Introducere

Virtual Connect este o opțiune suplimentară pentru conectivitate în cloud la o instanță dedicată pentru apelarea Webex (instanță dedicată). Virtual Connect le permite Clienților să-și extindă în siguranță rețeaua privată prin internet folosind tuneluri VPN IP punct la punct. Această opțiune de conectivitate oferă o stabilire rapidă a conexiunii la rețeaua privată prin utilizarea echipamentului clientului existent (CPE) și a conexiunii la internet.

Cisco găzduiește, gestionează și asigură tuneluri IP VPN redundante și accesul la Internet necesar în regiunile centrelor de date Cisco pentru Instanță Dedicată, unde este necesar serviciul. În mod similar, Administratorul este responsabil pentru CPE și serviciile de Internet corespunzătoare, care sunt necesare pentru stabilirea Virtual Connect.

Fiecare comandă de Virtual Connect dintr-o anumită regiune de Instanță Dedicată ar include două tuneluri de încapsulare de rutare generică (GRE) protejate prin criptare IPSec (GRE peste IPSec), câte unul către fiecare centru de date Cisco din Regiunea selectată.

Virtual Connect are o limită de lățime de bandă de 250 Mbps per tunel și este recomandată pentru implementări mai mici. Deoarece sunt utilizate două tuneluri VPN punct-la-punct, tot traficul către cloud trebuie să treacă prin CPE headend-ul clientului și, prin urmare, este posibil să nu fie potrivit acolo unde există o mulțime de site-uri la distanță. Pentru alte opțiuni alternative de peering, consultați Conectivitate în cloud.

Înainte de a trimite solicitarea de peering pentru Virtual Connect, asigurați-vă că serviciul Dedicated Instance este activat în regiunea respectivă.

Cerințe preliminare

Condițiile preliminare pentru stabilirea Virtual Connect includ:

  • Clientul oferă

    • Conexiune la internet cu suficientă lățime de bandă disponibilă pentru a sprijini implementarea

    • Adresă(e) IP publică pentru două tuneluri IPSec

    • Adresele IP de transport GRE din partea clientului pentru cele două tuneluri GRE

  • Partener și Client

    • Lucrați împreună pentru a evalua cerințele de lățime de bandă

    • Asigurați-vă că dispozitivele de rețea acceptă rutarea Border Gateway Protocol (BGP) și un design de tunel GRE peste IPSec

  • Partenerul sau Clientul oferă

    • Echipa de rețea cu cunoștințe despre tehnologiile de tunel VPN de la site la site

    • Echipa de rețea cu cunoștințe despre BGP, eBGP și principiile generale de rutare

  • Cisco

    • Cisco a atribuit numere private de sistem autonome (ASN) și adrese IP tranzitorii pentru interfețele tunelului GRE

    • Cisco a atribuit o rețea publică de clasă C (/24) care nu poate fi rutată pe Internet pentru adresarea în cloud de instanță dedicată

Dacă un client are doar 1 dispozitiv CPE, atunci cele 2 tuneluri către centrele de date Cisco (DC1 și DC2) din fiecare regiune vor fi de la acel dispozitiv CPE. Clientul are, de asemenea, o opțiune pentru 2 dispozitive CPE, apoi fiecare dispozitiv CPE ar trebui să se conecteze la un singur tunel către centrele de date Cisco (DC1 și DC2) din fiecare regiune. Redundanța suplimentară poate fi obținută prin terminarea fiecărui tunel într-un loc/locație fizică separată din infrastructura Clientului.

Detalii tehnice

Model de implementare

Virtual Connect utilizează o arhitectură de tip headend cu două niveluri, în care planurile de rutare și control GRE sunt furnizate de un dispozitiv, iar planul de control IPSec este furnizat de altul.

La finalizarea conexiunii Virtual Connect, vor fi create două tuneluri GRE prin IPSec între rețeaua de întreprindere a Clientului și centrele de date Cisco pentru Instanță Dedicată. Câte unul pentru fiecare centru de date redundant din regiunea respectivă. Elementele de rețea suplimentare necesare pentru peering sunt schimbate de partener sau client către Cisco prin intermediul formularului de activare Control Hub Virtual Connect.

Figura de mai jos prezintă un exemplu de model de implementare Virtual Connect pentru opțiunea cu 2 concentratoare pe partea clientului.

Virtual Connect - VPN este un design Hub, în care Site-urile Hub ale Clientului sunt conectate la DC1 și DC2 ale centrelor de date ale Instanței Dedicate dintr-o anumită regiune.

