Wprowadzenie

Virtual Connect to dodatkowa opcja dodatkowa dla Łączności w chmurze z dedykowaną instancją dla połączeń Webex (dedykowana instancja). Virtual Connect umożliwia klientom bezpieczne rozszerzanie sieci prywatnej przez Internet za pomocą tuneli IP VPN typu punkt-punkt. Ta opcja łączności umożliwia szybkie nawiązanie połączenia z siecią prywatną przy użyciu istniejącego sprzętu klienta (CPE) i połączenia z Internetem.

Cisco hostuje, zarządza i zapewnia redundantne tunele IP VPN oraz wymagany dostęp do Internetu w regionach centrów danych dedykowanych wystąpień Cisco, w których usługa jest wymagana. Podobnie, Administrator jest odpowiedzialny za odpowiednie usługi CPE i internetowe, które są wymagane do ustanowienia Virtual Connect.

Każde zamówienie połączenia wirtualnego w określonym regionie wystąpienia dedykowanego obejmowałoby dwa ogólne tunele hermetyzacji routingu (GRE) chronione szyfrowaniem IPSec (GRE over IPSec), po jednym do każdego centrum danych Cisco w wybranym regionie.

Funkcja Virtual Connect ma limit przepustowości 250 Mb/s na tunel i jest zalecana w przypadku mniejszych wdrożeń. Ponieważ używane są dwa tunele VPN typu punkt-punkt, cały ruch do chmury musi przechodzić przez stację czołową klienta CPE, a zatem może nie być odpowiedni, gdy istnieje wiele zdalnych witryn. Aby zapoznać się z innymi alternatywnymi opcjami komunikacji równorzędnej, zobacz Łączność z chmurą.

Przed wysłaniem żądania dotyczącego peeringu dla usługi Virtual Connect upewnij się, że usługa Dedicated Instance jest aktywowana w danym regionie.

Wymagania wstępne

Wymagania wstępne dotyczące ustanowienia połączenia wirtualnego obejmują:

  • Klient zapewnia

    • Połączenie internetowe z wystarczającą dostępną przepustowością do obsługi wdrożenia

    • Publiczny adres IP dla dwóch tuneli IPSec

    • Adresy IP transportu GRE po stronie klienta dla dwóch tuneli GRE

  • Partner i Klient

    • Współpraca w celu oceny wymagań dotyczących przepustowości

    • Upewnij się, że urządzenia sieciowe obsługują routing BGP (Border Gateway Protocol) i projekt tunelu GRE przez IPSec

  • Partner lub Klient zapewnia

    • Zespół sieciowy ze znajomością technologii tuneli VPN typu lokacja-lokacja

    • Zespół sieciowy ze znajomością BGP, eBGP i ogólnych zasad routingu

  • Cisco

    • Cisco przypisuje prywatne autonoumpiczne numery systemowe (ASN) i przejściowe adresowanie IP dla interfejsów tunelu GRE

    • Cisco przypisała publiczną, ale nie internetową rutowalną sieć klasy C (/24) do adresowania dedykowanych instancji w chmurze

Jeśli klient ma tylko 1 urządzenie CPE, 2 tunele w kierunku centrów danych Cisco (DC1 i DC2) w każdym regionie będą pochodzić z tego urządzenia CPE. Klient ma również opcję dla 2 urządzeń CPE, następnie każde urządzenie CPE powinno łączyć się z 1 tunelem tylko w kierunku centrów danych Cisco (DC1 i DC2) w każdym regionie. Dodatkową redundancję można osiągnąć poprzez zakończenie każdego tunelu w oddzielnej fizycznej lokalizacji / lokalizacji w infrastrukturze Klienta.

Szczegóły techniczne

Model wdrożenia

Virtual Connect wykorzystuje dwuwarstwową architekturę stacji czołowej, w której płaszczyzny routingu i sterowania GRE są dostarczane przez jedno urządzenie, a płaszczyzna sterowania IPSec jest dostarczana przez inne.

Po zakończeniu łączności Virtual Connect zostaną utworzone dwa tunele GRE przez IPSec między siecią korporacyjną Klienta a centrami danych Cisco Dedicated Instance. Po jednym do każdego nadmiarowego centrum danych w danym regionie. Dodatkowe elementy sieciowe wymagane do peeringu są wymieniane przez Partnera lub Klienta na Cisco za pośrednictwem formularza aktywacji Control Hub Virtual Connect.

Poniższy rysunek przedstawia przykład modelu wdrożenia połączenia wirtualnego dla opcji 2 koncentratorów po stronie klienta.

Virtual Connect - VPN to projekt Hub, w którym Centra Klienta są połączone z DC1 i DC2 centrów danych Dedykowanej Instancji w określonym regionie.

Dwie lokacje centrum są zalecane w celu zapewnienia lepszej nadmiarowości, ale jedna lokalizacja centrum z dwoma tunelami jest również obsługiwanym modelem wdrażania.

