Dedikált példány-virtuális csatlakozás

Bevezetés

A Virtual Connect egy további kiegészítő lehetőség a felhőkapcsolathoz dedikált példányhoz Webex-hívásokhoz (dedikált példány). A Virtual Connect lehetővé teszi az ügyfelek számára, hogy biztonságosan kiterjesszék magánhálózatukat az interneten keresztül pont-pont IP VPN-alagutak használatával. Ez a csatlakozási lehetőség biztosítja a magánhálózati kapcsolat gyors létrehozását a meglévő Ügyfél-előfeltételi berendezések (CPE) és az internetkapcsolat használatával.

A Cisco redundáns IP VPN-alagutakat és a szükséges internet-hozzáférést a Cisco dedikált példány adatközponti régiójában (régióiban) üzemelteti, kezeli és biztosítja, ahol a szolgáltatásra szükség van. Hasonlóképpen, a rendszergazda felelős a megfelelő CPE- és internetszolgáltatásokért, amelyek a Virtual Connect létrehozásához szükségesek.

Egy adott dedikált példányrégió minden egyes virtuális csatlakozási rendelése két, IPSec-titkosítással védett útválasztási beágyazási (GRE) alagutat (GRE over IPSec) tartalmazna, egyet-egyet a Cisco minden egyes adatközpontjához a kiválasztott régióban.

A Virtual Connect sávszélesség-korlátja alagútonként 250 Mbps, és kisebb üzemelő példányok esetén ajánlott. Mivel két pont-pont VPN-alagutat használnak, a felhőbe irányuló összes forgalomnak át kell mennie az ügyfél fejállomásán, a CPE-n, ezért előfordulhat, hogy nem megfelelő, ha sok távoli hely van. Az egyéb alternatív társviszony-létesítési lehetőségekért lásd: Cloud Connectivity.

Mielőtt elküldené a Virtual Connecthez tartozó társviszony-létesítési kérelmet, győződjön meg arról, hogy a dedikált példány szolgáltatás aktiválva van az adott régióban.

Előfeltételek

A Virtuális csatlakozás létrehozásának előfeltételei a következők:

Az ügyfél biztosítja
- Internetkapcsolat elegendő rendelkezésre álló sávszélességgel az üzembe helyezés támogatásához
- Két IPSec-alagút nyilvános IP-címe(i)
- Ügyféloldali GRE szállítási IP-címek a két GRE alagúthoz
Partner és ügyfél
- Együttműködés a sávszélesség-követelmények értékeléséhez
- Győződjön meg arról, hogy a hálózati eszközök támogatják a Border Gateway Protocol (BGP) útválasztást és a GRE OVER IPSec alagút kialakítását
Partner vagy ügyfél biztosítja
- Hálózati csapat a helyek közötti VPN-alagút technológiák ismeretével
- Hálózati csapat, amely ismeri a BGP-t, az eBGP-t és az általános útválasztási elveket
Cisco
- A Cisco privát automatikus rendszerszámokat (ASN) és átmeneti IP-címzést rendelt a GRE-alagút interfészeihez
- A Cisco nyilvános, de nem internetes átirányítható C osztályú (/24) hálózatot rendelt a dedikált példányfelhő-címzéshez

Ha egy ügyfélnek csak 1 CPE-eszköze van, akkor az egyes régiókban a Cisco adatközpontjai (DC1 és DC2) felé vezető 2 alagút az adott CPE-eszközről származik. Az ügyfélnek 2 CPE-eszközre is lehetősége van, majd minden CPE-eszköznek 1 alagúthoz kell csatlakoznia, csak a Cisco adatközpontjai (DC1 és DC2) felé minden régióban. További redundancia érhető el, ha minden egyes alagutat külön fizikai helyen/helyen fejezünk be az Ügyfél infrastruktúráján belül.

Műszaki adatok

Telepítési modell

A Virtual Connect kétrétegű fejállomás-architektúrát használ, ahol az útválasztási és GRE-vezérlősíkokat az egyik eszköz biztosítja, az IPSec vezérlősíkot pedig egy másik biztosítja.

A Virtuális csatlakozás kapcsolat befejezése után két GRE OVER IPSec alagút jön létre az Ügyfél vállalati hálózata és a Dedikált példány Cisco adatközpontjai között. Egy-egy az egyes redundáns adatközpontokhoz az adott régión belül. A társviszony-létesítéshez szükséges további hálózati elemeket a partner vagy az ügyfél kicseréli a Cisco-ra a Control Hub Virtual Connect aktiválási űrlapon keresztül.

Az alábbi ábra a virtuális csatlakozás telepítési modelljét mutatja be a 2 koncentrátoros opcióhoz az ügyfél oldalon.

Virtuális csatlakozás – A VPN egy hub-kialakítás, ahol az ügyfél központi telephelyei egy adott régión belüli dedikált példány adatközpontjainak DC1-hez és DC2-höz kapcsolódnak.