Două site-uri Hub sunt recomandate pentru o mai bună redundanță, dar site-ul One Hub cu două tuneluri este, de asemenea, un model de implementare acceptat.

Lățimea de bandă per tunel este limitată la 250 Mbps. Pentru a asigura o reluare eficientă a rețelei, traficul combinat din ambele tuneluri nu trebuie să depășească 250 Mbps, deoarece tot traficul va fi direcționat printr-un singur tunel în cazul unei defecțiuni.

Site-urile de la distanță ale Clientului din aceeași regiune ar trebui să se conecteze înapoi la site-urile Hub prin WAN-ul Clientului și nu este responsabilitatea Cisco pentru acea conectivitate.

Partenerii sunt așteptați să colaboreze îndeaproape cu Clienții, asigurându-se că este aleasă cea mai optimă cale pentru regiunea de servicii Virtual Connect.

Figura de mai jos prezintă regiunile de peering pentru conectivitatea în cloud a Instanțelor Dedicate.

Regiuni de conectare virtuală

Redirecționare

Suplimentul de rutare pentru Virtual Connect este implementat folosind BGP extern (eBGP) între Instanța Dedicată și Echipamentul Clientului (CPE). Cisco își va face publicitate rețelei respective pentru fiecare DC redundant dintr-o regiune către CPE-ul Clientului, iar CPE-ul trebuie să facă publicitate unei rute implicite către Cisco.

  • Cisco întreține și atribuie

    • Adresarea IP a interfeței de tunel (legătură tranzitorie pentru rutare) Cisco alocă dintr-un spațiu de adresă partajat desemnat (nedirecționabil public)

    • Adresa de destinație a transportului în tunel (partea Cisco)

    • Numere private de sistem autonom (ASN) pentru configurația de rutare BGP a clientului

      • Cisco atribuie din intervalul de utilizare privat desemnat: 64512 până la 65534

  • eBGP folosit pentru a schimba rute între Instanța Dedicată și CPE

    • Cisco va împărți rețeaua /24 alocată în 2/25 câte una pentru fiecare DC din regiunea respectivă

    • În Virtual Connect, fiecare rețea /25 este anunțată înapoi către CPE de către Cisco prin tunelurile VPN punct la punct respective (legătură tranzitorie)

    • CPE trebuie configurat cu vecinii eBGP corespunzători. Dacă se utilizează un CPE, vor fi folosiți doi vecini eBGP, unul indicând fiecare tunel la distanță. Dacă utilizați două CPE, atunci fiecare CPE va avea un vecin eBGP care se adresează unui singur tunel la distanță pentru CPE.

    • Partea Cisco a fiecărui tunel GRE (IP interfață de tunel) este configurată ca vecin BGP pe CPE

    • CPE este necesar pentru a face publicitate unei rute implicite peste fiecare dintre tuneluri

    • CPE este responsabil pentru redistribuirea, după cum este necesar, a rutelor învățate în cadrul rețelei de întreprindere a clientului.

  • În condiția de eroare a legăturii fără eșec, un singur CPE va avea două tuneluri active/active. Pentru două noduri CPE, fiecare CPE va avea un tunel activ și ambele noduri CPE ar trebui să fie active și să treacă trafic. În scenariul de non-eșec, traficul trebuie să fie împărțit în două tuneluri care merg către destinațiile corecte /25, dacă unul dintre tuneluri scade, tunelul rămas poate transporta traficul pentru ambele. Într-un astfel de scenariu de eșec, când rețeaua /25 este oprită, atunci rețeaua /24 este utilizată ca rută de rezervă. Cisco va trimite traficul clienților prin WAN-ul său intern către DC care și-a pierdut conectivitatea.

Flux de trafic de conectare virtuală

Fluxul traficului când ambele tuneluri sunt deschise

Instanță dedicată - Conexiune virtuală

Această imagine ilustrează o arhitectură de rețea Virtual Connect, detaliind fluxul de trafic atunci când tunelurile principale și secundare sunt operaționale.

Reprezintă un model de conectivitate activă pentru ca un client să acceseze aplicațiile UC găzduite în centrele de date Cisco, valorificând dual... GRE/IPSEC tuneluri prin internet cu BGP pentru schimb de rute.

