はじめに

仮想接続は、仮想マシンの専用インスタンス(専用インスタンス)へのクラウド接続Webex Calling追加オプションです。仮想接続により、顧客はポイント・ポイントの IP VPN トンネルを使用して、インターネット上のプライベート・ネットワークを安全に拡張することができます。この接続オプションにより、既存の顧客設置型機器(CPE)とインターネット接続を使用することで、プライベートネットワーク接続を簡単に利用できます。

Cisco ホストは、サービスが必要な Cisco の専用インスタンスデータセンター地域で、冗長 IP VPN トンネルと必要なインターネットアクセスを管理し、保証します。同様に、管理者は Virtual Connect に必要な CPE およびインターネットサービスに対応する責任を負います。

特定の専用インスタンス領域での各仮想接続の注文には、IPSec 暗号化(GRE over IPSec)により保護された一般的なルーティング(GRE)トンネルが含まれます。1 つは選択された地域の各 Cisco データセンターに対し 1 つです。

仮想接続の帯域幅の制限はトンネルごとに 250 Mbps です。より小さな展開を行う場合は推奨しています。2 つのポイントツーポイント VPN トンネルが使用されるため、クラウドへのすべてのトラフィックは、顧客のヘッドエンド CPE を通過する必要があります。そのため、リモートサイトが多い場合は適切ではありません。他の代替ピアリング オプションについては、「クラウド接続性 」を参照してください

Virtual Connect のピアリング要求を送信する前に、それぞれのリージョンで専用インスタンス サービスがアクティブ化されていることを確認してください。

前提条件

仮想接続を確立するための前提条件:

  • 顧客が提供する情報

    • 展開をサポートするのに十分な帯域幅でのインターネット接続

    • 2 つの IPSec トンネル用のパブリック IP アドレス

    • 2 つの GRE トンネルの顧客側の GRE トランスポート IP アドレス

  • パートナーと顧客

    • 帯域幅の要件を評価するために共に作業を行います

    • ネットワーク デバイス (BGP) ルーティングボーダー ゲートウェイ プロトコル IPSec トンネル デザイン上の GRE をサポートしていることを確認します

  • パートナーまたは顧客が提供する

    • サイト間 VPN トンネル技術の知識を持つネットワークチーム

    • BGP、eB BGP、一般的なルーティング原理の知識を持つネットワーク チーム

  • Cisco

    • Cisco により割り当てられたプライベート自動電子メールアドレス (ASN) と GRE トンネルインターフェースへの一時的 IP アドレス指定

    • Cisco は、専用インスタンス クラウド アドレス指定にパブリックただしインターネット アクセス可能なクラス C (/24) ネットワークを割り当てて済みです

顧客が 1 つの CPE デバイスのみを持っている場合、各地域の Cisco のデータセンター (DC1 および DC2) に向かう 2 つのトンネルは、その CPE デバイスから来たものとなります。顧客はまた、2 つの CPE デバイスに対するオプションをもち、各 CPE デバイスは、各地域の Cisco のデータセンター (DC1 および DC2) にのみ対して 1 トンネルにのみ接続する必要があります。追加の冗長性は、各トンネルを顧客のインフラストラクチャ内にある別々の物理的なサイト/ロケーションに終了することで、達成できます。

技術的な詳細

展開モデル

Virtual Connectは、デュアルティアのヘッドエンドアーキテクチャを使用し、ルーティングとGREコントロール飛行機が 1 つのデバイスによって提供され、IPSec コントロール飛行機が別のデバイスによって提供されます。

仮想接続接続が完了すると、顧客のエンタープライズネットワークと専用インスタンスの Cisco のデータセンター間に 2 つの GRE over IPSec トンネルが作成されます。各地域内の1対1の冗長データセンター。ピアリングに必要な追加のネットワーク要素は、Control Hub Virtual Connect アクティベーション フォームを通じて、パートナーまたは顧客から Cisco に交換されます。