A jobb redundancia érdekében két hub-hely ajánlott, de a két alagúttal rendelkező One Hub-hely szintén támogatott üzembe helyezési modell.

Az alagútonkénti sávszélesség 250 Mbps-ra van korlátozva. A hatékony feladatátvétel biztosítása érdekében a két alagúton áthaladó összesített forgalom nem haladhatja meg a 250 Mbps-ot, mivel meghibásodás esetén az összes forgalom egyetlen alagúton keresztül halad.

Az Ügyfél ugyanazon régión belüli távoli webhelyeinek vissza kell kapcsolódniuk a Hub-telephely(ek)hez az Ügyfél WAN-ján keresztül, és nem a Cisco felelőssége ez a kapcsolat.

A Partnerektől elvárás, hogy szorosan együttműködjenek az Ügyfelekkel, biztosítva a legoptimálisabb útvonal kiválasztását a Virtual Connect szolgáltatási régió számára.

Az alábbi ábra a dedikált példány felhőkapcsolati társviszony-létesítési régióit mutatja.

Hívástovábbítás

A Virtuális csatlakozás útválasztása bővítmény külső BGP (eBGP) használatával van megvalósítva a dedikált példány és a Customer Premise Equipment (CPE) között. A Cisco egy régión belüli minden egyes redundáns tartományvezérlőhöz meghirdeti a megfelelő hálózatot az Ügyfél CPE-jének, és a CPE-nek meg kell hirdetnie a Cisco alapértelmezett útvonalát.

A Cisco karbantartja és hozzárendeli
- Alagút interfész IP-címzés (átmeneti kapcsolat az útválasztáshoz) A Cisco hozzárendeli a kijelölt megosztott címtérből (nem nyilvánosan átirányítható)
- Alagútszállítási desitinációs cím (Cisco oldala)
- Privát autonóm rendszerszámok (ASNs) az ügyfél BGP útválasztási konfigurációjához
  - A Cisco a kijelölt magánhasználati tartományból rendeli hozzá a feladatokat: 64512-től 65534-ig

A dedikált példány és a CPE közötti útvonalak cseréjére használt eBGP
- A Cisco a hozzárendelt /24 hálózatot 2/25-re osztja az adott régió minden egyes DC-jéhez
- A Virtual Connectben minden /25 hálózatot a Cisco visszahív CPE-re a megfelelő pont-pont VPN alagutakon keresztül (átmeneti kapcsolat)
- A CPE-t a megfelelő eBGP-szomszédokkal kell konfigurálni. Ha egy CPE-t használ, akkor két eBGP-szomszédot használunk, amelyek közül az egyik minden távoli alagútra mutat. Ha két CPE-t használ, akkor minden CPE-nek lesz egy eBGP-szomszédja, amely a CPE egyetlen távoli alagútjához pásztáz.
- Az egyes GRE-alagutak Cisco-oldala (alagút interfész IP-cím) a BGP-szomszédként van konfigurálva a CPE-n
- A CPE-nek meg kell hirdetnie egy alapértelmezett útvonalat az egyes alagutak felett
- A CPE szükség szerint újra elosztható a tanult útvonalak újraelosztására a cutomer vállalati hálózatán belül.
Nem hibakapcsolati feltétel esetén egyetlen CPE két aktív/aktív alagúttal rendelkezik. Két CPE-csomópont esetében minden CPE egy aktív alagúttal rendelkezik, és mindkét CPE-csomópontnak aktívnak és átmenő forgalomnak kell lennie. Nem meghibásodási forgatókönyv esetén a forgalomnak két alagútra kell oszlania, amelyek a megfelelő /25-ös célhelyre mennek, ha az egyik alagút leesik, a fennmaradó alagút mindkettő forgalmát képes szállítani. Ilyen hiba esetén, ha a /25 hálózat nem működik, akkor a /24 hálózat lesz biztonsági mentési útvonalként használva. A Cisco a belső WAN-ján keresztül küldi az ügyfélforgalmat a dc felé, amely megszakította a kapcsolatot.

Virtuális csatlakozási forgalomáramlás

Forgalomáramlás, amikor mindkét alagút fel van nyitva

Ez a kép egy Virtual Connect hálózati architektúrát szemléltet, amely részletezi a forgalom áramlását, amikor mind az elsődleges, mind a másodlagos alagutak működnek.

Ez egy aktív kapcsolódási modellt képvisel, amely lehetővé teszi az ügyfél számára, hogy hozzáférjen a Cisco adatközpontjaiban üzemeltetett UC-alkalmazásokhoz, kihasználva a kettős... GRE/IPSEC alagutak az interneten keresztül BGP-vel az útvonalcseréhez.

