소개

Virtual Connect는 Webex Calling 전용 인스턴스에 클라우드 연결에 대한 추가 애드-Webex Calling 옵션입니다. Virtual Connect는 고객이 점대점 IP VPN 터널을 사용하여 인터넷을 통해 안전하게 개인 네트워크를 확장할 수 있도록 합니다. 이 연결 옵션은 기존의 고객 프레미스 장비(CPE) 및 인터넷 연결을 사용하여 개인 네트워크 연결의 간편한 사용을 제공합니다.

Cisco 호스트, 관리 및 중복 IP VPN 터널 및 Cisco의 전용 인스턴스 데이터 센터(S) 데이터 센터에서 필요한 인터넷 액세스(서비스)를 요구합니다. 유사한 경우로, 관리자는 가상 연결에 필요한 해당 CPE 및 인터넷 서비스에 대해 책임을 져야 합니다.

특정 전용 인스턴스 지역에서 각 가상 연결 주문에는 IPSec 암호화(GRE (GRE over IPSec)로 보호되는 두 개의 일반적인 라우팅 encapsulation(GRE) 터널이 포함되었습니다. 한 개는 선택된 지역에 있는 각 Cisco의 데이터 센터에 연결합니다.

Virtual Connect의 대역폭 제한은 터널당 250 Mbps로 제한됩니다. 소규모 배포에는 권장됩니다. 두 개의 점대점 VPN 터널이 사용하므로 클라우드로의 모든 트래픽은 고객 헤더 CPE를 통과해야 합니다. 따라서 많은 원격 사이트가 있는 장소에는 적합하지 않을 수도 있습니다. 다른 대체 피어링 옵션은 클라우드 연결을 참조합니다.

Virtual Connect에 대한 피어링 요청을 제출하기 전에 해당 지역에서 전용 인스턴스 서비스가 활성화되어 있는지 확인하세요.

전제 조건

Virtual Connect를 설정하기 위한 전제제에는 다음이 포함됩니다.

  • 고객은 다음을 제공합니다.

    • 배포를 지원할 충분한 사용 가능한 대역폭으로 인터넷 연결

    • 두 개의 IPSec 터널용 공용 IP 주소

    • 두 개의 GRE 터널에 대한 고객 측 GRE 전송 IP 주소

  • 파트너 및 고객

    • 대역폭 요구 사항을 평가하기 위해 함께 작업

    • 네트워크 장치에서 BGP(경계 게이트웨이 프로토콜) 라우팅 및 IPSec 터널 설계를 통해 GRE 지원

  • 파트너 또는 고객이 제공하는

    • 사이트-사이트 VPN 터널 테크놀로지의 지식이 있는 네트워크 팀

    • BGP, eBGP 및 일반적인 라우팅 원칙을 아는 네트워크 팀

  • Cisco

    • GRE 터널 인터페이스에 대해 Cisco가 지정한 개인 자동 시스템 번호(ASNS) 및 임시 IP 주소 지정

    • Cisco가 전용 인스턴스 클라우드 주소 지정을 위해 공용을 지정했지만 인터넷 라우팅 클래스 C (/24) 네트워크

고객에게 1 CPE 장치만 있는 경우, 각 지역에 있는 Cisco의 데이터센터(DC1 및 DC2)에 대한 2 터널은 해당 CPE 장치에서 사용하게 됩니다. 고객에게는 2 CPE 장치에 대한 옵션도 사용할 수 있으며, 각 CPE 장치는 각 지역에 있는 Cisco의 데이터센터(DC1 및 DC2)에 대해 1 터널에만 연결해야 합니다. 고객의 인프라 내의 개별 물리적 사이트/위치에서 각 터널을 종료하여 추가적인 중복을 달성할 수 있습니다.

기술 세부 사항

배포 모델

Virtual Connect는 이중 계층 헤드 아키텍처를 사용합니다. 이는 라우팅 및 GRE 제어 구성을 한 장치에서 제공하고 다른 장치에서 IPSec 제어 연결을 제공합니다.

가상 연결 연결이 완료되면 고객의 기업 네트워크 및 전용 인스턴스 Cisco의 데이터센터 사이에 두 개의 IPSec 터널이 생성됩니다. 해당 지역 내에서 한 개씩 중복되는 데이터 센터. 피어링에 필요한 추가 네트워킹 요소는 파트너 또는 고객이 Control Hub 가상 연결 활성화 양식을 통해 Cisco로 교환합니다.

아래 그림은 고객 측의 2-콘센트레이터 옵션에 대한 가상 연결 배포 모델의 예를 보여줍니다.

Virtual Connect - VPN은 허브 디자인입니다. 이는 고객의 허브 사이트가 특정 지역에 있는 전용 인스턴스의 데이터센터의 DC1 및 DC2에 연결된 위치입니다.