下の図は、顧客側の 2 つのコンセントレータ オプションの仮想接続展開モデルの例を示しています。

仮想接続 - VPN はハブ設計であり、顧客のハブ サイトが特定の地域内の専用インスタンスのデータセンターの DC1 および DC2 に接続されます。

より良い冗長性のためには、2 つのハブ サイトが推奨されますが、2 つのトンネルを持つ One Hub サイトもサポートされている展開モデルです。

トンネルあたりの帯域幅は 250 Mbps に制限されています。効果的なフェイルオーバーを確実に行うには、障害発生時にすべてのトラフィックが 1 つのトンネルを経由してルーティングされるため、両方のトンネルの合計トラフィックが 250 Mbps を超えてはなりません。

同じ地域内にある顧客のリモート サイトは、顧客の WAN 上のハブ サイトに戻る必要があります。また、その接続に対する Cisco の責任ではありません。

パートナーは顧客と緊密に連携し、 Virtual Connect サービス リージョンに最適なパスが選択されるようにすることが求められます。

下の図は、専用インスタンスのクラウド接続ピアリング リージョンを示しています。

仮想接続領域

ルーティング

Virtual Connect アドオンのルーティングは、専用インスタンスと顧客の設置型機器 (CPE) の間の外部 BGP (eB BGP) を使用して実装されます。Cisco は顧客の CPE に地域内の各冗長 DC に対してそれぞれのネットワークをアドバタイズし、CPE は Cisco へのデフォルトルートをアドバタイズする必要があります。

  • Cisco は、

    • トンネルインターフェースIPアドレス指定(ルーティング用の一時的なリンク)Cisco は指定された共有アドレススペース(非パブリックルート)から割り当てる

    • トンネルトランスポートアドレス(シスコ側)

    • 顧客 BGP ルーティング構成用のプライベートな自律システム番号 (ASN)

      • Cisco は指定されたプライベートの使用範囲から割り当てる: 64512 ~ 65534

  • eBGP は、専用インスタンスと CPE 間のルートを交換するために使用されます。

    • Cisco は指定された /24 ネットワークを各地域の各 DC に割り当て済み /25 に分割します

    • Virtual Connect 各 /25 ネットワークは、各ポイント間 VPN トンネル(一時的リンク)で Cisco により CPE にアドバタイズされます

    • CPE は適切な eBGP 近隣で構成される必要があります。1 つの CPE を使用する場合、2 つの eBGP 近隣が使用されます。1 つのリモートトンネルが 1 つポイントになります。2 つの CPE を使用する場合、各 CPE は 1 つの eBGP 近隣を持ち、CPE 用の 1 つのリモート トンネルに接続します。

    • 各 GRE トンネル (トンネルインターフェイス IP) の Cisco 側は、CPE の BGP 近隣として構成されます

    • CPE は各トンネルでデフォルトのルートをアドバタイズする必要があります

    • CPE は必要に応じて、サイト管理人の企業ネットワーク内で知らされたルートを再配布する責任を持っています。

  • 非障害リンク障害状態では、単一 CPE には 2 つのアクティブ/アクティブトンネルがあります。2 つの CPE ノードについて、各 CPE は 1 つのアクティブなトンネルを持ち、両方の CPE ノードをアクティブにし、トラフィックを渡す必要があります。非障害シナリオの下で、トラフィックは正しい /25 宛先に進む 2 つのトンネルで分割する必要があります。トンネルの 1 つがダウンした場合、残りのトンネルは両方のトラフィックを実行できます。このような障害シナリオの下では、/25 ネットワークがダウンすると、/24 ネットワークがバックアップルートとして使用されます。Cisco は、接続が失われた DC に対して、内部 WAN 経由で顧客のトラフィックを送信します。

仮想接続トラフィックフロー

両方のトンネルが稼働している場合の交通の流れ

専用インスタンス - 仮想接続

この画像は、 Virtual Connect ネットワーク アーキテクチャを示しており、プライマリ トンネルとセカンダリ トンネルの両方が動作している場合のトラフィック フローの詳細を示しています。

これは、シスコのデータセンターでホストされているUCアプリケーションに顧客がアクセスするためのアクティブな接続モデルであり、デュアル GRE/IPSEC ルート交換のために BGP を使用してインターネット上にトンネルを構築します。

定義:

  • 顧客前提:
    • これは、ユーザーとそのデバイス (IP 電話、UC クライアントを実行しているコンピューターなど) が配置されている顧客のオンサイト ネットワークを表します。
    • ここから発信されるトラフィックは、Cisco のデータセンターでホストされている UC アプリケーションに到達する必要があります。
  • Cisco Webex Calling 専用インスタンス(専用インスタンス)データセンター(WxC-DI DC-A および WxC-DI DC-B):
    • これらは、UC アプリケーションをホストする Cisco のデータセンターです。
    • DC-A と DC-B は地理的に分離されており、冗長性が確保されています。
    • 各データセンターには、UC アプリケーション用の独自のサブネットがあります。
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec トンネル(トンネル1とトンネル2):
    • これらは、パブリック インターネット経由の 顧客施設Cisco データセンター 間の、安全で暗号化された接続です。
    • GRE (汎用ルーティング カプセル化): このプロトコルは、仮想ポイントツーポイント リンク内にさまざまなネットワーク層プロトコルをカプセル化するために使用されます。これにより、BGP などのルーティング プロトコルがトンネル経由で動作できるようになります。
    • IPsec (インターネット プロトコル セキュリティ): このプロトコル スイートは、IP 通信に暗号化セキュリティ サービス (認証、整合性、機密性) を提供します。GRE カプセル化されたトラフィックを暗号化し、インターネット経由の安全なデータ転送を保証します。
  • ボーダーゲートウェイプロトコル(BGP):
    • BGP は 、顧客構内Cisco データセンター間でルーティング情報を交換するために使用されるルーティング プロトコルです。

上の図に示すように、顧客の敷地内に配備されたデバイスは、2つの GRE/IPSEC トンネル。

XXで以下に使用される命名規則 / YY、DC-A DC-B は、専用インスタンスが提供されているすべてのリージョンで汎用です。これらの値は地域ごとに固有であり、実際の値は地域ごとに異なります。特定の値は、仮想接続のアクティブ化中に提供されます。

Cisco 側では、IPSec トンネルと GRE トンネルは異なるデバイスで終了されます。したがって、顧客はデバイス上で IPSec 宛先 IP と GRE 宛先 IP を適切に構成する必要があります。お客様のデバイスでサポートされている場合、GRE と IPSEC に同じ IP を使用できます。上の図を参照してください。IP 関連の値は、ポータルで仮想接続をアクティブ化するときに提供されます。

  • トンネル 1: 顧客構内をインターネット経由で「専用インスタンス DC-A」(データセンター A)に接続します。このトンネルはBGPを使用します AS:64XX1 顧客側とBGP AS:64XX2 専用インスタンス DC-A 側。IPSEC および GRE トンネル ソース構成は、顧客が提供する詳細とシスコが提供する詳細に分割されます。
  • トンネル 2: 顧客構内と「専用インスタンス DC-B」(データセンター B)をインターネット経由で接続します。このトンネルはBGPを使用します AS:64YY1 顧客側とBGP AS:64YY2 専用インスタンス DC-B 側。トンネル 1 と同様に、IPSEC および GRE トンネル ソース構成は顧客とシスコ間で共有されます。

BGPでは AS:64XX およびBGP AS:64YY, XX と YY は特定の地域に固有です。

一度 GRE/IPSEC Webex Calling 専用インスタンス データセンター (A および B) へのトンネルが確立されると、顧客は対応する BGP セッションを介して Cisco からアドバタイズされた次のルートを受信する必要があります。

  • DC-Aの場合: Ciscoから広告されるルートは X.X.X.0/25 そして X.X.x.0/24. オプションとして、IaaS が要求され、顧客ルート用に構成されている場合 Y.Y.Y.0/25 そして Y.Y.Y.0/24 Cisco から広告されます。
  • DC-Bの場合: Ciscoから広告されるルートは X.X.X.128/25 そして X.X.x.0/24. オプションとして、IaaS が要求され、顧客ルート用に構成されている場合 Y.Y.Y.128/25 そして Y.Y.Y.0/24 Cisco から広告されます。
  • 顧客は、 0.0.0./0 両方の接続(トンネル)を介してCiscoにルートする
  • 顧客は最長のプレフィックスに従う必要があります (/25) 両方のトンネルが稼働しているときに、それぞれのトンネルを介して Cisco にトラフィックを送信するルート。
  • Cisco はトラフィックの対称性を維持するために、同じトンネルを介してトラフィックを返します。