Meghatározások:

Ügyfél előfeltétele:
- Ez az ügyfél helyszíni hálózatát jelöli, ahol a felhasználók és eszközeik (pl. IP-telefonok, UC-klienseket futtató számítógépek) találhatók.
- Az innen származó forgalomnak el kell érnie a Cisco adatközpontjaiban üzemeltetett UC-alkalmazásokat.
Cisco Webex hívás dedikált példány (dedikált példány) adatközpontok (WxC-DI DC-A és WxC-DI DC-B):
- Ezek a Cisco adatközpontjai, amelyek az UC-alkalmazásokat üzemeltetik.
- A DC-A és DC-B földrajzilag elkülönülnek, ami redundanciát biztosít.
- Minden adatközpontnak saját alhálózata van az UC-alkalmazásokhoz:
  - DC-A subnet:X.X.X.0/25
  - DC-B subnet:X.X.X.128/25
GRE/IPsec Alagutak (1. alagút és 2. alagút):
- Ezek biztonságos, titkosított kapcsolatok az ügyfél telephelye és a Cisco adatközpont között a nyilvános interneten keresztül.
- GRE (Általános Útvonaltervezési Beágyazás): Ezt a protokollt különféle hálózati rétegbeli protokollok virtuális pont-pont kapcsolatokba való beágyazására használják. Lehetővé teszi az olyan útválasztási protokollok, mint a BGP, működését az alagúton keresztül.
- IPsec (internetprotokoll-biztonság): Ez a protokollcsomag kriptográfiai biztonsági szolgáltatásokat (hitelesítés, integritás, bizalmasság) nyújt az IP-kommunikációhoz. Titkosítja a GRE-be csomagolt forgalmat, biztosítva a biztonságos adatátvitelt az interneten keresztül.
Határátjáró Protokoll (BGP):
- A BGP az az útválasztási protokoll, amelyet az ügyfél telephelye és a Cisco adatközpontokközötti útválasztási információk cseréjére használnak.

Amint a fenti ábrán látható, az ügyfél telephelyén telepített eszközöknek két GRE/IPSEC alagutak.

Az alábbiakban használt elnevezési konvenciók XX-szel / Az YY, DC-A és DC-B kódok általánosak minden olyan régióban, ahol dedikált példányt kínálnak. Ezek az értékek minden régió esetében egyediek lesznek, és az egyes régiók tényleges értékei is egyeznek. A konkrét értékeket a virtuális kapcsolat aktiválása során adják meg.

A Cisco oldalán az IPSec és a GRE alagutak különböző eszközökön lesznek leállítva. Tehát az ügyfélnek gondoskodnia kell az IPSec és a GRE cél IP-címek megfelelő konfigurálásáról az eszközökön. Az ügyfelek ugyanazt az IP-címet használhatják a GRE és az IPSEC protokollokhoz, ha az eszközeiken támogatott. Lásd a fenti ábrát. Az IP-címmel kapcsolatos értékeket a portálon a virtuális kapcsolat aktiválásakor adják meg.

Alagút 1: Az interneten keresztül csatlakoztatja az ügyfél telephelyét a „Dedikált DC-A példányhoz” (A adatközpont). Ez az alagút BGP-t használ AS:64XX1 az ügyfél oldalán és a BGP-n AS:64XX2 a dedikált példány DC-A oldalán. Az IPSEC és GRE alagútforrás-konfigurációk az ügyfél és a Cisco által biztosított részletekre oszlanak.
Alagút 2: Az interneten keresztül összeköti az ügyfél telephelyét a „Dedikált DC-B példánynal” (B adatközpont). Ez az alagút BGP-t használ AS:64YY1 az ügyfél oldalán és a BGP-n AS:64YY2 a dedikált példány DC-B oldalán. Az 1-es alagúthoz hasonlóan az IPSEC és a GRE alagút forráskonfigurációi is megoszlanak az ügyfél és a Cisco között.

BGP-ben AS:64XX és BGP AS:64YY, Az XX és az YY egy adott régióra jellemző.

Miután a GRE/IPSEC Ha a Webex Calling Dedicated Instance adatközpontokhoz (A és B) alagutak jönnek létre, az ügyfélnek a Cisco által a megfelelő BGP-munkameneteken keresztül meghirdetett következő útvonalakat kell megkapnia.

DC-A esetén: A Cisco által hirdetett útvonalak a következők lesznek: X.X.X.0/25 és X.X.x.0/24. Opcionálisan, ha az IaaS-t kérik és konfigurálják az ügyfélútvonalakhoz Y.Y.Y.0/25 és Y.Y.Y.0/24 a Cisco fogja hirdetni.
DC-B esetén: A Cisco által hirdetett útvonalak a következők lesznek: X.X.X.128/25 és X.X.x.0/24. Opcionálisan, ha az IaaS-t kérik és konfigurálják az ügyfélútvonalakhoz Y.Y.Y.128/25 és Y.Y.Y.0/24 a Cisco fogja hirdetni.
Az ügyfélnek reklámoznia kell 0.0.0./0 útvonal a Cisco-hoz mindkét kapcsolaton (alagúton) keresztül
Az ügyfélnek a leghosszabb előtagot kell követnie. (/25) útvonalakat a Cisco felé irányuló forgalom továbbítására a megfelelő alagutakon keresztül, amikor mindkét alagút működik.
A Cisco ugyanazokon az alagutakon keresztül fogja visszairányítani a forgalmat, hogy a forgalom szimmetrikus maradjon.