보다 나은 중복을 위해 두 개의 허브 사이트가 권장되지만, 두 개의 터널이 있는 One Hub 사이트도 지원되는 배포 모델입니다.

터널당 대역폭은 250Mbps로 제한됩니다. 효과적인 장애 조치를 보장하려면 두 터널의 결합 트래픽이 250Mbps를 초과해서는 안 됩니다. 장애 발생 시 모든 트래픽이 하나의 터널을 통해 라우팅되기 때문입니다.

동일한 지역에 있는 고객의 원격 사이트는 고객의 WAN을 통해 다시 허브 사이트로 연결해야 하며, 이는 Cisco에서 책임지지 않습니다.

파트너는 고객과 긴밀히 협력하여 Virtual Connect 서비스 지역에 가장 최적의 경로가 선택되도록 해야 합니다.

아래 그림은 전용 인스턴스 클라우드 연결 피어링 지역을 보여줍니다.

가상 연결 지역

라우팅

Virtual Connect 애드-인에 대한 라우팅은 전용 인스턴스와 고객 프레미스 장비(CPE) 간의 외부 BGP(eBGP)를 사용하여 실행됩니다. Cisco는 지역에 있는 각 중복되는 DC에 대해 해당 네트워크를 고객의 CPE로 광고하고, CPE가 Cisco로 기본 라우트를 광고해야 합니다.

  • Cisco는 유지 관리 및 지정

    • 터널 인터페이스 IP 주소 지정 (라우팅을 위한 일시 링크) Cisco가 지정된 공유 주소 스페이스에서 지정 (공개적으로 라우팅할 수 없습니다)

    • 터널 전송 내선 주소 (Cisco 측)

    • 고객 BGP 라우팅 구성용 비공개 자율 시스템 번호(ASN)

      • Cisco는 지정된 비공개 사용 범위에서 지정: 64512 - 65534

  • eBGP는 전용 인스턴스와 CPE 간의 라우트 교환에 사용

    • Cisco는 지정된 /24 네트워크를 각 지역의 각 DC에 대해 2/25 네트워크로 분리합니다.

    • 가상 연결에서 각 /25 네트워크는 Cisco가 해당 지점 간 VPN 터널(일시 링크)을 통해 다시 CPE로 광고합니다.

    • CPE는 적합한 eBGP 이웃으로 구성되어야 합니다. 한 개의 CPE를 사용하는 경우, 두 개의 eBGP 이웃이 사용됩니다. 한 개의 점은 각 원격 터널을 예로 지점합니다. 두 개의 CPE를 사용하는 경우, 각 CPE에는 CPE에 대해 한 개의 원격 터널에 한 개의 eBGP 이웃이 설치됩니다.

    • 각 GRE 터널(터널 인터페이스 IP)의 Cisco 측은 CPE에 BGP 이웃으로 구성됩니다.

    • CPE는 각 터널에 대해 기본 라우트 광고에 필요합니다.

    • CPE는 기업 네트워크 내에서 학습한 라우트에 따라 다시 재배포할 수 있습니다.

  • 비-실패 링크 실패 조건에서 한 개의 CPE에는 두 개의 활동 중/활동 터널이 있습니다. 두 개의 CPE 노드에 대해 각 CPE에는 한 개의 활동 터널이 있으며, 두 CPE 노드 모두 활동 중 및 통과 트래픽을 통과해야 합니다. 실패하지 않는 시나리오에서 트래픽은 올바른 /25 대상로 이동하는 두 개의 터널에서 분리되어야 합니다. 한 개의 터널이 다운될 경우, 나머지 터널은 두 터널 모두의 트래픽을 전달할 수 있습니다. 이러한 실패 시나리오에서 /25 네트워크가 다운된 후 /24 네트워크가 백업 라우트로 사용됩니다. Cisco는 내부 WAN을 통해 DC로 고객 트래픽을 전송하여 연결이 끊기게 됩니다.

가상 연결 트래픽 흐름

두 터널 모두 올라갔을 때의 교통 흐름

전용 인스턴스 - 가상 연결

이 이미지는 Virtual Connect 네트워크 아키텍처를 보여주며 기본 터널과 보조 터널이 모두 작동할 때의 트래픽 흐름을 자세히 설명합니다.

이는 고객이 Cisco 데이터 센터에 호스팅된 UC 애플리케이션에 액세스하고 이중 연결을 활용할 수 있는 활성 연결 모델을 나타냅니다. GRE/IPSEC BGP를 이용해 인터넷상의 터널을 통해 경로를 교환합니다.

