Johdanto

Virtual Connect on lisävaihtoehto pilviyhteydelle Webex-puheluiden dedikoituun instanssiin (Dedicated Instance). Virtual Connect antaa asiakkaille mahdollisuuden laajentaa yksityistä verkkoaan turvallisesti Internetin kautta käyttämällä point-to-point IP VPN -tunneleita. Tämä yhteysvaihtoehto tarjoaa nopean yksityisen verkkoyhteyden muodostamisen käyttämällä olemassa olevia asiakkaan paikallisia laitteita (CPE) ja Internet-yhteyttä.

Cisco isännöi, hallinnoi ja varmistaa redundantit IP-VPN-tunnelit ja tarvittavan Internet-yhteyden Ciscon Dedicated Instance -palvelinkeskuksen alueilla, joilla palvelua tarvitaan. Vastaavasti järjestelmänvalvoja on vastuussa vastaavista CPE- ja Internet-palveluista, joita tarvitaan Virtual Connect -yhteyden muodostamiseen.

Jokainen Virtual Connect -tilaus tietyllä Dedicated Instance -alueella sisältää kaksi yleistä reitityskapselointitunnelia (GRE), jotka on suojattu IPSec-salauksella (GRE over IPSec), yhden kullekin Ciscon palvelinkeskukselle valitulla alueella.

Virtual Connectin kaistanleveysrajoitus on 250 Mbps tunnelia kohden, ja sitä suositellaan pienempiin käyttöönottoihin. Koska käytössä on kaksi point-to-point VPN -tunnelia, kaiken pilveen suuntautuvan liikenteen on kuljettava asiakkaan CPE-videokeskuksen kautta, joten se ei välttämättä sovellu sinne, missä on paljon etäsivustoja. Lisätietoja muista vaihtoehtoisista peering-vaihtoehdoista on artikkelissa Cloud Connectivity.


 

Ennen kuin lähetät vertaispalvelupyynnön Virtual Connectia varten, varmista, että Dedicated Instance -palvelu on aktivoitu kyseisellä alueella.

Edellytykset

Virtual Connectin perustamisen edellytyksiä ovat:

  • Asiakas tarjoaa

    • Internet-yhteys, jossa on riittävästi käytettävissä olevaa kaistanleveyttä käyttöönoton tukemiseksi

    • Kahden IPSec-tunnelin julkinen IP-osoite (julkiset IP-osoitteet)

    • Asiakaspuolen GRE-kuljetuksen IP-osoitteet kahdelle GRE-tunnelille

  • Kumppani ja asiakas

    • Tee yhteistyötä kaistanleveysvaatimusten arvioimiseksi

    • Varmista, että verkkolaitteet tukevat BGP (Border Gateway Protocol) -reititystä ja GRE over IPSec -tunnelin suunnittelua

  • Kumppani tai asiakas tarjoaa

    • Verkkotiimi, jolla on tietoa sivustojen välisistä VPN-tunnelitekniikoista

    • Verkkotiimi, joka tuntee BGP: n, eBGP: n ja yleiset reititysperiaatteet

  • Cisco

    • Cisco määritti GRE-tunneliliittymille yksityiset autonomiset järjestelmänumerot (ASN) ja tilapäiset IP-osoitteet

    • Cisco määritti julkisen mutta ei Internet-reititettävän luokan C (/24) verkon Dedicated Instance Cloud -osoitetta varten


 

Jos asiakkaalla on vain 1 CPE-laite, Ciscon palvelinkeskuksiin (DC1 ja DC2) kullakin alueella johtavat kaksi tunnelia ovat kyseisestä CPE-laitteesta. Asiakkaalla on myös mahdollisuus kahteen CPE-laitteeseen, jolloin kunkin CPE-laitteen tulisi muodostaa yhteys yhteen tunneliin vain kohti Ciscon palvelinkeskuksia (DC1 ja DC2) kullakin alueella. Lisäredundanssi voidaan saavuttaa päättämällä jokainen tunneli erilliseen fyysiseen paikkaan/paikkaan asiakkaan infrastruktuurissa.

