Inleiding

Virtual Connect is een aanvullende invoegoptie voor cloudverbinding met een speciaal exemplaar Webex Calling (speciaal exemplaar). Met Virtual Connect kunnen klanten hun privénetwerk veilig uitbreiden via internet met point-to-point IP VPN-gebruik. Deze verbindingsoptie levert een snelle verbinding van de privénetwerkverbinding met behulp van de bestaande CPE (Customer Premise Equipment) en internetverbinding.

Cisco host, beheert en zorgt voor redundante IP VPN-verbinding en de benodigde internettoegang in de datacenterregio(n) van het speciale exemplaar van Cisco waar de service vereist is. Op dezelfde manier is de beheerder verantwoordelijk voor de bijbehorende CPE- en internetservices, die vereist zijn voor Virtual Connect.

Elke Bestelling voor Virtual Connect in een specifieke speciale instantieregio bevat twee algemene routing-encapssniveaus (GRE) die zijn beveiligd met IPSec-codering (GRE over IPSec), een voor elk cisco-datacenter in de geselecteerde regio.

Virtual Connect heeft een bandbreedtelimiet van 250 Mbps per tunnel en wordt aanbevolen voor kleinere implementaties. Omdat twee point-to-point VPN-verbindingen worden gebruikt, moet al het verkeer naar de cloud via de klantkop cpue lopen. Daarom is het mogelijk niet geschikt voor veel externe sites. Raadpleeg Cloud Connectivity voor andere alternatieve peeringopties .

Voordat u het peering-verzoek voor Virtual Connect verzendt, moet u ervoor zorgen dat de service Dedicated Instance is geactiveerd in de betreffende regio.

Voorwaarden

De vereisten voor het tot stand brengen van Virtual Connect zijn onder andere:

  • Klant levert

    • Internetverbinding met voldoende beschikbare bandbreedte om de implementatie te ondersteunen

    • Openbaar IP-adres(sen) voor twee IPSec-adressen

    • GRE-transport-IP-adressen van klantzijde voor de twee GRE-personen

  • Partner en klant

    • Werk samen om bandbreedtevereisten te evalueren

    • Zorg voor ondersteuning van netwerkapparaat(en) BGP (Border Gateway Protocol) (BGP)-routering en een GRE via IPSec-tunnelontwerp

  • Partner of klant biedt

    • Netwerkteam met kennis van VPN-tunneltechnologieën voor site naar locatie

    • Netwerkteam met kennis van BGP, eBGP en algemene routeringsprincipes

  • Cisco

    • Cisco heeft privé automatische systeemnummers (ASN's) en tijdelijke IP-adressering voor GRE-tunnelinterfaces toegewezen

    • Cisco heeft een openbaar, maar niet internet omkeerbaar C-netwerk (/24) toegewezen voor het oplossen van speciale exemplaar cloud

Als een klant slechts 1 CPE-apparaat heeft, zijn de 2 datacenters (DC1 en DC2) in elke regio van dat CPE-apparaat. De klant heeft ook een optie voor 2 CPE-apparaten. Elk CPE-apparaat moet dan verbinding maken met 1 tunnel alleen in de richting van datacenters van Cisco (DC1 en DC2) in elke regio. Aanvullende redundantie kan worden bereikt door elke tunnel op een afzonderlijke fysieke site/locatie in de infrastructuur van de klant te beëindigen.

Technische details

Implementatiemodel

Virtual Connect maakt gebruik van een headend-architectuur van een dubbele laag, waarbij de routering en GRE-besturing door het ene apparaat worden geleverd en het IPSec-besturingsmodel door een ander apparaat wordt geleverd.

Nadat de Virtual Connect-verbinding is voltooid, wordt twee GRE over IPSec-verbinding gemaakt tussen het bedrijfsnetwerk van de klant en de datacenters van Cisco. Een voor elk redundant datacenter binnen de respectievelijke regio. Aanvullende netwerkelementen die vereist zijn voor peering, worden door de partner of klant uitgewisseld aan Cisco via het Control Hub Virtual Connect-activeringsformulier.

De onderstaande afbeelding toont het voorbeeld van het Virtual Connect-implementatiemodel voor de optie 2-concentrator aan de klantzijde.

Virtuele verbinding : VPN is een hub-ontwerp, waarbij de hub-sites van de klant zijn verbonden met DC1 en DC2 van de datacenters van een speciale instantie binnen een bepaalde regio.

