Uvod

Virtualno povezivanje dodatna je dodatna opcija dodatka za povezivanje u oblaku s namjenskom instancom za webex pozive (namjenska instanca). Virtual Connect omogućuje korisnicima da sigurno prošire svoju privatnu mrežu putem interneta pomoću IP VPN tunela od točke do točke. Ova opcija povezivanja omogućuje brzu uspostavu veze privatne mreže korištenjem postojeće opreme za korisničku premisu (CPE) i internetske veze.

Cisco hostira, upravlja i osigurava suvišne IP VPN tunele i potreban pristup internetu u cisco-ovim regijama podatkovnih centara namjenskih instanci u kojima je usluga potrebna. Slično tome, Administrator je odgovoran za njihove odgovarajuće CPE i internetske usluge koje su potrebne za uspostavljanje Virtual Connecta.

Svaka narudžba virtualnog povezivanja u određenoj regiji namjenske instance uključivala bi dva generička tunela enkapsulacije usmjeravanja (GRE) zaštićena IPSec enkripcijom (GRE preko IPSec-a), po jedan na svaki Ciscov podatkovni centar u odabranoj regiji.

Virtual Connect ima ograničenje propusnosti od 250 Mbps po tunelu i preporučuje se za manje implementacije. Budući da se koriste dva VPN tunela od točke do točke, sav promet do oblaka mora proći kroz CPE voditelja kupca, pa stoga možda nije prikladan tamo gdje ima puno udaljenih web lokacija. Za ostale alternativne mogućnosti ravnopravnih članova pogledajte povezivost u oblaku.

Prije nego što pošaljete zahtjev za peering za Virtual Connect, provjerite je li usluga Dedicated Instance aktivirana u toj regiji.

Preduvjeti

Preduvjeti za uspostavljanje Virtualnog povezivanja uključuju:

  • Kupac pruža

    • Internetska veza s dovoljno dostupne propusnosti za podršku implementaciji

    • Javne IP adrese za dva IPSec tunela

    • GRE transportne IP adrese na strani kupca za dva GRE tunela

  • Partner i kupac

    • Surađujte zajedno kako biste procijenili zahtjeve za propusnost

    • Osigurajte da mrežni uređaji podržavaju usmjeravanje protokola Border Gateway Protocol (BGP) i GRE preko dizajna tunela IPSec

  • Partner ili kupac pruža

    • Mrežni tim sa znanjem o tehnologijama VPN tunela od mjesta do mjesta

    • Mrežni tim sa znanjem O BGP-u, eBGP-u i općim principima usmjeravanja

  • Cisco

    • Cisco je dodijelio privatne autonoumne brojeve sustava (ASN-ove) i prolazno IP adresiranje za sučelja GRE tunela

    • Cisco je dodijelio javnu, ali ne i internetsku routable mrežu klase C (/24) za adresiranje namjenskog slučaja u oblaku

Ako kupac ima samo 1 CPE uređaj, tada će 2 tunela prema Ciscoovim podatkovnim centrima (DC1 i DC2) u svakoj regiji biti iz tog CPE uređaja. Kupac također ima opciju za 2 CPE uređaja, a zatim bi se svaki CPE uređaj trebao povezati s 1 tunelom samo prema Ciscoovim podatkovnim centrima (DC1 i DC2) u svakoj regiji. Dodatna redundancija može se postići prekidom svakog tunela na zasebnom fizičkom mjestu/ lokaciji unutar infrastrukture kupca.

Tehničke pojedinosti

Model implementacije

Virtual Connect koristi dvoslojnu headend arhitekturu, gdje upravljačke ravnine usmjeravanja i GRE-a pruža jedan uređaj, a IPSec upravljačku ravninu pruža drugi.

Po završetku povezivanja Virtual Connect stvorit će se dva GRE preko IPSec tunela između poslovne mreže kupca i cisco podatkovnih centara Namjenske instance. Po jedan za svaki suvišni podatkovni centar unutar odgovarajuće regije. Dodatne mrežne elemente potrebne za peering partner ili kupac razmjenjuju ciscu putem obrasca za aktivaciju Control Hub Virtual Connect.

Donja slika prikazuje primjer modela implementacije virtualne veze za opciju s 2 koncentratora na strani korisnika.

Virtual Connect - VPN je hub dizajn, gdje su web stranice Customer's Hub povezane s DC1 i DC2 podatkovnih centara Namjenske instance unutar određene regije.