Tekniset tiedot

Käyttöönottomalli

Virtual Connect käyttää kaksitasoista videokeskusarkkitehtuuria, jossa reititys- ja GRE-ohjaustasot tarjoaa yksi laite ja IPSec-ohjaustason toinen.

Kun Virtual Connect -yhteys on valmis , asiakkaan yritysverkon ja Dedicated Instance Ciscon palvelinkeskusten välille luodaan kaksi GRE over IPSec -tunnelia. Yksi kutakin redundanttia palvelinkeskusta kohden kyseisellä alueella. Kumppani tai asiakas vaihtaa vertaisverkon tarvitsemat lisäelementit Ciscoon Control Hub Virtual Connect -aktivointilomakkeella.

Kuvassa 1 on esimerkki Virtual Connect -käyttöönottomallista 2-keskitinvaihtoehdolle asiakaspuolella.

Virtual Connect - VPN on keskitinsuunnittelu, jossa asiakkaan keskitinsivustot on yhdistetty DC1: een ja DC2: een Dedicated Instancen palvelinkeskuksissa tietyllä alueella.

Kahta Hub-toimipaikkaa suositellaan paremman redundanssin saavuttamiseksi, mutta One Hub -toimipaikka, jossa on kaksi tunnelia, on myös tuettu käyttöönottomalli.


 

Tunnelin kaistanleveys on rajoitettu 250 Mbps:iin.


 

Samalla alueella sijaitsevien asiakkaan etätoimipaikkojen on muodostettava yhteys takaisin keskittimen toimipaikkoihin asiakkaan WAN-verkon kautta, eikä Cisco ole vastuussa tästä yhteydestä.

Kumppaneiden odotetaan tekevän tiivistä yhteistyötä asiakkaiden kanssa varmistaen, että "Virtual Connect" -palvelualueelle valitaan optimaalisin polku.

Kuvassa 2 esitetään Dedicated Instance Cloud Connectivity -vertaisalueet.

Reititys

Virtual Connect -lisäosan reititys toteutetaan käyttämällä ulkoista BGP:tä (eBGP) Dedicated Instancen ja Customer Premise Equipmentin (CPE) välillä. Cisco mainostaa omaa verkkoaan jokaiselle alueen redundantille ohjauskoneelle asiakkaan CPE:lle, ja CPE:n on mainostettava oletusreittiä Ciscoon.

  • Cisco ylläpitää ja luovuttaa

    • Tunneliliittymän IP-osoite (tilapäinen linkki reititystä varten), jonka Cisco määrittää määritetystä jaetusta osoitetilasta (ei julkisesti reititettävissä)

    • Tunnelikuljetuksen kuivausosoite (Ciscon puolella)

    • Yksityiset autonomiset järjestelmänumerot (ASN) asiakkaan BGP-reitityskonfiguraatiota varten

      • Cisco määrittää määritetyltä yksityisen käytön alueelta: 64512–65534

  • eBGP, jota käytetään reittien vaihtamiseen Dedicated Instancen ja CPE:n välillä

    • Cisco jakaa määritetyn /24-verkon 2/25 yhdeksi kullekin kyseisen alueen DC: lle

    • Virtual Connectissa Cisco mainostaa jokaista /25-verkkoa takaisin CPE:lle vastaavien point-to-point-VPN-tunneleiden kautta (ohimenevä linkki)

    • CPE on määritettävä asianmukaisten eBGP-naapureiden kanssa. Jos käytetään yhtä CPE:tä, käytetään kahta eBGP-naapuria, joista yksi osoittaa kuhunkin etätunneliin. Jos käytetään kahta CPE:tä, jokaisella CPE:llä on yksi eBGP-naapuri, joka ponitoi yhteen CPE:n etätunneliin.

    • Kunkin GRE-tunnelin Cisco-puoli (tunneliliittymän IP) määritetään CPE:n BGP-naapuriksi

    • CPE:n on mainostettava oletusreittiä kunkin tunnelin kautta

    • CPE on vastuussa opittujen reittien uudelleenjakamisesta tarvittaessa kutomerin yritysverkossa.

