Dedykowane połączenie wirtualne instancji

Wprowadzenie

Virtual Connect to dodatkowa opcja dodatkowa dla Łączności w chmurze z dedykowaną instancją dla połączeń Webex (dedykowana instancja). Virtual Connect umożliwia klientom bezpieczne rozszerzanie sieci prywatnej przez Internet za pomocą tuneli IP VPN typu punkt-punkt. Ta opcja łączności umożliwia szybkie nawiązanie połączenia z siecią prywatną przy użyciu istniejącego sprzętu klienta (CPE) i połączenia z Internetem.

Cisco hostuje, zarządza i zapewnia redundantne tunele IP VPN oraz wymagany dostęp do Internetu w regionach centrów danych dedykowanych wystąpień Cisco, w których usługa jest wymagana. Podobnie, Administrator jest odpowiedzialny za odpowiednie usługi CPE i internetowe, które są wymagane do ustanowienia Virtual Connect.

Każde zamówienie połączenia wirtualnego w określonym regionie wystąpienia dedykowanego obejmowałoby dwa ogólne tunele hermetyzacji routingu (GRE) chronione szyfrowaniem IPSec (GRE over IPSec), po jednym do każdego centrum danych Cisco w wybranym regionie.

Funkcja Virtual Connect ma limit przepustowości 250 Mb/s na tunel i jest zalecana w przypadku mniejszych wdrożeń. Ponieważ używane są dwa tunele VPN typu punkt-punkt, cały ruch do chmury musi przechodzić przez stację czołową klienta CPE, a zatem może nie być odpowiedni, gdy istnieje wiele zdalnych witryn. Aby zapoznać się z innymi alternatywnymi opcjami komunikacji równorzędnej, zobacz Łączność z chmurą.

Przed przesłaniem żądania równorzędnego połączenia wirtualnego upewnij się, że usługa dedykowanego wystąpienia jest aktywowana w danym regionie.

Wymagania wstępne

Wymagania wstępne dotyczące ustanowienia połączenia wirtualnego obejmują:

Klient zapewnia
- Połączenie internetowe z wystarczającą dostępną przepustowością do obsługi wdrożenia
- Publiczny adres IP dla dwóch tuneli IPSec
- Adresy IP transportu GRE po stronie klienta dla dwóch tuneli GRE
Partner i Klient
- Współpraca w celu oceny wymagań dotyczących przepustowości
- Upewnij się, że urządzenia sieciowe obsługują routing BGP (Border Gateway Protocol) i projekt tunelu GRE przez IPSec
Partner lub Klient zapewnia
- Zespół sieciowy ze znajomością technologii tuneli VPN typu lokacja-lokacja
- Zespół sieciowy ze znajomością BGP, eBGP i ogólnych zasad routingu
Cisco
- Cisco przypisuje prywatne autonoumpiczne numery systemowe (ASN) i przejściowe adresowanie IP dla interfejsów tunelu GRE
- Cisco przypisała publiczną, ale nie internetową rutowalną sieć klasy C (/24) do adresowania dedykowanych instancji w chmurze

Jeśli klient ma tylko 1 urządzenie CPE, 2 tunele w kierunku centrów danych Cisco (DC1 i DC2) w każdym regionie będą pochodzić z tego urządzenia CPE. Klient ma również opcję dla 2 urządzeń CPE, następnie każde urządzenie CPE powinno łączyć się z 1 tunelem tylko w kierunku centrów danych Cisco (DC1 i DC2) w każdym regionie. Dodatkową redundancję można osiągnąć poprzez zakończenie każdego tunelu w oddzielnej fizycznej lokalizacji / lokalizacji w infrastrukturze Klienta.

Szczegóły techniczne

Model wdrożenia

Virtual Connect wykorzystuje dwuwarstwową architekturę stacji czołowej, w której płaszczyzny routingu i sterowania GRE są dostarczane przez jedno urządzenie, a płaszczyzna sterowania IPSec jest dostarczana przez inne.