Za bolju redundanciju preporučuju se dva hub-mjesta, ali web-lokacija One Hub s dva tunela također je podržani model implementacije.

Propusnost po tunelu ograničena je na 250 Mbps. Kako bi se osiguralo učinkovito prebacivanje u slučaju kvara, kombinirani promet kroz oba tunela ne smije prelaziti 250 Mbps, jer će se sav promet u slučaju kvara usmjeriti kroz jedan tunel.

Udaljena web-mjesta korisnika unutar iste regije trebala bi se povezati s web-mjestima čvorišta preko korisnikovog WAN-a i to nije odgovornost Cisca za tu povezivost.

Od partnera se očekuje bliska suradnja s korisnicima, osiguravajući odabir najoptimalnijeg puta za regiju usluge Virtual Connect.

Donja slika prikazuje regije peeringa za povezivost namjenskih instanci u oblaku.

Virtualne regije povezivanja

Usmjeravanje

Usmjeravanje za dodatak Virtual Connect implementirano je pomoću vanjskog BGP-a (eBGP) između namjenske instance i opreme za pretpostavku kupca (CPE). Cisco će oglašavati svoju mrežu za svaki suvišni DC unutar regije CPE-u kupca, a CPE je dužan oglašavati zadanu rutu do Cisca.

  • Cisco održava i dodjeljuje

    • IP adresiranje sučelja tunela (prijelazna veza za usmjeravanje) koje Cisco dodjeljuje iz određenog zajedničkog adresnog prostora (ne-javno routable)

    • Adresa za desitinaciju tunelskog prijevoza (Ciscova strana)

    • Privatni autonomni sistemski brojevi (ASN-ovi) za konfiguraciju BGP usmjeravanja kupca

      • Cisco dodjeljuje iz određenog raspona privatne uporabe: 64512 do 65534

  • eBGP koji se koristi za razmjenu ruta između namjenske instance i CPE-a

    • Cisco će podijeliti dodijeljenu mrežu /24 na 2 /25 po jednu za svaki DC u odgovarajućoj regiji

    • U Virtual Connectu svaku /25 mrežu Cisco oglašava natrag CPE-u preko odgovarajućih VPN tunela od točke do točke (prijelazna veza)

    • CPE mora biti konfiguriran s odgovarajućim eBGP susjedima. Ako koristite jedan CPE, koristit će se dva eBGP susjeda, od kojih jedan pokazuje na svaki udaljeni tunel. Ako koristite dva CPE-a, tada će svaki CPE imati jednog eBGP susjeda koji se približava jednom udaljenom tunelu za CPE.

    • Cisco strana svakog GRE tunela (IP sučelja tunela) konfigurirana je kao BGP susjed na CPE-u

    • CPE je dužan oglašavati zadanu rutu preko svakog od tunela

    • CPE je odgovoran za preraspodjelu, prema potrebi, naučenih ruta unutar mreže poduzeća cutomera.

  • Pod uvjetom kvara veze koja nije uspjela, jedan CPE imat će dva aktivna / aktivna tunela. Za dva CPE čvora svaki CPE će imati jedan aktivni tunel, a oba CPE čvora trebaju biti aktivna i prolazna prometa. Prema scenariju koji nije promašen, promet se mora podijeliti u dva tunela koji idu na ispravna odredišta /25, ako se jedan od tunela sruši, preostali tunel može promet prenositi za oba. Prema takvom scenariju neuspjeha, kada je mreža /25 ugašena, tada se mreža /24 koristi kao sigurnosna kopija. Cisco će poslati promet kupaca putem svog internog WAN-a prema DC-u koji je izgubio povezanost.

Tok prometa virtualne veze

Tok prometa kada su oba tunela u pogonu

Namjenska instanca - Virtualna veza

Ova slika ilustrira mrežnu arhitekturu Virtual Connect, detaljno prikazujući protok prometa kada su i primarni i sekundarni tuneli u funkciji.

Predstavlja aktivni model povezivanja za korisnika koji želi pristupiti UC aplikacijama smještenim u Ciscovim podatkovnim centrima, koristeći dvostruku... GRE/IPSEC tuneli preko interneta s BGP-om za razmjenu ruta.