Przepustowość na tunel jest ograniczona do 250 Mb/s. Aby zapewnić skuteczne przełączanie awaryjne, łączny ruch w obu tunelach nie może przekraczać 250 Mb/s, ponieważ w razie awarii cały ruch będzie kierowany przez jeden tunel.

Zdalne lokalizacje Klienta w tym samym regionie musiałyby ponownie połączyć się z lokacjami Hub za pośrednictwem sieci WAN Klienta i nie ponosi odpowiedzialności Cisco za tę łączność.

Oczekuje się, że partnerzy będą ściśle współpracować z Klientami, aby zapewnić wybór najbardziej optymalnej ścieżki dla regionu świadczenia usług Virtual Connect.

Poniższy rysunek przedstawia regiony peeringu łączności w chmurze Dedicated Instance.

Wirtualne regiony połączeń

Przekierowanie

Dodatek Routing for Virtual Connect jest implementowany przy użyciu zewnętrznego protokołu BGP (eBGP) między dedykowaną instancją a urządzeniem cpE (Customer Premise Equipment). Firma Cisco będzie reklamować swoją odpowiednią sieć dla każdego nadmiarowego kontrolera domeny w danym regionie do CPE Klienta, a CPE jest wymagany do anonsowania domyślnej trasy do Cisco.

  • Cisco utrzymuje i przypisuje

    • Adresowanie IP interfejsu tunelu (łącze przejściowe do routingu) Cisco przypisuje z wyznaczonej współużytkowanej przestrzeni adresowej (niepublicznie rutowalnej)

    • Adres do wyznaczania transportu tunelowego (strona Cisco)

    • Numery prywatnych systemów autonomicznych (ASN) do konfiguracji routingu BGP klienta

      • Cisco przypisuje z wyznaczonego zakresu użytku prywatnego: Od 64512 do 65534

  • eBGP używany do wymiany tras między dedykowaną instancją a CPE

    • Cisco podzieli przypisaną sieć /24 na 2 /25 po jednej dla każdego kontrolera domeny w danym regionie

    • W Virtual Connect każda sieć /25 jest anonsowana z powrotem do CPE przez Cisco przez odpowiednie tunele VPN typu punkt-punkt (łącze przejściowe)

    • CPE musi być skonfigurowany z odpowiednimi sąsiadami eBGP. W przypadku korzystania z jednego CPE zostaną użyte dwa sąsiady eBGP, po jednym wskazującym na każdy zdalny tunel. Jeśli używasz dwóch CPE, każdy CPE będzie miał jednego sąsiada eBGP łączącego się z pojedynczym zdalnym tunelem dla CPE.

    • Strona Cisco każdego tunelu GRE (adres IP interfejsu tunelu) jest skonfigurowana jako sąsiad BGP na CPE

    • CPE jest wymagane do anonsowania trasy domyślnej nad każdym z tuneli

    • CPE jest odpowiedzialny za redystrybucję, w razie potrzeby, wyuczonych tras w sieci korporacyjnej cutomera.

  • W warunkach awarii łącza bez awarii pojedynczy CPE będzie miał dwa aktywne/aktywne tunele. W przypadku dwóch węzłów CPE każdy CPE będzie miał jeden aktywny tunel, a oba węzły CPE powinny być aktywne i przekazywać ruch. W scenariuszu bez awarii ruch musi zostać podzielony na dwa tunele prowadzące do właściwych miejsc docelowych /25, jeśli jeden z tuneli ulegnie awarii, pozostały tunel może przenosić ruch dla obu. W takim scenariuszu awarii, gdy sieć /25 jest wyłączona, sieć /24 jest używana jako trasa zapasowa. Cisco będzie wysyłać ruch klientów za pośrednictwem wewnętrznej sieci WAN do kontrolera domeny, który utracił łączność.

Przepływ ruchu wirtualnego połączenia

Przepływ ruchu, gdy oba tunele są otwarte

Dedykowana instancja – połączenie wirtualne

Na tym rysunku przedstawiono architekturę sieci Virtual Connect, szczegółowo przedstawiającą przepływ ruchu, gdy działają zarówno tunele podstawowe, jak i pomocnicze.

Reprezentuje aktywny model łączności umożliwiający klientowi dostęp do aplikacji UC hostowanych w centrach danych Cisco, wykorzystujący podwójne GRE/IPSEC tunele przez internet z protokołem BGP do wymiany tras.