Definiții:

  • Spațiul clientului:
    • Aceasta reprezintă rețeaua la fața locului a clientului, unde se află utilizatorii și dispozitivele acestora (de exemplu, telefoane IP, computere care rulează clienți UC).
    • Traficul care provine de aici trebuie să ajungă la aplicațiile UC găzduite în centrele de date Cisco.
  • Centre de date Cisco Webex Calling Dedicated Instance (Instanță dedicată) (WxC-DI DC-A și WxC-DI DC-B):
    • Acestea sunt centrele de date Cisco care găzduiesc aplicațiile UC.
    • DC-A și DC-B sunt distincte geografic, oferind redundanță.
    • Fiecare centru de date are propria subrețea pentru aplicațiile UC:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Tuneluri (Tunelul 1 și Tunelul 2):
    • Acestea sunt conexiunile securizate, criptate, dintre sediul clientului și centrul de date Cisco prin internetul public.
    • GRE (Încapsulare generică de rutare): Acest protocol este utilizat pentru a încapsula diverse protocoale de nivel de rețea în legături virtuale punct-la-punct. Permite protocoalelor de rutare precum BGP să opereze prin tunel.
    • IPsec (Securitatea protocolului Internet): Această suită de protocoale oferă servicii de securitate criptografică (autentificare, integritate, confidențialitate) pentru comunicațiile IP. Criptează traficul încapsulat în GRE, asigurând transmiterea securizată a datelor pe internet.
  • Protocolul de trecere a frontierei (BGP):
    • BGP este protocolul de rutare utilizat pentru schimbul de informații de rutare între sediul clientului și centrele de date Cisco.

Așa cum se arată în diagrama de mai sus, dispozitivele implementate la sediul clientului trebuie să stabilească două GRE/IPSEC tuneluri.

Convențiile de denumire utilizate mai jos cu XX / YY, DC-A și DC-B sunt generice pentru toate regiunile în care este oferită o instanță dedicată. Aceste valori vor fi unice pentru fiecare regiune și vor fi valorile reale pentru fiecare regiune. Valorile specifice sunt furnizate în timpul activării conexiunii virtuale.

Pe partea Cisco, tunelurile IPSec și GRE vor fi terminate pe dispozitive diferite. Așadar, clientul trebuie să se asigure că configurează în mod corespunzător destinațiile IPSec și adresele IP de destinație GRE pe dispozitive. Clienții pot utiliza aceeași adresă IP pentru GRE și IPSEC dacă este compatibilă cu dispozitivele lor. Consultați diagrama de mai sus. Valorile legate de IP sunt furnizate în timpul activării conexiunii virtuale pe portal.

  • Tunel 1: Conectează sediul clientului la „Instanța dedicată DC-A” (Centrul de date A) prin intermediul internetului. Acest tunel folosește BGP AS:64XX1 din partea clientului și BGP AS:64XX2 pe partea instanței dedicate DC-A. Configurațiile sursei tunelurilor IPSEC și GRE sunt împărțite între detaliile furnizate de client și cele furnizate de Cisco.
  • Tunel 2: Conectează sediul clientului la „Instanța dedicată DC-B” (Centrul de date B) prin intermediul internetului. Acest tunel folosește BGP AS:64YY1 din partea clientului și BGP AS:64YY2 pe partea instanței dedicate DC-B. La fel ca în cazul Tunelului 1, configurațiile sursă ale tunelurilor IPSEC și GRE sunt partajate între client și Cisco.

În BGP AS:64XX și BGP AS:64YY, XX și YY sunt specifice unei anumite regiuni.

Odată ce GRE/IPSEC Dacă sunt stabilite tuneluri către centrele de date Webex Calling Dedicated Instance (A și B), clientul ar trebui să primească următoarele rute anunțate de Cisco prin sesiunile BGP corespunzătoare.

  • Pentru DC-A: Rutele anunțate de Cisco vor fi X.X.X.0/25 şi X.X.x.0/24. Opțional dacă IaaS este solicitat și configurat pentru rutele clientului Y.Y.Y.0/25 şi Y.Y.Y.0/24 va fi promovat de Cisco.
  • Pentru DC-B: Rutele anunțate de Cisco vor fi X.X.X.128/25 şi X.X.x.0/24. Opțional dacă IaaS este solicitat și configurat pentru rutele clientului Y.Y.Y.128/25 şi Y.Y.Y.0/24 va fi promovat de Cisco.
  • Clientul trebuie să facă publicitate 0.0.0./0 ruta către Cisco prin ambele conexiuni (tuneluri)
  • Clientul trebuie să urmeze cel mai lung prefix (/25) rute pentru a trimite traficul către Cisco prin tunelurile respective atunci când ambele tuneluri sunt active.
  • Cisco va returna traficul prin aceleași tuneluri pentru a menține traficul simetric.