Definicije:

  • Prostor korisnika:
    • Ovo predstavlja mrežu na licu mjesta korisnika, gdje se nalaze korisnici i njihovi uređaji (npr. IP telefoni, računala s UC klijentima).
    • Promet koji potječe odavde mora doći do UC aplikacija smještenih u Ciscovim podatkovnim centrima.
  • Cisco Webex Calling Dedicated Instance (Dedicated Instance) podatkovni centri (WxC-DI DC-A i WxC-DI DC-B):
    • Ovo su Ciscovi podatkovni centri koji hostiraju UC aplikacije.
    • DC-A i DC-B su geografski različiti, što osigurava redundanciju.
    • Svaki podatkovni centar ima vlastitu podmrežu za UC aplikacije:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Tuneli (Tunel 1 i Tunel 2):
    • To su sigurne, šifrirane veze između korisničke lokacije i Cisco podatkovnog centra putem javnog interneta.
    • GRE (Generička enkapsulacija usmjeravanja): Ovaj protokol se koristi za enkapsulaciju različitih protokola mrežnog sloja unutar virtualnih veza od točke do točke. Omogućuje protokolima usmjeravanja poput BGP-a rad preko tunela.
    • IPsec (Sigurnost internetskog protokola): Ovaj skup protokola pruža kriptografske sigurnosne usluge (autentifikacija, integritet, povjerljivost) za IP komunikaciju. Šifrira promet enkapsuliran GRE-om, osiguravajući siguran prijenos podataka preko interneta.
  • Protokol graničnog pristupnika (BGP):
    • BGP je protokol usmjeravanja koji se koristi za razmjenu informacija o usmjeravanju između korisničke lokacije i Cisco podatkovnih centara.

Kao što je prikazano na gornjem dijagramu, uređaji postavljeni u prostorijama korisnika moraju uspostaviti dva GRE/IPSEC tuneli.

Konvencije imenovanja korištene u nastavku s XX / YY, DC-A DC-B su generički za sve regije u kojima se nudi namjenska instanca. Ove vrijednosti bit će jedinstvene za svaku regiju i stvarne vrijednosti za svaku regiju. Specifične vrijednosti daju se tijekom aktivacije virtualne veze.

Na Ciscovoj strani, IPSec i GRE tuneli će biti završeni na različitim uređajima. Dakle, korisnik mora osigurati da konfigurira IPSec odredišne IP adrese i GRE odredišne IP adrese na uređajima u skladu s tim. Korisnici mogu koristiti istu IP adresu za GRE i IPSEC ako je to podržano na njihovim uređajima. Pogledajte gornji dijagram. Vrijednosti povezane s IP adresom daju se tijekom aktivacije virtualne veze na portalu.

  • Tunel 1: Povezuje korisničku prostoriju s "Namjenskom instancom DC-A" (Podatkovni centar A) putem interneta. Ovaj tunel koristi BGP AS:64XX1 na strani korisnika i BGP-a AS:64XX2 na strani DC-A namjenske instance. Konfiguracije izvora IPSEC i GRE tunela podijeljene su na podatke koje pruža korisnik i podatke koje pruža Cisco.
  • Tunel 2: Povezuje korisničku prostoriju s "Dedicated Instance DC-B" (Data Center B) putem interneta. Ovaj tunel koristi BGP AS:64YY1 na strani korisnika i BGP-a AS:64YY2 na strani DC-B namjenske instance. Kao i kod Tunela 1, konfiguracije izvora IPSEC i GRE tunela dijele se između korisnika i Cisca.

U BGP-u AS:64XX i BGP AS:64YY, XX i YY su specifični za određenu regiju.

Nakon što je GRE/IPSEC Ako se tuneli uspostave prema podatkovnim centrima Webex Calling Dedicated Instance (A i B), korisnik bi trebao primiti sljedeće rute oglašene od Cisca putem odgovarajućih BGP sesija.

  • Za DC-A: Rute koje oglašava Cisco bit će X.X.X.0/25 i X.X.x.0/24. Opcionalno ako je IaaS zatražen i konfiguriran za korisničke rute Y.Y.Y.0/25 i Y.Y.Y.0/24 bit će oglašeno od strane Cisca.
  • Za DC-B: Rute koje oglašava Cisco bit će X.X.X.128/25 i X.X.x.0/24. Opcionalno ako je IaaS zatražen i konfiguriran za korisničke rute Y.Y.Y.128/25 i Y.Y.Y.0/24 bit će oglašeno od strane Cisca.
  • Kupac treba reklamirati 0.0.0./0 ruta do Cica kroz obje veze (tunele)
  • Korisnik mora slijediti najduži prefiks (/25) rute za slanje prometa Ciscu kroz odgovarajuće tunele kada su oba tunela aktivna.
  • Cisco će vraćati promet kroz iste tunele kako bi promet bio simetričan.

