소개

가상 연결은 Webex Calling(전용 인스턴스)용 전용 인스턴스에 대한 클라우드 연결에 대한 추가 추가 옵션입니다. 가상 연결을 통해 고객은 포인트 투 포인트 IP VPN 터널을 사용하여 인터넷을 통해 개인 네트워크를 안전하게 확장할 수 있습니다. 이 연결 옵션은 기존의 CPE(Customer Premise Equipment) 및 인터넷 연결을 사용하여 개인 네트워크 연결을 빠르게 설정합니다.

Cisco는 서비스가 필요한 Cisco의 전용 인스턴스 데이터 센터 지역에서 중복 IP VPN 터널 및 필요한 인터넷 액세스를 호스트, 관리 및 보장합니다. 마찬가지로 관리자는 가상 연결 설정에 필요한 해당 CPE 및 인터넷 서비스에 대한 책임이 있습니다.

특정 전용 인스턴스 지역의 각 가상 연결 순서에는 IPSec 암호화(IPSec를 통한 GRE)로 보호되는 두 개의 일반 라우팅 캡슐화(GRE) 터널이 포함되며, 하나는 선택한 지역의 각 Cisco 데이터센터에 포함됩니다.

가상 연결에는 터널당 250Mbps의 대역폭 제한이 있으며, 더 작은 배포에 권장됩니다. 두 지점 간 VPN 터널은 클라우드에 대한 모든 트래픽을 사용하므로 고객 헤드엔드 CPE를 통과해야 하므로 많은 원격 사이트가 있는 곳에서는 적합하지 않을 수 있습니다. 다른 대체 피어링 옵션은 클라우드 연결을 참조하십시오.


 

가상 연결에 대한 피어링 요청을 제출하기 전에 해당 지역에서 전용 인스턴스 서비스가 활성화되었는지 확인하십시오.

전제 조건

가상 연결을 설정하기 위한 전제 조건은 다음과 같습니다.

  • 고객 제공

    • 배포를 지원할 수 있는 충분한 대역폭의 인터넷 연결

    • 두 개의 IPSec 터널에 대한 공용 IP 주소

    • 두 개의 GRE 터널에 대한 고객 측 GRE 전송 IP 주소

  • 파트너 및 고객

    • 대역폭 요구 사항을 평가하기 위해 함께 작업

    • 네트워크 장치가 BGP(Border Gateway Protocol) 라우팅 및 IPSec 터널 설계를 통한 GRE를 지원하는지 확인합니다.

  • 파트너 또는 고객이 제공

    • 사이트 간 VPN 터널 기술에 대한 지식이 있는 네트워크 팀

    • BGP, eBGP 및 일반 라우팅 원칙에 대한 지식이 있는 네트워크 팀

  • Cisco

    • Cisco는 GRE 터널 인터페이스에 대해 ASN(private autonoumous system number) 및 일시 IP 주소 지정을 할당했습니다.

    • Cisco는 전용 인스턴스 클라우드 주소 지정을 위해 공용 네트워크에 지정되었지만 인터넷 라우팅 가능한 클래스 C(/24) 네트워크는 지정하지 않음


 

고객이 1개의 CPE 장치만 갖고 있는 경우, 각 지역에 있는 Cisco 데이터센터(DC1 및 DC2)로 향하는 2개의 터널은 해당 CPE 장치에서 가져옵니다. 고객은 또한 2개의 CPE 장치에 대한 옵션을 사용할 수 있으며, 각 CPE 장치는 각 지역의 Cisco 데이터센터(DC1 및 DC2)에만 1개의 터널에 연결해야 합니다. 추가 중복성은 고객의 인프라 내에서 별도의 물리적 사이트/위치에 있는 각 터널을 종료하여 달성할 수 있습니다.

기술 세부 사항

배포 모델

Virtual Connect는 듀얼 계층 헤드엔드 아키텍처를 사용하며, 여기서 라우팅 및 GRE 제어 평면은 하나의 장치에서 제공되고 IPSec 제어 평면은 다른 장치에서 제공됩니다.

가상 연결 연결이 완료되면 고객의 엔터프라이즈 네트워크와 Cisco의 데이터 센터 전용 인스턴스 간에 IPSec을 통한 두 개의 GRE가 생성됩니다. 각 지역 내에 있는 각 중복 데이터센터에 하나씩 있습니다. 피어링에 필요한 추가 네트워킹 요소는 Control Hub 가상 연결 활성화 양식을 통해 파트너 또는 고객이 Cisco로 교환합니다.