Fluxul traficului:

  • Trafic destinat „aplicațiilor UC DC-A” (X.X.X.0/25) de la sediul clientului curge prin Tunelul 1.
  • Trafic destinat „aplicațiilor UC DC-B” (X.X.X.128/25) de la sediul clientului curge prin Tunelul 2.

Scenariu de eșec : fluxul de trafic atunci când unul dintre tuneluri este defect

Instanță dedicată - Conexiune virtuală

După cum se arată în diagrama de mai sus, atunci când tunelul către DC-A este întrerupt, BGP-ul stabilit prin tunelul către DC-A va fi întrerupt.

ImpactasupraBGP : Când Tunelul 1 se întrerupe, sesiunea BGP prin acel tunel se va întrerupe și ea. Prin urmare, DC-A nu va mai putea să își promoveze rutele (în special X.X.X.0/25) către client prin această cale. Prin urmare, ruterul clientului va detecta calea ca fiind inaccesibilă.

Întrucât Tunelul 1 este nefuncțional, routerul clientului de la sediul clientului va elimina automat rutele învățate prin Tunelul 1 din tabela sa de rutare sau le va marca ca inaccesibile.

  • Trafic destinat rețelei de aplicații UC (X.X.X.0/24) sau subrețeaua DC-A (X.X.X.0/25) va fi apoi redirecționat prin tunelul funcțional către DC-B, care continuă să anunțe X.X.X.0/24 care include X.X.X.0/25 reţea.
  • Un comportament similar se va observa dacă tunelul către DC-B este nefuncțional, în timp ce tunelul către DC-A este încă activ.

Procesul de conectivitate

Următorii pași de nivel înalt descriu modul de stabilire a conectivității cu Virtual Connect for Dedicated Instance.
1

Plasați o comandă în Cisco CCW

2

Activați Virtual Connect din Control Hub

3

Cisco efectuează Configurarea rețelei

4

Clientul efectuează Configurarea rețelei

Pasul 1: Comanda CCW

Virtual Connect este un supliment pentru Instanță Dedicată în CCW.

1

Navigați la site-ul de comandă CCW și apoi faceți clic pe Conectare pentru a vă conecta la site:

https://apps.cisco.com/Commerce/guest.
2

Creați o estimare.

3

Adăugați SKU „A-FLEX-3”.

4

Selectați Editați opțiuni.

5

În fila de abonament care apare, Selectați Opțiuni și Suplimente.

6

Sub Suplimente suplimentare, bifați caseta de selectare de lângă „Virtual Connect for Dedicated Instance”. Numele SKU este „A-FLEX-DI-VC”.

7

Introduceți cantitatea și numărul de regiuni în care este necesară Virtual Connect.

Cantitatea Virtual Connect nu trebuie să depășească numărul total de regiuni achiziționate pentru Instanță Dedicată. De asemenea, este permisă o singură comandă Virtual Connect per regiune.
8

Când sunteți mulțumit de selecțiile dvs., faceți clic pe Verificați și Salvați în partea din dreapta sus a paginii.

9

Faceți clic pe Salvați și continuați pentru a finaliza comanda. Comanda dvs. finalizată apare acum în grila de comenzi.

Pasul 2: Activarea Virtual Connect în Control Hub

1

Conectați-vă la Control Hub https://admin.webex.com/login.

2

În secțiunea Servicii, navigați la Apelare > Instanță dedicată > Conectivitate în cloud.

3

În cardul Virtual Connect, este listată cantitatea achiziționată pentru Virtual Connect. Administratorul poate acum să facă clic pe Activare pentru a iniția activarea Virtual Connect.

Procesul de activare poate fi declanșat numai de Administratorii cu Rol „Customer Full Admin”. Întrucât, un administrator cu rolul „Administrator numai în citire pentru client” poate vedea doar starea.
4

Făcând clic pe butonul Activare, se afișează formularul Activare Virtual Connect pentru ca administratorul să furnizeze detaliile tehnice Virtual Connect necesare pentru configurațiile de peering pe partea Cisco.

Formularul oferă, de asemenea, informații statice din partea Cisco, în funcție de Regiunea selectată. Aceste informații vor fi utile pentru administratorii clienților pentru a configura CPE-ul de partea lor pentru a stabili conexiunea.