Tok prometa:

  • Promet namijenjen za "DC-A UC aplikacije" (X.X.X.0/25) iz prostorija kupca teče kroz Tunel 1.
  • Promet namijenjen za "DC-B UC aplikacije" (X.X.X.128/25) iz prostorija kupca teče kroz tunel 2.

Scenarij preuzimanja u slučaju kvara : protok prometa kada je jedan od tunela u kvaru

Namjenska instanca - Virtualna veza

Kao što je prikazano na gornjem dijagramu, kada je tunel prema DC-A u kvaru, bgp uspostavljen kroz tunel prema DC-A će se prekinuti.

Utjecaj na BGP: Kada tunel 1 padne, prekinut će se i BGP sesija preko tog tunela. Posljedično, DC-A više neće moći oglašavati svoje rute (posebno X.X.X.0/25) do kupca putem ove rute. Stoga će korisnički usmjerivač otkriti put kao nedostupan.

Budući da je Tunel 1 u kvaru, korisnički usmjerivač na lokaciji korisnika automatski će ukloniti rute naučene putem Tunela 1 iz svoje tablice usmjeravanja ili ih označiti kao nedostupne.

  • Promet namijenjen mreži UC aplikacija (X.X.X.0/24) ili podmrežu DC-A (X.X.X.0/25) zatim će biti preusmjeren kroz radni tunel prema DC-B koji nastavlja oglašavati X.X.X.0/24 što uključuje X.X.X.0/25 mreža.
  • Slično ponašanje će se vidjeti ako je tunel prema DC-B u kvaru dok je tunel prema DC-A još uvijek aktivan.

Proces povezivanja

Sljedeći koraci na visokoj razini opisuju kako uspostaviti vezu s virtualnim povezivanjem za namjensku instancu.
1

Naručivanje u Cisco CCW

2

Aktiviranje virtualnog povezivanja iz kontrolnog čvorišta

3

Cisco izvodi konfiguraciju mreže

4

Klijent izvodi konfiguraciju mreže

Korak 1: CCW nalog

Virtual Connect je dodatak za namjensku instancu u CCW-u.

1

Idite na web-mjesto za naručivanje CCW-a, a zatim kliknite Prijava da biste se prijavili na web-mjesto:

2

Kreirajte procjenu.

3

Dodajte "A-FLEX-3" SKU.

4

Odaberite Mogućnosti uređivanja.

5

Na kartici pretplata koja će se prikazati odaberite Mogućnosti i Dodaci.

6

U odjeljku Dodatni dodaci potvrdite okvir uz stavku "Virtualno povezivanje za namjensku instancu". Naziv SKU-a je "A-FLEX-DI-VC".

7

Unesite količinu i broj regija u kojima je potrebno virtualno povezivanje.

Količina virtualnog povezivanja ne smije premašiti ukupan broj regija kupljenih za namjensku instancu. Također, dopuštena je samo jedna narudžba virtualnog povezivanja po regiji.
8

Kada ste zadovoljni odabirom, kliknite Provjeri i spremi u gornjem desnom dijelu stranice.

9

Kliknite Spremi i nastavi da biste dovršili narudžbu. Vaša finalizirana narudžba sada se primjenjuje u rešetki narudžbi.

Korak 2: Aktivacija virtualnog povezivanja u kontrolnom čvorištu

1

Prijavite se u Kontrolno središte https://admin.webex.com/login.

2

U odjeljku Usluge otvorite Pozivi > Namjenski instacnce > povezivanje u oblaku.

3

Na kartici Virtualno povezivanje navedena je kupljena količina virtualnog povezivanja. Administrator sada može kliknuti na Aktiviraj da bi pokrenuo aktivaciju virtualnog povezivanja.

Postupak aktivacije mogu pokrenuti samo administratori s ulogom "Customer Full Admin". Dok administrator s ulogom "Administrator samo za čitanje klijenta" može vidjeti samo status.
4

Klikom na gumb Aktiviraj prikazuje se obrazac Activate Virtual Connect kako bi administrator pružio tehničke detalje virtualnog povezivanja potrebne za konfiguracije ravnopravnih članova na Ciscovoj strani.