交通の流れ:

  • 「DC-A UC アプリ」宛のトラフィック (X.X.X.0/25) 顧客構内からトンネル 1 を通って流れます。
  • 「DC-B UC アプリ」宛のトラフィック (X.X.X.128/25) 顧客構内からトンネル 2 を通って流れます。

フェイルオーバーシナリオ : トンネルの1つがダウンした場合のトラフィックフロー

専用インスタンス - 仮想接続

上の図に示すように、DC-A へのトンネルがダウンすると、DC-A へのトンネルを介して確立された BGP もダウンします。

BGPへの影響: トンネル 1 がダウンすると、そのトンネル上の BGP セッションもダウンします。その結果、DC-Aはルートをアドバタイズできなくなります(具体的には X.X.X.0/25) このパスを通じて顧客に届けられます。したがって、顧客ルータはパスを到達不能として検出します。

トンネル 1 がダウンしているため、顧客構内の顧客ルータは、トンネル 1 経由で学習したルートをルーティング テーブルから自動的に削除するか、到達不能としてマークします。

  • UC App Network宛のトラフィック (X.X.X.0/24) またはDC-Aサブネット (X.X.X.0/25) その後、DC-B方面の作業トンネルを経由してリダイレクトされ、引き続き広告が配信されます。 X.X.X.0/24 これには、 X.X.X.0/25 ネットワーク。
  • DC-A へのトンネルがまだ稼働しているのに DC-B へのトンネルがダウンしている場合にも、同様の動作が見られます。

接続プロセス

次の高レベル手順では、専用インスタンスで仮想 Connect を接続する方法を説明します。
1

Cisco CCW で注文を行う

2

コントロール ハブから仮想接続をアクティベートする

3

Cisco はネットワーク構成を実行します

4

顧客はネットワーク構成を実行します

ステップ1: CCW での注文

Virtual Connect は、CCW の専用インスタンスのアドオンです。

1

CCW 注文サイトに移動し、[ログイン] をクリックして、サイトにサインオンします。

https://apps.cisco.com/Commerce/guest.
2

見積もりを作成します。

3

「A-FLEX-3」SKU を追加します。

4

[オプションの編集] を選択します。

5

表示される [サブスクリプション] タブで、[オプション] と [アドオン] を選択します。

6

[アドオンの追加] から [専用インスタンスの仮想接続] の隣にあるチェックボックスを選択します。SKU 名は「A-FLEX-DI-VC」です。

7

仮想接続が必要な地域の数と数を入力します。

仮想接続の数量が、専用インスタンスのために購入した地域の総数を超えるべきではありません。また、地域ごとに 1 つの仮想接続オーダーのみ許可されます。
8

選択に満足したら、ページ右上の [確認して保存] をクリックします。

9

[保存して続行] をクリックして注文を確定します。確定した注文が注文グリッドに入る。

ステップ 2: Control Hub での Virtual Connect のアクティベーション

1

Control Hub にサインインします https://admin.webex.com/login

2

[サービス] セクション で、[クラウド接続 の>で [通話>] に移動します

3

仮想接続カードで、購入した仮想接続の数量が一覧表示されます。管理者は [アクティベート] を クリックして 、仮想接続のアクティベーションを開始できます。

アクティベーション プロセスは、「カスタマー フル管理者」ロールを持つ管理者によってのみトリガされます。一方、「顧客読み取り専用管理者」ロールを持つ管理者はステータスのみ表示できます。
4

アクティベート ボタンをクリックすると、管理者に仮想接続のアクティベーション フォームが表示され、Cisco 側のピア設定で必要な Virtual Connect の技術的詳細を提供します。

このフォームは、選択された地域に基づいて、Cisco の側に静的情報も提供します。この情報は、顧客側の CPE が接続を確立するために構成する場合に役立ちます。

  1. GREトンネルトランスポートIPアドレス: 顧客は顧客の横向きトンネル トランスポート IP アドレスを提供する必要があります。アクティベーションが完了すると、Cisco は動的に IP アドレスを割り当てる必要があります。興味深いトラフィックに対する IPSec ACL は、ローカル トンネル トランスポート IP/32 からリモート トンネル トランスポート IP/32 を許可する必要があります。ACL は GRE IP プロトコルのみを指定する必要があります。