  1. Adresă IP pentru transportul în tunelul GRE: Clientului i se cere să furnizeze adresele IP din partea clientului Tunnel Transport, iar Cisco va aloca în mod dinamic adresele IP odată ce activarea este finalizată. ACL-ul IPSec pentru trafic interesant ar trebui să permită IP/32 de transport local în tunel către IP/32 de transport la distanță. ACL ar trebui, de asemenea, să specifice doar protocolul GRE IP.

    Adresa IP furnizată de client poate fi privată sau publică.

  2. Colegi IPSec: Clientului i se cere să furnizeze adresele IP sursă ale tunelului IPSec, iar Cisco alocă adresa IP de destinație IPSec. Efectuarea traducerii NAT a unei adrese interne de tunel IPSEC la o adresă publică este, de asemenea, acceptată dacă este necesar.

    Adresa IP furnizată de client ar trebui să fie publică.

    Toate celelalte informații statice furnizate în ecranul de activare sunt standardele de securitate și criptare Cisco respectate. Această configurație statică nu este personalizabilă sau modificabilă. Pentru orice asistență suplimentară cu privire la configurațiile statice din partea Cisco, clientul ar trebui să contacteze TAC.
5

Faceţi clic pe butonul Activaţi după ce toate câmpurile obligatorii sunt completate.

6

După ce formularul de activare Virtual Connect este completat pentru o anumită regiune, clientul poate exporta formularul de activare din Control Hub, Apelare > Instanță dedicată > fila Conectivitate în cloud și face clic pe Export setări.

Din motive de securitate, autentificarea și parola BGP nu vor fi disponibile în documentul exportat, dar administratorul le poate vizualiza în Control Hub făcând clic pe Vizualizare setări sub Control Hub, Apelare > Instanță dedicată > Fila Conectivitate cloud.

Pasul 3: Cisco efectuează Configurarea rețelei

1

Odată ce formularul de activare Virtual Connect este completat, starea va fi actualizată la Activare în curs în Apel > Instanță dedicată > Card Conectare virtuală Cloud Connectivity.

2

Cisco va finaliza configurațiile necesare pe echipamentele Cisco în termen de 5 zile lucrătoare. La finalizarea cu succes, starea va fi actualizată la „Activat” pentru regiunea respectivă în Control Hub.

Pasul 4: Clientul efectuează Configurarea rețelei

Starea este schimbată în „Activat” pentru a notifica administratorul Clientului că partea Cisco a configurațiilor pentru conectivitate IP VPN a fost finalizată pe baza intrărilor furnizate de Client. Dar, se așteaptă ca administratorul clientului să finalizeze partea sa a configurațiilor pe CPE-uri și să testeze rutele de conectivitate pentru ca tunelul Virtual Connect să fie Online. În cazul oricăror probleme întâmpinate la momentul configurării sau conectării, clientul poate contacta Cisco TAC pentru asistență.

Soluționarea problemelor

Depanare și validare IPsec Prima fază (negociere IKEv2)

Negocierea tunelului IPsec implică două faze, faza IKEv2 și faza IPsec. Dacă negocierea fazei IKEv2 nu se finalizează, atunci nu există inițierea unei a doua faze IPsec. Mai întâi, executați comanda „show crypto ikev2 sa” (pe echipamente Cisco) sau o comandă similară pe echipamente terțe pentru a verifica dacă sesiunea IKEv2 este activă. Dacă sesiunea IKEv2 nu este activă, motivele potențiale ar putea fi:

  • Traficul interesant nu declanșează tunelul IPsec.

  • Lista de acces la tunelul IPsec este configurată greșit.

  • Nu există conectivitate între client și adresa IP a punctului final al tunelului IPsec al instanței dedicate.

  • Parametrii sesiunii IKEv2 nu se potrivesc între partea de instanță dedicată și partea de client.

  • Un firewall blochează pachetele UDP IKEv2.

Mai întâi, verificați jurnalele IPsec pentru orice mesaje care arată progresul negocierii tunelului IKEv2. Jurnalele pot indica unde există o problemă cu negocierea IKEv2. Lipsa mesajelor de înregistrare în jurnal poate indica, de asemenea, că sesiunea IKEv2 nu este activată.

Câteva erori frecvente în negocierea IKEv2 sunt:

  • Setările pentru IKEv2 pe partea CPE nu corespund cu cele de pe partea Cisco, verificați din nou setările menționate:

    • Verificați dacă versiunea IKE este versiunea 2.

    • Verificați dacă parametrii de criptare și autentificare corespund cu criptarea așteptată pe partea instanței dedicate.