Obrazac također pruža statične informacije na Ciscovoj strani, temeljene na odabranoj regiji. Te će informacije administratorima korisnika biti korisne za konfiguriranje CPE-a na njihovoj strani za uspostavljanje povezivosti.
  1. IP adresa GRE tunelskog transporta: Kupac je dužan navesti IP adrese tunelskog prijevoza kupca, a Cisco će dinamički dodijeliti IP adrese nakon dovršetka aktivacije. IPSec ACL za zanimljiv promet trebao bi omogućiti lokalnim IP/32 za prijevoz tunela IP/32 za daljinski transport tunela IP/32. ACL bi također trebao navesti samo GRE IP protokol.

    IP adresa koju pruža kupac može biti privatna ili javna.
  2. IPSec vršnjaci: Kupac je dužan navesti ip adrese IPSec tunela, a Cisco dodjeljuje IPSec odredišnu IP adresu. Ako je potrebno, podržano je i izvođenje NAT prijevoda interne IPSEC adrese tunela na javnu adresu.

    IP adresa koju je dostavio kupac trebala bi biti javna.

    Sve ostale statičke informacije koje se nalaze na aktivacijskom zaslonu su Cisco-ovi standardi sigurnosti i šifriranja koji se slijede. Ova statička konfiguracija nije prilagodljiva ili se može mijenjati. Za svaku daljnju pomoć u vezi sa statičkim konfiguracijama na Ciscovoj strani, kupac bi se trebao obratiti TAC-u.
5

Kliknite gumb Aktiviraj nakon što se ispune sva obavezna polja.

6

Nakon dovršetka obrasca za aktivaciju virtualnog povezivanja za particluarnu regiju, kupac može izvesti obrazac za aktivaciju iz kontrolnog središta, pozivajući > namjensku instancu > karticu Povezivanje u oblaku i kliknuti na Postavke izvoza.

Iz sigurnosnih razloga, autentifikacija i BGP lozinka neće biti dostupne u izvezenom dokumentu, ali administrator ih može vidjeti u Control Hubu klikom na Prikaži postavke pod Control Hubom, Pozivanje > Namjenska instanca > Kartica Povezivanje s oblakom.

Korak 3: Cisco izvodi konfiguraciju mreže

1

Nakon dovršetka obrasca za aktivaciju virtualnog povezivanja, status će se ažurirati na aktivaciju u tijeku u pozivima > namjenske instance > karticu Virtual Connecty Connectivity u oblaku.

2

Cisco će dovršiti potrebne konfiguracije na Ciscovoj bočnoj opremi u roku od 5 radnih dana. Po uspješnom završetku status će se ažurirati na "Aktivirano" za tu određenu regiju u kontrolnom središtu.

Korak 4: Klijent izvodi konfiguraciju mreže

Status se mijenja u "Aktivirano" kako bi se administratora kupca obavijestilo da je Ciscova strana konfiguracija za IP VPN povezivost ben dovršena na temelju ulaza koje je dao Kupac. No, očekuje se da će administrator kupca dovršiti svoju stranu konfiguracija na CPE-ovima i testirati rute povezivanja kako bi tunel Virtual Connect bio na mreži. U slučaju bilo kakvih problema s kojima se suočio u vrijeme konfiguracije ili povezivanja, kupac se može obratiti Cisco TAC-u za pomoć.

Rješavanje problema

Rješavanje problema i validacija prve faze IPsec-a (IKEv2 pregovaranje)

Pregovaranje IPsec tunela uključuje dvije faze, IKEv2 fazu i IPsec fazu. Ako pregovori o IKEv2 fazi nisu završeni, tada nema pokretanja druge IPsec faze. Prvo, izdajte naredbu "show crypto ikev2 sa" (na Cisco opremi) ili sličnu naredbu na opremi treće strane kako biste provjerili je li IKEv2 sesija aktivna. Ako IKEv2 sesija nije aktivna, mogući razlozi mogu biti:

  • Zanimljiv promet ne aktivira IPsec tunel.

  • Popis pristupa IPsec tunelu je pogrešno konfiguriran.

  • Nema povezivosti između korisnika i IP-a krajnje točke tunela IPsec namjenske instance.

  • Parametri IKEv2 sesije se ne podudaraju između strane namjenske instance i strane korisnika.

  • Vatrozid blokira IKEv2 UDP pakete.

Prvo provjerite IPsec zapisnike za poruke koje pokazuju napredak pregovora IKEv2 tunela. Zapisnici mogu ukazivati na problem s IKEv2 pregovorima. Nedostatak poruka u zapisniku također može ukazivati na to da se IKEv2 sesija ne aktivira.