Two Hub-sites worden aanbevolen voor een betere redundantie, maar One Hub-site met twee hub-sites is ook een ondersteund implementatiemodel.

De bandbreedte per tunnel is beperkt tot 250 Mbps.

De externe sites van de klant binnen dezelfde regio, moeten verbinding maken met de Hub-site(s) via WAN van de klant en dit is niet de verantwoordelijkheid van Cisco voor die verbinding.

Van partners wordt verwacht dat ze nauw samenwerken met de klanten en ervoor zorgen dat het meest optimale pad wordt gekozen voor de Virtual Connect -serviceregio.

De onderstaande afbeelding toont de peering-regio's voor cloudconnectiviteit van het toegewezen exemplaar.

Regio's met Virtual Connect

Routering

Routering voor de virtual Connect-invoegkoppeling wordt geïmplementeerd met behulp van externe BGP (eBGP) tussen speciale instantie en de CPE (Customer Premise Equipment). Cisco zal hun respectievelijke netwerk voor elk redundante DC binnen een regio adverteren in de CPE van de klant en de CPE is vereist om een standaardroute naar Cisco te adverteren.

  • Cisco onderhoudt en wijst

    • Tunnel Interface IP-adressering (tijdelijke koppeling voor routering) Die Cisco toewijst vanuit een toegewezen gedeelde adresruimte (niet-openbaar omleidingsbaar)

    • Tunnel transportdeitiatieadres (aan de kant van Cisco)

    • Privé zelfstandige systeemnummers (ASN's) voor BGP-routeringsconfiguratie klant

      • Cisco wijst toe vanuit het toegewezen bereik voor privégebruik: 64512 tot en met 65534

  • eBGP gebruikt om routes uit te wisselen tussen speciale instantie en CPE

    • Cisco zal het toegewezen /24-netwerk opsplitsen in 2 /25 een voor elk DC in de respectievelijke regio

    • In Virtual Connect wordt elk /25-netwerk via de respectievelijk point-to-point VPN - (tijdelijke koppeling) geadverteerd naar CPE door Cisco

    • CPE moet worden geconfigureerd met de juiste eBGP-naburigen. Als u één CPE gebruikt, worden twee eBGP-naburigen gebruikt, een die naar elke externe tunnel wijst. Als u twee CPE gebruikt, heeft elke CPE één eBGP-naburige gebruikers die werken met de enkele externe tunnel voor de CPE.

    • Cisco-zijde van elke GRE-tunnel (tunnel interface IP) wordt geconfigureerd als de BGP-neighbor op de CPE

    • CPE is vereist om een standaardroute te adverteren over elk van de

    • CPE kan indien nodig opnieuw worden verdeeld over de geleerde routes binnen het bedrijfsnetwerk van de netwerkbeheerder.

  • Als de koppeling niet mislukt, heeft één CPE twee actieve/actieve gebruikers. Voor twee CPE-knooppunten heeft elke CPE één actieve tunnel en moeten beide CPE-knooppunten actief zijn en doorgevend verkeer. Bij een niet-storingsscenario moet het verkeer in twee delen als deze naar de juiste /25-bestemmingen gaat. Als een van de tunnel uitgaat, kan de resterende tunnel het verkeer voor beide uitvoeren. Bij een dergelijk storingsscenario wordt het /25-netwerk gebruikt als back-uproute als het /25-netwerk defect is. Cisco zal klantverkeer via de interne WAN naar de DC sturen, waardoor de verbinding is verloren.

Verbindingsproces

De volgende stappen van hoog niveau beschrijven hoe u verbinding met virtuele Connect voor een speciaal exemplaar tot stand kunt brengen.
1

Een bestelling plaatsen in Cisco CCW

2

Virtuele verbinding activeren vanuit Control Hub

3

Cisco voert een netwerkconfiguratie uit

4

Klant voert netwerkconfiguratie uit

Stap 1: CCW-bestelling

Virtual Connect is een invoeg toevoegen voor een speciaal exemplaar in CCW.

1

Navigeer naar de ccw-bestelsite en klik vervolgens op Aanmelden om u aan te melden bij de site:

https://apps.cisco.com/Commerce/guest.
2

Schatting maken.

3

Voeg 'A-FLEX-3' SKU toe.