Po zakończeniu łączności Virtual Connect zostaną utworzone dwa tunele GRE przez IPSec między siecią korporacyjną Klienta a centrami danych Cisco Dedicated Instance. Po jednym do każdego nadmiarowego centrum danych w danym regionie. Dodatkowe elementy sieciowe wymagane do peeringu są wymieniane przez Partnera lub Klienta na Cisco za pośrednictwem formularza aktywacji Control Hub Virtual Connect.

Rysunek 1 przedstawia przykład modelu wdrażania połączenia wirtualnego dla opcji 2 koncentratorów po stronie klienta.

Virtual Connect - VPN to projekt Hub, w którym Centra Klienta są połączone z DC1 i DC2 centrów danych Dedykowanej Instancji w określonym regionie.

Dwie lokacje centrum są zalecane w celu zapewnienia lepszej nadmiarowości, ale jedna lokalizacja centrum z dwoma tunelami jest również obsługiwanym modelem wdrażania.

Przepustowość na tunel jest ograniczona do 250 Mb/s.

Zdalne lokalizacje Klienta w tym samym regionie musiałyby ponownie połączyć się z lokacjami Hub za pośrednictwem sieci WAN Klienta i nie ponosi odpowiedzialności Cisco za tę łączność.

Oczekuje się, że partnerzy będą ściśle współpracować z Klientami, zapewniając wybór najbardziej optymalnej ścieżki dla regionu usług "Virtual Connect".

Rysunek 2 przedstawia regiony równorzędne łączności w chmurze dedykowanego wystąpienia.

Przekierowanie

Dodatek Routing for Virtual Connect jest implementowany przy użyciu zewnętrznego protokołu BGP (eBGP) między dedykowaną instancją a urządzeniem cpE (Customer Premise Equipment). Firma Cisco będzie reklamować swoją odpowiednią sieć dla każdego nadmiarowego kontrolera domeny w danym regionie do CPE Klienta, a CPE jest wymagany do anonsowania domyślnej trasy do Cisco.

Cisco utrzymuje i przypisuje
- Adresowanie IP interfejsu tunelu (łącze przejściowe do routingu) Cisco przypisuje z wyznaczonej współużytkowanej przestrzeni adresowej (niepublicznie rutowalnej)
- Adres do wyznaczania transportu tunelowego (strona Cisco)
- Numery prywatnych systemów autonomicznych (ASN) do konfiguracji routingu BGP klienta
  - Cisco przypisuje z wyznaczonego zakresu użytku prywatnego: Od 64512 do 65534

eBGP używany do wymiany tras między dedykowaną instancją a CPE
- Cisco podzieli przypisaną sieć /24 na 2 /25 po jednej dla każdego kontrolera domeny w danym regionie
- W Virtual Connect każda sieć /25 jest anonsowana z powrotem do CPE przez Cisco przez odpowiednie tunele VPN typu punkt-punkt (łącze przejściowe)
- CPE musi być skonfigurowany z odpowiednimi sąsiadami eBGP. W przypadku korzystania z jednego CPE zostaną użyte dwa sąsiady eBGP, po jednym wskazującym na każdy zdalny tunel. Jeśli używasz dwóch CPE, każdy CPE będzie miał jednego sąsiada eBGP łączącego się z pojedynczym zdalnym tunelem dla CPE.
- Strona Cisco każdego tunelu GRE (adres IP interfejsu tunelu) jest skonfigurowana jako sąsiad BGP na CPE
- CPE jest wymagane do anonsowania trasy domyślnej nad każdym z tuneli
- CPE jest odpowiedzialny za redystrybucję, w razie potrzeby, wyuczonych tras w sieci korporacyjnej cutomera.
W warunkach awarii łącza bez awarii pojedynczy CPE będzie miał dwa aktywne/aktywne tunele. W przypadku dwóch węzłów CPE każdy CPE będzie miał jeden aktywny tunel, a oba węzły CPE powinny być aktywne i przekazywać ruch. W scenariuszu bez awarii ruch musi zostać podzielony na dwa tunele prowadzące do właściwych miejsc docelowych /25, jeśli jeden z tuneli ulegnie awarii, pozostały tunel może przenosić ruch dla obu. W takim scenariuszu awarii, gdy sieć /25 jest wyłączona, sieć /24 jest używana jako trasa zapasowa. Cisco będzie wysyłać ruch klientów za pośrednictwem wewnętrznej sieci WAN do kontrolera domeny, który utracił łączność.