Definicje:

  • Lokal klienta:
    • Reprezentuje sieć lokalną klienta, w której znajdują się użytkownicy i ich urządzenia (np. telefony IP, komputery z klientami UC).
    • Ruch pochodzący z tego miejsca musi dotrzeć do aplikacji UC hostowanych w centrach danych Cisco.
  • Centra danych Cisco Webex Calling Dedicated Instance (Dedicated Instance) (WxC-DI DC-A i WxC-DI DC-B):
    • Są to centra danych Cisco, w których znajdują się aplikacje UC.
    • DC-A i DC-B różnią się geograficznie, co zapewnia redundancję.
    • Każde centrum danych ma własną podsieć przeznaczoną dla aplikacji UC:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Tunele (Tunel 1 i Tunel 2):
    • Są to bezpieczne, szyfrowane połączenia między lokalizacją klienta i centrum danych Cisco przez publiczny Internet.
    • GRE (ogólna enkapsulacja routingu): Protokół ten służy do kapsułkowania różnych protokołów warstwy sieciowej wewnątrz wirtualnych łączy typu punkt-punkt. Umożliwia protokołom routingu takim jak BGP działanie w tunelu.
    • IPsec (bezpieczeństwo protokołu internetowego): Ten zestaw protokołów zapewnia usługi kryptograficznego bezpieczeństwa (uwierzytelnianie, integralność, poufność) dla komunikacji IP. Szyfruje ruch kapsułkowany przy użyciu protokołu GRE, zapewniając bezpieczną transmisję danych przez Internet.
  • Protokół BGP (Border Gateway Protocol):
    • BGP to protokół routingu używany do wymiany informacji o routingu pomiędzy lokalizacją klienta a centrami danych Cisco.

Jak pokazano na powyższym schemacie, urządzenia wdrożone w siedzibie klienta muszą ustanowić dwa GRE/IPSEC tunele.

Poniżej przedstawiono konwencje nazewnictwa stosowane z XX / YY, DC-A DC-B są ogólne dla wszystkich regionów, w których oferowana jest dedykowana instancja. Wartości te będą unikalne dla każdego regionu i będą rzeczywistymi wartościami dla każdego regionu. Konkretne wartości są podawane podczas aktywacji połączenia wirtualnego.

Po stronie Cisco tunele IPSec i GRE będą zakończone na różnych urządzeniach. Dlatego klient musi upewnić się, że adresy IP docelowe IPSec i GRE zostały odpowiednio skonfigurowane na urządzeniach. Klienci mogą używać tego samego adresu IP dla protokołów GRE i IPSEC, jeśli ich urządzenia go obsługują. Zobacz powyższy diagram. Wartości związane z adresem IP są podawane podczas aktywacji połączenia wirtualnego w portalu.

  • Tunel 1: Łączy siedzibę klienta z „Dedykowaną instancją DC-A” (Centrum Danych A) za pośrednictwem Internetu. Ten tunel używa protokołu BGP AS:64XX1 po stronie klienta i BGP AS:64XX2 po stronie dedykowanej instancji DC-A. Konfiguracje źródłowe tuneli IPSEC i GRE są podzielone na dane dostarczone przez klienta i dane dostarczone przez firmę Cisco.
  • Tunel 2: Łączy siedzibę klienta z „Dedykowaną instancją DC-B” (Centrum Danych B) za pośrednictwem Internetu. Ten tunel używa protokołu BGP AS:64YY1 po stronie klienta i BGP AS:64YY2 po stronie dedykowanej instancji DC-B. Podobnie jak w przypadku tunelu 1, konfiguracje źródłowe tuneli IPSEC i GRE są współdzielone przez klienta i firmę Cisco.

W BGP AS:64XX i BGP AS:64YY, XX i YY są specyficzne dla konkretnego regionu.

Kiedy GRE/IPSEC tunele są ustanawiane do centrów danych Webex Calling Dedicated Instance (A i B), klient powinien otrzymać następujące trasy reklamowane przez Cisco w ramach odpowiednich sesji BGP.

  • Dla DC-A: Trasy reklamowane przez Cisco będą X.X.X.0/25 I X.X.x.0/24. Opcjonalnie, jeśli IaaS jest wymagane i skonfigurowane dla tras klienta Y.Y.Y.0/25 I Y.Y.Y.0/24 będzie reklamowany przez Cisco.
  • Dla DC-B: Trasy reklamowane przez Cisco będą X.X.X.128/25 I X.X.x.0/24. Opcjonalnie, jeśli IaaS jest wymagane i skonfigurowane dla tras klienta Y.Y.Y.128/25 I Y.Y.Y.0/24 będzie reklamowany przez Cisco.
  • Klient musi reklamować 0.0.0./0 trasa do Cisco przez oba połączenia (tunele)
  • Klient musi zastosować najdłuższy prefiks (/25) trasy przesyłania ruchu do Cisco przez odpowiednie tunele, gdy oba tunele są otwarte.
  • Cisco przywróci ruch przez te same tunele, aby zachować symetrię ruchu.

Przepływ ruchu:

  • Ruch przeznaczony dla aplikacji „DC-A UC” (X.X.X.0/25) z terenu klienta przepływa przez Tunel 1.
  • Ruch przeznaczony dla aplikacji „DC-B UC” (X.X.X.128/25) z terenu klienta przepływa przez Tunel 2.