  • Ei-vikaisen linkin vikatilanteessa yhdellä CPE:llä on kaksi aktiivista/aktiivista tunnelia. Kahdessa CPE-solmussa kussakin CPE:ssä on yksi aktiivinen tunneli, ja molempien CPE-solmujen tulee olla aktiivisia ja ohikulkevia liikennettä. Vikaantumattoman skenaarion mukaan liikenne on jaettava kahteen tunneliin, jotka menevät oikeisiin /25 määränpäihin, jos toinen tunneleista kaatuu, jäljellä oleva tunneli voi kuljettaa liikenteen molemmille. Tällaisessa vikatilanteessa, kun /25-verkko on poissa käytöstä, /24-verkkoa käytetään varareittinä. Cisco lähettää asiakasliikennettä sisäisen WAN-verkon kautta kohti DC: tä, joka menetti yhteyden.

Yhteysprosessi

Seuraavissa korkean tason vaiheissa kuvataan, miten voit muodostaa yhteyden Dedicated Instanssin virtuaaliseen yhteyteen.
1

Tee tilaus Cisco CCW:ssä

2

Aktivoi virtuaalinen yhteys ohjauskeskuksesta

3

Cisco suorittaa verkon määritykset

4

Asiakas suorittaa verkon määritykset

Vaihe 1: CCW-tilaus

Virtual Connect on CCW:n dedikoidun instanssin lisäosa.

1

Siirry CCW-tilaussivustolle ja kirjaudu sitten sivustolle napsauttamalla Kirjaudu sisään:

https://apps.cisco.com/Commerce/guest.
2

Luo arvio.

3

Lisää "A-FLEX-3" SKU.

4

Valitse Muokkausasetukset.

5

Valitse näkyviin tulevasta tilausvälilehdestä Asetukset ja lisäosat.

6

Valitse Lisälisäosat-kohdassa "Virtual Connect for Dedicated Instance" -kohdan vieressä oleva valintaruutu. SKU:n nimi on "A-FLEX-DI-VC".

7

Syötä niiden alueiden määrä ja määrä, joilla Virtual Connect vaaditaan.


 
Virtual Connect -määrä ei saa ylittää Dedicated Instancelle ostettujen alueiden kokonaismäärää. Lisäksi vain yksi Virtual Connect -tilaus on sallittu aluetta kohden.
8

Kun olet tyytyväinen valintoihisi, klikkaa sivun oikeassa yläkulmassa Vahvista ja tallenna.

9

Klikkaa Tallenna ja jatka viimeistelläksesi tilauksesi. Viimeistelty tilauksesi näkyy nyt tilausruudukossa.

Vaihe 2: Virtuaalisen yhteyden aktivointi ohjauskeskuksessa

1

Kirjaudu Control Hubiin https://admin.webex.com/login.

2

Siirry Palvelut-osiossa kohtaan Soittaminen > Dedicated Instacnce > Cloud Connectivity.

3

Virtual Connect -kortissa näkyy ostetun Virtual Connect -määrän määrä. Järjestelmänvalvoja voi nyt napsauttaa Aktivoi aloittaaksesi Virtual Connect -aktivoinnin.


 
Aktivointiprosessin voivat käynnistää vain järjestelmänvalvojat, joilla on Asiakkaan täysi järjestelmänvalvoja -rooli. Järjestelmänvalvoja, jolla on vain asiakkaan luku -järjestelmänvalvojan rooli, voi tarkastella vain tilaa.
4

Kun napsautat Aktivoi-painiketta , näyttöön tulee Aktivoi Virtual Connect -lomake, jossa järjestelmänvalvoja voi antaa Ciscon puolella olevien peering-kokoonpanojen edellyttämät Virtual Connect -tekniset tiedot.


 
Lomake tarjoaa myös staattisia tietoja Ciscon puolelta valitun alueen perusteella. Nämä tiedot ovat hyödyllisiä, kun asiakkaan järjestelmänvalvojat voivat määrittää CPE:n omalla puolellaan yhteyden muodostamiseksi.

