Johdanto

Virtual Connect on lisävaihtoehto pilviliitännälle Dedicated Instance for Webex Calling (Dedicated Instance). Virtual Connectin avulla asiakkaat voivat turvallisesti laajentaa yksityisverkkonsa internetin yli käyttämällä point-to-point IP VPN-tunneleita. Tämä yhteysvaihtoehto mahdollistaa nopean yksityisen verkkoyhteyden luomisen käyttämällä olemassa olevia asiakkaan tiloissa olevia laitteita (CPE) ja internet-yhteyttä.

Cisco isännöi, hallinnoi ja varmistaa redundantit IP-VPN-tunnelit ja tarvittavan Internet-yhteyden Ciscon Dedicated Instance -tietokeskusalueella (-alueilla), jossa palvelua tarvitaan. Vastaavasti järjestelmänvalvoja on vastuussa vastaavasta CPE:stä ja Internet-palveluista, joita Virtual Connectin perustaminen edellyttää.

Kukin Virtual Connect -tilaus tietyllä Dedicated Instance -alueella sisältää kaksi IPSec-salauksella (GRE over IPSec) suojattua yleistä reitityskapselointitunnelia (GRE over IPSec), joista toinen kulkee kumpaankin Ciscon datakeskukseen valitulla alueella.

Virtual Connectin kaistanleveysrajoitus on 250 Mbit/s tunnelia kohti, ja sitä suositellaan pienempiin käyttöönottoihin. Koska käytetään kahta point-to-point VPN-tunnelia, kaiken pilvipalveluun suuntautuvan liikenteen on kuljettava asiakkaan CPE-päätelaitteen kautta, joten se ei välttämättä sovellu, jos etäyhteyksiä on paljon. Muita vaihtoehtoisia peering-vaihtoehtoja on osoitteessa Cloud Connectivity.

Ennen kuin lähetät Virtual Connectin peering-pyynnön, varmista, että Dedicated Instance -palvelu on aktivoitu kyseisellä alueella.

Edellytykset

Virtual Connectin perustamisen edellytyksiä ovat muun muassa:

  • Asiakas toimittaa

    • Internet-yhteys, jossa on riittävästi kaistanleveyttä käyttöönoton tukemiseksi.

    • Kahden IPSec-tunnelin julkinen IP-osoite (julkiset IP-osoitteet)

    • Asiakaspuolen GRE-siirto-IP-osoitteet kahta GRE-tunnelia varten.

  • Kumppani ja asiakas

    • Arvioikaa yhdessä kaistanleveysvaatimukset

    • Varmista, että verkkolaite(t) tukee BGP-reititystä (Border Gateway Protocol) ja GRE over IPSec -tunnelin suunnittelua.

  • Kumppani tai asiakas tarjoaa

    • Verkkoryhmä, jolla on tietämystä site-to-site VPN-tunnelitekniikoista.

    • Verkkotiimi, jolla on tietoa BGP:stä, eBGP:stä ja yleisistä reititysperiaatteista.

  • Cisco

    • Cisco osoitti GRE-tunnelirajapinnoille yksityiset ASN-numerot (autonumous system numbers) ja tilapäisen IP-osoitteen.

    • Ciscon osoittama julkinen, mutta ei Internetiin reititettävissä oleva C-luokan (/24) verkko Dedicated Instance Cloud -osoitteita varten.

Jos asiakkaalla on vain yksi CPE-laite, Ciscon datakeskuksiin (DC1 ja DC2) kullakin alueella suuntautuvat kaksi tunnelia tulevat kyseisestä CPE-laitteesta. Asiakkaalla on myös mahdollisuus valita 2 CPE-laitetta, jolloin kunkin CPE-laitteen pitäisi muodostaa yhteys vain yhteen tunneliin kohti Ciscon datakeskuksia (DC1 ja DC2) kullakin alueella. Lisäredundanssia voidaan saavuttaa päättämällä kukin tunneli erilliseen fyysiseen paikkaan/sijaintiin asiakkaan infrastruktuurissa.