Forgalomáramlás:

A "DC-A UC alkalmazások" felé irányuló forgalom (X.X.X.0/25) az ügyfél telephelyéről az 1-es alagúton keresztül áramlik.
A "DC-B UC alkalmazások" felé irányuló forgalom (X.X.X.128/25) az ügyfél telephelyéről a 2-es alagúton keresztül áramlik.

Feladatátvételi forgatókönyv : forgalomáramlás, amikor az egyik alagút le van húzva

Amint a fenti ábrán látható, amikor a DC-A-ba vezető alagút lefelé halad, a DC-A-ba vezető alagúton keresztül létrehozott bgp lefelé halad.

Hatás a BGP-re: Amikor az 1-es alagút leáll, a BGP-munkamenet is leáll az adott alagúton. Következésképpen a DC-A a továbbiakban nem tudja majd hirdetni az útvonalait (különösen X.X.X.0/25) ezen az útvonalon keresztül jut el az ügyfélhez. Ezért az ügyfél router elérhetetlenként fogja érzékelni az útvonalat.

Mivel az 1-es alagút nem működik, az ügyfél telephelyén található ügyfél router automatikusan eltávolítja az 1-es alagúton keresztül tanult útvonalakat az útválasztási táblázatából, vagy elérhetetlenként jelöli meg azokat.

Az UC App Network felé irányuló forgalom (X.X.X.0/24) vagy a DC-A alhálózat (X.X.X.0/25) ezután a működő alagúton keresztül a DC-B felé irányítják át, amely továbbra is hirdeti a X.X.X.0/24 amely magában foglalja a X.X.X.0/25 hálózat.
Hasonló viselkedés tapasztalható, ha a DC-B felé vezető alagút nem működik, míg a DC-A felé vezető alagút továbbra is működik.

Csatlakozási folyamat

Az alábbi magas szintű lépések azt ismertetik, hogyan hozhat létre kapcsolatot a virtuális Csatlakozás dedikált példányhoz.

1	Rendelés leadása a Cisco CCW-ben
2	Virtuális csatlakozás aktiválása a Control Hubból
3	A Cisco hálózati konfigurációt végez
4	Az ügyfél elvégzi a hálózati konfigurációt

1. lépés: CCW megrendelés

A Virtual Connect a CCW dedikált példányának bővítménye.

1	Keresse meg a CCW rendelési webhelyet, majd kattintson a Bejelentkezés gombra a webhelyre való bejelentkezéshez: https://apps.cisco.com/Commerce/guest.
2	Becslés létrehozása.
3	Adja hozzá az "A-FLEX-3" termékváltozatot.
4	Válassza a Beállítások szerkesztése lehetőséget.
5	A megjelenő előfizetés lapon válassza a Beállítások és bővítmények lehetőséget.
6	A További bővítmények alatt jelölje be a "Virtuális csatlakozás dedikált példányhoz" melletti jelölőnégyzetet. Az SKU neve "A-FLEX-DI-VC".
7	Adja meg azoknak a régióknak a mennyiségét és számát, amelyekben virtuális csatlakozás szükséges. A Virtuális csatlakozás mennyisége nem haladhatja meg a dedikált példányhoz vásárolt régiók teljes számát. Emellett régiónként csak egy Virtuális csatlakozás rendelés engedélyezett.
8	Ha elégedett a választásokkal, kattintson az Ellenőrzés és mentés gombra az oldal jobb felső részén.
9	Kattintson a Mentés és folytatás gombra a megrendelés véglegesítéséhez. A véglegesített rendelés most a rendelési rácsban van.