  1. GRE-tunnelikuljetuksen IP-osoite: Asiakkaan on annettava asiakkaan tunnelikuljetuksen IP-osoitteet, ja Cisco jakaa IP-osoitteet dynaamisesti, kun aktivointi on valmis. Kiinnostavaa liikennettä koskevan IPSec ACL:n pitäisi mahdollistaa paikallinen tunneliliikenne IP/32 etätunneliliikenteeseen IP/32. ACL: n tulisi myös määrittää vain GRE IP -protokolla.


     
    Asiakkaan antama IP-osoite voi olla yksityinen tai julkinen.

  2. IPSec-vertaiset: Asiakkaan on annettava IPSec-tunnelin IP-lähdeosoitteet, ja Cisco varaa IPSec-kohde-IP-osoitteen. Tarvittaessa tuetaan myös sisäisen IPSEC-tunneliosoitteen NAT-kääntämistä julkiseen osoitteeseen.


     

    Asiakkaan ilmoittaman IP-osoitteen tulee olla julkinen.


     
    Kaikki muut aktivointinäytössä annetut staattiset tiedot ovat Ciscon sivusuojaus- ja salausstandardeja. Tätä staattista määritystä ei voi mukauttaa tai muokata. Jos asiakkaalla on lisäapua Ciscon puolella oleviin staattisiin kokoonpanoihin liittyen, hänen on otettava yhteyttä TACiin.
5

Napsauta Aktivoi-painiketta , kun kaikki pakolliset kentät on täytetty.

6

Kun Virtual Connect -aktivointilomake on täytetty tietylle alueelle, asiakas voi viedä aktivointilomakkeen Control Hub-, Calling > Dedicated Ins- > Cloud Connectivity -välilehdeltä ja napsauttaa Vie asetukset.


 
Turvallisuussyistä todennus ja BGP-salasana eivät ole käytettävissä viedyssä asiakirjassa, mutta järjestelmänvalvoja voi tarkastella niitä Ohjauskeskuksessa napsauttamalla Näytä asetukset kohdassa Ohjauskeskus, Soittaminen > Dedikoitu instanssi > Pilviyhteys-välilehti.

Vaihe 3: Cisco suorittaa verkon määritykset

1

Kun Virtual Connect -aktivointilomake on täytetty, tilaksi päivitetään Aktivointi käynnissä kutsuttaessa > Dedicated Instance > Cloud Connectivity Virtual Connect -kortti.

2

Cisco suorittaa tarvittavat kokoonpanot Ciscon sivulaitteissa 5 arkipäivän kuluessa . Kun toiminto on suoritettu onnistuneesti, tilaksi päivitetään "Aktivoitu" kyseiselle alueelle Control Hubissa.

Vaihe 4: Asiakas suorittaa verkon määritykset

Tilaksi muutetaan "Aktivoitu", jotta asiakkaan järjestelmänvalvojalle ilmoitetaan, että Ciscon IP-VPN-yhteyden määritykset on suoritettu loppuun asiakkaan antamien tietojen perusteella. Asiakkaan järjestelmänvalvojan odotetaan kuitenkin suorittavan oman puolensa CPE-konfiguraatioista ja testaavan Virtual Connect -tunnelin yhteysreitit, jotta ne ovat online-tilassa. Jos konfiguroinnin tai yhteyden muodostamisen aikana ilmenee ongelmia, asiakas voi ottaa yhteyttä Cisco TACiin saadakseen apua.

Vianmääritys

IPsecin ensimmäisen vaiheen (IKEv2-neuvottelut) vianmääritys ja validointi

IPsec-tunnelineuvottelut sisältävät kaksi vaihetta, IKEv2-vaiheen ja IPsec-vaiheen. Jos IKEv2-vaiheen neuvottelua ei suoriteta loppuun, toista IPsec-vaihetta ei aloiteta. Anna ensin komento "show crypto ikev2 sa" (Cisco-laitteissa) tai vastaava komento kolmannen osapuolen laitteissa tarkistaaksesi, onko IKEv2-istunto aktiivinen. Jos IKEv2-istunto ei ole aktiivinen, mahdolliset syyt voivat olla:

  • Mielenkiintoinen liikenne ei käynnistä IPsec-tunnelia.