Tekniset tiedot

Käyttöönottomalli

Virtual Connect käyttää kaksitasoista päätearkkitehtuuria, jossa reititys- ja GRE-ohjaustasot ovat yhden laitteen ja IPSec-ohjaustaso toisen laitteen tarjoamia.

Kun Virtual Connect -yhteys on valmis, asiakkaan yritysverkon ja Ciscon Dedicated Instance -tietokeskusten välille luodaan kaksi GRE over IPSec -tunnelia. Yksi kuhunkin alueen redundanttiin datakeskukseen. Kumppani tai asiakas vaihtaa vertaisverkkoyhteyden edellyttämät verkkoelementit Ciscolle Control Hub Virtual Connect -aktivointilomakkeella.

Kuvassa 1 on esimerkki Virtual Connect -käyttöönottomallista 2-keskittimen vaihtoehdossa asiakkaan puolella.

Virtual Connect - VPN on keskittimen malli, jossa asiakkaan keskittimen sijaintipaikat on yhdistetty tietyn alueen sisällä sijaitsevien Dedicated Instance -tietokeskusten DC1- ja DC2-keskuksiin.

Kahta keskussivustoa suositellaan paremman redundanssin varmistamiseksi, mutta myös yksi keskussivusto ja kaksi tunnelia on tuettu käyttöönottomalli.

Tunnelikohtainen kaistanleveys on rajoitettu 250 Mbit/s:iin.

Asiakkaan samalla alueella sijaitsevien etäsijaintien on muodostettava yhteys takaisin keskukseen asiakkaan WAN-verkon kautta, eikä Cisco ole vastuussa tästä yhteydestä.

Yhteistyökumppaneiden odotetaan tekevän tiivistä yhteistyötä asiakkaiden kanssa ja varmistavan, että Virtual Connect -palvelualueelle valitaan optimaalisin reitti.

Kuvassa 2 esitetään Dedicated Instance Cloud Connectivity -vertaisverkkoalueet.

Reititys

Virtual Connect -lisäosan reititys toteutetaan käyttämällä ulkoista BGP:tä (eBGP) dedikoidun instanssin ja asiakkaan CPE-laitteen (Customer Premise Equipment) välillä. Cisco mainostaa oman verkkonsa jokaiselle alueen sisällä olevalle redundantille DC:lle asiakkaan CPE:lle, ja CPE:n on mainostettava oletusreitti Ciscolle.

  • Cisco ylläpitää ja määrittää

    • Tunnelirajapinnan IP-osoitteet (väliaikainen linkki reititystä varten) Cisco määrittää nimetystä jaetusta osoiteavaruudesta (ei-julkisesti reititettävissä).

    • Tunnelin kuljetuksen desitiointiosoite (Ciscon puolella)

    • Yksityiset autonomiset järjestelmänumerot (ASN) asiakkaan BGP-reititysmääritystä varten.

      • Cisco määrittää nimetyn yksityisen käyttöalueen: 64512-65534

  • eBGP, jota käytetään reittien vaihtoon Dedicated Instance ja CPE:n välillä.

    • Cisco jakaa osoitetun /24-verkon kahteen /25-verkkoon, joista yksi kullekin alueen DC:lle.

    • Virtual Connectissa Cisco mainostaa kutakin /25-verkkoa takaisin CPE:lle vastaavien point-to-point VPN-tunneleiden kautta (siirtyvä linkki).

    • CPE:lle on määritettävä asianmukaiset eBGP-naapurit. Jos käytössä on yksi CPE, käytetään kahta eBGP-naapuria, joista yksi osoittaa kumpaankin etätunneliin. Jos käytössä on kaksi CPE:tä, kummallakin CPE:llä on yksi eBGP-naapuri, joka on yhteydessä CPE:n yhteen etätunneliin.

    • Kunkin GRE-tunnelin Ciscon puoli (tunnelirajapinnan IP) on määritetty CPE:n BGP-naapuriksi.

    • CPE:n on mainostettava oletusreitti kunkin tunnelin kautta.

    • CPE vastaa opittujen reittien uudelleenjakelusta tarvittaessa asiakkaan yritysverkossa.