2. lépés: Virtuális csatlakozás aktiválása a Control Hubban

1	Jelentkezzen be a Control Hubba https://admin.webex.com/login.
2	A Szolgáltatások szakaszban keresse meg a Dedikált instacnce hívása > > a Felhőkapcsolat lehetőséget.
3	A Virtual Connect kártyán a megvásárolt Virtual Connect mennyiség szerepel. A rendszergazda mostantól az Aktiválás gombra kattintva kezdeményezheti a Virtual Connect aktiválását. Az aktiválási folyamatot csak az "Ügyfél teljes rendszergazdája" szerepkörrel rendelkező rendszergazdák aktiválhatják. Míg az "Ügyfél csak olvasható rendszergazda" szerepkörrel rendelkező rendszergazda csak megtekintheti az állapotot.
4	Az Aktiválás gombra kattintva megjelenik a Virtuális csatlakozás aktiválása űrlap, hogy a rendszergazda megadja a Virtuális csatlakozás technikai adatait, amelyek a Cisco oldalán lévő társviszony-konfigurációkhoz szükségesek. Az űrlap statikus információkat is biztosít a Cisco oldalán, a kiválasztott régió alapján. Ezek az információk hasznosak lesznek az ügyfél-rendszergazdák számára, hogy az oldalukon konfigurálják a CPE-t a kapcsolat létrehozásához. GRE alagút szállítási IP-cím: Az ügyfélnek meg kell adnia az ügyfél oldalsó Tunnel Transport IP-címeit, és a Cisco dinamikusan kiosztja az IP-címeket az aktiválás befejezése után. Az érdekes forgalomra vonatkozó IPSec ACL-nek lehetővé kell tennie a helyi tunnel transport IP/32 protokollt a távoli alagút-átviteli IP/32-re. Az ACL-nek csak a GRE IP protokollt kell megadnia. Az ügyfél által megadott IP-cím lehet privát vagy nyilvános. IPSec partnerek: Az ügyfélnek meg kell adnia az IPSec-alagút forrás IP-címeit, és a Cisco kiosztja az IPSec-cél IP-címet. Szükség esetén a belső IPSEC-alagútcímek nyilvános címre történő NAT-fordítása is támogatott. Az ügyfél által megadott IP-címnek nyilvánosnak kell lennie. Az aktiválási képernyőn megadott összes többi statikus információ a Cisco oldalsó biztonsági és titkosítási szabványait követi. Ez a statikus konfiguráció nem testreszabható vagy módosítható. A Cisco oldalán lévő statikus konfigurációkkal kapcsolatos további segítségért az ügyfélnek fel kell vennie a kapcsolatot a TAC-val.
5	Kattintson az Aktiválás gombra, miután az összes kötelező mező ki lett töltve.
6	Miután kitöltötte a Virtuális csatlakozás aktiválási űrlapját egy partikluáris régióhoz, az ügyfél exportálhatja az aktiválási űrlapot a Control Hubból, a Hívás > dedikált példányból > Felhőkapcsolat lapot, majd kattintson a Beállítások exportálása elemre. Biztonsági okokból a hitelesítés és a BGP jelszó nem lesz elérhető az exportált dokumentumban, de a rendszergazda megtekintheti ezeket a Control Hubban a Beállítások megtekintése ] lehetőségre kattintva a Control Hub, Hívások menüpont alatt. > Dedikált példány > Felhőkapcsolat fül.

3. lépés: A Cisco hálózati konfigurációt végez

1	A Virtuális csatlakozás aktiválási űrlapjának kitöltése után az állapot aktiválási folyamatban lévőre frissül a dedikált példány hívása > > Cloud Connectivity Virtual Connect kártya hívásában.
2	A Cisco 5 munkanaponbelül elvégzi a szükséges konfigurációkat a Cisco oldali berendezésein. Sikeres befejezés esetén az állapot "Aktiválva" lesz az adott régióhoz a Control Hubban.

4. lépés: Az ügyfél elvégzi a hálózati konfigurációt

Az állapot "Aktiválva" állapotra változik, hogy értesítse az Ügyféladminisztrátorirt arról, hogy az IP VPN-kapcsolat konfigurációinak Cisco oldala az Ügyfél által megadott bemenetek alapján be van fejezve. Az ügyfél rendszergazdájának azonban be kell fejeznie a konfigurációk oldalát a CTE-ken, és tesztelnie kell a virtuális csatlakozás alagút online kapcsolati útvonalait. A konfigurálás vagy a csatlakozás során felmerülő problémák esetén az ügyfél segítségért fordulhat a Cisco TAC-hoz.

Hibaelhárítás

IPsec első fázis (IKEv2 egyeztetés) hibaelhárítása és validálása

Az IPsec alagút-egyeztetés két fázisból áll: az IKEv2 fázisból és az IPsec fázisból. Ha az IKEv2 fázis egyeztetése nem fejeződik be, akkor nem indul el a második IPsec fázis. Először add ki a „show crypto ikev2 sa” parancsot (Cisco eszközön) vagy hasonló parancsot egy harmadik féltől származó eszközön annak ellenőrzéséhez, hogy az IKEv2 munkamenet aktív-e. Ha az IKEv2 munkamenet nem aktív, annak a lehetséges okai a következők lehetnek:

Az érdekes forgalom nem indítja el az IPsec alagutat.
Az IPsec alagút hozzáférési listája helytelenül van konfigurálva.
Nincs kapcsolat az ügyfél és a dedikált példány IPsec alagút végpontjának IP-címe között.
Az IKEv2 munkamenet paraméterei nem egyeznek a dedikált példány és az ügyféloldal között.
Egy tűzfal blokkolja az IKEv2 UDP csomagokat.

Először is, ellenőrizze az IPsec naplókat, hogy vannak-e olyan üzenetek, amelyek az IKEv2 alagút-egyeztetés előrehaladását mutatják. A naplók jelezhetik, hogy hol van probléma az IKEv2 egyeztetéssel. A naplózási üzenetek hiánya azt is jelezheti, hogy az IKEv2 munkamenet nincs aktiválva.