4

Selecteer Opties bewerken.

5

Selecteer opties en invoegtoepassingen op het abonnementtabblad dat wordt weergegeven.

6

Schakel onder Aanvullende invoegtoepassingen het selectievakje naast 'Virtuele verbinding voor speciaal exemplaar' in. De SKU-naam is 'A-FLEX-DI-VC'.

7

Voer de hoeveelheid en het aantal regio's in waarvoor Virtuele verbinding is vereist.

De hoeveelheid Virtuele verbinding mag niet groter zijn dan het totale aantal regio's dat voor een speciaal exemplaar is aangeschaft. Er is ook slechts één Virtual Connect bestelling toegestaan per regio.
8

Als u tevreden bent met uw selecties, klikt u rechtsboven op de pagina op Verifiëren en opslaan.

9

Klik op Opslaan en doorgaan om uw bestelling te ronden. Uw bestelling is nu definitief bestelen appers in het bestelraster.

Stap 2: Activering van Virtual Connect in Control Hub

1

Meld u aan bij Control Hub https://admin.webex.com/login.

2

Navigeer in het gedeelte Services naar Bellen > Speciale Instacnce > Cloud Connectivity.

3

Op de Virtual Connect-kaart wordt de aangeschafte hoeveelheid Virtual Connect vermeld. De beheerder kan nu op Activeren klikken om de virtuele verbinding te activeren.

Het activeringsproces kan alleen geactiveerd worden door beheerders met de rol 'Klant volledig beheer'. Terwijl een beheerder met de rol 'Alleen-lezenbeheerder' van de klant alleen de status kan bekijken.
4

Wanneer de beheerder op de knop Activeren klikt, wordt het formulier Virtuele verbinding activeren weergegeven voor de beheerder om de technische details van Virtual Connect te verstrekken die vereist zijn voor de peeringconfiguraties aan de kant van Cisco.

Het formulier bevat ook statische informatie aan de kant van Cisco, op basis van de geselecteerde regio. Deze informatie is handig voor klantbeheerders om de CPE te configureren aan hun kant om de verbinding tot stand te laten komen.

  1. IP-adres GRE-tunneltransport: De klant moet de IP-adressen van de klant bij Tunnel Transport leveren en Cisco zal de IP-adressen dynamisch toewijzen zodra de activering is voltooid. De IPSec ACL voor Interessante verkeersinformatie moet het mogelijk maken dat lokale tunneltransport IP/32 wordt gebruikt voor het externe tunneltransport IP/32. De ACL mag ook alleen het GRE IP-protocol opgeven.

    Het door de klant verstrekte IP-adres kan privé of openbaar zijn.

  2. IPSec-peers: De klant moet de IPSec Tunnel-bron-IP-adressen leveren en Cisco wijst het IP-adres van de IPSec-bestemming toe. Indien nodig wordt ook de NAT-vertaling van een intern IPSEC-tunneladres naar een openbaar adres ondersteund.

    Het door de klant verstrekte IP-adres moet openbaar zijn.

    Alle andere statische gegevens die in het activeringsscherm worden geleverd, worden de beveiligings- en coderingsnormen van Cisco gevolgd. Deze statische configuratie kan niet worden aangepast of aangepast. Voor verdere ondersteuning met betrekking tot de statische configuraties aan de kant van Cisco, moet de klant contact op met de TAC.
5

Klik op de knop Activeren als alle verplichte velden zijn ingevuld.

6

Nadat het virtuele verbindingsactiveringsformulier is voltooid voor een deelgebaseerde regio, kan de klant het activeringsformulier exporteren vanuit Control Hub, Bellen > Speciaal exemplaar > Cloud Connectivity en op Exportinstellingen klikken.

Vanwege beveiligingsredenen zijn de verificatie en het BGP-wachtwoord niet beschikbaar in het geëxporteerde document, maar kan de beheerder hetzelfde bekijken in Control Hub door op Instellingen weergeven te klikken onder Control Hub, tabblad Calling > Dedicated Instance > Cloud Connectivity.

Stap 3: Cisco voert een netwerkconfiguratie uit

1

Zodra het virtual Connect-activeringsformulier is voltooid, wordt de status bijgewerkt naar De activering die bezig is met bellen > een speciaal exemplaar > Virtual Connect-kaart van de Cloud Connectivity.