  • Kun linkki ei vikaannu, yhdellä CPE:llä on kaksi aktiivista/aktiivista tunnelia. Kahden CPE-solmun tapauksessa kummallakin CPE:llä on yksi aktiivinen tunneli, ja molempien CPE-solmujen pitäisi olla aktiivisia ja välittää liikennettä. Vikasietoisessa skenaariossa liikenne on jaettava kahteen tunneliin, jotka kulkevat oikeisiin /25-kohteisiin, ja jos toinen tunneleista kaatuu, jäljelle jäävä tunneli voi kuljettaa molempien liikennettä. Tällaisessa vikaantumisskenaariossa, kun /25-verkko ei toimi, käytetään /24-verkkoa varareittinä. Cisco lähettää asiakasliikennettä sisäisen WAN-verkkonsa kautta kohti DC:tä, jonka yhteys katkesi.

Liitettävyysprosessi

Seuraavissa yleistason vaiheissa kuvataan, miten yhteys luodaan Virtual Connect for Dedicated Instance -palvelun kanssa.
1

Tee tilaus Cisco CCW:ssä

2

Aktivoi Virtual Connect ohjauskeskuksesta

3

Cisco suorittaa verkon konfiguroinnin

4

Asiakas suorittaa verkon konfiguroinnin

Vaihe 1: CCW Order

Virtual Connect on CCW:n Dedicated Instance -lisäosa.

1

Siirry CCW-tilaussivustolle ja kirjaudu sitten sivustolle valitsemalla Kirjaudu sisään:

https://apps.cisco.com/Commerce/guest.
2

Luo arvio.

3

Lisää "A-FLEX-3" SKU.

4

Valitse Muokkaa vaihtoehtoja.

5

Valitse avautuvasta tilausvälilehdestä Asetukset ja lisäosat.

6

Valitse Lisäosat-kohdassa "Virtual Connect for Dedicated Instance" -valintaruutu. SKU-nimi on "A-FLEX-DI-VC".

7

Syötä niiden alueiden määrä ja lukumäärä, joilla Virtual Connectia tarvitaan.

Virtual Connect -määrän ei pitäisi ylittää Dedicated Instance -tilalle ostettujen alueiden kokonaismäärää. Myös vain yksi Virtual Connect -tilaus on sallittu aluetta kohti.
8

Kun olet tyytyväinen valintoihin, napsauta sivun oikeassa yläkulmassa olevaa Verify and Save (Vahvista ja tallenna) -painiketta.

9

Viimeistele tilauksesi valitsemalla Tallenna ja jatka. Viimeistelty tilauksesi näkyy nyt tilausruudussa.

Vaihe 2: Virtual Connectin aktivointi ohjauskeskuksessa

1

Kirjaudu sisään osoitteessa https://admin.webex.com/loginControl Hub .

2

Siirry Palvelut -osiossa kohtaan Soitot > Dedicated Instacnce > Cloud Connectivity.

3

Virtual Connect -kortissa näkyy ostettu Virtual Connect -määrä. Järjestelmänvalvoja voi nyt napsauttaa Activate aloittaakseen Virtual Connectin aktivoinnin.

Aktivointiprosessin voivat käynnistää vain Järjestelmänvalvojat, joilla on "Asiakas täysi ylläpitäjä" -rooli. Kun taas järjestelmänvalvoja, jolla on "Asiakas vain lukuoikeus admin" -rooli, voi vain tarkastella tilaa.
4

Kun napsautat Activate -painiketta, näyttöön tulee Activate Virtual Connect -lomake, jossa järjestelmänvalvoja voi antaa Virtual Connectin tekniset tiedot, joita tarvitaan Ciscon puolen peering-konfiguraatioita varten.

Lomake antaa myös Ciscon puolella staattisia tietoja valitun alueen perusteella. Nämä tiedot ovat hyödyllisiä asiakkaan järjestelmänvalvojille, kun he konfiguroivat CPE:n omalla puolellaan yhteyden muodostamiseksi.