Néhány gyakori hiba az IKEv2 egyeztetés során:

A CPE oldalon az IKEv2 beállításai nem egyeznek meg a Cisco oldalon találhatóakkal, ellenőrizze újra az említett beállításokat:
- Ellenőrizd, hogy az IKE verziója 2-es-e.
- Ellenőrizze, hogy a titkosítási és hitelesítési paraméterek megegyeznek-e a dedikált példány oldalán várt titkosítással.
  
  Amikor a „GCM” titkosítást használják, a GCM protokoll kezeli a hitelesítést, és a hitelesítési paramétert NULL értékre állítja.
- Ellenőrizze az élettartam beállítását.
- Ellenőrizd a Diffie-Hellman moduluscsoportot.
- Ellenőrizze a pszeudo-véletlenszerű függvény beállításait.
A kriptotérkép hozzáférési listája nincs beállítva a következőre:
- GRE engedélyezése (local_tunnel_transport_ip) 255.255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (vagy azzal egyenértékű parancs)
  
  A hozzáférési listának kifejezetten a "GRE" protokollhoz kell tartoznia, és az "IP" protokoll nem fog működni.

Ha a naplóüzenetek nem mutatnak semmilyen tárgyalási tevékenységet az IKEv2 fázisban, akkor csomagrögzítésre lehet szükség.

A dedikált példány oldala nem mindig kezdi meg az IKEv2 adatcserét, és néha elvárhatja, hogy az ügyfél CPE oldala legyen a kezdeményező.

Ellenőrizze a CPE oldali konfigurációt az IKEv2 munkamenet kezdeményezésének következő előfeltételei szempontjából:

Keressen IPsec titkosítási hozzáférési listát a GRE forgalomhoz (50-es protokoll) a CPE alagút átviteli IP-címétől a dedikált példány alagút átviteli IP-címéig.
Győződjön meg arról, hogy a GRE alagút interfészén engedélyezve vannak a GRE keepalive-ok. Ha az eszköz nem támogatja a GRE keepalive-okat, akkor a Cisco értesítést kap, mivel a GRE keepalive-ok alapértelmezés szerint engedélyezve lesznek a dedikált példány oldalán.
Győződjön meg arról, hogy a BGP engedélyezve van, és a dedikált példány alagút IP-címének szomszédos címével van konfigurálva.

Megfelelő konfigurálás esetén a következőképpen kezdődik az IPsec alagút és az IKEv2 egyeztetés első fázisa:

GRE keepalive-ok a CPE oldali GRE alagút interfésztől a dedikált példány oldali GRE alagút interfészig.
BGP szomszédos TCP munkamenet a CPE oldali BGP szomszédtól a dedikált példány oldali BGP szomszédig.
Pingelje a CPE oldali alagút IP-címéről a dedikált példány oldali alagút IP-címére.

A ping nem lehet alagút IP-címe alagút IP-címtől, annak alagút IP-címnek kell lennie.

Ha csomagkövetésre van szükség az IKEv2 forgalomhoz, állítsa be a szűrőt UDP-re és vagy az 500-as portra (ha nincs NAT-eszköz az IPsec végpontok között), vagy a 4500-as portra (ha egy NAT-eszköz van beszúrva az IPsec végpontok közé).

Ellenőrizze, hogy az 500-as vagy 4500-as porttal rendelkező IKEv2 UDP csomagok küldése és fogadása a DI IPsec IP-címről megtörténik-e.

A dedikált példány adatközpontja nem mindig indítja el az első IKEv2 csomagot. A követelmény az, hogy a CPE eszköz képes legyen az első IKEv2 csomag elindítására a dedikált példány oldala felé.

Ha a helyi tűzfal engedélyezi, akkor próbáljon meg pingelni a távoli IPsec-címet is. Ha a ping parancs nem sikeres a helyi IPsec-címről a távoli címre, akkor nyomkövetéssel állapítsa meg, hogy hová kerül a csomag.

Egyes tűzfalak és internetes eszközök nem engedélyezik az útvonalkövetést.

IPsec második fázis (IPsec egyeztetés) hibaelhárítása és validálása

Az IPsec második fázisának hibaelhárítása előtt ellenőrizze, hogy az IPsec első fázisa (azaz az IKEv2 biztonsági társítás) aktív-e. Hajtson végre egy „show crypto ikev2 sa” vagy azzal egyenértékű parancsot az IKEv2 munkamenet ellenőrzéséhez. A kimenetben ellenőrizze, hogy az IKEv2 munkamenet már néhány másodpercnél régebben aktív-e, és hogy nem pattogó-e. A munkamenet üzemideje a kimenetben a munkamenet „Aktív ideje” vagy azzal egyenértékű értékként jelenik meg.

Miután az IKEv2 munkamenet ellenőrizve van, vizsgálja meg az IPsec munkamenetet. Az IKEv2 munkamenethez hasonlóan futtassa a „show crypto ipsec sa” vagy azzal egyenértékű parancsot az IPsec munkamenet ellenőrzéséhez. A GRE alagút létrehozása előtt mind az IKEv2, mind az IPsec munkamenetnek aktívnak kell lennie. Ha az IPsec-munkamenet nem jelenik meg aktívként, ellenőrizze az IPsec-naplókat hibaüzenetek vagy egyeztetési hibák után.