    顧客が提供する IP アドレスは、プライベートまたはパブリックすることができます。

  2. IPSecピア: 顧客は IPSec Tunnel のソース IP アドレスを提供する必要があります。Cisco は IPSec 宛先 IP アドレスを割り当てる必要があります。内部 INAT トンネルアドレスの NAT 翻訳をパブリックアドレスに実行するのも、必要に応じてサポートされます。

    顧客が提供する IP アドレスは公開されている必要があります。

    アクティベーション画面に表示されるその他すべての静的情報は、Cisco 側のセキュリティと暗号化標準が続きます。この静的構成はカスタマイズまたは変更できません。Cisco 側の静的設定に関するそれ以上の支援を得る場合、顧客は TAC に連絡する必要があります。
5

すべての必須フィールドの 入力が 完了したら、[アクティブにする] ボタンをクリックします。

6

一部の地域に対して仮想接続アクティベーション フォームが完了した後で、顧客は Control Hub、Calling > [専用インスタンス] > [クラウド接続] タブからアクティベーション フォームをエクスポートし、[エクスポート設定] をクリックできます。

セキュリティ上の理由により、認証とBGPパスワードはエクスポートされたドキュメントでは利用できませんが、管理者はコントロールハブの 設定の表示 をクリックしてコントロールハブで同じ情報を表示できます。 > 専用インスタンス > クラウド接続タブ。

ステップ 3: Cisco はネットワーク構成を実行します

1

仮想接続アクティベーション フォームが完了すると、ステータスが [アクティベーション中] に更新されます。 > 専用インスタンス > Cloud Connectivity Virtual Connect カードで進行中です。

2

シスコは 、 5 営業日以内にシスコ側の機器の必要な設定を完了します。正常に完了すると、Control Hub の特定の地域に対してステータスが「アクティベート済み」に更新されます。

ステップ 4: 顧客はネットワーク構成を実行します

状態が「アクティベート済み」に変更され、顧客管理者に、IP VPN 接続に対する Cisco 側の構成が、顧客から提供された入力に基づいて完了したと通知します。しかし、顧客管理者は CCPEs 上の設定の横にある完了を済み、仮想接続トンネルをオンラインにするための接続ルートをテストする必要があります。設定または接続の時に直面した問題が発生した場合、顧客は Cisco TAC に支援を求めてもらいます。

トラブルシューティング

IPsec 第一フェーズ(IKEv2 ネゴシエーション)のトラブルシューティングと検証

IPsec トンネル ネゴシエーションには、IKEv2 フェーズと IPsec フェーズの 2 つのフェーズが含まれます。IKEv2 フェーズのネゴシエーションが完了しない場合、2 番目の IPsec フェーズは開始されません。まず、コマンド「show crypto ikev2 sa」(シスコ機器の場合)または同様のコマンドをサードパーティ機器で発行して、IKEv2 セッションがアクティブかどうかを確認します。IKEv2 セッションがアクティブでない場合、考えられる理由は次のとおりです。

  • 興味深いトラフィックは IPsec トンネルをトリガーしません。

  • IPsec トンネル アクセス リストが正しく構成されていません。

  • 顧客と専用インスタンス IPsec トンネルのエンドポイント IP との間に接続がありません。

  • IKEv2 セッション パラメータが専用インスタンス側と顧客側で一致していません。

  • ファイアウォールが IKEv2 UDP パケットをブロックしています。

まず、IPsec ログで IKEv2 トンネル ネゴシエーションの進行状況を示すメッセージを確認します。ログには、IKEv2 ネゴシエーションに問題がある場所が示される場合があります。ログ メッセージがない場合、IKEv2 セッションがアクティブ化されていないことを示している可能性もあります。