  1. GRE-tunnelin siirto IP-osoite: Asiakkaan on annettava asiakkaan puolen Tunnel Transport -IP-osoitteet, ja Cisco jakaa IP-osoitteet dynaamisesti, kun aktivointi on suoritettu. Kiinnostavan liikenteen IPSec ACL:n pitäisi sallia paikallisen Tunnel Transport IP/32:n käyttö etätunneliin Tunnel Transport IP/32. ACL:ssä olisi määriteltävä myös vain GRE-IP-protokolla.

    Asiakkaan antama IP-osoite voi olla yksityinen tai julkinen.

  2. IPSec-vertaisverkot: Asiakkaan on annettava IPSec-tunnelin lähde-IP-osoitteet, ja Cisco määrittää IPSec-kohde-IP-osoitteen. Tarvittaessa tuetaan myös sisäisen IPSEC-tunneliosoitteen NAT-kääntämistä julkiseen osoitteeseen.

    Asiakkaan antaman IP-osoitteen on oltava julkinen.

    Kaikki muut aktivointinäytössä annetut staattiset tiedot ovat Ciscon puolella noudatettuja turvallisuus- ja salausstandardeja. Tätä staattista kokoonpanoa ei voi mukauttaa tai muuttaa. Jos asiakas haluaa lisäapua Ciscon staattisiin määrityksiin liittyen, hänen on otettava yhteyttä asiakaspalveluun.
5

Napsauta Activate -painiketta, kun kaikki pakolliset kentät on täytetty.

6

Kun Virtual Connect -aktivointilomake on täytetty tiettyä aluetta varten, asiakas voi viedä aktivointilomakkeen Control Hubista, Kutsut > Dedicated Instance > Cloud Connectivity -välilehdeltä ja napsauttaa Vie asetukset.

Tietoturvasyistä tunnistus ja BGP-salasana eivät ole saatavilla viedyssä asiakirjassa, mutta järjestelmänvalvoja voi tarkastella niitä Control Hubissa napsauttamalla View Settings Control Hubin, Calling > Dedicated Instance > Cloud Connectivity -välilehdellä.

Vaihe 3: Cisco suorittaa verkon konfiguroinnin

1

Kun Virtual Connect -aktivointilomake on valmis, tila päivittyy muotoon Aktivointi käynnissä kohdassa Kutsut > Dedicated Instance > Cloud Connectivity Virtual Connect -kortti.

2

Cisco suorittaa vaaditut määritykset Ciscon puolella olevissa laitteissa 5 työpäivän kuluessa. Onnistuneen loppuunsaattamisen jälkeen tila päivittyy Control Hubissa kyseisen alueen kohdalla arvoksi "Aktivoitu".

Vaihe 4: Asiakas suorittaa verkon konfiguroinnin

Tila muutetaan tilaksi "Aktivoitu", jolloin asiakkaan ylläpitäjälle ilmoitetaan, että Ciscon puolelta IP VPN -yhteyden määritykset on saatu valmiiksi asiakkaan antamien tietojen perusteella. Asiakkaan järjestelmänvalvojan odotetaan kuitenkin saavan valmiiksi oman puolensa CPE:iden määrityksistä ja testaavan yhteysreitit, jotta Virtual Connect -tunneli on Online. Jos konfiguroinnin tai yhteyden muodostamisen aikana ilmenee ongelmia, asiakas voi pyytää apua Ciscon TAC:lta.

Vianmääritys

IPsec First Phase (IKEv2-neuvottelu) Vianmääritys ja validointi

IPsec-tunnelineuvotteluissa on kaksi vaihetta, IKEv2-vaihe ja IPsec-vaihe. Jos IKEv2-vaiheen neuvottelua ei saada päätökseen, toista IPsec-vaihetta ei aloiteta. Varmista ensin komennolla "show crypto ikev2 sa" (Ciscon laitteissa) tai vastaavalla komennolla kolmannen osapuolen laitteissa, onko IKEv2-istunto aktiivinen. Jos IKEv2-istunto ei ole aktiivinen, mahdollisia syitä voivat olla:

  • Kiinnostava liikenne ei käynnistä IPsec-tunnelia.