그림 1은 고객 측의 2-집중 장치 옵션에 대한 가상 연결 배포 모델의 예를 보여줍니다.

가상 연결 - VPN은 Hub 디자인이며, 고객의 허브 사이트는 특정 지역 내에서 전용 인스턴스의 데이터센터의 DC1 및 DC2에 연결됩니다.

더 나은 중복을 위해 두 개의 허브 사이트가 권장되지만, 두 개의 터널이 있는 한 개의 허브 사이트도 지원되는 배포 모델입니다.


 

터널당 대역폭은 250Mbps로 제한됩니다.


 

동일한 지역 내의 고객의 원격 사이트는 고객의 WAN을 통해 Hub 사이트에 다시 연결해야 하며, 해당 연결에 대한 Cisco의 책임은 아닙니다.

파트너는 고객과 긴밀히 협력하여 'Virtual Connect' 서비스 지역에 대해 최적의 경로를 선택할 수 있도록 해야 합니다.

그림 2는 전용 인스턴스 클라우드 연결 피어링 지역을 표시합니다.

라우팅

가상 연결 추가 기능을 위한 라우팅은 전용 인스턴스와 CPE(Customer Premise Equipment) 간에 외부 BGP(eBGP)를 사용하여 구현됩니다. Cisco는 지역 내의 각 중복 DC에 대해 해당 네트워크를 고객의 CPE로 광고하고 CPE는 Cisco로 기본 경로를 광고하는 데 필요합니다.

  • Cisco 유지 관리 및 할당

    • 터널 인터페이스 IP 주소 지정(라우팅을 위한 임시 링크) 지정된 공유 주소 공간에서 Cisco 할당(비공개적으로 라우팅 가능)

    • 터널 전송 desitination 주소(Cisco 측)

    • 고객 BGP 라우팅 구성에 대한 개인 자율 시스템 번호(ASN)

      • Cisco는 지정된 비공개 사용 범위에서 지정합니다. 64512에서 65534까지

  • 전용 인스턴스와 CPE 간의 경로 교환에 사용되는 eBGP

    • Cisco는 할당된 /24 네트워크를 각 지역의 각 DC에 대해 2 /25로 분할합니다.

    • Virtual Connect에서 각 /25 네트워크는 Cisco가 해당 지점 간 VPN 터널(임시 링크)을 통해 CPE로 다시 광고됩니다.

    • CPE는 적절한 eBGP 이웃으로 구성되어야 합니다. 하나의 CPE를 사용하는 경우, 각 원격 터널을 가리키는 두 개의 eBGP 이웃이 사용됩니다. 두 개의 CPE를 사용하는 경우, 각 CPE는 하나의 eBGP 이웃이 CPE에 대한 단일 원격 터널로 포팅됩니다.

    • 각 GRE 터널(터널 인터페이스 IP)의 시스코 측면은 CPE의 BGP 이웃으로 구성됩니다.

    • CPE는 각 터널에 대한 기본 경로를 광고해야 합니다.

    • CPE는 cutomer의 엔터프라이즈 네트워크 내에서 설정된 경로를 필요에 따라 재배포할 수 있습니다.

  • 비-실패 링크 실패 조건 하에서, 단일 CPE는 두 개의 활성/활성 터널을 가진다. 두 개의 CPE 노드의 경우, 각 CPE는 하나의 활성 터널을 가지며, CPE 노드 모두 활성 및 전달 트래픽이어야 합니다. 비 실패 시나리오에서 트래픽은 올바른 / 25 목적지로 이동하는 두 개의 터널로 나뉘어야합니다. 터널 중 하나가 아래로 가면 나머지 터널은 둘 다 트래픽을 수행 할 수 있습니다. 이러한 실패 시나리오에서 /25 네트워크가 다운되면 /24 네트워크가 백업 경로로 사용됩니다. Cisco는 내부 WAN을 통해 연결이 끊긴 DC로 고객 트래픽을 전송합니다.

연결 프로세스

다음 고급 단계는 전용 인스턴스에 대해 가상 연결로 연결을 설정하는 방법을 설명합니다.
1

Cisco CCW에서 주문 실행

2

Control Hub에서 가상 연결 활성화

3

Cisco는 네트워크 구성을 수행합니다.