Proces łączności

Poniższe kroki wysokiego poziomu opisują sposób nawiązywania łączności z połączeniem wirtualnym dla wystąpienia dedykowanego.

1	Złóż zamówienie w Cisco CCW
2	Aktywowanie funkcji Virtual Connect z poziomu control Hub
3	Cisco przeprowadza konfigurację sieci
4	Klient wykonuje konfigurację sieci

Krok 1: Zamówienie CCW

Virtual Connect to dodatek do dedykowanej instancji w CCW.

1	Przejdź do witryny zamawiania CCW, a następnie kliknij przycisk Zaloguj się, aby zalogować się na stronie: https://apps.cisco.com/Commerce/guest.
2	Utwórz oszacowanie.
3	Dodaj jednostkę SKU "A-FLEX-3".
4	Wybierz pozycję Edytuj opcje.
5	Na wyświetlonej karcie subskrypcji wybierz pozycję Opcje i dodatki.
6	W obszarze Dodatkowe dodatki zaznacz pole wyboru "Połączenie wirtualne dla dedykowanego wystąpienia". Nazwa SKU to "A-FLEX-DI-VC".
7	Wprowadź liczbę regionów, w których wymagane jest połączenie wirtualne. Liczba połączeń wirtualnych nie powinna przekraczać całkowitej liczby regionów zakupionych dla dedykowanego wystąpienia. Ponadto dozwolone jest tylko jedno zamówienie połączenia wirtualnego w danym regionie.
8	Gdy wybór będzie zadowalający, kliknij przycisk Zweryfikuj i zapisz w prawej górnej części strony.
9	Kliknij Zapisz i kontynuuj, aby sfinalizować zamówienie. Sfinalizowane zamówienie jest teraz umieszczane w siatce zamówień.