      Când cifrul „GCM” este utilizat, protocolul GCM gestionează autentificarea și setează parametrul de autentificare la NULL.

    • Verificați setarea duratei de viață.

    • Verificați grupul de modul Diffie-Hellman.

    • Verificați setările funcției pseudo-aleatoare.

  • Lista de acces pentru harta criptografică nu este setată la:

    • Permite GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (sau comandă echivalentă)

      Lista de acces trebuie să fie specifică protocolului „GRE”, iar protocolul „IP” nu va funcționa.

Dacă mesajele din jurnal nu arată nicio activitate de negociere pentru faza IKEv2, atunci poate fi necesară o captură de pachete.

Este posibil ca partea de instanță dedicată să nu înceapă întotdeauna schimbul IKEv2 și uneori se poate aștepta ca partea CPE a clientului să fie inițiatorul.

Verificați configurația CPE pentru următoarele cerințe preliminare pentru inițierea sesiunii IKEv2:

  • Verificați dacă există o listă de acces criptografic IPsec pentru traficul GRE (protocolul 50) de la adresa IP de transport a tunelului CPE la adresa IP de transport a tunelului instanței dedicate.

  • Asigurați-vă că interfața tunelului GRE este activată pentru keepalive-uri GRE. Dacă echipamentul nu acceptă keepalive-uri GRE, Cisco este notificat deoarece keepalive-urile GRE vor fi activate în mod implicit pe partea Instanțelor Dedicate.

  • Asigurați-vă că BGP este activat și configurat cu adresa de vecin a IP-ului tunelului instanței dedicate.

Când este configurat corect, tunelul IPsec și prima fază de negociere IKEv2 sunt inițiate prin următoarele:

  • Permite menținerea activă a datelor GRE de la interfața tunelului GRE din partea CPE la interfața tunelului GRE din partea instanței dedicate.

  • Sesiune TCP vecin BGP de la vecinul BGP din partea CPE către vecinul BGP din partea instanței dedicate.

  • Ping de la adresa IP a tunelului din partea CPE la adresa IP a tunelului din partea instanței dedicate.

    Ping-ul nu poate fi IP-ul de transport de la tunel la IP-ul de transport de la tunel, ci trebuie să fie IP-ul de la tunel la IP-ul de la tunel.

Dacă este necesară o urmărire a pachetelor pentru traficul IKEv2, setați filtrul pentru UDP și fie portul 500 (când niciun dispozitiv NAT nu se află în mijlocul punctelor finale IPsec), fie portul 4500 (când un dispozitiv NAT este introdus în mijlocul punctelor finale IPsec).

Verificați dacă pachetele IKEv2 UDP cu portul 500 sau 4500 sunt trimise și primite către și de la adresa IP DI IPsec.

Centrul de date al instanței dedicate poate să nu înceapă întotdeauna primul pachet IKEv2. Cerința este ca dispozitivul CPE să fie capabil să inițieze primul pachet IKEv2 către partea Instanței Dedicate.

Dacă firewall-ul local permite acest lucru, încercați și un ping către adresa IPsec la distanță. Dacă ping-ul nu are succes de la adresa IPsec locală la adresa la distanță, efectuați o rută de urmărire pentru a ajuta și a determina unde a fost abandonat pachetul.

Este posibil ca unele firewall-uri și echipamente de internet să nu permită urmărirea rutei.

Depanarea și validarea IPsec în a doua fază (negociere IPsec)

Verificați dacă prima fază IPsec (adică asocierea de securitate IKEv2) este activă înainte de a depana a doua fază IPsec. Executați o comandă „show crypto ikev2 sa” sau o comandă echivalentă pentru a verifica sesiunea IKEv2. În rezultat, verificați dacă sesiunea IKEv2 este activă mai mult de câteva secunde și că nu se retrage. Timpul de funcționare al sesiunii este afișat ca „Timp activ” al sesiunii sau echivalent în rezultat.

După ce sesiunea IKEv2 este verificată ca fiind pornită și activă, investigați sesiunea IPsec. Ca și în cazul sesiunii IKEv2, executați o comandă „show crypto ipsec sa” sau echivalentă pentru a verifica sesiunea IPsec. Atât sesiunea IKEv2, cât și sesiunea IPsec trebuie să fie active înainte de stabilirea tunelului GRE. Dacă sesiunea IPsec nu apare ca activă, verificați jurnalele IPsec pentru mesaje de eroare sau erori de negociere.