  • IPsec-tunnelin pääsylista on määritetty väärin.

  • Asiakkaan ja Dedicated Instance IPsec -tunnelin päätepisteen IP-osoitteen välillä ei ole yhteyttä.

  • IKEv2-istunnon parametrit eivät täsmää Dedicated Instance -palvelun ja asiakkaan puolella.

  • Palomuuri estää IKEv2 UDP-paketteja.

Tarkista ensin IPsec-lokeista viestit, jotka kertovat IKEv2-tunnelineuvottelun edistymisestä. Lokit saattavat osoittaa, missä IKEv2-neuvottelussa on ongelmia. Lokiviestien puuttuminen voi myös osoittaa, että IKEv2-istuntoa ei aktivoida.

IKEv2-neuvotteluissa esiintyy seuraavia yleisiä virheitä:

  • CPE-puolen IKEv2-asetukset eivät vastaa Ciscon puolen asetuksia, tarkista mainitut asetukset uudelleen:

    • Tarkista, että IKE-versio on versio 2.

    • Tarkista, että Salaus- ja todennusparametrit vastaavat odotettua salausta Dedicated Instance -puolella.

      Kun GCM-salaus on käytössä, GCM-protokolla hoitaa todennuksen ja asettaa todennusparametrin arvoksi NULL.

    • Tarkista käyttöikäasetus.

    • Tarkista Diffie Hellman -moduuliryhmä.

    • Tarkista Pseudo Random Function -asetukset.

  • Kryptokartan pääsylistaa ei ole asetettu:

    • Permit GRE (local_tunnel_transport_ip) 255.255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255.255.255" (tai vastaava komento)

      Pääsylistan on oltava erityisesti GRE-protokollaa varten, eikä IP-protokolla toimi.

Jos lokiviestit eivät näytä IKEv2-vaiheen neuvottelutoimintaa, pakettien kaappausta voidaan tarvita.

Dedicated Instance -puoli ei välttämättä aina aloita IKEv2-vaihtoa ja saattaa joskus odottaa asiakkaan CPE-puolen olevan aloittaja.

Tarkista, että CPE-puolen kokoonpanossa on seuraavat IKEv2-istunnon käynnistämisen edellytykset:

  • Tarkista, että CPE-tunnelin siirto-IP-osoitteesta Dedicated Instance -tunnelin siirto-IP-osoitteeseen kulkevalle GRE-liikenteelle (protokolla 50) on olemassa IPsec-salauksen käyttöoikeusluettelo.

  • Varmista, että GRE-tunnelirajapinta on käytössä GRE keepalives -ominaisuutta varten. Jos laite ei tue GRE keepalives -ominaisuutta, Ciscolle ilmoitetaan asiasta, koska GRE keepalives -ominaisuus on oletusarvoisesti käytössä Dedicated Instance -puolella.

  • Varmista, että BGP on otettu käyttöön ja että sen naapuriosoitteeksi on määritetty Dedicated Instance -tunnelin IP-osoite.

Kun se on määritetty oikein, IPsec-tunneli ja ensimmäisen vaiheen IKEv2-neuvottelu käynnistyvät seuraavasti:

  • GRE keepalives CPE-puolen GRE-tunnelirajapinnasta Dedicated Instance-puolen GRE-tunnelirajapintaan.

  • BGP-naapurin TCP-istunto CPE-puolen BGP-naapurista Dedicated Instance-puolen BGP-naapuriin.

  • Pingaus CPE-puolen tunnelin IP-osoitteesta Dedicated Instance-puolen tunnelin IP-osoitteeseen.

    Ping ei voi olla tunnelin siirto-IP:stä tunnelin siirto-IP:hen, vaan sen on oltava tunnelin IP:stä tunnelin IP:hen.

Jos IKEv2-liikenteestä tarvitaan pakettien jäljitys, aseta suodatin UDP:lle ja joko portille 500 (kun IPsec-päätepisteiden välissä ei ole NAT-laitetta) tai portille 4500 (kun IPsec-päätepisteiden välissä on NAT-laite).