4

고객이 네트워크 구성을 수행함

단계 1: CCW 주문

가상 연결은 CCW에서 전용 인스턴스에 대한 추가 기능입니다.

1

CCW 주문 사이트로 이동한 후 로그인을 클릭하여 사이트에 로그인합니다.

https://apps.cisco.com/Commerce/guest.
2

예측을 만듭니다.

3

"A-FLEX-3" SKU를 추가합니다.

4

편집 옵션을 선택합니다.

5

나타나는 가입 탭에서 옵션 및 추가 기능을 선택합니다.

6

추가 추가 기능 아래에서 "전용 인스턴스에 대한 가상 연결" 옆에 있는 확인란을 선택합니다. SKU 이름은 "A-FLEX-DI-VC"입니다.

7

가상 연결이 필요한 지역의 수량 및 수를 입력합니다.


 
가상 연결 수량은 전용 인스턴스에 대해 구입한 총 지역 수를 초과하지 않아야 합니다. 또한 지역당 하나의 가상 연결 주문만 허용됩니다.
8

선택 사항에 만족하면 페이지의 상단 오른쪽 부분에서 확인 및 저장을 클릭합니다.

9

주문을 마무리하려면 저장 및 계속을 클릭합니다. 이제 최종 주문은 주문 그리드에 추가됩니다.

단계 2: Control Hub에서 가상 연결 활성화

1

Control Hub https://admin.webex.com/login에 로그인합니다.

2

서비스 섹션에서 통화 > 전용 Instacnce > 클라우드 연결으로 이동합니다.

3

Virtual Connect 카드에서 구입한 Virtual Connect 수량이 나열됩니다. 이제 관리자는 활성화를 클릭하여 가상 연결 활성화를 시작할 수 있습니다.


 
활성화 프로세스는 "고객 전체 관리자" 역할이 있는 관리자만 트리거할 수 있습니다. 반면 "고객 읽기 전용 관리자" 역할이 있는 관리자는 상태만 볼 수 있습니다.
4

활성화 버튼을 클릭하면 관리자가 Cisco 측에서 피어링 구성에 필요한 가상 연결 기술 세부 정보를 제공하도록 가상 연결 활성화 양식이 표시됩니다.


 
이 양식은 선택한 지역에 따라 Cisco 측의 정적 정보도 제공합니다. 이 정보는 고객 관리자가 측면에서 CPE를 구성하여 연결을 설정하는 데 유용합니다.

  1. GRE 터널 전송 IP 주소: 고객은 고객의 측면 터널 전송 IP 주소를 제공해야 하며, 활성화가 완료되면 Cisco는 동적으로 IP 주소를 할당합니다. 흥미로운 트래픽에 대한 IPSec ACL은 로컬 터널 전송 IP/32를 원격 터널 전송 IP/32로 허용해야 합니다. ACL은 GRE IP 프로토콜만 지정해야 합니다.


     
    고객이 제공한 IP 주소는 비공개 또는 공개일 수 있습니다.

  2. IPSec 피어: 고객은 IPSec 터널의 소스 IP 주소를 제공하고 Cisco는 IPSec 대상 IP 주소를 할당해야 합니다. 필요한 경우 내부 IPSEC 터널 주소의 NAT 번역을 공용 주소로 수행하는 것도 지원됩니다.​


     

    고객이 제공한 IP 주소는 공개되어야 합니다.


     
    활성화 화면에서 제공되는 다른 모든 정적 정보는 Cisco의 측면 보안 및 암호화 표준을 따릅니다. 이 정적 구성은 사용자 정의할 수 없거나 수정할 수 없습니다. Cisco 측의 정적 구성에 대한 추가 지원이 필요하면 고객은 TAC로 연락해야 합니다.
5

필수 필드를 모두 입력한 후 활성화 버튼을 클릭합니다.

6

파티클 지역에 대해 가상 연결 활성화 양식이 완료되면 고객은 제어 허브, 통화 > 전용 인스턴스 > 클라우드 연결 탭에서 활성화 양식을 내보내고 내보내기 설정을 클릭할 수 있습니다.


 
보안상의 이유로 내보낸 문서에서는 인증 및 BGP 비밀번호를 사용할 수 없지만, 관리자는 Control Hub, 통화 > 전용 인스턴스 > 클라우드 연결 탭에서 설정 보기를 클릭하여 Control Hub에서 동일하게 볼 수 있습니다.

