen Sie einen Befehl "show crypto ikev2 sa" oder einen entsprechenden Befehl aus, um die IKEv2-Sitzung zu überprüfen. Überprüfen Sie in der Ausgabe, ob die IKEv2-Sitzung mehr als ein paar Sekunden lang aktiv war und nicht abprallt. Die Verfügbarkeit der Sitzung wird als „Aktive Zeit“ der Sitzung oder gleichwertig in der Ausgabe angezeigt.

Sobald die IKEv2-Sitzung als aktiv verifiziert wurde, Untersuchen Sie die IPsec-Sitzung. Führen Sie wie bei der IKEv2-Sitzung einen Befehl "show crypto ipsec sa" oder einen entsprechenden Befehl aus, um die IPsec-Sitzung zu überprüfen. Sowohl die IKEv2-Sitzung als auch die IPsec-Sitzung müssen aktiv sein, bevor der GRE-Tunnel eingerichtet wird. Wenn die IPsec-Sitzung nicht als aktiv angezeigt wird, überprüfen Sie die IPsec-Protokolle auf Fehlermeldungen oder Aushandlungsfehler.

Einige der häufigsten Probleme, die während der IPsec-Verhandlungen auftreten können, sind:

Die Einstellungen auf der CPE-Seite stimmen nicht mit der Seite der dedizierten Instanz überein. Überprüfen Sie die Einstellungen erneut:

  • Stellen Sie sicher, dass die Verschlüsselungs- und Authentifizierungsparameter mit den Einstellungen auf der Seite der dedizierten Instanz übereinstimmen.

  • Überprüfen Sie die Perfect Forward Secrecy-Einstellungen und die Übereinstimmungseinstellungen auf der Seite der dedizierten Instanz.

  • Überprüfen Sie die Lifetime-Einstellungen.

  • Stellen Sie sicher, dass das IPsec im Tunnelmodus konfiguriert wurde.

  • Überprüfen Sie die IPsec-Quell- und Ziel-Adressen.

Fehlerbehebung und Validierung der Tunnelschnittstelle

Wenn die IPsec- und IKEv2-Sitzungen als aktiv verifiziert werden, können die Keepalive-Pakete des GRE-Tunnels zwischen den Endpunkten der dedizierten Instanz und dem CPE-Tunnel fließen. Wenn die Tunnelschnittstelle nicht den Status anzeigt, sind einige häufige Probleme:

  • Der Transport der Tunnelschnittstelle VRF stimmt nicht mit dem VRF der Loopback-Schnittstelle überein (wenn die VRF-Konfiguration auf der Tunnelschnittstelle verwendet wird).


     

    Wenn die VRF-Konfiguration nicht auf der Tunnelschnittstelle verwendet wird, kann diese Überprüfung ignoriert werden.

  • Keepalives sind auf der CPE-Seitentunnelschnittstelle nicht aktiviert


     

    Wenn Keepalives auf dem CPE-Gerät nicht unterstützt werden, muss Cisco benachrichtigt werden, damit die Standard-Keepalives auf der Seite der dedizierten Instanz ebenfalls deaktiviert werden.

    Wenn Keepalives unterstützt werden, überprüfen Sie, ob die Keepalives aktiviert sind.

  • Die Maske oder IP-Adresse der Tunnelschnittstelle ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Die Transportadresse für den Quell- oder Zieltunnel ist nicht korrekt und stimmt nicht mit den erwarteten Werten der dedizierten Instanz überein.

  • Eine Firewall blockiert GRE-Pakete, die in den IPsec-Tunnel gesendet oder vom IPsec-Tunnel empfangen werden (der GRE-Tunnel wird über den IPsec-Tunnel transportiert)

Ein Ping-Test sollte überprüfen, ob die lokale Tunnelschnittstelle funktioniert und die Konnektivität zur entfernten Tunnelschnittstelle gut ist. Führen Sie eine Ping-Prüfung von der Tunnel-IP (nicht der Transport-IP) zur Remote-Tunnel-IP durch.