Tarkista, että IKEv2-UDP-paketteja, joiden portti on 500 tai 4500, lähetetään ja vastaanotetaan DI IPsec IP-osoitteeseen ja DI IPsec IP-osoitteesta.

Dedicated Instance -tietokeskus ei ehkä aina aloita ensimmäistä IKEv2-pakettia. Vaatimuksena on, että CPE-laite pystyy aloittamaan ensimmäisen IKEv2-paketin Dedicated Instance -puolelle.

Jos paikallinen palomuuri sallii sen, yritä myös pingata etä-IPsec-osoite. Jos pingaus ei onnistu paikallisesta IPsec-osoitteesta etäosoitteeseen, tee reitin jäljitys ja selvitä, mistä paketti on pudonnut.

Jotkin palomuurit ja Internet-laitteet eivät ehkä salli jäljitysreittiä.

IPsec:n toinen vaihe (IPsec-neuvottelu) Vianmääritys ja validointi

Varmista, että IPsec-ensimmäinen vaihe (eli IKEv2-suojausyhteys) on aktiivinen ennen IPsec-kakkosvaiheen vianmääritystä. Suorita komento "show crypto ikev2 sa" tai vastaava komento IKEv2-istunnon tarkistamiseksi. Tarkista tulosteesta, että IKEv2-istunto on ollut toiminnassa yli muutaman sekunnin ja että se ei ponnahda. Istunnon käyttöaika näkyy tulosteessa istunnon "Aktiivinen aika" tai vastaavana.

Kun IKEv2-istunto on vahvistettu aktiiviseksi, tutki IPsec-istunto. Kuten IKEv2-istunnon kohdalla, tarkista IPsec-istunto komennolla "show crypto ipsec sa" tai vastaavalla komennolla. Sekä IKEv2-istunnon että IPsec-istunnon on oltava aktiivisia ennen GRE-tunnelin muodostamista. Jos IPsec-istunto ei näy aktiivisena, tarkista IPsec-lokit virheilmoitusten tai neuvotteluvirheiden varalta.

IPsec-neuvottelujen aikana voi esiintyä seuraavia yleisempiä ongelmia:

CPE-puolen asetukset eivät vastaa Dedicated Instance -puolen asetuksia, tarkista asetukset uudelleen:

  • Tarkista, että salaus- ja todennusparametrit vastaavat Dedicated Instance -puolen asetuksia.

  • Tarkista Perfect Forward Secrecy -asetukset ja että Dedicated Instance -puolen asetukset vastaavat toisiaan.

  • Tarkista käyttöikäasetukset.

  • Tarkista, että IPsec on määritetty tunnelimoodiin.

  • Tarkista lähteen ja kohteen IPsec-osoitteet.

Tunnelirajapinnan vianmääritys ja validointi

Kun IPsec- ja IKEv2-istuntojen toiminta on varmistettu ja ne ovat aktiivisia, GRE-tunnelin keepalive-paketit voivat kulkea Dedicated Instance- ja CPE-tunnelin päätepisteiden välillä. Jos tunnelirajapinnan tila ei näy, joitakin yleisiä ongelmia ovat:

  • Tunnelirajapinnan kuljetuksen VRF ei vastaa silmukkarajapinnan VRF:ää (jos tunnelirajapinnassa käytetään VRF-määritystä).

    Jos VRF-konfiguraatiota ei käytetä tunneliliittymässä, tämä tarkistus voidaan jättää huomiotta.

  • Keepalive ei ole käytössä CPE-puolen tunneliliittymässä.

    Jos CPE-laitteisto ei tue keepaliveja, Ciscolle on ilmoitettava, jotta myös Dedicated Instance -puolen oletusarvoinen keepalive poistetaan käytöstä.

    Jos keepalives-toimintoa tuetaan, tarkista, että keepalives-toiminto on käytössä.

  • Tunnelirajapinnan maski tai IP-osoite ei ole oikea eikä vastaa Dedicated Instance -tilan odotettuja arvoja.

  • Lähde- tai kohdetunnelin siirto-osoite ei ole oikea eikä vastaa Dedicated Instance -palvelun odotettuja arvoja.