정의:

  • 고객사:
    • 이는 사용자와 사용자 장치(예: IP 전화, UC 클라이언트를 실행하는 컴퓨터)가 위치한 고객의 현장 네트워크를 나타냅니다.
    • 여기에서 발생한 트래픽은 Cisco 데이터 센터에 호스팅된 UC 애플리케이션에 도달해야 합니다.
  • Cisco Webex Calling 전용 인스턴스(전용 인스턴스) 데이터 센터(WxC-DI DC-A 및 WxC-DI DC-B):
    • 이는 UC 애플리케이션을 호스팅하는 Cisco의 데이터 센터입니다.
    • DC-A 및 DC-B 는 지리적으로 구분되어 중복성을 제공합니다.
    • 각 데이터 센터에는 UC 애플리케이션을 위한 자체 서브넷이 있습니다.
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec 터널(터널 1 및 터널 2):
    • 이는 공용 인터넷을 통해 고객 구내Cisco 데이터 센터 간의 안전하고 암호화된 연결입니다.
    • GRE(일반 라우팅 캡슐화): 이 프로토콜은 가상 지점 간 링크 내부에 다양한 네트워크 계층 프로토콜을 캡슐화하는 데 사용됩니다. 이를 통해 BGP와 같은 라우팅 프로토콜이 터널을 통해 작동할 수 있습니다.
    • IPsec(인터넷 프로토콜 보안): 이 프로토콜 모음은 IP 통신을 위한 암호화 보안 서비스(인증, 무결성, 기밀성)를 제공합니다. GRE 캡슐화된 트래픽을 암호화하여 인터넷을 통한 안전한 데이터 전송을 보장합니다.
  • 경계 게이트웨이 프로토콜(BGP):
    • BGP는 고객 구내Cisco 데이터 센터간의 라우팅 정보를 교환하는 데 사용되는 라우팅 프로토콜입니다.

위 다이어그램에서 볼 수 있듯이 고객 구내에 배치된 장치는 두 가지를 설정해야 합니다. GRE/IPSEC 터널.

아래 XX에 사용된 명명 규칙 / YY, DC-A DC-B는 전용 인스턴스가 제공되는 모든 지역에 적용됩니다. 이러한 값은 각 지역마다 고유하며 각 지역의 실제 값입니다. 구체적인 값은 가상 연결을 활성화하는 동안 제공됩니다.

Cisco 측에서는 IPSec 및 GRE 터널이 서로 다른 장치에서 종료됩니다. 따라서 고객은 장치에 대한 IPSec 대상 IP와 GRE 대상 IP를 적절히 구성해야 합니다. 고객은 해당 장치에서 지원되는 경우 GRE 및 IPSEC에 동일한 IP를 사용할 수 있습니다. 위의 다이어그램을 참조하세요. IP 관련 값은 포털에서 가상 연결을 활성화하는 동안 제공됩니다.

  • 터널 1: 인터넷을 통해 고객 구내를 "전용 인스턴스 DC-A"(데이터 센터 A)에 연결합니다. 이 터널은 BGP를 사용합니다 AS:64XX1 고객 측과 BGP AS:64XX2 전용 인스턴스 DC-A 측에서. IPSEC 및 GRE 터널 소스 구성은 고객이 제공한 세부 정보와 Cisco에서 제공한 세부 정보로 구분됩니다.
  • 터널 2: 인터넷을 통해 고객 구내를 "전용 인스턴스 DC-B"(데이터 센터 B)에 연결합니다. 이 터널은 BGP를 사용합니다 AS:64YY1 고객 측과 BGP AS:64YY2 전용 인스턴스 DC-B 측에서. 터널 1과 마찬가지로 IPSEC 및 GRE 터널 소스 구성은 고객과 Cisco에서 공유됩니다.

BGP에서 AS:64XX 그리고 BGP AS:64YY, XX와 YY는 특정 지역에만 적용됩니다.

일단 GRE/IPSEC 터널이 Webex Calling 전용 인스턴스 데이터 센터(A 및 B)에 설정되면 고객은 해당 BGP 세션을 통해 Cisco에서 광고하는 다음 경로를 수신해야 합니다.

  • DC-A의 경우: Cisco에서 광고하는 경로는 다음과 같습니다. X.X.X.0/25 그리고 X.X.x.0/24. 선택적으로 IaaS가 고객 경로에 대해 요청되고 구성된 경우 Y.Y.Y.0/25 그리고 Y.Y.Y.0/24 시스코에서 광고됩니다.
  • DC-B의 경우: Cisco에서 광고하는 경로는 다음과 같습니다. X.X.X.128/25 그리고 X.X.x.0/24. 선택적으로 IaaS가 고객 경로에 대해 요청되고 구성된 경우 Y.Y.Y.128/25 그리고 Y.Y.Y.0/24 시스코에서 광고됩니다.
  • 고객은 광고해야 합니다. 0.0.0./0 두 연결(터널)을 통해 Cisco로 가는 경로
  • 고객은 가장 긴 접두사를 따라야 합니다. (/25) 두 터널이 모두 작동 중일 때 해당 터널을 통해 Cisco로 트래픽을 보내는 경로입니다.
  • 시스코는 트래픽을 대칭적으로 유지하기 위해 동일한 터널을 통해 트래픽을 반환합니다.