Neke uobičajene pogreške s IKEv2 pregovorima su:

  • Postavke za IKEv2 na CPE strani ne odgovaraju Ciscovoj strani, ponovno provjerite navedene postavke:

    • Provjerite je li IKE verzija verzije 2.

    • Provjerite odgovaraju li parametri šifriranja i provjere autentičnosti očekivanom šifriranju na strani namjenske instance.

      Kada se koristi šifra "GCM", GCM protokol obrađuje autentifikaciju i postavlja parametar autentifikacije na NULL.

    • Provjerite postavku životnog vijeka.

    • Provjerite Diffie-Hellmanovu grupu modula.

    • Provjerite postavke pseudo-slučajne funkcije.

  • Popis pristupa za kripto mapu nije postavljen na:

    • Dozvola GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (ili ekvivalentna naredba)

      Popis pristupa mora biti posebno za protokol "GRE" i protokol "IP" neće raditi.

Ako poruke zapisnika ne pokazuju nikakvu aktivnost pregovaranja za IKEv2 fazu, tada je možda potrebno snimanje paketa.

Strana namjenske instance ne mora uvijek započeti IKEv2 razmjenu i ponekad može očekivati da će strana korisničkog CPE-a biti inicijator.

Provjerite konfiguraciju CPE strane za sljedeće preduvjete za pokretanje IKEv2 sesije:

  • Provjerite IPsec kripto pristupnu listu za GRE promet (protokol 50) od CPE tunelske transportne IP adrese do namjenske tunelske transportne IP adrese instance.

  • Provjerite je li GRE tunelsko sučelje omogućeno za GRE keepalive. Ako oprema ne podržava GRE keepalive, Cisco će biti obaviješten jer će GRE keepalive biti omogućen na strani namjenske instance prema zadanim postavkama.

  • Provjerite je li BGP omogućen i konfiguriran s adresom susjeda IP adrese tunela namjenske instance.

Kada je ispravno konfigurirano, sljedeće započinje IPsec tunel i prvu fazu IKEv2 pregovora:

  • GRE keepalive signali od GRE tunelskog sučelja na strani CPE uređaja do GRE tunelskog sučelja na strani namjenske instance.

  • BGP susjedna TCP sesija od BGP susjednog uređaja na strani CPE do BGP susjednog uređaja na strani namjenske instance.

  • Pingajte s IP adrese tunela na strani CPE uređaja na IP adresu tunela na strani namjenske instance.

    Ping ne može biti IP adresa tunela do IP adrese tunela, mora biti IP adresa tunela do IP adrese tunela.

Ako je za IKEv2 promet potreban trag paketa, postavite filter za UDP i port 500 (kada nema NAT uređaja u sredini IPsec krajnjih točaka) ili port 4500 (kada je NAT uređaj umetnut u sredinu IPsec krajnjih točaka).

Provjerite šalju li se IKEv2 UDP paketi s portom 500 ili 4500 na i s DI IPsec IP adrese.

Podatkovni centar namjenske instance možda neće uvijek započeti prvi IKEv2 paket. Zahtjev je da CPE uređaj bude sposoban pokrenuti prvi IKEv2 paket prema strani namjenske instance.

Ako lokalni vatrozid to dopušta, pokušajte i pingati udaljenu IPsec adresu. Ako ping nije uspješan s lokalne na udaljenu IPsec adresu, tada izvršite praćenje rute kako biste pomogli i utvrdili gdje je paket ispušten.

Neki zaštitni zidovi i internetska oprema možda ne dopuštaju praćenje rute.

Rješavanje problema i validacija druge faze IPsec-a (IPsec pregovaranje)

Prije rješavanja problema s drugom fazom IPsec-a provjerite je li prva faza IPsec-a (tj. IKEv2 sigurnosna asocijacija) aktivna. Izvršite naredbu "show crypto ikev2 sa" ili ekvivalentnu naredbu za provjeru IKEv2 sesije. U izlazu provjerite je li IKEv2 sesija aktivna dulje od nekoliko sekundi i da se ne odbija. Vrijeme rada sesije prikazuje se kao "Aktivno vrijeme" sesije ili ekvivalent u izlazu.

Nakon što se potvrdi da je IKEv2 sesija aktivna, provjerite IPsec sesiju. Kao i kod IKEv2 sesije, izvršite naredbu "show crypto ipsec sa" ili ekvivalentnu naredbu za provjeru IPsec sesije. I IKEv2 sesija i IPsec sesija moraju biti aktivne prije nego što se uspostavi GRE tunel. Ako se IPsec sesija ne prikazuje kao aktivna, provjerite IPsec zapisnike za poruke o pogreškama ili pogreške u pregovaranju.