단계 3: Cisco는 네트워크 구성을 수행합니다.

1

가상 연결 활성화 양식이 완료되면 통화 > 전용 인스턴스 > 클라우드 연결 가상 연결 카드에서 상태가 활성화 진행 중으로 업데이트됩니다.

2

Cisco는 5 영업일 이내 Cisco 측 장비에 필요한 구성을 완료합니다. 성공적으로 완료되면 상태는 Control Hub에서 해당 특정 지역에 대해 "활성화됨"으로 업데이트됩니다.

단계 4: 고객이 네트워크 구성을 수행함

상태가 "활성화됨"으로 변경되어 고객이 제공한 입력에 따라 IP VPN 연결에 대한 Cisco의 구성 측면이 완료되었음을 고객 관리자에게 알립니다. 그러나 고객 관리자는 CPE에서 구성의 측면을 완료하고 가상 연결 터널이 온라인인지 연결 경로를 테스트해야 합니다. 구성 또는 연결 시 문제가 발생하는 경우, 고객은 Cisco TAC에 연락하여 지원을 받을 수 있습니다.

문제 해결하기

IPsec 첫 번째 단계(IKEv2 협상) 문제 해결 및 검증

IPsec 터널 협상에는 IKEv2 단계와 IPsec 단계가 포함된다. IKEv2 단계 협상이 완료되지 않으면 두 번째 IPsec 단계가 시작되지 않습니다. 먼저 "show crypto ikev2 sa"(Cisco 장비) 명령 또는 타사 장비의 유사한 명령을 발행하여 IKEv2 세션이 활성 상태인지 확인합니다. IKEv2 세션이 활성화되지 않은 경우, 잠재적인 이유는 다음과 같습니다.

  • 흥미로운 트래픽은 IPsec 터널을 트리거하지 않습니다.

  • IPsec 터널 액세스 목록이 잘못 구성되었습니다.

  • 고객과 전용 인스턴스 IPsec 터널 엔드포인트 IP 간에 연결이 없습니다.

  • IKEv2 세션 매개 변수는 전용 인스턴스 측과 고객 측 간에 일치하지 않습니다.

  • 방화벽이 IKEv2 UDP 패킷을 차단하고 있습니다.

먼저 IPsec 로그에 IKEv2 터널 협상의 진행 상황을 표시하는 메시지가 있는지 확인합니다. 로그는 IKEv2 협상에 문제가 있는 위치를 표시할 수 있습니다. 로깅 메시지가 부족하면 IKEv2 세션이 활성화되지 않고 있음을 나타낼 수도 있습니다.

IKEv2 협상에 대한 몇 가지 일반적인 오류는 다음과 같습니다.

  • CPE 측의 IKEv2에 대한 설정이 Cisco 측과 일치하지 않습니다. 언급된 설정을 다시 확인하십시오.

    • IKE 버전이 버전 2인지 확인합니다.

    • 암호화 및 인증 매개 변수가 전용 인스턴스 측에서 예상되는 암호화와 일치하는지 확인합니다.


       

      "GCM" 암호가 사용 중일 때 GCM 프로토콜은 인증을 처리하고 인증 매개 변수를 NULL로 설정합니다.

    • 수명 설정을 확인합니다.

    • Diffie Hellman modulus 그룹을 확인합니다.

    • Pseudo Random Function 설정을 확인합니다.

  • 암호화 맵에 대한 액세스 목록이 다음 항목으로 설정되지 않았습니다.

    • 허용 GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (또는 동등한 명령)


       

      액세스 목록은 특히 "GRE" 프로토콜에 대한 것이어야 하며 "IP" 프로토콜은 작동하지 않습니다.

로그 메시지가 IKEv2 단계에 대한 협상 활동을 표시하지 않는 경우, 패킷 캡처가 필요할 수 있습니다.


 

전용 인스턴스 측에서는 항상 IKEv2 교환을 시작하지 않을 수 있으며, 때로는 고객 CPE 측을 개시자로 예상할 수도 있습니다.

IKEv2 세션 시작에 대한 다음 전제 조건에 대한 CPE 측 구성을 확인합니다.

  • CPE 터널 전송 IP에서 전용 인스턴스 터널 전송 IP로 GRE 트래픽(프로토콜 50)에 대한 IPsec 암호화 액세스 목록을 확인합니다.