IKEv2 ネゴシエーションでよくあるエラーは次のとおりです。

  • CPE 側の IKEv2 の設定が Cisco 側と一致していません。次の設定を再確認してください。

    • IKE バージョンがバージョン 2 であることを確認します。

    • 暗号化と認証のパラメータが専用インスタンス側で期待される暗号化と一致していることを確認します。

      「GCM」暗号が使用されている場合、GCM プロトコルが認証を処理し、認証パラメータを NULL に設定します。

    • 有効期間の設定を確認します。

    • Diffie Hellman 係数グループを検証します。

    • 疑似ランダム関数の設定を確認します。

  • 暗号マップのアクセス リストが次のように設定されていません:

    • GREを許可する (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (または同等のコマンド)

      アクセス リストは「GRE」プロトコル専用である必要があり、「IP」プロトコルは機能しません。

ログ メッセージに IKEv2 フェーズのネゴシエーション アクティビティが表示されない場合は、パケット キャプチャが必要になる可能性があります。

専用インスタンス側が常に IKEv2 交換を開始するとは限らず、顧客の CPE 側がイニシエーターとなることを期待する場合があります。

IKEv2 セッション開始の次の前提条件について、CPE 側の構成を確認します。

  • CPE トンネル トランスポート IP から専用インスタンス トンネル トランスポート IP への GRE トラフィック (プロトコル 50) の IPsec 暗号アクセス リストを確認します。

  • GRE トンネル インターフェイスで GRE キープアライブが有効になっていることを確認します。機器が GRE キープアライブをサポートしていない場合は、専用インスタンス側で GRE キープアライブがデフォルトで有効になるため、Cisco に通知されます。

  • BGP が有効になっており、専用インスタンス トンネル IP のネイバー アドレスで構成されていることを確認します。

適切に設定されている場合、次のように IPsec トンネルと第 1 フェーズの IKEv2 ネゴシエーションが開始されます。

  • CPE 側 GRE トンネル インターフェイスから専用インスタンス側 GRE トンネル インターフェイスへの GRE キープアライブ。

  • CPE 側 BGP ネイバーから専用インスタンス側 BGP ネイバーへの BGP ネイバー TCP セッション。

  • CPE 側トンネル IP アドレスから専用インスタンス側トンネル IP アドレスに ping を実行します。

    トンネル トランスポート IP からトンネル トランスポート IP への ping は実行できません。トンネル IP からトンネル IP への ping を実行する必要があります。

IKEv2 トラフィックのパケット トレースが必要な場合は、UDP のフィルターとポート 500 (IPsec エンドポイントの中間に NAT デバイスがない場合) またはポート 4500 (IPsec エンドポイントの中間に NAT デバイスが挿入されている場合) を設定します。

ポート 500 または 4500 の IKEv2 UDP パケットが DI IPsec IP アドレスとの間で送受信されることを確認します。

専用インスタンス データセンターは、必ずしも最初の IKEv2 パケットを開始するとは限りません。要件は、CPE デバイスが専用インスタンス側に向けて最初の IKEv2 パケットを開始できることです。

ローカル ファイアウォールが許可する場合は、リモート IPsec アドレスへの ping も試行します。ローカルからリモート IPsec アドレスへの ping が成功しない場合は、トレース ルートを実行して、パケットがドロップされた場所を特定します。

一部のファイアウォールおよびインターネット機器では、トレース ルートが許可されない場合があります。

IPsec 第 2 フェーズ (IPsec ネゴシエーション) のトラブルシューティングと検証

IPsec 第 2 フェーズのトラブルシューティングを行う前に、IPsec 第 1 フェーズ (つまり、IKEv2 セキュリティ アソシエーション) がアクティブであることを確認します。IKEv2 セッションを確認するには、「show crypto ikev2 sa」または同等のコマンドを実行します。出力で、IKEv2 セッションが数秒以上稼働しており、バウンスしていないことを確認します。セッションの稼働時間は、出力ではセッションの「アクティブ時間」または同等の値として表示されます。

IKEv2 セッションが稼働中かつアクティブであることが確認されたら、IPsec セッションを調査します。IKEv2 セッションと同様に、「show crypto ipsec sa」または同等のコマンドを実行して IPsec セッションを確認します。GRE トンネルを確立する前に、IKEv2 セッションと IPsec セッションの両方がアクティブになっている必要があります。IPsec セッションがアクティブとして表示されない場合は、IPsec ログでエラー メッセージまたはネゴシエーション エラーを確認してください。