  • IPsec-tunnelin käyttöluettelo on määritetty väärin.

  • Asiakkaan ja Dedicated Instance IPsec -tunnelin päätepisteen IP:n välillä ei ole yhteyttä.

  • IKEv2-istunnon parametrit eivät vastaa Dedicated Instance -puolen ja asiakaspuolen välillä.

  • Palomuuri estää IKEv2 UDP -paketit.

Tarkista ensin IPsec-lokeista kaikki viestit, jotka osoittavat IKEv2-tunnelineuvottelujen edistymisen. Lokit voivat osoittaa, missä IKEv2-neuvotteluissa on ongelma. Lokiviestien puuttuminen voi myös tarkoittaa, että IKEv2-istuntoa ei ole aktivoitu.

Joitakin yleisiä virheitä IKEv2-neuvotteluissa ovat:

  • CPE-puolen IKEv2: n asetukset eivät vastaa Cisco-puolta, tarkista mainitut asetukset uudelleen:

    • Tarkista, että IKE-versio on versio 2.

    • Varmista, että salaus- ja todennusparametrit vastaavat odotettua salausta Varattu esiintymä -puolella.


       

      Kun GCM-salaus on käytössä, GCM-protokolla käsittelee todennuksen ja asettaa todennusparametriksi NULL.

    • Tarkista elinkaariasetus.

    • Tarkista Diffie Hellmanin moduuliryhmä.

    • Tarkista Pseudo Random Function -asetukset.

  • Kryptokartan käyttöoikeusluetteloksi ei ole asetettu:

    • Lupa GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (tai vastaava komento)


       

      Käyttöluettelon on oltava erityisesti "GRE" -protokollaa varten, ja "IP" -protokolla ei toimi.

Jos lokiviesteissä ei näy mitään IKEv2-vaiheen neuvottelutoimintaa, paketin sieppaus saattaa olla tarpeen.


 

Dedikoitu instanssipuoli ei välttämättä aina aloita IKEv2-vaihtoa ja saattaa joskus odottaa, että asiakkaan CPE-puoli on aloittaja.

Tarkista CPE-puolen kokoonpanosta seuraavat IKEv2-istunnon aloittamisen edellytykset:

  • Tarkista IPsec-salauskäyttöluettelo GRE-liikenteelle (protokolla 50) CPE-tunnelin siirron IP-osoitteesta Dedicated Instance -tunnelikuljetuksen IP-osoitteeseen.

  • Varmista, että GRE-tunneliliitäntä on käytössä GRE-keepaliveille, jos laite ei tue GRE-keepaliveja, Ciscolle ilmoitetaan, koska GRE-keepalives otetaan oletusarvoisesti käyttöön Dedicated Instance -puolella.

  • Varmista, että BGP on käytössä ja määritetty Dedicated Instance -tunnelin IP-osoitteen naapuriosoitteella.

Kun asetukset on määritetty oikein, seuraava aloittaa IPsec-tunnelin ja ensimmäisen vaiheen IKEv2-neuvottelut:

  • GRE pitää CPE-puolen GRE-tunneliliitännästä Dedicated Instance -puolen GRE-tunneliliitäntään.

  • BGP-naapurin TCP-istunto CPE-puolen BGP-naapurista Dedicated Instance -puolen BGP-naapuriin.

  • Pingaa CPE-sivutunnelin IP-osoitteesta Dedicated Instance -sivutunnelin IP-osoitteeseen.


     

    Ping ei voi olla tunnelikuljetuksen IP tunneliliikenteen IP: hen, sen on oltava tunnelin IP tunnelin IP: hen.

Jos pakettijäljitystä tarvitaan IKEv2-liikennettä varten, aseta suodatin UDP:lle ja joko portille 500 (kun NAT-laite ei ole IPsec-päätepisteiden keskellä) tai portille 4500 (kun NAT-laite asetetaan IPsec-päätepisteiden keskelle).