Krok 2: Aktywacja funkcji Virtual Connect w centrum sterowania

1	Zaloguj się do centrum sterowania https://admin.webex.com/login.
2	W sekcji Usługi przejdź do sekcji Calling > Dedicated Instacnce > Cloud Connectivity .
3	Na karcie Virtual Connect jest wyświetlana zakupiona ilość Virtual Connect. Administrator może teraz kliknąć Aktywuj , aby zainicjować aktywację Virtual Connect. Proces aktywacji może być wyzwalany tylko przez administratorów z rolą "Pełny administrator klienta". Natomiast administrator z rolą "Administrator tylko do odczytu klienta" może tylko wyświetlić stan.
4	Po kliknięciu przycisku Aktywuj formularz Aktywuj połączenie wirtualne zostanie wyświetlony, aby administrator mógł podać szczegóły techniczne połączenia wirtualnego wymagane dla konfiguracji komunikacji równorzędnej po stronie Cisco. Formularz zawiera również informacje statyczne po stronie Cisco, w oparciu o wybrany region. Te informacje będą przydatne dla administratorów Klienta do skonfigurowania CPE po ich stronie w celu ustanowienia Łączności. Adres IP usługi GRE Tunnel Transport: Klient jest zobowiązany do podania adresów IP transportu tunelowego po stronie klienta, a Cisco dynamicznie przydzieli adresy IP po zakończeniu aktywacji. Lista ACL PROTOKOŁU IPSec dla interesującego ruchu powinna zezwalać na lokalny transport tunelowy IP/32 do zdalnego transportu tunelowego IP/32. Lista ACL powinna również określać tylko protokół GRE IP. Adres IP podany przez klienta może być prywatny lub publiczny. Współpracownicy IPSec: Klient jest zobowiązany do podania źródłowych adresów IP Tunel IPSec, a Cisco przydziela docelowy adres IPSec. W razie potrzeby obsługiwane jest również translowanie wewnętrznego adresu tunelu IPSEC na adres publiczny na translację NAT. Adres IP podany przez klienta powinien być publiczny. Wszystkie inne informacje statyczne podane na ekranie aktywacji to standardy bezpieczeństwa i szyfrowania po stronie Cisco. Tej konfiguracji statycznej nie można dostosowywać ani modyfikować. Aby uzyskać dalszą pomoc dotyczącą konfiguracji statycznych po stronie Cisco, klient musiałby skontaktować się z TAC.
5	Kliknij przycisk Aktywuj po wypełnieniu wszystkich obowiązkowych pól.
6	Po wypełnieniu formularza Aktywacja połączenia wirtualnego dla regionu częściowego klient może wyeksportować formularz aktywacyjny z Centrum sterowania, wywoływania > dedykowanego wystąpienia > kartę Łączność z chmurą i kliknąć ustawienia eksportu. Ze względów bezpieczeństwa uwierzytelnianie i hasło BGP nie będą dostępne w eksportowanym dokumencie, ale administrator może je wyświetlić w Control Hub, klikając opcję Wyświetl ustawienia w obszarze Control Hub, Calling > Dedykowane wystąpienie > Łączność z chmurą.

Krok 3: Cisco przeprowadza konfigurację sieci

1	Po wypełnieniu formularza aktywacji połączenia wirtualnego stan zostanie zaktualizowany do Trwa aktywacja w wywołaniu > dedykowanego wystąpienia > karty Virtual Connect Łączności z chmurą.
2	Firma Cisco ukończy wymagane konfiguracje urządzeń bocznych firmy Cisco w ciągu 5 dni roboczych. Po pomyślnym zakończeniu stan zostanie zaktualizowany do "Aktywowany" dla tego konkretnego regionu w centrum sterowania.

Krok 4: Klient wykonuje konfigurację sieci

Status zostaje zmieniony na "Aktywowany", aby powiadomić administratora Klienta, że konfiguracja Cisco dla łączności IP VPN została ukończona na podstawie danych wejściowych dostarczonych przez Klienta. Oczekuje się jednak, że administrator klienta ukończy konfiguracje w CPE i przetestuje trasy łączności dla tunelu Virtual Connect, aby był w trybie online. W przypadku jakichkolwiek problemów napotkanych podczas konfiguracji lub łączności, klient może skontaktować się z Cisco TAC w celu uzyskania pomocy.

Rozwiązywanie problemów

Pierwsza faza protokołu IPsec (negocjacje dotyczące protokołu IKEv2) – rozwiązywanie problemów i walidacja

Negocjacje w tunelu IPsec obejmują dwie fazy: fazę IKEv2 i fazę IPsec. Jeśli negocjacje fazy IKEv2 nie zakończą się, nie zostanie rozpoczęta druga faza IPsec. Najpierw wydaj polecenie „Pokaż krypto ikev2 sa” (na urządzeniach Cisco) lub podobne polecenie na urządzeniach innych firm w celu sprawdzenia, czy sesja IKEv2 jest aktywna. Jeśli sesja IKEv2 nie jest aktywna, potencjalne przyczyny mogą być następujące:

Ciekawy ruch nie uruchamia tunelu IPsec.
Lista dostępu do tunelu IPsec jest nieprawidłowo skonfigurowana.
Nie ma połączenia między klientem a interfejsem IP tunelu IPsec dedykowanego wystąpienia.
Parametry sesji IKEv2 nie są zgodne między stroną dedykowanego wystąpienia a stroną klienta.
Zapora blokuje pakiety IKEv2 UDP.