IPsec ネゴシエーション中に発生する可能性のある一般的な問題には次のようなものがあります。

CPE 側の設定が専用インスタンス側と一致していません。設定を再確認してください。

  • 暗号化と認証のパラメータが専用インスタンス側の設定と一致していることを確認します。

  • Perfect Forward Secrecy の設定を確認し、専用インスタンス側の設定と一致していることを確認します。

  • 有効期間の設定を確認します。

  • IPsec がトンネル モードで設定されていることを確認します。

  • 送信元および宛先 IPsec アドレスを確認します。

トンネルインターフェースのトラブルシューティングと検証

IPsec および IKEv2 セッションが稼働中かつアクティブであることが検証されると、GRE トンネル キープアライブ パケットは専用インスタンスと CPE トンネル エンドポイント間を流れることができるようになります。トンネル インターフェイスのステータスが表示されない場合、一般的な問題は次のとおりです。

  • トンネル インターフェイス トランスポート VRF がループバック インターフェイスの VRF と一致しません (トンネル インターフェイスで VRF 設定が使用されている場合)。

    トンネル インターフェイスで VRF 設定が使用されていない場合は、このチェックは無視できます。

  • CPE側トンネルインターフェースでキープアライブが有効になっていない

    CPE 機器でキープアライブがサポートされていない場合は、専用インスタンス側のデフォルトのキープアライブも無効になるように Cisco に通知する必要があります。

    キープアライブがサポートされている場合は、キープアライブが有効になっていることを確認します。

  • トンネル インターフェイスのマスクまたは IP アドレスが正しくなく、専用インスタンスの予想値と一致しません。

  • 送信元または宛先のトンネル トランスポート アドレスが正しくなく、専用インスタンスの予想値と一致しません。

  • ファイアウォールが、GRE パケットの IPsec トンネルへの送信または IPsec トンネルからの受信をブロックしています (GRE トンネルは IPsec トンネルを介して転送されます)

ping テストでは、ローカル トンネル インターフェイスが稼働しており、リモート トンネル インターフェイスへの接続が良好であることを確認する必要があります。トンネル IP (トランスポート IP ではありません) からリモート トンネル IP への ping チェックを実行します。

GRE トンネル トラフィックを伝送する IPsec トンネルの暗号アクセス リストでは、GRE パケットのみが通過できます。その結果、トンネル トランスポート IP からリモート トンネル トランスポート IP への ping は機能しなくなります。

ping チェックの結果、送信元トンネル トランスポート IP から宛先トンネル トランスポート IP への GRE パケットが生成されますが、GRE パケットのペイロード (内部 IP) は送信元および宛先トンネル IP になります。

ping テストが成功せず、前述の項目が検証された場合は、icmp ping によって GRE パケットが生成され、それが IPsec パケットにカプセル化されて送信元 IPsec アドレスから宛先 IPsec アドレスに送信されていることを確認するために、パケット キャプチャが必要になることがあります。GRE トンネル インターフェイスのカウンターと IPsec セッション カウンターも、送受信パケットが増加しているかどうかを示すのに役立ちます。

キャプチャには、ping トラフィックに加えて、アイドル トラフィック中でもキープアライブ GRE パケットも表示される必要があります。最後に、BGP が設定されている場合は、BGP キープアライブ パケットも、VPN 経由で IPSEC パケットにカプセル化された GRE パケットとして送信される必要があります。

BGP のトラブルシューティングと検証

BGPセッション

VPN IPsec トンネル上のルーティング プロトコルとして BGP が必要です。ローカル BGP ネイバーは、専用インスタンス BGP ネイバーとの eBGP セッションを確立する必要があります。eBGP ネイバー IP アドレスは、ローカルおよびリモート トンネル IP アドレスと同じです。まず、BGP セッションが稼働していることを確認し、次に専用インスタンスから正しいルートが受信され、正しいデフォルト ルートが専用インスタンスに送信されていることを確認します。