Varmista, että portilla 500 tai 4500 varustetut IKEv2 UDP -paketit lähetetään ja vastaanotetaan DI IPsec IP -osoitteeseen ja DI IPsec -IP-osoitteesta.


 

Dedikoidun instanssin palvelinkeskus ei välttämättä aina käynnistä ensimmäistä IKEv2-pakettia. Vaatimuksena on, että CPE-laite pystyy käynnistämään ensimmäisen IKEv2-paketin Dedicated Instance -puolelle.

Jos paikallinen palomuuri sallii sen, yritä pingata myös IPSec-etäosoitteeseen. Jos ping-kutsu ei onnistu paikallisesta IPSec-etäosoitteeseen, suorita jäljitysreitti auttaaksesi ja määritä, mihin paketti on pudonnut.

Jotkin palomuurit ja Internet-laitteet eivät välttämättä salli jäljitysreittiä.

IPsecin toisen vaiheen (IPsec-neuvottelut) vianmääritys ja validointi

Varmista, että IPsecin ensimmäinen vaihe (eli IKEv2-suojauskytkentä) on aktiivinen, ennen kuin suoritat IPsecin toisen vaiheen vianmäärityksen. Suorita "show crypto ikev2 sa" tai vastaava komento vahvistaaksesi IKEv2-istunnon. Varmista tulosteessa, että IKEv2-istunto on ollut käynnissä yli muutaman sekunnin ja että se ei pomppi. Istunnon käyttöaika näkyy istunnossa "Active Time" tai vastaavana tulosteessa.

Kun IKEv2-istunto on vahvistettu toimivaksi ja aktiiviseksi, tutki IPsec-istuntoa. Kuten IKEv2-istunnossa, suorita "näytä salaus ipsec sa" tai vastaava komento vahvistaaksesi IPsec-istunnon. Sekä IKEv2-istunnon että IPsec-istunnon on oltava aktiivisia, ennen kuin GRE-tunneli muodostetaan. Jos IPsec-istunto ei näy aktiivisena, tarkista IPsec-lokeista virhesanomat tai neuvotteluvirheet.

Joitakin yleisimpiä ongelmia, joita voi ilmetä IPsec-neuvottelujen aikana, ovat:

CPE-puolen asetukset eivät vastaa Dedicated Instance -puolta, tarkista asetukset uudelleen:

  • Varmista, että Salaus- ja Todennus-parametrit vastaavat Varattu esiintymä -puolen asetuksia.

  • Tarkista Perfect Forward Secrecy -asetukset ja että vastaavat asetukset Dedicated Instance -puolella.

  • Tarkista käyttöiän asetukset.

  • Varmista, että IPsec on määritetty tunnelitilassa.

  • Tarkista lähde- ja kohde-IPsec-osoitteet.

Tunneliliittymän vianmääritys ja validointi

Kun IPsec- ja IKEv2-istunnot on vahvistettu ylös ja aktiivisiksi, GRE-tunnelin keepalive-paketit voivat virrata Dedicated Instance- ja CPE-tunnelin päätepisteiden välillä. Jos tunnelin käyttöliittymän tila ei näy, yleisiä ongelmia ovat esimerkiksi seuraavat:

  • Tunneliliitännän siirto VRF ei vastaa silmukkaliittymän VRF-tiedostoa (jos tunnelirajapinnassa käytetään VRF-konfiguraatiota).


     

    Jos VRF-konfiguraatiota ei käytetä tunneliliittymässä, tämä tarkistus voidaan ohittaa.

  • Keepalives ei ole käytössä CPE-sivutunnelin liittymässä


     

    Jos CPE-laitteet eivät tue keepaliveja, Ciscolle on ilmoitettava asiasta, jotta myös Dedicated Instance -puolen oletuskeepalives poistetaan käytöstä.

    Jos keepaliveja tuetaan, varmista, että keepalives on käytössä.

  • Tunneliliittymän peite tai IP-osoite ei ole oikea eikä vastaa Dedicated Instance -odotusarvoja.