교통 흐름:

  • "DC-A UC 앱"으로 향하는 트래픽 (X.X.X.0/25) 고객 구내에서 흐르는 물은 터널 1을 통해 흐릅니다.
  • "DC-B UC 앱"으로 향하는 트래픽 (X.X.X.128/25) 고객 구내에서 흐르는 물은 터널 2를 통해 흐릅니다.

장애 조치 시나리오 : 터널 중 하나가 고장났을 때의 교통 흐름

전용 인스턴스 - 가상 연결

위 다이어그램에서 보듯이 DC-A로의 터널이 다운되면 DC-A로의 터널을 통해 설정된 bgp가 다운됩니다.

BGP에 미치는 영향: 터널 1이 다운되면 해당 터널을 통한 BGP 세션도 다운됩니다. 결과적으로 DC-A는 더 이상 경로를 광고할 수 없습니다(특히 X.X.X.0/25) 이 경로를 통해 고객에게 전달됩니다. 따라서 고객 라우터는 해당 경로를 도달할 수 없는 것으로 감지합니다.

이제 터널 1이 다운되었으므로 고객 구내의 고객 라우터는 터널 1을 통해 학습된 경로를 라우팅 테이블에서 자동으로 제거하거나 도달 불가로 표시합니다.

  • UC 앱 네트워크로 향하는 트래픽 (X.X.X.0/24) 또는 DC-A 서브넷 (X.X.X.0/25) 그런 다음 DC-B 방향으로 작업 터널을 통해 리디렉션되며 계속해서 광고를 게재합니다. X.X.X.0/24 그것에는 다음이 포함됩니다 X.X.X.0/25 회로망.
  • DC-B로 가는 터널이 다운된 상태에서 DC-A로 가는 터널이 여전히 작동하는 경우에도 비슷한 동작이 나타납니다.

연결 과정

다음 고급 단계는 전용 인스턴스에 대한 가상 Connect로 연결을 설정하는 방법을 설명합니다.
1

Cisco CCW에서 주문 실행

2

Control Hub에서 가상 연결 활성화

3

Cisco는 네트워크 구성을 수행

4

고객이 네트워크 구성을 수행

단계 1: CCW 주문

Virtual Connect는 CCW에서 전용 인스턴스에 대한 추가 기능입니다.

1

CCW 주문 사이트를 탐색한 후 로그인을 클릭하여 사이트에 로그인합니다.

https://apps.cisco.com/Commerce/guest.
2

예측을 만듭니다.

3

"A-FLEX-3" SKU를 추가합니다.

4

옵션 편집을 선택합니다.

5

가입 탭이 나타나면 옵션 및 추가 기능을 선택합니다.

6

추가 추가 기능 아래에서 "전용 인스턴스용 가상 연결" 옆에 있는 체크 박스를 선택합니다. SKU 이름은 "A-FLEX-DI-VC"입니다.

7

가상 연결이 필요한 지역 수 및 수를 입력합니다.

가상 연결 수량은 전용 인스턴스에 대해 구입한 총 지역 수를 초과하면 안 됩니다. 또한 지역에 따라 한 번의 Virtual Connect 주문만 허용됩니다.
8

선택에 만족하면 페이지의 상단 오른쪽 부분에서 확인 및 저장을 클릭합니다.

9

주문을 마무리하려면 저장 및 계속을 클릭합니다. 이제 확정된 주문은 순서 그리드로 앱에 추가됩니다.

단계 2: Control Hub에서 가상 연결의 활성화

1

Control Hub 에 로그인합니다 https://admin.webex.com/login.

2

서비스 섹션 에서 클라우드 연결 에 대해 전용 > 서비스 > 탐색합니다.

3

가상 연결 카드에 구입한 가상 연결 수가 표시됩니다. 이제 관리자는 활성화를 클릭하여 가상 연결 활성화를 시작할 수 있습니다.

활성화 과정은 "고객 전체 관리" 역할의 관리자만 트리거할 수 있습니다. 반면 "고객 읽기 전용 관리" 역할이 있는 관리자는 상태만 볼 수 있습니다.
4

활성화 버튼을 클릭하면 관리자가 Cisco 측의 피어링 구성에 필요한 가상 연결 기술 세부 사항을 제공할 수 있도록 가상 연결 활성화 양식이 표시됩니다.

양식은 선택된 지역에 기반하여 Cisco 측의 정적 정보도 제공합니다. 이 정보는 고객 관리자가 연결성을 설정하기 위해 CPE를 측면에 구성할 때 유용합니다.

  1. GRE 터널 전송 IP 주소: 고객은 고객의 측 터널 전송 IP 주소를 제공해야 합니다. 활성화가 완료되면 Cisco는 동적으로 IP 주소를 할당하게 됩니다. 관심을 위한 IPSec ACL은 로컬 터널 전송 IP/32에서 원격 터널 전송 IP/32로 허용해야 합니다. 또한 ACL은 GRE IP 프로토콜만 지정해야 합니다.