  • GRE keepalives에 대해 GRE 터널 인터페이스가 활성화되어 있는지 확인하십시오. 장비가 GRE keepalives를 지원하지 않는 경우, 기본값의 전용 인스턴스 측에서 GRE keepalives가 활성화되므로 Cisco에 통지합니다.

  • 전용 인스턴스 터널 IP의 이웃 주소로 BGP가 활성화되고 구성되었는지 확인합니다.

올바르게 구성되면 IPsec 터널과 첫 번째 단계 IKEv2 협상이 시작됩니다.

  • CPE 측면 GRE 터널 인터페이스에서 전용 인스턴스 측면 GRE 터널 인터페이스로 GRE keepalives.

  • CPE 측면 BGP 이웃에서 전용 인스턴스 측면 BGP 이웃으로 BGP 이웃 TCP 세션.

  • CPE 사이드 터널 IP 주소에서 전용 인스턴스 사이드 터널 IP 주소로 핑.


     

    Ping은 터널 전송 IP로 터널 전송 IP가 될 수 없으며, 터널 IP로 터널 IP여야 합니다.

IKEv2 트래픽에 대해 패킷 추적이 필요한 경우 UDP 및 포트 500(NAT 장치가 IPsec 엔드포인트의 가운데에 없는 경우) 또는 포트 4500(NAT 장치가 IPsec 엔드포인트의 가운데에 삽입된 경우)에 대한 필터를 설정합니다.

포트 500 또는 4500이 포함된 IKEv2 UDP 패킷이 DI IPsec IP 주소로 전송 및 수신되는지 확인합니다.


 

전용 인스턴스 데이터 센터는 항상 첫 번째 IKEv2 패킷을 시작하지는 않을 수 있습니다. 요구 사항은 CPE 장치가 전용 인스턴스 측으로 첫 번째 IKEv2 패킷을 시작할 수 있다는 것입니다.

로컬 방화벽에서 허용하는 경우, 원격 IPsec 주소로 ping을 시도합니다. 로컬 IPsec 주소에서 원격 IPsec 주소로 핑이 성공적이지 않은 경우 추적 경로를 수행하여 도움을 주고 패킷이 삭제되는 위치를 결정합니다.

일부 방화벽 및 인터넷 장비는 추적 경로를 허용하지 않을 수 있습니다.

IPsec 2단계(IPsec 협상) 문제 해결 및 검증

IPsec 두 번째 단계를 해결하기 전에 IPsec 첫 번째 단계(즉, IKEv2 보안 연계)가 활성화되었는지 확인합니다. "show crypto ikev2 sa" 또는 이와 동등한 명령을 수행하여 IKEv2 세션을 확인합니다. 출력에서 IKEv2 세션이 몇 초 이상 켜져 있으며 튕기지 않는지 확인합니다. 세션 가동 시간은 세션 "활성 시간" 또는 출력에 상응하는 것으로 표시됩니다.

IKEv2 세션이 up 및 active로 확인되면 IPsec 세션을 조사합니다. IKEv2 세션과 마찬가지로 "show crypto ipsec sa" 또는 이와 동등한 명령을 수행하여 IPsec 세션을 확인합니다. GRE 터널이 설정되기 전에 IKEv2 세션과 IPsec 세션이 모두 활성화되어야 합니다. IPsec 세션이 활성으로 표시되지 않는 경우, IPsec 로그에 오류 메시지 또는 협상 오류가 있는지 확인하십시오.

IPsec 협상 중에 발생할 수 있는 더 일반적인 문제 중 일부는 다음과 같습니다.

CPE 측의 설정이 전용 인스턴스 측과 일치하지 않습니다. 설정을 다시 확인하십시오.

  • 암호화 및 인증 매개 변수가 전용 인스턴스 측의 설정과 일치하는지 확인합니다.

  • Perfect Forward Secrecy 설정과 전용 인스턴스 측의 일치 설정을 확인합니다.

  • 수명 설정을 확인합니다.

  • IPsec이 터널 모드에서 구성되었는지 확인합니다.

  • 소스 및 대상 IPsec 주소를 확인합니다.

터널 인터페이스 문제 해결 및 검증

IPsec 및 IKEv2 세션이 up 및 active로 확인되면 GRE tunnel keepalive 패킷은 전용 인스턴스 및 CPE 터널 엔드포인트 간에 흐를 수 있습니다. 터널 인터페이스가 상태를 표시하지 않는 경우, 몇 가지 일반적인 문제는 다음과 같습니다.