Najpierw sprawdź dzienniki IPsec dla wszelkich komunikatów pokazujących postęp negocjacji tunelu IKEv2. Dzienniki mogą wskazywać, gdzie występuje problem z negocjacjami IKEv2. Brak wiadomości logowania może również wskazywać, że sesja IKEv2 nie jest aktywowana.

Niektóre typowe błędy podczas negocjacji IKEv2 to:

Ustawienia IKEv2 po stronie CPE nie są zgodne z ustawieniami Cisco. Sprawdź ponownie wymienione ustawienia:
- Sprawdź, czy wersja IKE to wersja 2.
- Sprawdź, czy parametry szyfrowania i uwierzytelniania są zgodne z oczekiwanym szyfrowaniem po stronie dedykowanego wystąpienia.
  
  Gdy jest używany szyfr "GCM", protokół GCM obsługuje uwierzytelnianie i ustawia parametr uwierzytelniania na NULL.
- Sprawdź ustawienie żywotności.
- Zweryfikuj grupę modułową Diffie Hellman.
- Sprawdź ustawienia funkcji losowej Pseudo.
Lista dostępu do mapy kryptograficznej nie jest ustawiona na:
- Zezwolenie GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255" (lub równoważne polecenie)
  
  Lista dostępu musi być przeznaczona specjalnie dla protokołu „GRE”, a protokół „IP” nie będzie działać.

Jeśli komunikaty dziennika nie pokazują żadnej aktywności negocjacyjnej dla fazy IKEv2, może być konieczne przechwytywanie pakietów.

Strona dedykowanego wystąpienia nie zawsze może rozpocząć wymianę IKEv2 i czasami może oczekiwać, że strona CPE klienta będzie inicjatorem.

Sprawdź konfigurację boczną CPE pod kątem następujących warunków wstępnych inicjowania sesji IKEv2:

Sprawdź listę dostępu do krypto protokołu IPsec dla ruchu GRE (protokół 50) od IP transportu tunelowego CPE do IP transportu tunelowego dedykowanego wystąpienia.
Upewnij się, że interfejs tunelu GRE jest włączony dla keepalives GRE, jeśli urządzenie nie obsługuje keepalives GRE, to Cisco jest powiadamiany, ponieważ keepalives GRE będą włączone po stronie dedykowanego wystąpienia domyślnie.
Upewnij się, że BGP jest włączone i skonfigurowane z adresem sąsiednim tunelu dedykowanego wystąpienia IP.

Po prawidłowym skonfigurowaniu rozpoczyna się tunel IPsec i pierwsza faza negocjacji IKEv2:

Keepalives GRE z interfejsu tunelu GRE po stronie CPE do interfejsu tunelu GRE po stronie dedykowanego wystąpienia.
Sąsiad BGP Sesja TCP od sąsiada BGP po stronie CPE do sąsiada BGP po stronie dedykowanego wystąpienia.
Ping z adresu IP tunelu bocznego CPE do adresu IP tunelu bocznego dedykowanego wystąpienia.

Ping nie może być transport tunelu IP do transportu tunelu IP, musi być tunel IP do tunelu IP.

Jeśli dla ruchu IKEv2 potrzebny jest ślad pakietów, ustaw filtr UDP i albo port 500 (gdy żadne urządzenie NAT nie znajduje się w środku punktów końcowych IPsec), albo port 4500 (gdy urządzenie NAT jest umieszczone w środku punktów końcowych IPsec).

Sprawdź, czy pakiety UDP IKEv2 z portem 500 lub 4500 są wysyłane i odbierane z adresu IP protokołu DI IPsec.