    고객이 제공한 IP 주소는 비공개 또는 공개일 수 있습니다.

  2. IPSec 피어: 고객은 IPSec 터널의 소스 IP 주소를 제공하고, Cisco는 IPSec 대상 IP 주소를 할당해야 합니다. 내부 IPSEC 터널 주소를 공용 주소로의 NAT 번역을 수행하는 작업도 지원됩니다.

    고객이 제공한 IP 주소는 공개적입니다.

    활성화 화면에 제공된 기타 모든 정적 정보는 Cisco의 보안 및 암호화 표준을 따르는 것입니다. 이 정적 구성은 사용자 정의하거나 수정할 수 없습니다. Cisco 측의 정적 구성에 대한 추가 지원이 필요하면 고객은 TAC로 문의해야 합니다.
5

모든 필수 필드 입력된 후 활성화 버튼을 클릭합니다.

6

일부 지역에 대해 가상 연결 활성화 양식이 완료되면 고객은 Control Hub에서 활성화 양식을 내보낼 수 있습니다. 통화 > 전용 인스턴스 > 클라우드 연결 탭에서 활성화 양식을 내보내기하고 설정 내보내기를 클릭할 수 있습니다.

보안상의 이유로 인증 및 BGP 암호는 내보낸 문서에서 사용할 수 없지만 관리자는 Control Hub에서 설정 보기 를 클릭하여 Control Hub에서 동일한 내용을 볼 수 있습니다. > 전용 인스턴스 > 클라우드 연결 탭.

단계 3: Cisco는 네트워크 구성을 수행

1

가상 연결 활성화 양식이 완료되면 클라우드 연결 가상 연결 카드의 전용 인스턴스 > 진행 > 상태는 활성화 진행 중으로 업데이트됩니다.

2

Cisco는 영업일 기준일 이내에 Cisco 측 장비에 필요한 구성을 완료합니다. 성공적으로 완료되면 Control Hub에서 해당 특정 지역에 대한 상태는 "활성화"로 업데이트됩니다.

단계 4: 고객이 네트워크 구성을 수행

상태는 "활성화"로 변경되어 고객 관리자에게 고객이 제공한 입력에 기반하여 IP VPN 연결에 대한 Cisco 측의 구성이 완료되었다는 사실을 통지합니다. 단, 고객 관리자는 CP에서 구성의 측면을 완료하고 Virtual Connect 터널이 온라인임에 대한 연결 라우트를 테스트해야 합니다. 구성 또는 연결 시에 문제가 있는 경우, 고객은 Cisco TAC에 문의하여 지원을 받을 수 있습니다.

문제 해결하기

IPsec 첫 번째 단계(IKEv2 협상) 문제 해결 및 검증

IPsec 터널 협상은 IKEv2 단계와 IPsec 단계의 두 단계로 구성됩니다. IKEv2 단계 협상이 완료되지 않으면 두 번째 IPsec 단계가 시작되지 않습니다. 먼저, Cisco 장비에서 "show crypto ikev2 sa" 명령을 실행하거나, 타사 장비에서 이와 유사한 명령을 실행하여 IKEv2 세션이 활성화되어 있는지 확인합니다. IKEv2 세션이 활성화되지 않은 경우 잠재적인 이유는 다음과 같습니다.

  • 흥미로운 트래픽은 IPsec 터널을 트리거하지 않습니다.

  • IPsec 터널 액세스 목록이 잘못 구성되었습니다.

  • 고객과 전용 인스턴스 IPsec 터널 엔드포인트 IP 사이에 연결이 없습니다.

  • IKEv2 세션 매개변수는 전용 인스턴스 측과 고객 측에서 일치하지 않습니다.

  • 방화벽이 IKEv2 UDP 패킷을 차단하고 있습니다.

먼저, IKEv2 터널 협상의 진행 상황을 보여주는 메시지가 있는지 IPsec 로그를 확인하세요. 로그는 IKEv2 협상에 문제가 있는 곳을 나타낼 수 있습니다. 로깅 메시지가 없다는 것은 IKEv2 세션이 활성화되지 않았음을 나타낼 수도 있습니다.

IKEv2 협상에서 흔히 발생하는 오류는 다음과 같습니다.

  • CPE 측의 IKEv2 설정이 Cisco 측과 일치하지 않습니다. 언급된 설정을 다시 확인하세요.

    • IKE 버전이 2인지 확인하세요.

    • 암호화 및 인증 매개변수가 전용 인스턴스 측에서 예상되는 암호화와 일치하는지 확인합니다.

      "GCM" 암호가 사용 중이면 GCM 프로토콜이 인증을 처리하고 인증 매개변수를 NULL로 설정합니다.

    • 수명 설정을 확인하세요.