  • Palomuuri estää GRE-pakettien lähettämisen IPsec-tunneliin tai vastaanottamisen IPsec-tunnelista (GRE-tunneli siirretään IPsec-tunnelin kautta).

Ping-testin pitäisi varmistaa, että paikallinen tunneliliitäntä on ylhäällä ja että yhteys etäyhteys tunneliliitäntään on hyvä. Suorita ping-tarkistus tunnelin IP-osoitteesta (ei siirto-IP-osoitteesta) etäyhteyden tunnelin IP-osoitteeseen.

GRE-tunneliliikennettä kuljettavan IPsec-tunnelin kryptokäyttöluettelo sallii vain GRE-pakettien kulun. Tämän seurauksena pingit eivät toimi tunnelin siirto-IP:stä etäisen tunnelin siirto-IP:hen.

Ping-tarkistuksen tuloksena syntyy GRE-paketti, joka lähetetään lähdetunnelin siirto-IP-osoitteesta kohdetunnelin siirto-IP-osoitteeseen, ja GRE-paketin hyötykuorma (sisäinen IP-osoite) on lähdetunnelin ja kohdetunnelin IP-osoitteet.

Jos ping-testi ei onnistu ja edelliset kohdat on tarkistettu, voidaan tarvita pakettikaappaus sen varmistamiseksi, että icmp-ping tuottaa GRE-paketin, joka kapseloidaan IPsec-paketiksi ja lähetetään lähde-IPsec-osoitteesta kohde-IPsec-osoitteeseen. GRE-tunnelin liitännän laskurit ja IPsec-istunnon laskurit voivat myös auttaa osoittamaan, jos lähetetyt ja vastaanotetut paketit kasvavat.

Ping-liikenteen lisäksi kaappauksessa pitäisi näkyä myös keepalive GRE-paketteja jopa tyhjäkäynnin aikana. Jos BGP on määritetty, BGP:n keepalive-paketit olisi myös lähetettävä IPSEC-paketteihin kapseloituina GRE-paketteina VPN:n kautta.

BGP-vianmääritys ja validointi

BGP-istunnot

BGP:tä tarvitaan reititysprotokollaksi VPN IPsec-tunnelissa. Paikallisen BGP-naapurin on muodostettava eBGP-istunto Dedicated Instance BGP -naapurin kanssa. eBGP-naapurin IP-osoitteet ovat samat kuin paikallisen ja etätunnelin IP-osoitteet. Varmista ensin, että BGP-istunto on toiminnassa, ja tarkista sitten, että Dedicated Instance vastaanottaa oikeat reitit ja että Dedicated Instance lähettää oikean oletusreitin.

Jos GRE-tunneli on toiminnassa, tarkista, että paikallisen ja etä-GRE-tunnelin IP-osoitteiden välinen pingaus onnistuu. Jos pingaus onnistuu, mutta BGP-istunto ei käynnisty, tutki BGP-loki BGP:n perustamisvirheiden varalta.

Joitakin yleisimpiä BGP-neuvotteluihin liittyviä ongelmia ovat:

  • Etäisen AS-verkon numero ei vastaa Dedicated Instance -palvelun puolella määritettyä AS-numeroa, tarkista naapurin AS-konfiguraatio uudelleen.

  • Paikallinen AS-numero ei vastaa sitä, mitä Dedictaed Instance -puoli odottaa, tarkista, että paikallinen AS-numero vastaa odotettuja Dedicated Instance -parametreja.

  • Palomuuri estää GRE-paketteihin kapseloitujen BGP TCP-pakettien lähettämisen IPsec-tunneliin tai vastaanottamisen IPSEC-tunnelista.

  • Etäisen BGP-naapurin IP-osoite ei vastaa etä-GRE-tunnelin IP-osoitetta.

BGP-reittien vaihto

Kun BGP-istunto on tarkistettu molempien tunneleiden osalta, varmista, että Dedicated Instance -puolelta lähetetään ja vastaanotetaan oikeat reitit.