  • Tunnelin lähde- tai kohdekuljetusosoite ei ole oikea eikä vastaa Dedicated Instance -odotusarvoja.

  • Palomuuri estää GRE-pakettien lähettämisen IPsec-tunneliin tai vastaanottamisen IPsec-tunnelista (GRE-tunneli siirretään IPsec-tunnelin kautta)

Ping-testin pitäisi varmistaa, että paikallinen tunneliliitäntä on toiminnassa ja yhteys etätunneliliitäntään on hyvä. Suorita ping-tarkistus tunnelin IP-osoitteesta (ei siirron IP-osoitteesta) etätunnelin IP-osoitteeseen.


 

GRE-tunneliliikennettä kuljettavan IPsec-tunnelin salauskäyttöluettelo sallii vain GRE-pakettien ylittämisen. Tämän seurauksena pingit eivät toimi tunnelikuljetuksen IP: stä etätunneliliikenteen IP: hen.

Ping-tarkistus johtaa GRE-pakettiin, joka luodaan lähdetunnelin kuljetus-IP: stä kohdetunnelin kuljetus-IP: hen, kun taas GRE-paketin hyötykuorma (sisäinen IP) on lähde- ja kohdetunnelin IP.

Jos ping-testi ei onnistu ja edelliset kohteet tarkistetaan, paketin sieppaus voi olla tarpeen sen varmistamiseksi, että icmp-ping johtaa GRE-pakettiin, joka sitten kapseloidaan IPsec-pakettiin ja lähetetään sitten IPsec-lähdeosoitteesta IPsec-kohdeosoitteeseen. GRE-tunneliliittymän laskurit ja IPsec-istuntolaskurit voivat myös auttaa näyttämään. jos lähetys- ja vastaanottopaketit kasvavat.

Ping-liikenteen lisäksi sieppauksen pitäisi näyttää myös keepalive GRE -paketit myös tyhjäkäynnillä. Lopuksi, jos BGP on määritetty, BGP keepalive -paketit tulisi lähettää myös IPSEC-paketteihin kapseloituina GRE-paketteina myös VPN: n kautta.

BGP:n vianmääritys ja validointi

BGP-istunnot

BGP vaaditaan reititysprotokollaksi VPN:n IPsec-tunnelin kautta. Paikallisen BGP-naapurin tulee perustaa eBGP-istunto Dedicated Instance BGP -naapurin kanssa. eBGP-naapurin IP-osoitteet ovat samat kuin paikallisen ja etätunnelin IP-osoitteet. Varmista ensin, että BGP-istunto on päättynyt, ja varmista sitten, että oikeat reitit vastaanotetaan erillisestä esiintymästä ja että oikea oletusreitti lähetetään varattuun esiintymään.

Jos GRE-tunneli on ylhäällä, varmista, että ping-kutsu paikallisen ja etä-GRE-tunnelin IP-osoitteen välillä onnistuu. Jos ping-kutsu onnistuu, mutta BGP-istunto ei ole tulossa, tutki BGP-lokia BGP-määritysvirheiden varalta.

Jotkut yleisimmistä BGP-neuvottelukysymyksistä ovat:

  • AS-etänumero ei vastaa AS-numeroa, joka on määritetty Dedicated Instance -puolella, tarkista viereisen AS-kokoonpanon uudelleen.

  • Paikallinen AS-numero ei vastaa Dedictaed Instance -puolen odotuksia, varmista, että paikallinen AS-numero vastaa odotettuja Dedicated Instance -parametreja.

  • Palomuuri estää GRE-paketteihin kapseloitujen BGP TCP -pakettien lähettämisen IPsec-tunneliin tai vastaanottamisen IPSEC-tunnelista

  • BGP-etänaapurin IP ei vastaa GRE-tunnelin etäosoitetta.

BGP-reitin vaihto

Kun BGP-istunto on vahvistettu molemmille tunneleille, varmista, että oikeat reitit lähetetään ja vastaanotetaan Dedicated Instance -puolelta.