Scenariusz przełączenia awaryjnego : przepływ ruchu, gdy jeden z tuneli jest zamknięty

Dedykowana instancja – połączenie wirtualne

Jak pokazano na powyższym diagramie, gdy tunel do DC-A zostanie zamknięty, protokół BGP ustanowiony w tunelu do DC-A zostanie wyłączony.

Wpływ na BGP: Gdy tunel 1 ulegnie awarii, sesja BGP w tym tunelu także zostanie zerwana. W związku z tym DC-A nie będzie już mogła reklamować swoich tras (w szczególności X.X.X.0/25) do klienta tą ścieżką. W związku z tym router klienta wykryje ścieżkę jako nieosiągalną.

Ponieważ tunel 1 nie działa, router klienta w siedzibie klienta automatycznie usunie trasy poznane za pośrednictwem tunelu 1 ze swojej tabeli trasowania lub oznaczy je jako nieosiągalne.

  • Ruch przeznaczony dla sieci UC App Network (X.X.X.0/24) lub podsieci DC-A (X.X.X.0/25) zostanie następnie przekierowany przez działający tunel w kierunku DC-B, który nadal będzie reklamował X.X.X.0/24 który obejmuje X.X.X.0/25 sieć.
  • Podobne zachowanie będzie miało miejsce, gdy tunel do DC-B będzie wyłączony, a tunel do DC-A będzie nadal aktywny.

Proces łączności

Poniższe kroki wysokiego poziomu opisują sposób nawiązywania łączności z połączeniem wirtualnym dla wystąpienia dedykowanego.
1

Złóż zamówienie w Cisco CCW

2

Aktywowanie funkcji Virtual Connect z poziomu control Hub

3

Cisco przeprowadza konfigurację sieci

4

Klient wykonuje konfigurację sieci

Krok 1: Zamówienie CCW

Virtual Connect to dodatek do dedykowanej instancji w CCW.

1

Przejdź do witryny zamawiania CCW, a następnie kliknij przycisk Zaloguj się, aby zalogować się na stronie:

https://apps.cisco.com/Commerce/guest.
2

Utwórz oszacowanie.

3

Dodaj jednostkę SKU "A-FLEX-3".

4

Wybierz pozycję Edytuj opcje.

5

Na wyświetlonej karcie subskrypcji wybierz pozycję Opcje i dodatki.

6

W obszarze Dodatkowe dodatki zaznacz pole wyboru "Połączenie wirtualne dla dedykowanego wystąpienia". Nazwa SKU to "A-FLEX-DI-VC".

7

Wprowadź liczbę regionów, w których wymagane jest połączenie wirtualne.

Liczba połączeń wirtualnych nie powinna przekraczać całkowitej liczby regionów zakupionych dla dedykowanego wystąpienia. Ponadto dozwolone jest tylko jedno zamówienie połączenia wirtualnego w danym regionie.
8

Gdy wybór będzie zadowalający, kliknij przycisk Zweryfikuj i zapisz w prawej górnej części strony.

9

Kliknij Zapisz i kontynuuj, aby sfinalizować zamówienie. Sfinalizowane zamówienie jest teraz umieszczane w siatce zamówień.

Krok 2: Aktywacja funkcji Virtual Connect w centrum sterowania

1

Zaloguj się do centrum sterowania https://admin.webex.com/login.

2

W sekcji Usługi przejdź do sekcji Calling > Dedicated Instacnce > Cloud Connectivity .

3

Na karcie Virtual Connect jest wyświetlana zakupiona ilość Virtual Connect. Administrator może teraz kliknąć Aktywuj , aby zainicjować aktywację Virtual Connect.

Proces aktywacji może być wyzwalany tylko przez administratorów z rolą "Pełny administrator klienta". Natomiast administrator z rolą "Administrator tylko do odczytu klienta" może tylko wyświetlić stan.
4

Po kliknięciu przycisku Aktywuj formularz Aktywuj połączenie wirtualne zostanie wyświetlony, aby administrator mógł podać szczegóły techniczne połączenia wirtualnego wymagane dla konfiguracji komunikacji równorzędnej po stronie Cisco.

Formularz zawiera również informacje statyczne po stronie Cisco, w oparciu o wybrany region. Te informacje będą przydatne dla administratorów Klienta do skonfigurowania CPE po ich stronie w celu ustanowienia Łączności.

  1. Adres IP transportu tunelu GRE: Klient jest zobowiązany do podania adresów IP transportu tunelowego po stronie klienta, a Cisco dynamicznie przydzieli adresy IP po zakończeniu aktywacji. Lista ACL PROTOKOŁU IPSec dla interesującego ruchu powinna zezwalać na lokalny transport tunelowy IP/32 do zdalnego transportu tunelowego IP/32. Lista ACL powinna również określać tylko protokół GRE IP.

    Adres IP podany przez klienta może być prywatny lub publiczny.