Unele dintre cele mai frecvente probleme care pot fi întâlnite în timpul negocierilor IPsec sunt:

Setările de pe partea CPE nu corespund cu cele de pe partea Instanțelor Dedicate, verificați din nou setările:

  • Verificați dacă parametrii de criptare și autentificare corespund setărilor de pe partea de instanță dedicată.

  • Verificați setările Perfect Forward Secrecy și dacă setările corespund pe partea de Instanță Dedicată.

  • Verificați setările pe durata de viață.

  • Verificați dacă IPsec-ul a fost configurat în modul tunel.

  • Verificați adresele IPsec sursă și destinație.

Depanarea și validarea interfeței tunelului

Când sesiunile IPsec și IKEv2 sunt verificate ca fiind active, pachetele keepalive din tunelul GRE pot circula între punctele finale ale tunelului Instanței Dedicate și CPE. Dacă interfața tunelului nu afișează starea, există câteva probleme frecvente:

  • VRF-ul de transport al interfeței tunelului nu se potrivește cu VRF-ul interfeței loopback (dacă se utilizează configurația VRF pe interfața tunelului).

    Dacă configurația VRF nu este utilizată pe interfața tunelului, această verificare poate fi ignorată.

  • Keepalive-urile nu sunt activate pe interfața tunelului lateral CPE

    Dacă funcțiile keepalive nu sunt acceptate pe echipamentul CPE, atunci Cisco trebuie notificat, astfel încât funcțiile keepalive implicite de pe partea Instanțelor Dedicate să fie și ele dezactivate.

    Dacă sunt acceptate keepalive-urile, verificați dacă sunt activate.

  • Masca sau adresa IP a interfeței tunelului nu este corectă și nu corespunde valorilor așteptate pentru instanța dedicată.

  • Adresa de transport a tunelului sursă sau destinație nu este corectă și nu corespunde valorilor așteptate pentru instanța dedicată.

  • Un firewall blochează pachetele GRE trimise în tunelul IPsec sau primite din tunelul IPsec (tunelul GRE este transportat prin tunelul IPsec)

Un test ping ar trebui să verifice dacă interfața tunelului local este activă și dacă conectivitatea cu interfața tunelului la distanță este bună. Efectuați verificarea ping de la adresa IP a tunelului (nu de la adresa IP de transport) la adresa IP a tunelului la distanță.

Lista de acces cripto pentru tunelul IPsec care transportă traficul tunelului GRE permite traversarea doar a pachetelor GRE. Prin urmare, ping-urile nu vor funcționa de la adresa IP de transport în tunel la adresa IP de transport în tunel la distanță.

Verificarea ping are ca rezultat un pachet GRE generat de la adresa IP de transport a tunelului sursă la adresa IP de transport a tunelului destinație, în timp ce sarcina utilă a pachetului GRE (adresa IP internă) va fi adresa IP a tunelului sursă și destinație.

Dacă testul ping nu are succes și elementele anterioare sunt verificate, atunci poate fi necesară o captură de pachet pentru a se asigura că ping-ul icmp are ca rezultat un pachet GRE care este apoi încapsulat într-un pachet IPsec și apoi trimis de la adresa IPsec sursă la adresa IPsec destinație. Contoarele de pe interfața tunelului GRE și contoarele de sesiune IPsec pot ajuta, de asemenea, la afișarea dacă pachetele de trimitere și recepție cresc.

Pe lângă traficul ping, captura ar trebui să afișeze și pachete GRE keepalive chiar și în timpul traficului inactiv. În cele din urmă, dacă este configurat BGP, pachetele BGP keepalive ar trebui trimise și ca pachete GRE încapsulate în pachete IPSEC prin VPN.

Depanare și validare BGP

Sesiuni BGP

BGP este necesar ca protocol de rutare prin tunelul VPN IPsec. Vecinul BGP local ar trebui să stabilească o sesiune eBGP cu vecinul BGP al instanței dedicate. Adresele IP ale vecinilor eBGP sunt aceleași cu adresele IP ale tunelului local și la distanță. Mai întâi asigurați-vă că sesiunea BGP este activă și apoi verificați dacă rutele corecte sunt primite de la instanța dedicată și dacă ruta implicită corectă este trimisă către instanța dedicată.

Dacă tunelul GRE este activ, verificați dacă un ping a avut succes între adresa IP a tunelului GRE local și cea la distanță. Dacă ping-ul are succes, dar sesiunea BGP nu pornește, investigați jurnalul BGP pentru erori de stabilire BGP.