Podmiot danych dedykowanego wystąpienia nie zawsze może rozpocząć pierwszy pakiet IKEv2. Wymaganiem jest, aby urządzenie CPE mogło zainicjować pierwszy pakiet IKEv2 w kierunku strony dedykowanego wystąpienia.

Jeśli lokalna zapora na to zezwala, wykonaj również próbę ping na zdalny adres IPsec. Jeśli ping nie odniesie sukcesu z adresu lokalnego do zdalnego IPsec, wykonaj trasę śledzenia, aby pomóc i określ, gdzie pakiet jest upuszczany.

Niektóre zapory i sprzęt internetowy mogą nie zezwalać na trasę śladu.

Druga faza protokołu IPsec (negocjowanie protokołu IPsec) rozwiązywania problemów i walidacji

Sprawdź, czy pierwsza faza protokołu IPsec (czyli stowarzyszenie zabezpieczeń IKEv2) jest aktywna przed rozwiązaniem problemu z drugą fazą protokołu IPsec. Wykonaj polecenie „Pokaż krypto ikev2 sa” lub równoważne, aby zweryfikować sesję IKEv2. Na wyjściu sprawdź, czy sesja IKEv2 trwa dłużej niż kilka sekund i że nie odbija się. Czas trwania sesji jest wyświetlany jako sesja „Aktywny czas” lub równoważny w wyjściu.

Po zweryfikowaniu i uaktywnieniu sesji IKEv2 należy Zbadać sesję IPsec. Podobnie jak w przypadku sesji IKEv2 wykonaj polecenie „Pokaż krypto ipsec sa” lub równoważne, aby zweryfikować sesję IPsec. Zarówno sesja IKEv2, jak i sesja IPsec muszą być aktywne przed utworzeniem tunelu GRE. Jeśli sesja IPsec nie jest wyświetlana jako aktywna, sprawdź dzienniki IPsec pod kątem komunikatów o błędach lub błędów negocjacyjnych.

Niektóre z bardziej powszechnych problemów, z którymi można się spotkać podczas negocjacji protokołu IPsec, to:

Ustawienia po stronie CPE nie są zgodne ze stroną dedykowanego wystąpienia. Sprawdź ponownie ustawienia:

Sprawdź, czy parametry szyfrowania i uwierzytelniania są zgodne z ustawieniami po stronie dedykowanego wystąpienia.
Zweryfikuj ustawienia Perfect Forward Secrecy i dopasuj ustawienia po stronie Dedykowane wystąpienie.
Sprawdź ustawienia żywotności.
Sprawdź, czy protokół IPsec został skonfigurowany w trybie tunelu.
Sprawdź adresy IPsec źródła i miejsca docelowego.

Rozwiązywanie problemów z interfejsem tunelu i walidacja

Gdy sesje IPsec i IKEv2 zostaną zweryfikowane jako aktywne, pakiety GRE keepalive tunelu mogą przepływać między dedykowanym wystąpieniem a punktami końcowymi tunelu CPE. Jeśli interfejs tunelu nie jest wyświetlany stan, do niektórych typowych problemów należą:

Transport interfejsu tunelu VRF nie odpowiada VRF interfejsu loopback (jeśli konfiguracja VRF jest używana w interfejsie tunelu).

Jeśli konfiguracja VRF nie jest używana w interfejsie tunelu, sprawdzenie to można zignorować.
Keepalives nie są włączone w interfejsie tunelu bocznego CPE

Jeśli w sprzęcie CPE nie są obsługiwane keepalify, należy powiadomić o tym firmę Cisco, aby również wyłączone były domyślne keepalify po stronie dedykowanego wystąpienia.