Dedicated Instance VPN -ratkaisu edellyttää, että asiakkaan/kumppanin puolelta luodaan kaksi tunnelia. Ensimmäinen tunneli osoittaa Dedicated Instance -tietokeskukseen A ja toinen tunneli osoittaa Dedicated Instance -tietokeskukseen B. Molempien tunneleiden on oltava aktiivisessa tilassa, ja ratkaisu edellyttää aktiivista/aktiivista käyttöönottoa. Kukin Dedicated Instance -tietokeskus ilmoittaa paikallisen /25-reittinsä sekä /24-varmuusreitin. Kun tarkistat Dedicated Instance -tietokeskuksesta saapuvia BGP-reittejä, varmista, että Dedicated Instance -tietokeskukseen A osoittavaan tunneliin liittyvä BGP-istunto vastaanottaa Dedicated Instance -tietokeskus A:n paikallisen reitin /25 sekä varareitin /24. Varmista lisäksi, että Dedicated Instance -tietokeskukseen B osoittava tunneli vastaanottaa Dedicated Instance -tietokeskus B:n /25-lokaalin reitin sekä /24-varmuusreitin. Huomaa, että /24-varmuusreitti on sama reitti, jota mainostetaan Dedicated Instance -tietokeskuksesta A ja Dedicated Instance -tietokeskuksesta B.

Dedicated Instance -tietokeskukselle tarjotaan redundanssia, jos tunneliyhteys kyseiseen datakeskukseen kaatuu. Jos yhteys Dedicated Instance -tietokeskukseen A katkeaa, liikenne välitetään Dedicated Instance -tietokeskuksesta B datakeskukseen A. Tässä skenaariossa tunneli datakeskukseen B käyttää datakeskus B:n /25-reittiä liikenteen lähettämiseen datakeskukseen B ja tunneli datakeskukseen B käyttää varareittiä /24 liikenteen lähettämiseen datakeskukseen A datakeskuksen B kautta.

On tärkeää, että kun molemmat tunnelit ovat aktiivisia, datakeskus A:n tunnelia ei käytetä liikenteen lähettämiseen datakeskukseen B ja päinvastoin. Tässä skenaariossa, jos datakeskukseen A lähetetään liikennettä, jonka määränpää on datakeskus B, datakeskus A välittää liikenteen datakeskukseen B ja datakeskus B yrittää lähettää liikenteen takaisin lähteeseen datakeskus B:n tunnelin kautta. Tämä johtaa epäoptimaaliseen reititykseen ja voi myös häiritä palomuurien läpi kulkevaa liikennettä. Siksi on tärkeää, että molemmat tunnelit ovat aktiivinen/aktiivinen -konfiguraatiossa normaalin toiminnan aikana.

Reitti 0.0.0.0.0/0 on mainostettava asiakkaan puolelta Dedicated Instance -tietokeskuksen puolelle. Dedicated Instance -palvelu ei hyväksy tarkempia reittejä. Varmista, että reittiä 0.0.0.0.0/0 mainostetaan sekä Dedicated Instance -tietokeskuksen A-tunnelista että Dedicated Instance -tietokeskuksen B-tunnelista.

MTU-konfiguraatio

Dedikoidun instanssin puolella on käytössä kaksi ominaisuutta, joiden avulla MTU:ta voidaan säätää dynaamisesti suuria pakettikokoja varten. GRE-tunneli lisää VPN-istunnon kautta kulkeviin IP-paketteihin lisää otsikoita. IPsec-tunneli lisää lisäotsakkeet GRE-otsakkeiden päälle, mikä pienentää edelleen suurinta tunnelissa sallittua MTU:ta.

GRE-tunneli säätää MSS-ominaisuutta ja GRE-tunnelipolku MTU-havainto-ominaisuus on käytössä Dedicated Instance -puolella. Määritä "ip tcp adjust-mss 1350" tai vastaava komento sekä "tunnel path\u0002mtu-discovery" tai vastaava komento asiakkaan puolella auttaaksesi VPN-tunnelin kautta kulkevan liikenteen MTU:n dynaamisessa säätämisessä.