  • 터널 인터페이스 전송 VRF는 루프백 인터페이스의 VRF와 일치하지 않습니다(터널 인터페이스에서 VRF 구성이 사용되는 경우).


     

    터널 인터페이스에서 VRF 구성이 사용되지 않는 경우 이 확인이 무시될 수 있습니다.

  • CPE 사이드 터널 인터페이스에서 keepalives가 활성화되지 않음


     

    CPE 장비에서 keepalives가 지원되지 않는 경우, 전용 인스턴스 측의 기본 keepalives도 비활성화되도록 Cisco에 통지해야 합니다.

    keepalives가 지원되는 경우 keepalives가 활성화되었는지 확인합니다.

  • 터널 인터페이스의 마스크 또는 IP 주소가 올바르지 않으며 전용 인스턴스 예상 값과 일치하지 않습니다.

  • 소스 또는 대상 터널 전송 주소가 올바르지 않으며 전용 인스턴스 예상 값과 일치하지 않습니다.

  • 방화벽이 GRE 패킷을 IPsec 터널로 전송하거나 IPsec 터널에서 수신하는 것을 차단합니다(GRE 터널은 IPsec 터널을 통해 전송됨).

핑 테스트는 로컬 터널 인터페이스가 켜져 있고 연결이 원격 터널 인터페이스에 적합한지 확인해야 합니다. 터널 IP(전송 IP 아님)에서 원격 터널 IP로 핑 검사를 수행합니다.


 

GRE 터널 트래픽을 운반하는 IPsec 터널에 대한 암호화 액세스 목록은 GRE 패킷만 교차 할 수 있습니다. 결과적으로, 핑은 터널 전송 IP에서 원격 터널 전송 IP로 작동하지 않습니다.

핑 검사에서 소스 터널 전송 IP에서 대상 터널 전송 IP로 생성되는 GRE 패킷이 생성되는 반면 GRE 패킷(내부 IP)의 페이로드는 소스 및 대상 터널 IP입니다.

핑 테스트가 성공적이지 않고 이전 항목이 확인되면 icmp ping이 GRE 패킷을 생성하여 IPsec 패킷에 캡슐화된 다음 소스 IPsec 주소에서 대상 IPsec 주소로 전송되도록 하려면 패킷 캡처가 필요할 수 있습니다. GRE 터널 인터페이스에 있는 카운터 및 IPsec 세션 카운터도 표시하는 데 도움이 될 수 있습니다. 패킷을 보내고 수신하는 경우 증가합니다.

핑 트래픽 외에도 캡처는 유휴 트래픽 중에도 keepalive GRE 패킷을 표시해야 합니다. 마지막으로 BGP가 구성된 경우 BGP keepalive 패킷은 IPSEC 패킷뿐만 아니라 VPN을 통해 캡슐화된 GRE 패킷으로도 전송되어야 합니다.

BGP 문제 해결 및 검증

BGP 세션

BGP는 VPN IPsec 터널을 통한 라우팅 프로토콜로 필요합니다. 로컬 BGP 이웃은 전용 인스턴스 BGP 이웃과 함께 eBGP 세션을 설정해야 합니다. eBGP 이웃 IP 주소는 로컬 및 원격 터널 IP 주소와 동일합니다. 먼저 BGP 세션이 시작되었는지 확인한 후 전용 인스턴스에서 올바른 경로를 수신하고 올바른 기본 경로가 전용 인스턴스로 전송되는지 확인합니다.

GRE 터널이 켜져 있는 경우 로컬 및 원격 GRE 터널 IP 간에 핑이 성공했는지 확인합니다. 핑이 성공했지만 BGP 세션이 나오지 않으면 BGP 설정 오류에 대한 BGP 로그를 조사합니다.

더 일반적인 BGP 협상 문제 중 일부는 다음과 같습니다.

  • 원격 AS 번호가 전용 인스턴스 측에 구성된 AS 번호와 일치하지 않습니다. 이웃 AS 구성을 다시 확인하십시오.

  • 로컬 AS 번호가 전용 인스턴스 측에서 기대하는 것과 일치하지 않습니다. 로컬 AS 번호가 예상되는 전용 인스턴스 매개 변수와 일치하는지 확인합니다.