 

Die Crypto-Zugriffsliste für den IPsec-Tunnel, der den GRE-Tunnelverkehr trägt, erlaubt nur das Überqueren von GRE-Paketen. Infolgedessen funktionieren Pings nicht vom Tunneltransport-IP zum entfernten Tunneltransport-IP.

Die Ping-Prüfung ergibt ein GRE-Paket, das vom Quell-Tunnel-Transport IP zum Ziel-Tunnel-Transport IP generiert wird, während die Nutzlast des GRE-Pakets (die innere IP) die Quell- und Ziel-Tunnel-IP ist.

Wenn der Ping-Test nicht erfolgreich ist und die vorhergehenden Elemente überprüft werden, muss möglicherweise eine Paketerfassung durchgeführt werden, um sicherzustellen, dass der icmp-Ping zu einem GRE-Paket führt, das dann in ein IPsec-Paket eingekapselt und dann von der Quell-IPsec-Adresse an die Ziel-IPsec-Adresse gesendet wird. Zähler auf der GRE-Tunnelschnittstelle und die IPsec-Sitzungszähler können ebenfalls helfen zu zeigen, ob die Sende- und Empfangspakete inkrementieren.

Neben dem Ping-Verkehr sollte die Erfassung auch keepalive GRE-Pakete auch während des inaktiven Datenverkehrs anzeigen. Wenn BGP konfiguriert ist, sollten BGP-Keepalive-Pakete auch als GRE-Pakete gesendet werden, die in IPSEC-Paketen sowie über das VPN eingeschlossen sind.

BGP Fehlerbehebung und Validierung

BGP-Sitzungen

BGP ist als Routing-Protokoll über den VPN IPsec-Tunnel erforderlich. Der lokale BGP-Nachbar sollte eine eBGP-Sitzung mit dem BGP-Nachbar der dedizierten Instanz einrichten. Die eBGP-Nachbar-IP-Adressen entsprechen den lokalen und entfernten Tunnel-IP-Adressen. Stellen Sie zunächst sicher, dass die BGP-Sitzung aktiv ist, und stellen Sie dann sicher, dass die richtigen Routen von der dedizierten Instanz empfangen werden und die richtige Standardroute an die dedizierte Instanz gesendet wird.

Wenn der GRE-Tunnel aktiv ist, überprüfen Sie, ob ein Ping zwischen der lokalen und der entfernten IP des GRE-Tunnels erfolgreich ist. Wenn der Ping erfolgreich ist, aber die BGP-Sitzung nicht beginnt, untersuchen Sie das BGP-Protokoll auf Fehler bei der BGP-Einrichtung.

Einige der häufigsten BGP-Verhandlungsthemen sind:

  • Die Remote-AS-Nummer stimmt nicht mit der AS-Nummer überein, die auf der Seite der dedizierten Instanz konfiguriert ist. Überprüfen Sie die AS-Konfiguration des Nachbarn erneut.

  • Die lokale AS-Nummer stimmt nicht mit den erwarteten Parametern der dedizierten Instanz überein. Überprüfen Sie, ob die lokale AS-Nummer mit den erwarteten Parametern der dedizierten Instanz übereinstimmt.

  • Eine Firewall blockiert, dass in GRE-Paketen eingekapselte BGP TCP-Pakete in den IPsec-Tunnel gesendet oder vom IPSEC-Tunnel empfangen werden

  • Die Remote-BGP-Nachbar-IP stimmt nicht mit der Remote-GRE-Tunnel-IP überein.

BGP-Routenaustausch

Sobald die BGP-Sitzung für beide Tunnel verifiziert wurde, stellen Sie sicher, dass die richtigen Routen von der Seite der dedizierten Instanz gesendet und empfangen werden.