    • 디피 헬만 모듈러스 그룹을 확인하세요.

    • 의사 난수 함수 설정을 확인하세요.

  • 암호화 맵에 대한 액세스 목록이 설정되지 않았습니다.

    • GRE 허용(local_tunnel_transport_ip) 255.255.255.255(remote_tunnel_transport_ip) 255.255.255.255"(또는 동등한 명령)

      액세스 목록은 "GRE" 프로토콜용으로 특별히 작성되어야 하며 "IP" 프로토콜은 작동하지 않습니다.

로그 메시지에 IKEv2 단계에 대한 협상 활동이 표시되지 않으면 패킷 캡처가 필요할 수 있습니다.

전용 인스턴스 측은 항상 IKEv2 교환을 시작하지 않을 수 있으며 때로는 고객 CPE 측이 개시자가 될 것으로 예상할 수 있습니다.

IKEv2 세션 시작을 위한 다음 필수 구성 요소를 CPE 측에서 확인하세요.

  • CPE 터널 전송 IP에서 전용 인스턴스 터널 전송 IP로의 GRE 트래픽(프로토콜 50)에 대한 IPsec 암호화 액세스 목록을 확인합니다.

  • 장비가 GRE keepalive를 지원하지 않으면 GRE keepalive가 기본적으로 전용 인스턴스 측에서 활성화되므로 Cisco에 알림이 전송됩니다. GRE keepalive가 GRE keepalive에 대해 GRE 터널 인터페이스가 활성화되어 있는지 확인하세요.

  • BGP가 활성화되어 있고 전용 인스턴스 터널 IP의 이웃 주소로 구성되어 있는지 확인하세요.

올바르게 구성하면 IPsec 터널과 첫 번째 단계 IKEv2 협상이 시작됩니다.

  • CPE 측 GRE 터널 인터페이스에서 전용 인스턴스 측 GRE 터널 인터페이스로의 GRE keepalive.

  • CPE 측 BGP 이웃에서 전용 인스턴스 측 BGP 이웃으로의 BGP 이웃 TCP 세션입니다.

  • CPE 측 터널 IP 주소에서 전용 인스턴스 측 터널 IP 주소로 ping을 실행합니다.

    Ping은 터널 전송 IP에서 터널 전송 IP로 될 수 없습니다. 터널 IP에서 터널 IP로 되어야 합니다.

IKEv2 트래픽에 대한 패킷 추적이 필요한 경우 UDP에 대한 필터를 설정하고 포트 500(IPsec 엔드포인트 중간에 NAT 장치가 없는 경우) 또는 포트 4500(IPsec 엔드포인트 중간에 NAT 장치가 삽입된 경우)을 설정합니다.

포트 500 또는 4500을 사용하는 IKEv2 UDP 패킷이 DI IPsec IP 주소로 송수신되는지 확인합니다.

전용 인스턴스 데이터 센터는 항상 첫 번째 IKEv2 패킷을 시작하지 않을 수 있습니다. 요구 사항은 CPE 장치가 전용 인스턴스 측으로 첫 번째 IKEv2 패킷을 시작할 수 있다는 것입니다.

로컬 방화벽이 허용하는 경우 원격 IPsec 주소로 ping을 시도하세요. 로컬에서 원격 IPsec 주소로 ping이 성공하지 못하면 추적 경로를 수행하여 패킷이 삭제된 위치를 확인합니다.

일부 방화벽과 인터넷 장비는 경로 추적을 허용하지 않을 수 있습니다.

IPsec 2단계(IPsec 협상) 문제 해결 및 검증

IPsec 두 번째 단계의 문제를 해결하기 전에 IPsec 첫 번째 단계(즉, IKEv2 보안 연결)가 활성화되어 있는지 확인하세요. "show crypto ikev2 sa" 또는 이와 동등한 명령을 수행하여 IKEv2 세션을 확인합니다. 출력에서 IKEv2 세션이 몇 초 이상 지속되었고 바운싱되지 않는지 확인합니다. 세션 가동 시간은 출력에서 세션 "활성 시간" 또는 이와 동등한 값으로 표시됩니다.

IKEv2 세션이 작동 중이고 활성화된 것으로 확인되면 IPsec 세션을 조사합니다. IKEv2 세션과 마찬가지로 "show crypto ipsec sa" 또는 이와 동등한 명령을 수행하여 IPsec 세션을 확인합니다. GRE 터널이 설정되기 전에 IKEv2 세션과 IPsec 세션이 모두 활성화되어 있어야 합니다. IPsec 세션이 활성으로 표시되지 않으면 IPsec 로그에서 오류 메시지나 협상 오류를 확인하세요.

IPsec 협상 중에 발생할 수 있는 몇 가지 일반적인 문제는 다음과 같습니다.

CPE 측의 설정이 전용 인스턴스 측과 일치하지 않습니다. 설정을 다시 확인하세요.