Neki od češćih problema koji se mogu pojaviti tijekom IPsec pregovora su:

Postavke na strani CPE-a ne odgovaraju postavkama na strani namjenske instance, ponovno provjerite postavke:

  • Provjerite podudaraju li se parametri šifriranja i autentifikacije s postavkama na strani namjenske instance.

  • Provjerite postavke Perfect Forward Secrecy i podudaraju li se s postavkama na strani namjenske instance.

  • Provjerite postavke životnog vijeka.

  • Provjerite je li IPsec konfiguriran u tunelskom načinu rada.

  • Provjerite izvornu i odredišnu IPsec adresu.

Rješavanje problema i validacija sučelja tunela

Kada se potvrdi da su IPsec i IKEv2 sesije aktivne, paketi keepalive GRE tunela mogu teći između krajnjih točaka namjenske instance i CPE tunela. Ako se status sučelja tunela ne prikazuje, neki uobičajeni problemi su:

  • VRF transportnog sučelja tunela ne odgovara VRF-u loopback sučelja (ako se VRF konfiguracija koristi na sučelju tunela).

    Ako se VRF konfiguracija ne koristi na sučelju tunela, ova se provjera može zanemariti.

  • Keepalive funkcije nisu omogućene na sučelju tunela na strani CPE-a.

    Ako keepalive funkcije nisu podržane na CPE opremi, tada se mora obavijestiti Cisco kako bi se zadane keepalive funkcije na strani namjenske instance također onemogućile.

    Ako su keepalive funkcije podržane, provjerite jesu li keepalive funkcije omogućene.

  • Maska ili IP adresa sučelja tunela nije ispravna i ne odgovara očekivanim vrijednostima namjenske instance.

  • Izvorna ili odredišna adresa tunelskog transporta nije ispravna i ne odgovara očekivanim vrijednostima namjenske instance.

  • Vatrozid blokira slanje GRE paketa u IPsec tunel ili primanje iz IPsec tunela (GRE tunel se prenosi preko IPsec tunela)

Ping test bi trebao potvrditi da je lokalno tunelsko sučelje aktivno i da je veza s udaljenim tunelskim sučeljem dobra. Izvršite ping provjeru s IP adrese tunela (ne transportne IP adrese) na IP adresu udaljenog tunela.

Kripto lista pristupa za IPsec tunel koji prenosi GRE tunelski promet dopušta prolaz samo GRE paketima. Kao rezultat toga, pingovi neće raditi s IP adrese tunelskog transporta na udaljenu IP adresu tunelskog transporta.

Ping provjera rezultira GRE paketom koji se generira od izvorne IP adrese tunelskog transporta do odredišne IP adrese tunelskog transporta, dok će korisni teret GRE paketa (unutarnja IP adresa) biti izvorna i odredišna IP adresa tunela.

Ako ping test nije uspješan i prethodne stavke su provjerene, tada može biti potrebno snimanje paketa kako bi se osiguralo da ICMP ping rezultira GRE paketom koji se zatim enkapsulira u IPsec paket i šalje s izvorne IPsec adrese na odredišnu IPsec adresu. Brojači na GRE tunelskom sučelju i brojači IPsec sesija također mogu pomoći u prikazu povećavaju li se slanje i primanje paketa.

Uz ping promet, snimanje bi trebalo prikazivati i keepalive GRE pakete čak i tijekom neaktivnog prometa. Konačno, ako je BGP konfiguriran, BGP keepalive paketi bi se također trebali slati kao GRE paketi enkapsulirani u IPSEC pakete putem VPN-a.

Rješavanje problema i validacija BGP-a

BGP sesije

BGP je potreban kao protokol usmjeravanja preko VPN IPsec tunela. Lokalni BGP susjed trebao bi uspostaviti eBGP sesiju sa BGP susjedom namjenske instance. IP adrese eBGP susjednih uređaja iste su kao IP adrese lokalnog i udaljenog tunela. Prvo provjerite je li BGP sesija aktivna, a zatim provjerite primaju li se ispravne rute od namjenske instance i šalje li se ispravna zadana ruta namjenskoj instanci.

Ako je GRE tunel aktivan, provjerite je li ping uspješno izvršen između lokalne i udaljene IP adrese GRE tunela. Ako je ping uspješan, ali se BGP sesija ne uspostavlja, provjerite BGP zapisnik za pogreške u uspostavljanju BGP-a.