Jeśli obsługiwane są keepalives, sprawdź, czy są włączone keepalives.
Maska lub adres IP interfejsu tunelu jest nieprawidłowy i nie odpowiada oczekiwanym wartościom dedykowanego wystąpienia.
Adres transportu tunelu źródłowego lub docelowego jest nieprawidłowy i nie odpowiada oczekiwanym wartościom Dedykowanego wystąpienia.
Zapora blokuje pakiety GRE przed wysłaniem do tunelu IPsec lub odebraniem z tunelu IPsec (tunel GRE jest transportowany przez tunel IPsec)

Test ping powinien sprawdzić, czy lokalny interfejs tunelu jest w górze, a łączność jest dobra w zdalnym interfejsie tunelu. Przeprowadź kontrolę ping z IP tunelu (nie IP transportu) do zdalnego IP tunelu.

Lista dostępu do krypto dla tunelu IPsec, który przewozi ruch tunelu GRE, umożliwia tylko przesyłanie pakietów GRE. W rezultacie pings nie będzie działać od transportu tunelowego IP do zdalnego transportu tunelowego IP.

Kontrola ping powoduje, że pakiet GRE jest generowany z transportu tunelu źródłowego IP do transportu tunelu docelowego IP, podczas gdy ładunek pakietu GRE (wewnętrznego IP) będzie źródłem i docelowym IP tunelu.

Jeśli test ping nie powiódł się, a poprzednie elementy zostaną zweryfikowane, może być wymagane przechwytywanie pakietów, aby upewnić się, że w wyniku odrywania pakietów GRE zostanie wbudowany pakiet IPsec, a następnie wysłany ze źródłowego adresu IPsec do docelowego adresu IPsec. Liczniki na interfejsie tunelu GRE i liczniki sesji IPsec mogą również pomóc w wyświetleniu. jeśli pakiety wysyłania i odbierania są przyrostowe.

Oprócz ruchu ping, przechwytywanie powinno również pokazać keepalive pakiety GRE nawet podczas ruchu bezczynnego. Wreszcie, jeśli skonfigurowano BGP, pakiety keepalive BGP powinny być również wysyłane jako pakiety GRE zamknięte w pakietach IPSEC, a także przez VPN.

Rozwiązywanie problemów z BGP i walidacja

Sesje BGP

Protokół BGP jest wymagany jako protokół trasowania przez tunel IPsec VPN. Lokalny sąsiad BGP powinien nawiązać sesję eBGP z sąsiadem BGP dedykowanego wystąpienia. Adresy IP sąsiada eBGP są takie same jak lokalne i zdalne adresy IP tunelu. Najpierw upewnij się, że sesja BGP jest gotowa, a następnie sprawdź, czy prawidłowe trasy są odbierane z dedykowanego wystąpienia, a prawidłowa domyślna trasa jest wysyłana do dedykowanego wystąpienia.

Jeśli tunel GRE jest w górze, sprawdź, czy ping powiodło się między lokalnym i zdalnym tunelem GRE IP. Jeśli ping jest udany, ale sesja BGP nie zbliża się, a następnie zbadać dziennik BGP dla błędów zakładania BGP.

Niektóre z bardziej powszechnych kwestii negocjacyjnych BGP to:

Zdalny numer AS nie pasuje do numeru AS skonfigurowanego po stronie dedykowanego wystąpienia. Sprawdź ponownie konfigurację Sąsiada JAKO.
Lokalny numer AS nie odpowiada temu, czego oczekuje strona dedykowanego wystąpienia, sprawdź, czy lokalny numer AS odpowiada oczekiwanym parametrom dedykowanego wystąpienia.
Zapora blokuje wysyłanie pakietów BGP TCP w pakietach GRE do tunelu IPsec lub odbieranie ich z tunelu IPSEC
Zdalny adres IP sąsiada BGP nie pasuje do zdalnego adresu IP tunelu GRE.

Wymiana tras BGP

Po zweryfikowaniu sesji BGP dla obu tuneli upewnij się, że prawidłowe trasy są wysyłane i odbierane od strony dedykowanego wystąpienia.