Unele dintre cele mai frecvente probleme de negociere BGP sunt:

  • Numărul AS la distanță nu corespunde cu numărul AS configurat pe partea instanței dedicate, verificați din nou configurația AS vecinului.

  • Numărul AS local nu corespunde cu ceea ce așteaptă partea instanței dedicate, verificați dacă numărul AS local corespunde cu parametrii instanței dedicate așteptați.

  • Un firewall blochează pachetele BGP TCP încapsulate în pachete GRE, împiedicându-le să fie trimise în tunelul IPsec sau să fie primite din tunelul IPSEC.

  • Adresa IP a vecinului BGP la distanță nu se potrivește cu adresa IP a tunelului GRE la distanță.

Schimb de rute BGP

După ce sesiunea BGP este verificată pentru ambele tuneluri, asigurați-vă că rutele corecte sunt trimise și primite din partea instanței dedicate.

Soluția VPN cu instanță dedicată se așteaptă ca două tuneluri să fie stabilite de la customer/partner lateral. Primul tunel indică spre centrul de date al Instanței Dedicate A, iar al doilea tunel indică spre centrul de date al Instanțelor Dedicate B. Ambele tuneluri trebuie să fie în stare activă, iar soluția necesită un active/active desfășurare. Fiecare centru de date cu instanță dedicată își va face reclamă la adresa locală /25 traseu, precum și un /24 rută de rezervă. Când verificați rutele BGP de intrare de la Instanța Dedicată, asigurați-vă că sesiunea BGP asociată tunelului care indică centrul de date A al Instanței Dedicate primește rutele de la centrul de date A al Instanței Dedicate. /25 ruta locală, precum și /24 rută de rezervă. În plus, asigurați-vă că tunelul care indică centrul de date al instanței dedicate B primește centrul de date al instanței dedicate B. /25 ruta locală, precum și /24 rută de rezervă. Rețineți că /24 Ruta de rezervă va fi aceeași rută anunțată din centrul de date al instanței dedicate A și centrul de date al instanței dedicate B.

Redundanța este asigurată unui centru de date cu instanță dedicată dacă interfața tunelului către centrul de date respectiv se defectează. Dacă se pierde conectivitatea la centrul de date al instanței dedicate A, atunci traficul va fi redirecționat de la centrul de date al instanței dedicate B către centrul de date A. În acest scenariu, tunelul către centrul de date B va utiliza centrul de date B. /25 ruta pentru a trimite traficul către centrul de date B, iar tunelul către centrul de date B va utiliza backup-ul /24 rută pentru trimiterea traficului către centrul de date A prin centrul de date B.

Este important ca, atunci când ambele tuneluri sunt active, tunelul centrului de date A să nu fie utilizat pentru a trimite trafic către centrul de date B și invers. În acest scenariu, dacă traficul este trimis către centrul de date A cu destinația centrului de date B, centrul de date A va redirecționa traficul către centrul de date B, iar apoi centrul de date B va încerca să trimită traficul înapoi la sursă prin tunelul centrului de date B. Acest lucru va duce la o rutare suboptimă și poate, de asemenea, să întrerupă traficul care traversează firewall-urile. Prin urmare, este important ca ambele tuneluri să se afle într-o active/active configurație în timpul funcționării normale.

Cel/Cea/Cei/Cele 0.0.0.0/0 Ruta trebuie anunțată de la client la centrul de date cu instanță dedicată. Rutele mai specifice nu vor fi acceptate de partea Instanțelor Dedicate. Asigurați-vă că 0.0.0.0/0 Ruta este anunțată atât din tunelul centrului de date al instanței dedicate A, cât și din tunelul centrului de date al instanței dedicate B.

Configurație MTU

În partea de instanță dedicată, sunt activate două funcții pentru a ajusta dinamic MTU-ul pentru pachete de dimensiuni mari. Tunelul GRE adaugă mai multe anteturi pachetelor IP care trec prin sesiunea VPN. Tunelul IPsec care adaugă antete suplimentare peste antetele GRE va reduce și mai mult cel mai mare MTU permis prin tunel.

Tunelul GRE ajustează funcția MSS, iar calea tunelului GRE din funcția de descoperire MTU este activată pe partea Instanțelor Dedicate. Configurați comanda „ip tcp adjust-mss 1350” sau echivalentă, precum și comanda „tunnel” path\u0002mtu-discovery" sau o comandă echivalentă din partea clientului pentru a ajuta la ajustarea dinamică a MTU-ului traficului prin tunelul VPN.