2

Cisco voltooit de vereiste configuraties op de zijkant van Cisco binnen 5 werkdagen. Wanneer dit is voltooid, wordt de status bijgewerkt naar 'Geactiveerd' voor die specifieke regio in Control Hub.

Stap 4: Klant voert netwerkconfiguratie uit

De status wordt gewijzigd in 'Geactiveerd' om de klantbeheerder te informeren dat de cisco-zijde van configuraties voor de IP VPN-verbinding is voltooid op basis van de invoer van de klant. Van de klantbeheerder wordt echter verwacht dat hij of zij de configuraties van de CPU's zal voltooien en de verbindingsroutes voor de Virtual Connect-tunnel zal testen om online te zijn. Als de problemen gewoon door de configuratie of verbinding komen, kan de klant contact op nemen met het Cisco TAC voor hulp.

Problemen oplossen

Problemen oplossen en valideren in de eerste fase van IPsec (IKEv2-onderhandeling)

De IPsec-tunnelonderhandeling bestaat uit twee fasen, de IKEv2-fase en de IPsec-fase. Als de onderhandelingen over de IKEv2-fase niet voltooid zijn, wordt er geen tweede IPsec-fase gestart. Geef eerst de opdracht 'show crypto ikev2 sa' (op Cisco-apparatuur) of een vergelijkbare opdracht op de apparatuur van derden uit om te verifiëren of de IKEv2-sessie actief is. Als de IKEv2-sessie niet actief is, kunnen de mogelijke redenen zijn:

  • Interessant verkeer activeert de IPsec-tunnel niet.

  • De toegangslijst voor IPsec-tunnel is onjuist geconfigureerd.

  • Er is geen verbinding tussen de klant en het eindpunt van de IPsec-tunnel van het toegewezen exemplaar.

  • De parameters van de IKEv2-sessie komen niet overeen tussen de kant van het toegewezen exemplaar en de kant van de klant.

  • Een firewall blokkeert de IKEv2 UDP-pakketten.

Controleer eerst de IPsec-logboeken voor berichten die de voortgang van de IKEv2-tunnelonderhandeling weergeven. De logboeken kunnen aangeven waar er een probleem is met de IKEv2-onderhandeling. Een gebrek aan logboekberichten kan ook aangeven dat de IKEv2-sessie niet wordt geactiveerd.

Enkele veelvoorkomende fouten bij de IKEv2-onderhandeling zijn:

  • De instellingen voor de IKEv2 aan de CPE-kant komen niet overeen met de Cisco-kant. Controleer de vermelde instellingen opnieuw:

    • Controleer of de IKE-versie versie 2 is.

    • Controleer of de coderings- en verificatieparameters overeenkomen met de verwachte codering aan de kant van het toegewezen exemplaar.

      Wanneer de code "GCM" wordt gebruikt, verwerkt het GCM-protocol de verificatie en stelt het de verificatieparameter in op NULL.

    • Verifieer de instelling voor de levensduur.

    • Verifieer de Diffie Hellman-modulusgroep.

    • Verifieer de instellingen voor de pseudo-willekeurige functie.

  • De toegangslijst voor de crypto-toewijzing is niet ingesteld op:

    • GRE toestaan (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255' (of gelijkwaardige opdracht)

      De toegangslijst moet specifiek voor het 'GRE'-protocol zijn en het 'IP'-protocol werkt niet.

Als de logboekberichten geen onderhandelingsactiviteit voor de IKEv2-fase weergeven, is mogelijk een pakketopname nodig.

Aan de kant van het toegewezen exemplaar wordt mogelijk niet altijd de IKEv2-uitwisseling gestart en wordt soms verwacht dat de CPE-kant van de klant de initiator is.

Controleer de configuratie aan de CPE-kant voor de volgende vereisten om de IKEv2-sessie te starten:

  • Controleer op een IPsec-cryptotoegangslijst voor GRE-verkeer (protocol 50) van het CPE-tunneltransport-IP naar het tunneltransport van het toegewezen exemplaar.

  • Zorg ervoor dat de GRE-tunnelinterface is ingeschakeld voor GRE-keepalives. Als de apparatuur geen GRE-keepalives ondersteunt, krijgt Cisco een melding omdat GRE-keepalives standaard worden ingeschakeld aan de kant van het toegewezen exemplaar.