  • 암호화 및 인증 매개변수가 전용 인스턴스 측의 설정과 일치하는지 확인합니다.

  • 완벽한 전방 비밀성 설정을 확인하고 전용 인스턴스 측에서 일치 설정을 확인합니다.

  • 수명 설정을 확인하세요.

  • IPsec이 터널 모드로 구성되었는지 확인하세요.

  • 소스 및 대상 IPsec 주소를 확인합니다.

터널 인터페이스 문제 해결 및 검증

IPsec 및 IKEv2 세션이 작동 중이고 활성 상태인 것으로 확인되면 GRE 터널 Keepalive 패킷이 전용 인스턴스와 CPE 터널 엔드포인트 사이를 흐를 수 있습니다. 터널 인터페이스 상태가 표시되지 않는 경우, 몇 가지 일반적인 문제는 다음과 같습니다.

  • 터널 인터페이스 전송 VRF가 루프백 인터페이스의 VRF와 일치하지 않습니다(터널 인터페이스에서 VRF 구성이 사용되는 경우).

    터널 인터페이스에서 VRF 구성을 사용하지 않으면 이 검사를 무시할 수 있습니다.

  • CPE 측 터널 인터페이스에서는 Keepalive가 활성화되지 않습니다.

    CPE 장비에서 keepalives가 지원되지 않는 경우 Cisco에 알려서 전용 인스턴스 측의 기본 keepalives도 비활성화되도록 해야 합니다.

    Keepalive가 지원되는 경우 Keepalive가 활성화되어 있는지 확인하세요.

  • 터널 인터페이스의 마스크 또는 IP 주소가 올바르지 않으며 전용 인스턴스의 예상 값과 일치하지 않습니다.

  • 소스 또는 대상 터널 전송 주소가 올바르지 않으며 전용 인스턴스 예상 값과 일치하지 않습니다.

  • 방화벽은 GRE 패킷이 IPsec 터널로 전송되거나 IPsec 터널에서 수신되는 것을 차단합니다(GRE 터널은 IPsec 터널을 통해 전송됨)

ping 테스트를 통해 로컬 터널 인터페이스가 작동 중인지, 원격 터널 인터페이스와의 연결이 양호한지 확인해야 합니다. 터널 IP(전송 IP가 아님)에서 원격 터널 IP로 ping 검사를 수행합니다.

GRE 터널 트래픽을 전달하는 IPsec 터널의 암호화 액세스 목록은 GRE 패킷만 통과하도록 허용합니다. 결과적으로 터널 전송 IP에서 원격 터널 전송 IP로의 ping은 작동하지 않습니다.

ping 검사의 결과는 소스 터널 전송 IP에서 대상 터널 전송 IP로 생성되는 GRE 패킷입니다. 반면 GRE 패킷의 페이로드(내부 IP)는 소스 및 대상 터널 IP가 됩니다.

ping 테스트가 성공적이지 않고 이전 항목이 검증된 경우, icmp ping이 GRE 패킷으로 생성되는지 확인하기 위해 패킷 캡처가 필요할 수 있습니다. 이 패킷은 IPsec 패킷으로 캡슐화된 후 소스 IPsec 주소에서 대상 IPsec 주소로 전송됩니다. GRE 터널 인터페이스의 카운터와 IPsec 세션 카운터도 전송 및 수신 패킷이 증가하는지 여부를 보여주는 데 도움이 될 수 있습니다.

ping 트래픽 외에도 캡처에서는 유휴 트래픽 중에도 keepalive GRE 패킷을 표시해야 합니다. 마지막으로, BGP가 구성된 경우 BGP keepalive 패킷도 VPN을 통해 IPSEC 패킷으로 캡슐화된 GRE 패킷으로 전송되어야 합니다.

BGP 문제 해결 및 검증

BGP 세션

VPN IPsec 터널을 통한 라우팅 프로토콜로 BGP가 필요합니다. 로컬 BGP 이웃은 전용 인스턴스 BGP 이웃과 eBGP 세션을 설정해야 합니다. eBGP 이웃 IP 주소는 로컬 및 원격 터널 IP 주소와 동일합니다. 먼저 BGP 세션이 작동 중인지 확인한 다음 전용 인스턴스에서 올바른 경로를 수신하고 올바른 기본 경로가 전용 인스턴스로 전송되는지 확인합니다.

GRE 터널이 작동하는 경우 로컬 및 원격 GRE 터널 IP 사이에서 ping이 성공적인지 확인합니다. ping은 성공했지만 BGP 세션이 시작되지 않는 경우 BGP 로그에서 BGP 설정 오류를 조사하세요.

보다 일반적인 BGP 협상 문제는 다음과 같습니다.

  • 원격 AS 번호가 전용 인스턴스 측에 구성된 AS 번호와 일치하지 않습니다. 이웃 AS 구성을 다시 확인하세요.