Neki od češćih problema s pregovaranjem BGP-a su:

  • Broj udaljenog AS-a ne odgovara broju AS-a koji je konfiguriran na strani namjenske instance, ponovno provjerite konfiguraciju susjednog AS-a.

  • Broj lokalnog AS-a ne odgovara onome što očekuje strana namjenske instance. Provjerite odgovara li broj lokalnog AS-a očekivanim parametrima namjenske instance.

  • Vatrozid blokira slanje BGP TCP paketa enkapsuliranih u GRE pakete u IPsec tunel ili primanje iz IPSEC tunela.

  • Udaljena BGP susjedna IP adresa ne odgovara udaljenoj GRE tunelskoj IP adresi.

Razmjena BGP ruta

Nakon što je BGP sesija provjerena za oba tunela, provjerite šalju li se i primaju li se ispravne rute sa strane namjenske instance.

Rješenje Dedicated Instance VPN-a očekuje uspostavljanje dva tunela od customer/partner strana. Prvi tunel usmjerava na podatkovni centar namjenske instance A, a drugi tunel usmjerava na podatkovni centar namjenske instance B. Oba tunela moraju biti u aktivnom stanju, a rješenje zahtijeva active/active raspoređivanje. Svaki podatkovni centar namjenske instance oglašavat će svoj lokalni /25 ruta kao i /24 rezervna ruta. Prilikom provjere dolaznih BGP ruta iz namjenske instance, provjerite da BGP sesija povezana s tunelom koji upućuje na podatkovni centar namjenske instance A prima podatkovni centar namjenske instance A. /25 lokalna ruta kao i /24 rezervna ruta. Osim toga, provjerite da tunel koji upućuje na podatkovni centar namjenske instance B prima podatkovni centar namjenske instance B /25 lokalna ruta kao i /24 rezervna ruta. Imajte na umu da /24 Rezervna ruta bit će ista ruta oglašena iz podatkovnog centra namjenske instance A i podatkovnog centra namjenske instance B.

Redundancija se osigurava podatkovnom centru Dedicated Instance ako tunelsko sučelje prema tom podatkovnom centru prestane raditi. Ako se izgubi veza s podatkovnim centrom namjenske instance A, promet će se proslijediti iz podatkovnog centra namjenske instance B u podatkovni centar A. U ovom scenariju, tunel do podatkovnog centra B koristit će podatkovni centar B. /25 ruta za slanje prometa do podatkovnog centra B i tunel do podatkovnog centra B koristit će sigurnosnu kopiju /24 ruta za slanje prometa do podatkovnog centra A preko podatkovnog centra B.

Važno je da se, kada su oba tunela aktivna, tunel podatkovnog centra A ne koristi za slanje prometa podatkovnom centru B i obrnuto. U ovom scenariju, ako se promet šalje u podatkovni centar A s odredištem u podatkovni centar B, podatkovni centar A će proslijediti promet u podatkovni centar B, a zatim će podatkovni centar B pokušati poslati promet natrag izvoru putem tunela podatkovnog centra B. To će rezultirati neoptimalnim usmjeravanjem i može probiti promet koji prolazi kroz vatrozidove. Stoga je važno da oba tunela budu u active/active konfiguracija tijekom normalnog rada.

The 0.0.0.0/0 Ruta se mora oglašavati sa strane korisnika prema strani podatkovnog centra namjenske instance. Namjenska instanca neće prihvatiti specifičnije rute. Osigurajte da 0.0.0.0/0 Ruta se oglašava i iz tunela podatkovnog centra A namjenske instance i iz tunela podatkovnog centra B namjenske instance.

MTU konfiguracija

Na strani namjenske instance omogućene su dvije značajke za dinamičko podešavanje MTU-a za velike veličine paketa. GRE tunel dodaje više zaglavlja IP paketima koji teku kroz VPN sesiju. IPsec tunel dodaje dodatne zaglavlja na vrh GRE zaglavlja što će dodatno smanjiti najveći dopušteni MTU preko tunela.

GRE tunel prilagođava MSS značajku, a put GRE tunela u značajki otkrivanja MTU-a omogućen je na strani namjenske instance. Konfigurirajte "ip tcp adjust-mss 1350" ili ekvivalentnu naredbu, kao i "tunnel path\u0002mtu-discovery" ili ekvivalentnu naredbu na strani korisnika za pomoć pri dinamičkom podešavanju MTU prometa kroz VPN tunel.