GRE トンネルが稼働している場合は、ローカルとリモートの GRE トンネル IP 間の ping が成功することを確認します。ping が成功しても BGP セッションが起動しない場合は、BGP ログで BGP 確立エラーを調べます。

一般的な BGP ネゴシエーションの問題には次のようなものがあります。

  • リモート AS 番号が専用インスタンス側で設定されている AS 番号と一致しません。ネイバー AS 設定を再確認してください。

  • ローカル AS 番号が専用インスタンス側で予期されているものと一致しません。ローカル AS 番号が予期される専用インスタンス パラメータと一致していることを確認してください。

  • ファイアウォールが、GRE パケットにカプセル化された BGP TCP パケットが IPsec トンネルに送信されたり、IPSEC トンネルから受信されたりするのをブロックしています。

  • リモート BGP ネイバー IP がリモート GRE トンネル IP と一致しません。

BGPルート交換

両方のトンネルの BGP セッションが検証されたら、専用インスタンス側から正しいルートが送受信されていることを確認します。

専用インスタンスVPNソリューションでは、 customer/partner 側。最初のトンネルは専用インスタンスデータセンターAを指し、2番目のトンネルは専用インスタンスデータセンターBを指しています。両方のトンネルはアクティブ状態である必要があり、ソリューションには active/active 展開。各専用インスタンスデータセンターは、ローカルの /25 ルートだけでなく /24 バックアップルート。専用インスタンスからの着信BGPルートを確認するときは、専用インスタンスデータセンターAを指すトンネルに関連付けられたBGPセッションが専用インスタンスデータセンターAのパケットを受信することを確認します。 /25 ローカルルートだけでなく /24 バックアップルート。さらに、専用インスタンスデータセンターBを指すトンネルが専用インスタンスデータセンターBのパケットを受信することを確認します。 /25 ローカルルートだけでなく /24 バックアップルート。注意してください /24 バックアップ ルートは、専用インスタンス データセンター A と専用インスタンス データセンター B からアドバタイズされるルートと同じになります。

データセンターへのトンネル インターフェイスがダウンした場合、専用インスタンス データセンターに冗長性が提供されます。専用インスタンスデータセンターAへの接続が失われた場合、トラフィックは専用インスタンスデータセンターBからデータセンターAに転送されます。このシナリオでは、データセンターBへのトンネルはデータセンターBを使用します。 /25 データセンターBにトラフィックを送信するためのルートと、データセンターBへのトンネルはバックアップを使用します。 /24 データセンター B 経由でデータセンター A にトラフィックを送信するルート。

両方のトンネルがアクティブな場合、データセンター A のトンネルはデータセンター B へのトラフィックの送信に使用されず、その逆も同様であることが重要です。このシナリオでは、データセンター B を宛先としてデータセンター A にトラフィックが送信された場合、データセンター A はトラフィックをデータセンター B に転送し、その後、データセンター B はデータセンター B トンネル経由でトラフィックを送信元に送り返そうとします。これにより、ルーティングが最適ではなくなり、ファイアウォールを通過するトラフィックが中断される可能性もあります。したがって、両方のトンネルが active/active 通常操作中の構成。

その 0.0.0.0/0 ルートは顧客側から専用インスタンス データセンター側にアドバタイズされる必要があります。より具体的なルートは専用インスタンス側では受け入れられません。確実に 0.0.0.0/0 ルートは、専用インスタンス データセンター A トンネルと専用インスタンス データセンター B トンネルの両方からアドバタイズされます。

MTU設定

専用インスタンス側では、大きなパケット サイズに対して MTU を動的に調整するための 2 つの機能が有効になっています。GRE トンネルは、VPN セッションを流れる IP パケットにさらにヘッダーを追加します。IPsec トンネルは GRE ヘッダーの上に追加のヘッダーを追加し、トンネル上で許可される最大 MTU をさらに削減します。

GRE トンネルは MSS 機能を調整し、専用インスタンス側で MTU 検出機能の GRE トンネル パスが有効になります。「ip tcp adjust-mss 1350」または同等のコマンドと「tunnel」を設定します。 path\u0002mtu-discovery" または、VPN トンネルを通過するトラフィックの MTU を動的に調整するために顧客側で同等のコマンドを実行します。