  2. Rówieśnicy IPSec: Klient jest zobowiązany do podania źródłowych adresów IP Tunel IPSec, a Cisco przydziela docelowy adres IPSec. W razie potrzeby obsługiwane jest również translowanie wewnętrznego adresu tunelu IPSEC na adres publiczny na translację NAT.

    Adres IP podany przez klienta powinien być publiczny.

    Wszystkie inne informacje statyczne podane na ekranie aktywacji to standardy bezpieczeństwa i szyfrowania po stronie Cisco. Tej konfiguracji statycznej nie można dostosowywać ani modyfikować. Aby uzyskać dalszą pomoc dotyczącą konfiguracji statycznych po stronie Cisco, klient musiałby skontaktować się z TAC.
5

Kliknij przycisk Aktywuj po wypełnieniu wszystkich obowiązkowych pól.

6

Po wypełnieniu formularza Aktywacja połączenia wirtualnego dla regionu częściowego klient może wyeksportować formularz aktywacyjny z Centrum sterowania, wywoływania > dedykowanego wystąpienia > kartę Łączność z chmurą i kliknąć ustawienia eksportu.

Ze względów bezpieczeństwa uwierzytelnianie i hasło BGP nie będą dostępne w eksportowanym dokumencie, ale administrator może je wyświetlić w Control Hub, klikając Wyświetl ustawienia w Control Hub, Wywołanie > Dedykowana instancja > Karta Łączność w chmurze.

Krok 3: Cisco przeprowadza konfigurację sieci

1

Po wypełnieniu formularza aktywacji połączenia wirtualnego stan zostanie zaktualizowany do Trwa aktywacja w wywołaniu > dedykowanego wystąpienia > karty Virtual Connect Łączności z chmurą.

2

Firma Cisco wykona wymaganą konfigurację sprzętu po stronie Cisco w ciągu 5 dni roboczych. Po pomyślnym zakończeniu stan zostanie zaktualizowany do "Aktywowany" dla tego konkretnego regionu w centrum sterowania.

Krok 4: Klient wykonuje konfigurację sieci

Status zostaje zmieniony na "Aktywowany", aby powiadomić administratora Klienta, że konfiguracja Cisco dla łączności IP VPN została ukończona na podstawie danych wejściowych dostarczonych przez Klienta. Oczekuje się jednak, że administrator klienta ukończy konfiguracje w CPE i przetestuje trasy łączności dla tunelu Virtual Connect, aby był w trybie online. W przypadku jakichkolwiek problemów napotkanych podczas konfiguracji lub łączności, klient może skontaktować się z Cisco TAC w celu uzyskania pomocy.

Rozwiązywanie problemów

Rozwiązywanie problemów i walidacja pierwszej fazy protokołu IPsec (negocjacja IKEv2)

Negocjacje tunelu IPsec składają się z dwóch faz: fazy IKEv2 i fazy IPsec. Jeżeli negocjacja fazy IKEv2 nie zostanie zakończona, druga faza IPsec nie zostanie zainicjowana. Najpierw należy wydać polecenie „show crypto ikev2 sa” (w przypadku sprzętu Cisco) lub podobne polecenie w przypadku sprzętu innej firmy, aby sprawdzić, czy sesja IKEv2 jest aktywna. Jeżeli sesja IKEv2 nie jest aktywna, potencjalnymi przyczynami mogą być:

  • Interesujący ruch nie uruchamia tunelu IPsec.

  • Lista dostępu tunelu IPsec jest nieprawidłowo skonfigurowana.

  • Nie ma połączenia między klientem a punktem końcowym tunelu IPsec dedykowanej instancji.

  • Parametry sesji IKEv2 nie są zgodne między stroną dedykowanej instancji a stroną klienta.

  • Zapora sieciowa blokuje pakiety IKEv2 UDP.

Najpierw sprawdź logi IPsec pod kątem komunikatów pokazujących postęp negocjacji tunelu IKEv2. Dzienniki mogą wskazywać, gdzie wystąpił problem z negocjacją protokołu IKEv2. Brak komunikatów dziennika może również wskazywać, że sesja IKEv2 nie jest aktywowana.

Oto niektóre typowe błędy w negocjacjach IKEv2:

  • Ustawienia protokołu IKEv2 po stronie CPE nie są zgodne z ustawieniami Cisco. Sprawdź ponownie podane ustawienia:

    • Sprawdź, czy wersja IKE to wersja 2.

    • Sprawdź, czy parametry szyfrowania i uwierzytelniania odpowiadają oczekiwanemu szyfrowaniu po stronie dedykowanej instancji.

      Gdy używany jest szyfr „GCM”, uwierzytelnianiem zajmuje się protokół GCM, który ustawia parametr uwierzytelniania na wartość NULL.

    • Sprawdź ustawienia czasu życia.

    • Sprawdź grupę modułów Diffiego-Helmana.