Az IPsec-tárgyalások során felmerülő leggyakoribb problémák a következők:

A CPE oldalon lévő beállítások nem egyeznek meg a dedikált példány oldalán lévőkkel, ellenőrizze újra a beállításokat:

Ellenőrizze, hogy a titkosítási és hitelesítési paraméterek megegyeznek-e a dedikált példány oldalán található beállításokkal.
Ellenőrizze a Tökéletes továbbítási titkosság beállításait, és hogy azok megegyeznek-e a dedikált példány oldalán található beállításokkal.
Ellenőrizze az élettartamra vonatkozó beállításokat.
Ellenőrizze, hogy az IPsec alagút módban van-e konfigurálva.
Ellenőrizze a forrás- és cél IPsec-címeket.

Alagút interfész hibaelhárítása és validálása

Amikor az IPsec és az IKEv2 munkamenetek aktívnak bizonyulnak, a GRE alagút keepalive csomagjai áramolni tudnak a dedikált példány és a CPE alagút végpontjai között. Ha az alagút interfész állapota nem jelenik meg, néhány gyakori probléma a következő:

Az alagút interfész szállítási VRF-je nem egyezik meg a loopback interfész VRF-jével (ha VRF konfigurációt használnak az alagút interfészen).

Ha a VRF konfigurációt nem használják az alagút interfészen, ez az ellenőrzés figyelmen kívül hagyható.
A keepalive-ok nincsenek engedélyezve a CPE oldali alagút interfészen.

Ha a CPE berendezés nem támogatja a keepalive-okat, akkor értesíteni kell a Cisco-t, hogy a dedikált példány oldalán található alapértelmezett keepalive-ok is letiltásra kerüljenek.

Ha a keepalive-ok támogatottak, ellenőrizze, hogy a keepalive-ok engedélyezve vannak-e.
A bújtatási interfész maszkja vagy IP-címe helytelen, és nem egyezik meg a dedikált példány várt értékeivel.
A forrás- vagy célalagút-átviteli cím helytelen, és nem egyezik a dedikált példány várható értékeivel.
Egy tűzfal blokkolja a GRE csomagok IPsec alagútba küldését vagy onnan történő fogadását (a GRE alagút az IPsec alagúton keresztül továbbítódik).

Egy ping tesztnek ellenőriznie kell, hogy a helyi alagút interfész működik-e, és hogy a távoli alagút interfészhez jó-e a kapcsolat. Végezze el a ping ellenőrzést az alagút IP-címéről (ne a szállítási IP-címről) a távoli alagút IP-címére.

Az IPsec alagút titkosítási hozzáférési listája, amely a GRE alagút forgalmát továbbítja, csak a GRE csomagokat engedélyezi az áthaladáshoz. Ennek eredményeként a pingelések nem fognak működni az alagútátviteli IP-címről a távoli alagútátviteli IP-címre.

A ping ellenőrzés egy GRE csomagot eredményez, amely a forrás alagút szállítási IP-címétől a cél alagút szállítási IP-címéig generálódik, míg a GRE csomag hasznos terhelése (a belső IP-cím) a forrás és a cél alagút IP-címe lesz.

Ha a ping teszt sikertelen, és az előző tételek ellenőrzése megtörtént, akkor csomagrögzítésre lehet szükség annak biztosítására, hogy az ICMP ping egy GRE csomagot eredményezzen, amelyet aztán egy IPsec csomagba csomagolnak, majd a forrás IPsec címről a cél IPsec címre küldenek. A GRE alagút interfészén lévő számlálók és az IPsec munkamenet-számlálók szintén segíthetnek annak kimutatásában, hogy a küldött és fogadott csomagok száma növekszik-e.

A ping forgalom mellett a rögzítésnek a keepalive GRE csomagokat is meg kell mutatnia, még tétlen forgalom esetén is. Végül, ha a BGP konfigurálva van, a BGP keepalive csomagokat is GRE csomagokként, IPSEC csomagokba csomagolva kell elküldeni a VPN-en keresztül.

BGP hibaelhárítás és validálás

BGP munkamenetek

A BGP-t útválasztási protokollként kell használni a VPN IPsec alagúton keresztül. A helyi BGP szomszédnak eBGP munkamenetet kell létrehoznia a dedikált példány BGP szomszédjával. Az eBGP szomszédos IP-címei megegyeznek a helyi és a távoli alagút IP-címeivel. Először győződjön meg arról, hogy a BGP-munkamenet működik, majd ellenőrizze, hogy a megfelelő útvonalak érkeznek-e a dedikált példánytól, és a megfelelő alapértelmezett útvonal kerül-e elküldésre a dedikált példánynak.

Ha a GRE alagút működik, ellenőrizze, hogy sikeres-e a ping a helyi és a távoli GRE alagút IP-címe között. Ha a ping sikeres, de a BGP-munkamenet nem jön létre, akkor vizsgálja meg a BGP-naplót a BGP-létrehozási hibák után kutatva.