  • 방화벽은 GRE 패킷에 캡슐화된 BGP TCP 패킷이 IPsec 터널로 전송되거나 IPSEC 터널에서 수신되는 것을 차단합니다.

  • 원격 BGP 이웃 IP가 원격 GRE 터널 IP와 일치하지 않습니다.

BGP 라우트 교환

두 터널 모두에 대해 BGP 세션이 확인되면 전용 인스턴스 측에서 올바른 경로를 보내고 수신하고 있는지 확인합니다.

전용 인스턴스 VPN 솔루션은 고객/파트너 측에서 두 개의 터널을 설치할 것으로 예상합니다. 첫 번째 터널은 전용 인스턴스 데이터 센터 A를 가리키고 두 번째 터널은 전용 인스턴스 데이터 센터 B를 가리킵니다. 두 터널 모두 활성 상태여야 하며 솔루션은 활성/활성 배포가 필요합니다. 각 전용 인스턴스 데이터센터는 로컬 /25 라우트 및 /24 백업 라우트라고 광고합니다. 전용 인스턴스에서 수신 BGP 경로를 확인할 때 전용 인스턴스 데이터센터 A를 가리키는 터널과 연결된 BGP 세션이 전용 인스턴스 데이터센터 A /25 로컬 라우트 및 /24 백업 라우트를 수신하는지 확인합니다. 또한 전용 인스턴스 데이터 센터 B를 가리키는 터널이 전용 인스턴스 데이터 센터 B /25 로컬 라우트 및 /24 백업 라우트를 수신하는지 확인합니다. 참고: /24 백업 경로는 전용 인스턴스 데이터센터 A 및 전용 인스턴스 데이터센터 B에서 광고된 동일한 경로입니다.

해당 데이터센터에 대한 터널 인터페이스가 다운되는 경우 중복성이 전용 인스턴스 데이터센터에 제공됩니다. 전용 인스턴스 데이터센터 A에 대한 연결이 끊긴 경우, 트래픽은 전용 인스턴스 데이터센터 B에서 데이터센터 A로 전달됩니다. 이 시나리오에서 데이터센터 B에서 터널은 데이터센터 B로 트래픽을 전송하기 위해 데이터센터 B /25 경로를 사용하고, 데이터센터 B에서 터널은 백업 /24 경로를 사용하여 데이터센터 B를 통해 데이터센터 A로 트래픽을 전송합니다.

두 터널이 모두 활성 상태일 때 데이터 센터 A 터널은 데이터 센터 B로 트래픽을 전송하는 데 사용되지 않으며 그 반대의 경우도 마찬가지입니다. 이 시나리오에서 트래픽이 데이터 센터 B의 대상으로 데이터 센터 A에 전송되는 경우 데이터 센터 A는 트래픽을 데이터 센터 B로 전달한 다음 데이터 센터 B는 데이터 센터 B 터널을 통해 소스로 다시 트래픽을 전송하려고 시도합니다. 이는 하위 최적화된 라우팅으로 이어지며, 방화벽을 통과하는 트래픽을 차단할 수도 있습니다. 따라서 두 터널이 정상 작동 중 활성/활성 구성에 있는 것이 중요합니다.

0.0.0.0/0 경로는 고객 측에서 전용 인스턴스 데이터 센터 측으로 광고되어야 합니다. 더 구체적인 경로는 전용 인스턴스 측에서 수락하지 않습니다. 전용 인스턴스 데이터 센터 A 터널과 전용 인스턴스 데이터 센터 B 터널 모두에서 0.0.0.0/0 경로가 광고되었는지 확인합니다.

MTU 구성

전용 인스턴스 측에서는 대규모 패킷 크기에 대해 MTU를 동적으로 조절할 수 있는 두 가지 기능이 활성화됩니다. GRE 터널은 VPN 세션을 통해 흐르는 IP 패킷에 더 많은 헤더를 추가합니다. IPsec 터널은 GRE 헤더 위에 추가 헤더를 추가하면 터널에서 허용되는 최대 MTU를 더욱 줄일 수 있습니다.

GRE 터널은 전용 인스턴스 측에서 MTU 검색 기능의 MSS 기능 및 GRE 터널 경로를 조정합니다. "ip tcp adjust-mss 1350" 또는 이와 동등한 명령과 "tunnel path\u0002mtu-discovery" 또는 이와 동등한 명령을 고객 측에서 구성하여 VPN 터널을 통한 트래픽 MTU의 동적 조정을 지원합니다.