    • Sprawdź ustawienia funkcji pseudolosowej.

  • Lista dostępu dla mapy kryptograficznej nie jest ustawiona na:

    • Zezwól na GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (lub równoważne polecenie)

      Lista dostępu musi być przeznaczona specjalnie dla protokołu „GRE”, a protokół „IP” nie będzie działać.

Jeśli komunikaty dziennika nie wskazują na żadną aktywność negocjacyjną dla fazy IKEv2, może być konieczne przechwycenie pakietu.

Dedykowana strona instancji nie zawsze rozpoczyna wymianę IKEv2 i czasami może oczekiwać, że inicjatorem będzie strona CPE klienta.

Sprawdź konfigurację po stronie CPE pod kątem następujących wymagań wstępnych dla inicjacji sesji IKEv2:

  • Sprawdź listę dostępu szyfrowanego IPsec dla ruchu GRE (protokół 50) z adresu IP transportu tunelu CPE do adresu IP transportu tunelu dedykowanej instancji.

  • Upewnij się, że interfejs tunelu GRE jest włączony dla funkcji keepalive GRE. Jeśli urządzenie nie obsługuje funkcji keepalive GRE, firma Cisco zostanie o tym powiadomiona, ponieważ funkcja keepalive GRE będzie domyślnie włączona po stronie dedykowanej instancji.

  • Upewnij się, że protokół BGP jest włączony i skonfigurowany przy użyciu adresu sąsiada tunelu IP instancji dedykowanej.

Po prawidłowej konfiguracji rozpoczyna się tunel IPsec i pierwsza faza negocjacji IKEv2:

  • Komunikacja GRE odbywa się z interfejsu tunelu GRE po stronie CPE do interfejsu tunelu GRE po stronie dedykowanej instancji.

  • Sesja TCP sąsiada BGP od sąsiada BGP strony CPE do sąsiada BGP strony dedykowanej instancji.

  • Wykonaj polecenie ping z adresu IP tunelu bocznego CPE na adres IP tunelu bocznego instancji dedykowanej.

    Polecenie ping nie może być protokołem IP transportu tunelowego do IP transportu tunelowego, musi być protokołem IP tunelu do IP tunelu.

Jeśli dla ruchu IKEv2 potrzebny jest ślad pakietów, należy ustawić filtr dla protokołu UDP i portu 500 (gdy pomiędzy punktami końcowymi IPsec nie znajduje się żadne urządzenie NAT) lub portu 4500 (gdy pomiędzy punktami końcowymi IPsec znajduje się urządzenie NAT).

Sprawdź, czy pakiety IKEv2 UDP z portem 500 lub 4500 są wysyłane i odbierane do i z adresu IP DI IPsec.

Centrum danych instancji dedykowanej nie zawsze rozpoczyna wysyłkę pierwszego pakietu IKEv2. Wymaganiem jest, aby urządzenie CPE było w stanie zainicjować pierwszy pakiet IKEv2 w kierunku dedykowanej instancji.

Jeśli lokalna zapora sieciowa na to pozwala, spróbuj także wysłać polecenie ping do zdalnego adresu IPsec. Jeśli próba pingowania z lokalnego na zdalny adres IPsec nie powiedzie się, należy wykonać śledzenie trasy, aby ustalić, gdzie pakiet został porzucony.

Niektóre zapory sieciowe i urządzenia internetowe mogą nie pozwalać na śledzenie trasy.

Rozwiązywanie problemów i walidacja drugiej fazy protokołu IPsec (negocjacje IPsec)

Przed przystąpieniem do rozwiązywania problemów z drugą fazą protokołu IPsec należy sprawdzić, czy pierwsza faza protokołu IPsec (czyli skojarzenie zabezpieczeń IKEv2) jest aktywna. Wykonaj polecenie „show crypto ikev2 sa” lub podobne, aby zweryfikować sesję IKEv2. W wynikach sprawdź, czy sesja IKEv2 trwa dłużej niż kilka sekund i nie jest przerywana. Czas aktywności sesji jest wyświetlany w wynikach jako „Czas aktywności” sesji lub jego odpowiednik.

Gdy sesja IKEv2 zostanie zweryfikowana i uznana za aktywną, należy zbadać sesję IPsec. Podobnie jak w przypadku sesji IKEv2, należy wykonać polecenie „show crypto ipsec sa” lub podobne, aby zweryfikować sesję IPsec. Przed zestawieniem tunelu GRE muszą być aktywne sesje IKEv2 i IPsec. Jeśli sesja IPsec nie jest wyświetlana jako aktywna, sprawdź dzienniki IPsec pod kątem komunikatów o błędach lub błędów negocjacji.

Podczas negocjacji IPsec można napotkać następujące problemy:

Ustawienia po stronie CPE nie odpowiadają ustawieniom po stronie instancji dedykowanej. Sprawdź ponownie ustawienia:

  • Sprawdź, czy parametry szyfrowania i uwierzytelniania odpowiadają ustawieniom po stronie instancji dedykowanej.