A BGP-egyeztetés során felmerülő leggyakoribb problémák a következők:

A távoli AS-szám nem egyezik meg a dedikált példány oldalán konfigurált AS-számmal, ellenőrizze újra a szomszédos AS-konfigurációt.
A helyi AS-szám nem egyezik meg azzal, amit a dedikált példány oldala vár. Ellenőrizze, hogy a helyi AS-szám megegyezik-e a várt dedikált példány paraméterekkel.
Egy tűzfal blokkolja a GRE csomagokba csomagolt BGP TCP csomagok IPsec alagútba küldését vagy az IPSEC alagútból való fogadását.
A távoli BGP szomszéd IP-címe nem egyezik meg a távoli GRE alagút IP-címével.

BGP útvonalcsere

Miután a BGP-munkamenetet mindkét alagút esetében ellenőrizte, győződjön meg arról, hogy a dedikált példány oldaláról a megfelelő útvonalak küldése és fogadása történik.

A Dedicated Instance VPN megoldás két alagút létrehozását várja el a customer/partner oldal. Az első alagút az A dedikált példány adatközpontjára, a második alagút pedig a B dedikált példány adatközpontjára mutat. Mindkét alagútnak aktív állapotban kell lennie, és a megoldáshoz egy active/active telepítés. Minden dedikált példány adatközpontja hirdetni fogja a helyi /25 útvonal, valamint egy /24 tartalék útvonal. A dedikált példány bejövő BGP útvonalainak ellenőrzésekor győződjön meg arról, hogy az A dedikált példány adatközpontjára mutató alagúthoz társított BGP-munkamenet megkapja az A dedikált példány adatközpontját. /25 helyi útvonal, valamint a /24 tartalék útvonal. Ezenkívül győződjön meg arról, hogy a B dedikált példány adatközpontjára mutató alagút fogadja a B dedikált példány adatközpontját. /25 helyi útvonal, valamint a /24 tartalék útvonal. Vegye figyelembe, hogy a /24 A biztonsági mentési útvonal ugyanaz lesz, mint amelyet az A dedikált példány adatközpontjából és a B dedikált példány adatközpontjából hirdettek ki.

Redundanciát biztosítanak egy dedikált példány adatközpontjának, ha az adott adatközponthoz vezető alagút interfész leáll. Ha megszakad a kapcsolat az A dedikált példány adatközpontjával, akkor a forgalom a B dedikált példány adatközpontjából az A adatközpontba lesz továbbítva. Ebben a forgatókönyvben a B adatközpontba vezető alagút a B adatközpontot fogja használni. /25 az adatközpont B felé irányuló forgalom továbbítására szolgáló útvonal, és a B adatközpont felé vezető alagút a tartalék útvonalat fogja használni. /24 útvonal a forgalomnak az A adatközpontba a B adatközponton keresztül történő küldéséhez.

Fontos, hogy amikor mindkét alagút aktív, az A adatközpont alagútját ne használják forgalom küldésére a B adatközpontba és fordítva. Ebben a forgatókönyvben, ha a forgalom az A adatközpontba érkezik, amelynek célállomása a B adatközpont, az A adatközpont továbbítja a forgalmat a B adatközpontba, majd a B adatközpont megpróbálja visszaküldeni a forgalmat a forráshoz a B adatközpont alagútán keresztül. Ez szuboptimális útvonaltervezést eredményez, és a tűzfalakon áthaladó forgalmat is megzavarhatja. Ezért fontos, hogy mindkét alagút egy active/active konfiguráció normál működés közben.

A 0.0.0.0/0 Az útvonalat az ügyfél oldaláról a dedikált példány adatközpont oldalára kell hirdetni. A dedikált példány oldala nem fogad el konkrétabb útvonalakat. Győződjön meg arról, hogy a 0.0.0.0/0 Az útvonalat mind a dedikált példány adatközpontjának A alagútjából, mind a dedikált példány adatközpontjának B alagútjából hirdetik.

MTU-konfiguráció

A dedikált példány oldalán két funkció engedélyezve van az MTU dinamikus beállításához nagy csomagméretek esetén. A GRE alagút további fejléceket ad a VPN-munkameneten áthaladó IP-csomagokhoz. Az IPsec alagút további fejléceket ad hozzá a GRE fejlécek tetejéhez, ami tovább csökkenti az alagúton megengedett legnagyobb MTU-t.

A GRE alagút beállítja az MSS funkciót, és a GRE alagút elérési útja az MTU felderítési funkciójában engedélyezve van a dedikált példány oldalán. Konfigurálja az „ip tcp adjust-mss 1350” vagy azzal egyenértékű parancsot, valamint a „tunnel” path\u0002mtu-discovery" vagy azzal egyenértékű parancs az ügyfél oldalon a VPN-alagúton keresztüli forgalom MTU-jának dinamikus beállításához.

Köszönjük visszajelzését.