Rozwiązanie VPN dedykowanego wystąpienia oczekuje, że po stronie klienta/partnera zostaną ustanowione dwa tunele. Pierwszy tunel wskazuje centrum danych dedykowanego wystąpienia A, a drugi tunel wskazuje centrum danych dedykowanego wystąpienia B. Oba tunele muszą być w stanie aktywnym, a rozwiązanie wymaga aktywnego/aktywnego wdrożenia. Każde centrum danych dedykowanego wystąpienia będzie reklamować swoją trasę lokalną /25 oraz trasę zapasową /24. Podczas sprawdzania przychodzących tras BGP z dedykowanego wystąpienia upewnij się, że sesja BGP powiązana z tunelem wskazującym na centrum danych dedykowanego wystąpienia A odbiera lokalną trasę A /25 i rezerwową trasę /24. Ponadto należy upewnić się, że tunel wskazujący centrum danych dedykowanego wystąpienia B rejestruje lokalną trasę obiektu danych dedykowanego wystąpienia B /25 oraz trasę zapasową /24. Należy pamiętać, że trasa tworzenia kopii zapasowej /24 będzie tą samą trasą reklamowaną z centrum danych dedykowanego wystąpienia A i centrum danych dedykowanego wystąpienia B.

Redundancy jest dostarczana do centrum danych dedykowanego wystąpienia, jeśli interfejs tunelu do tego centrum danych idzie w dół. Jeśli połączenie z centrum danych dedykowanego wystąpienia A zostanie utracone, ruch zostanie przekazany z centrum danych dedykowanego wystąpienia B do centrum danych A. W tym scenariuszu tunel do centrum danych B użyje trasy centrum danych B /25, aby wysłać ruch do centrum danych B, a tunel do centrum danych B użyje trasy tworzenia kopii zapasowej /24, aby wysłać ruch do centrum danych A poprzez centrum danych B.

Ważne jest, aby w przypadku, gdy oba tunele są aktywne, że centrum danych Tunel nie jest używany do wysyłania ruchu do centrum danych B i odwrotnie. W takim przypadku, jeśli ruch jest wysyłany do centrum danych A z miejscem docelowym centrum danych B, centrum danych A prześle ruch do centrum danych B, a następnie centrum danych B spróbuje odesłać ruch do źródła za pośrednictwem tunelu centrum danych B. Spowoduje to nieoptymalne trasowanie, a także może zakłócić ruch przechodzący przez zapory. Dlatego ważne jest, aby oba tunele były w aktywnej/aktywnej konfiguracji podczas normalnej pracy.

Trasa 0.0.0.0/0 musi być reklamowana od strony klienta do strony centrum danych dedykowanego wystąpienia. Bardziej szczegółowe trasy nie będą akceptowane przez stronę dedykowanego wystąpienia. Upewnij się, że trasa 0.0.0.0/0 jest ogłaszana zarówno w tunelu centrum danych dedykowanego wystąpienia A, jak i w tunelu centrum danych dedykowanego wystąpienia B.

Konfiguracja MTU

Po stronie dedykowanego wystąpienia dwie funkcje umożliwiają dynamiczną regulację MTU dla dużych rozmiarów pakietów. Tunel GRE dodaje więcej nagłówków do pakietów IP przepływających przez sesję VPN. Tunel IPsec dodaje dodatkowe nagłówki na górze nagłówków GRE jeszcze bardziej zmniejszy największy MTU dozwolony przez tunel.

Tunel GRE dostosowuje funkcję MSS i ścieżka tunelu GRE w funkcji wykrywania MTU jest włączona po stronie dedykowanego wystąpienia. Skonfiguruj "ip tcp adjust-mss 1350" lub równoważne polecenie, a także "ścieżka tunelu\u0002mtu-discovery" lub równoważne polecenie po stronie klienta, aby pomóc w dynamicznej regulacji ruchu MTU przez tunel VPN.

Dziękujemy za opinię.