  • Sprawdź ustawienia Perfect Forward Secrecy i upewnij się, że odpowiadają one ustawieniom po stronie dedykowanej instancji.

  • Sprawdź ustawienia czasu życia.

  • Sprawdź, czy protokół IPsec został skonfigurowany w trybie tunelowym.

  • Sprawdź adresy IPsec źródłowe i docelowe.

Rozwiązywanie problemów i walidacja interfejsu tunelowego

Gdy sesje IPsec i IKEv2 zostaną zweryfikowane jako działające i aktywne, pakiety podtrzymujące aktywność tunelu GRE będą mogły przepływać między punktami końcowymi tunelu dedykowanej instancji i CPE. Jeśli interfejs tunelu nie wyświetla swojego statusu, oto kilka typowych problemów:

  • Transmisja VRF interfejsu tunelowego nie jest zgodna z transmisją VRF interfejsu pętli zwrotnej (jeśli w interfejsie tunelowym używana jest konfiguracja VRF).

    Jeśli konfiguracja VRF nie jest używana w interfejsie tunelowym, to sprawdzenie można zignorować.

  • Keepalive nie są włączone na interfejsie tunelu bocznego CPE

    Jeśli urządzenia CPE nie obsługują funkcji keepalive, należy powiadomić firmę Cisco, aby wyłączyła domyślne funkcje keepalive również po stronie instancji dedykowanej.

    Jeśli funkcja keepalives jest obsługiwana, sprawdź, czy funkcja keepalives jest włączona.

  • Maska lub adres IP interfejsu tunelu są niepoprawne i nie odpowiadają oczekiwanym wartościom instancji dedykowanej.

  • Adres transportowy tunelu źródłowego lub docelowego jest niepoprawny i nie odpowiada oczekiwanym wartościom instancji dedykowanej.

  • Zapora sieciowa blokuje pakiety GRE, uniemożliwiając ich wysyłanie do tunelu IPsec lub odbieranie z tunelu IPsec (tunel GRE jest przesyłany przez tunel IPsec).

Test ping powinien sprawdzić, czy lokalny interfejs tunelowy działa i czy łączność ze zdalnym interfejsem tunelowym jest prawidłowa. Wykonaj sprawdzenie pingowania z adresu IP tunelu (nie adresu IP transportu) do adresu IP zdalnego tunelu.

Lista dostępu kryptograficznego dla tunelu IPsec, który przenosi ruch tunelu GRE, zezwala wyłącznie na przechodzenie pakietów GRE. W rezultacie pingi nie będą działać z adresu IP transportu tunelowego do zdalnego adresu IP transportu tunelowego.

Sprawdzenie pingiem skutkuje wygenerowaniem pakietu GRE z adresu IP transportu tunelu źródłowego do adresu IP transportu tunelu docelowego, podczas gdy treść pakietu GRE (wewnętrzny adres IP) będzie adresem IP tunelu źródłowego i docelowego.

Jeśli test pingowania zakończy się niepowodzeniem, a poprzednie elementy zostaną zweryfikowane, konieczne może okazać się przechwycenie pakietu w celu upewnienia się, że pingowanie protokołu ICMP skutkuje pakietem GRE, który następnie jest kapsułkowany w pakiecie IPsec i wysyłany ze źródłowego adresu IPsec na docelowy adres IPsec. Liczniki na interfejsie tunelu GRE i liczniki sesji IPsec mogą również pomóc w ustaleniu, czy liczba wysyłanych i odbieranych pakietów wzrasta.

Oprócz ruchu ping, przechwytywanie powinno także pokazywać pakiety GRE podtrzymujące aktywność, nawet podczas bezczynności. Na koniec, jeśli skonfigurowano protokół BGP, pakiety BGP keepalive powinny być również wysyłane przez sieć VPN jako pakiety GRE kapsułkowane w pakietach IPSEC.

Rozwiązywanie problemów i walidacja protokołu BGP

Sesje BGP

BGP jest wymagany jako protokół routingu w tunelu VPN IPsec. Lokalny sąsiad BGP powinien nawiązać sesję eBGP z sąsiadem BGP o dedykowanej instancji. Adresy IP sąsiadów eBGP są takie same jak adresy IP tunelu lokalnego i zdalnego. Najpierw upewnij się, że sesja BGP jest aktywna, a następnie zweryfikuj, czy z instancji dedykowanej odbierane są prawidłowe trasy i czy do instancji dedykowanej wysyłana jest prawidłowa trasa domyślna.

Jeśli tunel GRE jest aktywny, sprawdź, czy próba pingowania pomiędzy lokalnym i zdalnym adresem IP tunelu GRE zakończyła się pomyślnie. Jeśli ping zakończy się powodzeniem, ale sesja BGP nie zostanie nawiązana, należy sprawdzić dziennik BGP w celu znalezienia błędów nawiązywania połączenia BGP.