Dedicated Instance VPN -ratkaisu odottaa kahden tunnelin muodostamista asiakkaan/kumppanin puolelta. Ensimmäinen tunneli osoittaa Dedicated Instance -palvelinkeskukseen A ja toinen Dedicated Instance -palvelinkeskukseen B. Molempien tunneleiden on oltava aktiivisessa tilassa, ja ratkaisu edellyttää aktiivista/aktiivista käyttöönottoa. Jokainen Dedicated Instance -palvelinkeskus mainostaa paikallista /25-reittiä sekä /24-varmuuskopiointireittiä. Kun tarkistat saapuvan BGP-reitin erillisestä esiintymästä, varmista, että BGP-istunto, joka liittyy tunneliin, joka osoittaa Dedicated Instance -palvelinkeskukseen A, vastaanottaa paikallisen reitityksen Dedicated Instance -palvelinkeskuksen A /25 sekä /24-varmuuskopiointireitityksen. Varmista lisäksi, että tunneli, joka osoittaa Dedicated Instance -palvelinkeskukseen B, vastaanottaa paikallisen reitin Dedicated Instance -palvelinkeskuksen B /25 ja /24-varareitin. Huomaa, että /24-varmuuskopiointireitti on sama reitti, jota mainostetaan Dedicated Instance -palvelinkeskuksesta A ja Dedicated Instance -palvelinkeskuksesta B.

Redundanssi tarjotaan Dedicated Instance -palvelinkeskukselle, jos tunneliliitäntä kyseiseen palvelinkeskukseen kaatuu. Jos yhteys Dedicated Instance -palvelinkeskukseen A katkeaa, liikenne ohjataan Dedicated Instance -palvelinkeskuksesta B palvelinkeskukseen A. Tässä skenaariossa tunneli datakeskukseen B käyttää reittiä palvelinkeskus B /25 liikenteen lähettämiseen ja tunneli palvelinkeskukseen B käyttää varareittiä /24 liikenteen lähettämiseen palvelinkeskukseen A palvelinkeskuksen B kautta.

On tärkeää, että kun molemmat tunnelit ovat aktiivisia, kyseistä palvelinkeskuksen A tunnelia ei käytetä liikenteen lähettämiseen palvelinkeskukseen B ja päinvastoin. Tässä skenaariossa, jos liikenne lähetetään tietokeskukseen A, jonka määränpää on palvelinkeskus B, palvelinkeskus A välittää liikenteen palvelinkeskukseen B ja sitten palvelinkeskus B yrittää lähettää liikenteen takaisin lähteeseen palvelinkeskuksen B tunnelin kautta. Tämä johtaa epäoptimaaliseen reititykseen ja voi myös rikkoa palomuurien läpi kulkevan liikenteen. Siksi on tärkeää, että molemmat tunnelit ovat aktiivisessa/aktiivisessa kokoonpanossa normaalin käytön aikana.

Reittiä 0.0.0.0/0 on mainostettava asiakaspuolelta Dedicated Instance -palvelinkeskuksen puolelle. Dedicated Instance -puoli ei hyväksy tarkempia reittejä. Varmista, että reittiä 0.0.0.0/0 mainostetaan sekä Dedicated Instance -palvelinkeskuksen A tunnelista että Dedicated Instance -palvelinkeskuksen B tunnelista.

MTU-kokoonpano

Dedikoidun instanssin puolella on kaksi ominaisuutta, jotka voivat säätää MTU:ta dynaamisesti suurille pakettikokoille. GRE-tunneli lisää otsikoita VPN-istunnon läpi kulkeviin IP-paketteihin. IPsec-tunneli lisää lisäotsikot GRE-otsikoiden päälle, mikä vähentää entisestään suurinta tunnelin yli sallittua MTU: ta.

GRE-tunneli säätää MSS-ominaisuutta ja GRE-tunnelin polku MTU-etsintäominaisuudessa on käytössä Dedicated Instance -puolella. Määritä "ip tcp adjust-mss 1350" tai vastaava komento sekä "tunnel path\u0002mtu-discovery" tai vastaava komento asiakaspuolelle auttamaan VPN-tunnelin kautta kulkevan liikenteen MTU: n dynaamisessa säätämisessä.