  • Zorg ervoor dat BGP is ingeschakeld en geconfigureerd met het naburige adres van de IP-tunnel van het toegewezen exemplaar.

Indien correct geconfigureerd, begint het volgende de IPsec-tunnel en de IKEv2-onderhandeling in de eerste fase:

  • GRE-keepalives van de GRE-tunnelinterface aan de CPE-kant naar de GRE-tunnelinterface aan de kant van het toegewezen exemplaar.

  • BGP neighbor TCP-sessie van de BGP-neighbor van CPE-kant naar de BGP-neighbor van kant Dedicated Instance.

  • Ping vanaf het IP-adres van de CPE-zijtunnel naar het IP-adres van de tunnel aan de zijkant van het toegewezen exemplaar.

    Ping kan niet het tunneltransport-IP naar tunneltransport-IP zijn, het moet tunnel-IP naar tunnel-IP zijn.

Als een pakkettracering nodig is voor IKEv2-verkeer, stelt u het filter in voor UDP en poort 500 (wanneer er geen NAT-apparaat in het midden van de IPsec-eindpunten staat) of poort 4500 (wanneer een NAT-apparaat in het midden van de IPsec-eindpunten wordt ingevoegd).

Verifieer of IKEv2 UDP-pakketten met poort 500 of 4500 zijn verzonden en ontvangen van en naar het IP-adres van DI IPsec.

Het datacenter van het toegewezen exemplaar start mogelijk niet altijd het eerste IKEv2-pakket. De vereiste is dat het CPE-apparaat het eerste IKEv2-pakket kan initiëren aan de kant van het toegewezen exemplaar.

Als de lokale firewall dit toestaat, probeert u ook het externe IPsec-adres te pingen. Als de ping van het lokale IPsec-adres naar het externe IPsec-adres mislukt, voert u een traceroute uit om u te helpen en bepaalt u waar het pakket valt.

Sommige firewalls en internetapparatuur staan traceroute mogelijk niet toe.

Problemen oplossen en valideren in de tweede fase van IPsec (IPsec-onderhandeling)

Controleer of de eerste IPsec-fase (dat wil zeggen, IKEv2-beveiligingsassociatie) actief is voordat u problemen met de tweede fase van IPsec oplost. Voer een 'show crypto ikev2 sa' of een gelijkwaardige opdracht uit om de IKEv2-sessie te verifiëren. Controleer in de uitvoer of de IKEv2-sessie al meer dan een paar seconden actief is en niet bouncen. De uptime van de sessie wordt weergegeven als de sessie 'Actieve tijd' of gelijkwaardig in uitvoer.

Zodra de IKEv2-sessie wordt gecontroleerd als actief en actief, onderzoekt u de IPsec-sessie. Voer, net als bij de IKEv2-sessie, een 'show crypto ipsec sa' of een gelijkwaardige opdracht uit om de IPsec-sessie te verifiëren. Zowel de IKEv2-sessie als de IPsec-sessie moeten actief zijn voordat de GRE-tunnel tot stand wordt gebracht. Als de IPsec-sessie niet als actief wordt weergegeven, controleert u de IPsec-logboeken op foutberichten of onderhandelingsfouten.

Enkele van de meer voorkomende problemen die zich tijdens de IPsec-onderhandelingen kunnen voordoen zijn:

De instellingen aan de CPE-kant komen niet overeen met de kant van het toegewezen exemplaar. Controleer de instellingen opnieuw:

  • Controleer of de coderings- en verificatieparameters overeenkomen met de instellingen aan de kant van het toegewezen exemplaar.

  • Controleer de instellingen voor Perfect Forward Secrecy (Perfect doorschakelen van geheimhouding) en of de instellingen overeenkomen aan de kant van het toegewezen exemplaar.

  • Verifieer de instellingen voor de levensduur.

  • Controleer of de IPsec is geconfigureerd in de tunnelmodus.

  • Controleer de bron- en bestemmings-IPsec-adressen.

Problemen oplossen en valideren van tunnelinterface

Wanneer de IPsec- en IKEv2-sessies worden geverifieerd als actief en actief, kunnen keepalive-pakketten voor de GRE-tunnel worden uitgevoerd tussen de eindpunten van het toegewezen exemplaar en de CPE-tunnel. Als de tunnelinterface de status niet weergeeft, zijn enkele veelvoorkomende problemen:

  • Het transport-VRF van de tunnelinterface komt niet overeen met de VRF van de loopback-interface (als VRF-configuratie op de tunnelinterface wordt gebruikt).