Do najczęstszych problemów negocjacji BGP należą:

  • Numer zdalnego systemu AS nie zgadza się z numerem systemu AS skonfigurowanym po stronie dedykowanej instancji. Sprawdź ponownie konfigurację sąsiedniego systemu AS.

  • Numer lokalnego systemu autonomicznego (AS) nie odpowiada oczekiwaniom strony dedykowanej instancji. Sprawdź, czy numer lokalnego systemu autonomicznego (AS) odpowiada oczekiwanym parametrom dedykowanej instancji.

  • Zapora sieciowa blokuje pakiety BGP TCP zawarte w pakietach GRE, uniemożliwiając ich wysyłanie do tunelu IPsec lub odbieranie z tunelu IPSEC

  • Adres IP zdalnego sąsiada BGP nie pasuje do adresu IP zdalnego tunelu GRE.

Wymiana tras BGP

Po zweryfikowaniu sesji BGP dla obu tuneli należy upewnić się, że po stronie instancji dedykowanej wysyłane i odbierane są właściwe trasy.

Rozwiązanie dedykowanej instancji VPN oczekuje utworzenia dwóch tuneli z customer/partner strona. Pierwszy tunel wskazuje na centrum danych instancji dedykowanej A, a drugi tunel wskazuje na centrum danych instancji dedykowanej B. Oba tunele muszą być w stanie aktywnym, a rozwiązanie wymaga active/active zastosowanie. Każde centrum danych dedykowanej instancji będzie reklamować swoją lokalizację /25 trasa, jak również /24 trasa zapasowa. Sprawdzając przychodzące trasy BGP z instancji dedykowanej, upewnij się, że sesja BGP powiązana z tunelem wskazującym na centrum danych instancji dedykowanej A odbiera dane z centrum danych instancji dedykowanej A /25 trasa lokalna, jak również /24 trasa zapasowa. Ponadto należy upewnić się, że tunel wskazujący na centrum danych instancji dedykowanej B odbiera centrum danych instancji dedykowanej B /25 trasa lokalna, jak również /24 trasa zapasowa. Należy pamiętać, że /24 trasa zapasowa będzie tą samą trasą, która jest reklamowana z centrum danych instancji dedykowanej A i centrum danych instancji dedykowanej B.

W przypadku awarii interfejsu tunelowego do centrum danych dedykowanej instancji zapewniona jest redundancja. W przypadku utraty łączności z centrum danych instancji dedykowanej A ruch zostanie przekierowany z centrum danych instancji dedykowanej B do centrum danych A. W tym scenariuszu tunel do centrum danych B będzie korzystał z centrum danych B /25 trasa do wysyłania ruchu do centrum danych B i tunel do centrum danych B będą korzystać z zapasowego /24 trasa przesyłania ruchu do centrum danych A przez centrum danych B.

Ważne jest, aby gdy oba tunele są aktywne, tunel centrum danych A nie był używany do przesyłania ruchu do centrum danych B i odwrotnie. W tym scenariuszu, jeśli ruch jest wysyłany do centrum danych A, a miejscem docelowym jest centrum danych B, centrum danych A przekaże ruch do centrum danych B, a następnie centrum danych B spróbuje odesłać ruch z powrotem do źródła przez tunel centrum danych B. Spowoduje to nieoptymalne trasowanie i może także uniemożliwić ruch przechodzący przez zapory sieciowe. Dlatego ważne jest, aby oba tunele znajdowały się w active/active Konfiguracja podczas normalnej pracy.

Ten 0.0.0.0/0 trasa musi zostać ogłoszona od strony klienta do strony centrum danych instancji dedykowanej. Bardziej szczegółowe trasy nie będą akceptowane przez instancję dedykowaną. Upewnij się, że 0.0.0.0/0 trasa jest reklamowana zarówno z tunelu centrum danych instancji dedykowanej A, jak i tunelu centrum danych instancji dedykowanej B.

Konfiguracja MTU

Po stronie instancji dedykowanych włączone są dwie funkcje umożliwiające dynamiczne dostosowywanie MTU w przypadku dużych rozmiarów pakietów. Tunel GRE dodaje więcej nagłówków do pakietów IP przesyłanych przez sesję VPN. Tunel IPsec dodaje dodatkowe nagłówki na szczycie nagłówków GRE, co jeszcze bardziej zmniejszy największą dopuszczalną wartość MTU w tunelu.

Tunel GRE dostosowuje funkcję MSS, a ścieżka tunelu GRE w funkcji wykrywania MTU jest włączona po stronie instancji dedykowanej. Skonfiguruj polecenie „ip tcp adjust-mss 1350” lub podobne, a także „tunnel” path\u0002mtu-discovery" lub równoważne polecenie po stronie klienta, które pomoże w dynamicznym dostosowywaniu MTU ruchu przez tunel VPN.