  • 로컬 AS 번호가 전용 인스턴스 측에서 예상하는 번호와 일치하지 않습니다. 로컬 AS 번호가 예상되는 전용 인스턴스 매개변수와 일치하는지 확인하세요.

  • 방화벽은 GRE 패킷에 캡슐화된 BGP TCP 패킷이 IPsec 터널로 전송되거나 IPSEC 터널에서 수신되는 것을 차단합니다.

  • 원격 BGP 이웃 IP가 원격 GRE 터널 IP와 일치하지 않습니다.

BGP 경로 교환

두 터널 모두에 대한 BGP 세션이 검증되면 전용 인스턴스 측에서 올바른 경로가 송수신되는지 확인하세요.

전용 인스턴스 VPN 솔루션은 두 개의 터널이 설정될 것으로 예상합니다. customer/partner 옆. 첫 번째 터널은 전용 인스턴스 데이터 센터 A를 가리키고 두 번째 터널은 전용 인스턴스 데이터 센터 B를 가리킵니다. 두 터널 모두 활성 상태여야 하며 솔루션에는 다음이 필요합니다. active/active 전개. 각 전용 인스턴스 데이터 센터는 로컬을 광고합니다. /25 경로뿐만 아니라 /24 백업 경로. 전용 인스턴스에서 들어오는 BGP 경로를 확인할 때 전용 인스턴스 데이터 센터 A를 가리키는 터널과 연결된 BGP 세션이 전용 인스턴스 데이터 센터 A를 수신하는지 확인하십시오. /25 지역 경로뿐만 아니라 /24 백업 경로. 또한 전용 인스턴스 데이터 센터 B를 가리키는 터널이 전용 인스턴스 데이터 센터 B를 수신하는지 확인하십시오. /25 지역 경로뿐만 아니라 /24 백업 경로. 참고 사항 /24 백업 경로는 전용 인스턴스 데이터 센터 A와 전용 인스턴스 데이터 센터 B에서 광고된 경로와 동일합니다.

터널 인터페이스가 데이터 센터로 다운되면 전용 인스턴스 데이터 센터에 중복성이 제공됩니다. 전용 인스턴스 데이터 센터 A와의 연결이 끊어지면 트래픽은 전용 인스턴스 데이터 센터 B에서 데이터 센터 A로 전달됩니다. 이 시나리오에서 데이터 센터 B로의 터널은 데이터 센터 B를 사용합니다. /25 데이터 센터 B로 트래픽을 보내는 경로와 데이터 센터 B로 가는 터널은 백업을 사용합니다. /24 데이터센터 B를 경유하여 데이터센터 A로 트래픽을 보내는 경로입니다.

두 터널이 모두 활성화되어 있는 경우 데이터 센터 A 터널을 사용하여 데이터 센터 B로 트래픽을 보내지 않고 그 반대의 경우도 마찬가지라는 점이 중요합니다. 이 시나리오에서 트래픽이 데이터 센터 A로 전송되고 목적지가 데이터 센터 B인 경우, 데이터 센터 A는 해당 트래픽을 데이터 센터 B로 전달하고, 데이터 센터 B는 데이터 센터 B 터널을 통해 해당 트래픽을 소스로 다시 전송하려고 시도합니다. 이로 인해 최적이 아닌 라우팅이 발생하고 방화벽을 통과하는 트래픽이 중단될 수도 있습니다. 따라서 두 터널 모두 동일한 위치에 있는 것이 중요합니다. active/active 정상 작동 중 구성.

그만큼 0.0.0.0/0 경로는 고객 측에서 전용 인스턴스 데이터 센터 측으로 광고되어야 합니다. 전용 인스턴스 측에서는 더 구체적인 경로가 허용되지 않습니다. 다음을 확인하십시오. 0.0.0.0/0 경로는 전용 인스턴스 데이터 센터 A 터널과 전용 인스턴스 데이터 센터 B 터널 모두에서 광고됩니다.

MTU 구성

전용 인스턴스 측에서는 두 가지 기능을 사용하여 대용량 패킷 크기에 맞게 MTU를 동적으로 조정할 수 있습니다. GRE 터널은 VPN 세션을 통과하는 IP 패킷에 더 많은 헤더를 추가합니다. IPsec 터널은 GRE 헤더 위에 추가 헤더를 추가하므로 터널을 통해 허용되는 가장 큰 MTU가 더욱 줄어듭니다.

GRE 터널은 MSS 기능을 조정하고, MTU 검색 기능의 GRE 터널 경로는 전용 인스턴스 측에서 활성화됩니다. "ip tcp adjust-mss 1350" 또는 동등한 명령과 "tunnel"을 구성합니다. path\u0002mtu-discovery" 또는 VPN 터널을 통한 트래픽의 MTU를 동적으로 조정하는 데 도움이 되는 고객 측의 동등한 명령입니다.