    Als de VRF-configuratie niet wordt gebruikt op de tunnelinterface, kan deze controle worden genegeerd.

  • Keepalives zijn niet ingeschakeld op de CPE-tunnelinterface aan de zijkant

    Als keepalives niet worden ondersteund op de CPE-apparatuur, moet Cisco hiervan op de hoogte worden gesteld zodat de standaard keepalives aan de kant van het toegewezen exemplaar ook worden uitgeschakeld.

    Als keepalives worden ondersteund, controleert u of de keepalives zijn ingeschakeld.

  • Het masker of het IP-adres van de tunnelinterface is niet correct en komt niet overeen met de verwachte waarden van het toegewezen exemplaar.

  • Het bron- of doeltunneltransportadres is onjuist en komt niet overeen met de verwachte waarden van het toegewezen exemplaar.

  • Een firewall blokkeert GRE-pakketten die worden verzonden naar de IPsec-tunnel of ontvangen vanuit de IPsec-tunnel (de GRE-tunnel wordt via de IPsec-tunnel getransporteerd)

Een ping-test moet controleren of de lokale tunnelinterface werkt en of de verbinding met de externe tunnelinterface goed is. Voer de pingcontrole uit van de tunnel-IP (niet het transport-IP) naar de externe tunnel-IP.

Met de cryptotoegangslijst voor de IPsec-tunnel die het GRE-tunnelverkeer vervoert, kunnen alleen GRE-pakketten worden gekruist. Hierdoor werken pings niet van tunneltransport IP naar tunneltransport IP op afstand.

De ping-controle resulteert in een GRE-pakket dat wordt gegenereerd vanaf het IP van de brontunnel naar het IP van de bestemmingstunnel, terwijl de payload van het GRE-pakket (het binnenste IP) de bron- en bestemmingstunnel-IP wordt.

Als de ping-test niet slaagt en de voorgaande items zijn geverifieerd, kan een pakketopname nodig zijn om ervoor te zorgen dat de icmp ping resulteert in een GRE-pakket dat vervolgens wordt ingesloten in een IPsec-pakket en vervolgens wordt verzonden van het bron-IPsec-adres naar het bestemmings-IPsec-adres. Tellers op de GRE-tunnelinterface en de IPsec-sessietellers kunnen ook helpen om weer te geven als de pakketten voor verzenden en ontvangen toenemen.

Naast het ping-verkeer moet de opname ook keepalive GRE-pakketten tonen, zelfs tijdens inactief verkeer. Tot slot, als BGP is geconfigureerd, moeten BGP keepalive-pakketten ook worden verzonden als GRE-pakketten die zijn ingesloten in IPSEC-pakketten en via de VPN.

BGP-problemen oplossen en valideren

BGP-sessies

BGP is vereist als het routeringsprotocol via de VPN IPsec-tunnel. De lokale BGP-neighbor moet een eBGP-sessie starten met de BGP-neighbor van het toegewezen exemplaar. De eBGP-naburige IP-adressen zijn hetzelfde als de IP-adressen voor lokale en externe tunnel. Controleer eerst of de BGP-sessie actief is en controleer vervolgens of de juiste routeringen worden ontvangen van het toegewezen exemplaar en of de juiste standaardroute naar het toegewezen exemplaar wordt verzonden.

Als de GRE-tunnel actief is, controleert u of er een ping is gelukt tussen het IP-adres van de lokale en de externe GRE-tunnel. Als de ping is geslaagd maar de BGP-sessie niet beschikbaar is, onderzoekt u het BGP-logboek voor BGP-inrichtingsfouten.

Enkele van de meer voorkomende problemen bij BGP-onderhandeling zijn:

  • Het externe AS-nummer komt niet overeen met het AS-nummer dat is geconfigureerd aan de kant van het toegewezen exemplaar. Controleer de naburige AS-configuratie opnieuw.

  • Het lokale AS-nummer komt niet overeen met wat de kant van het toegewezen exemplaar verwacht. Controleer of het lokale AS-nummer overeenkomt met de verwachte parameters voor het toegewezen exemplaar.