Die VPN-Lösung der dedizierten Instanz erwartet, dass von der Kunden-/Partnerseite zwei Tunnel eingerichtet werden. Der erste Tunnel zeigt auf das Rechenzentrum der dedizierten Instanz A und der zweite Tunnel auf das Rechenzentrum der dedizierten Instanz B. Beide Tunnel müssen sich im aktiven Status befinden und die Lösung erfordert eine aktive/aktive Bereitstellung. Jedes Rechenzentrum der dedizierten Instanz wird seine lokale /25-Route sowie eine /24-Backup-Route ankündigen. Stellen Sie bei der Überprüfung der eingehenden BGP-Routen von Dedicated Instance sicher, dass die BGP-Sitzung, die mit dem Tunnel verknüpft ist, der auf das Rechenzentrum A der dedizierten Instanz verweist, die lokale Route der dedizierten Instanz A /25 sowie die Backup-Route /24 erhält. Stellen Sie außerdem sicher, dass der Tunnel, der auf das Rechenzentrum B der dedizierten Instanz verweist, die lokale Route der dedizierten Instanz B /25 sowie die Backup-Route /24 erhält. Beachten Sie, dass die Sicherungsroute /24 dieselbe Route ist, die im Rechenzentrum A der dedizierten Instanz und im Rechenzentrum B der dedizierten Instanz angekündigt wurde.

Redundanz wird einem Rechenzentrum der dedizierten Instanz bereitgestellt, wenn die Tunnelschnittstelle zu diesem Rechenzentrum ausfällt. Wenn die Konnektivität zum Rechenzentrum der dedizierten Instanz A verloren geht, wird der Datenverkehr vom Rechenzentrum der dedizierten Instanz B zum Rechenzentrum A weitergeleitet. In diesem Szenario verwendet der Tunnel zum Rechenzentrum B die Route des Rechenzentrums B /25, um den Datenverkehr an das Rechenzentrum B zu senden, und der Tunnel zum Rechenzentrum B verwendet die Backup-Route /24, um den Datenverkehr über das Rechenzentrum B an das Rechenzentrum A zu senden.

Wenn beide Tunnel aktiv sind, ist es wichtig, dass Rechenzentrum Ein Tunnel nicht verwendet wird, um Datenverkehr an Rechenzentrum B zu senden und umgekehrt. Wenn der Datenverkehr in diesem Szenario an Rechenzentrum A mit dem Ziel Rechenzentrum B gesendet wird, leitet Rechenzentrum A den Datenverkehr an Rechenzentrum B weiter und Rechenzentrum B versucht dann, den Datenverkehr über den Tunnel des Rechenzentrums B an die Quelle zurückzuschicken. Dies führt zu einer nicht optimalen Weiterleitung und kann auch das Überqueren von Firewalls durch den Datenverkehr beeinträchtigen. Daher ist es wichtig, dass beide Tunnel während des normalen Betriebs in einer aktiven/aktiven Konfiguration sind.

Die Route 0.0.0.0/0 muss von Kundenseite an die Seite des Rechenzentrums der dedizierten Instanz herangetragen werden. Genauere Routen werden von der Seite der dedizierten Instanz nicht akzeptiert. Stellen Sie sicher, dass die Route 0.0.0.0/0 sowohl aus dem Tunnel der dedizierten Instanz A als auch aus dem Tunnel der dedizierten Instanz B bekannt gegeben wird.

MTU-Konfiguration

Auf der Seite der dedizierten Instanz können zwei Funktionen die MTU bei großen Paketgrößen dynamisch anpassen. Der GRE-Tunnel fügt weitere Header zu den IP-Paketen hinzu, die durch die VPN-Sitzung fließen. Durch den IPsec-Tunnel mit den zusätzlichen Headern auf den GRE-Headern wird die größte über dem Tunnel zulässige MTU weiter reduziert.

Der GRE-Tunnel passt die MSS-Funktion an und der GRE-Tunnelpfad in der MTU-Erkennungsfunktion ist auf der Seite der dedizierten Instanz aktiviert. Konfigurieren Sie "ip tcp adjust-mss 1350" oder äquivalenter Befehl sowie "Tunnel path\u0002mtu-discovery" oder äquivalenter Befehl auf Kundenseite, um die dynamische Anpassung der MTU des Datenverkehrs durch den VPN-Tunnel zu unterstützen.