  • Een firewall blokkeert dat BGP TCP-pakketten die zijn ingesloten in GRE-pakketten, worden verzonden naar de IPsec-tunnel of ontvangen vanuit de IPSEC-tunnel

  • Het naburige IP-adres van de externe BGP komt niet overeen met het IP-adres van de externe GRE-tunnel.

BGP Route Exchange

Zodra de BGP-sessie voor beide tunnels is geverifieerd, moet u ervoor zorgen dat de juiste routes worden verzonden en ontvangen vanaf de kant van het toegewezen exemplaar.

De VPN-oplossing voor toegewezen exemplaren verwacht dat er twee tunnels worden opgezet aan de kant van de klant/de partner. De eerste tunnel verwijst naar datacenter A van het toegewezen exemplaar en de tweede tunnel naar datacenter van het toegewezen exemplaar B. Beide tunnels moeten in actieve status zijn en de oplossing vereist een actieve/actieve implementatie. Elk datacenter van een toegewezen exemplaar adverteert de lokale /25-route en een /24-back-uproute. Wanneer u de inkomende BGP-routeringen vanuit het toegewezen exemplaar controleert, moet u ervoor zorgen dat de BGP-sessie die is gekoppeld aan de tunnel die naar het datacenter van het toegewezen exemplaar A /25 lokale route van het datacenter van het toegewezen exemplaar en de /24 back-uproute ontvangt. Zorg er bovendien voor dat de tunnel die naar datacenter van het toegewezen exemplaar B wijst, zowel de lokale route van het datacenter van het toegewezen exemplaar B /25 als de back-uproute ontvangt. Houd er rekening mee dat de /24-back-uproute dezelfde route is die wordt geadverteerd vanuit datacenter A van toegewezen exemplaar en datacenter B van toegewezen exemplaar.

Redundantie wordt geleverd aan een datacenter van een toegewezen exemplaar als de tunnelinterface van dat datacenter uitvalt. Als de verbinding met datacenter A van het toegewezen exemplaar verloren gaat, wordt verkeer doorgestuurd van datacenter B van het toegewezen exemplaar naar datacenter A. In dit scenario gebruikt de tunnel naar datacenter B de /25-route van datacenter B om verkeer naar datacenter B te verzenden en gebruikt de tunnel naar datacenter B de /24-back-route om verkeer naar datacenter A te verzenden via datacenter B.

Het is belangrijk dat wanneer beide tunnels actief zijn, dat datacenter A-tunnel niet wordt gebruikt om verkeer naar datacenter B te sturen en vice versa. Als in dit scenario verkeer naar datacenter A wordt gestuurd met een bestemming voor datacenter B, stuurt datacenter A het verkeer door naar datacenter B en probeert datacenter B vervolgens het verkeer terug te sturen naar de bron via de datacenter B-tunnel. Dit zal leiden tot een suboptimale routering en kan ook verkeersfirewalls doorbreken. Daarom is het belangrijk dat beide tunnels zich tijdens normaal bedrijf in een actieve/actieve configuratie bevinden.

De 0.0.0.0/0-route moet aan de kant van de klant worden geadverteerd naar het datacenter van het toegewezen exemplaar. Specifiekere routes worden niet geaccepteerd door de kant van het toegewezen exemplaar. Zorg ervoor dat de 0.0.0.0/0-route wordt geadverteerd vanuit zowel de A-tunnel van het datacenter van het toegewezen exemplaar als de B-tunnel van het toegewezen exemplaar.

MTU-configuratie

Aan de kant van het toegewezen exemplaar zijn twee functies ingeschakeld om de MTU dynamisch aan te passen voor grote pakketgroottes. De GRE-tunnel voegt meer kopteksten toe aan de IP-pakketten die door de VPN-sessie stromen. De IPsec-tunnel voegt de extra headers toe bovenop de GRE-headers, waardoor de grootste MTU die over de tunnel is toegestaan, verder wordt verkleind.

De GRE-tunnel past de MSS-functie aan en het GRE-tunnelpad in de MTU-detectiefunctie is ingeschakeld aan de kant van het toegewezen exemplaar. Configureer "ip tcp adjust-mss 1350" of een gelijkwaardige opdracht en "tunnelpad\u0002mtu-discovery" of een gelijkwaardige opdracht aan de klantzijde om te helpen met de dynamische aanpassing van MTU van het verkeer via de VPN-tunnel.