Úvod

Virtuálne pripojenie je ďalšia možnosť doplnku pre cloudové pripojenie k vyhradenej inštancii pre volanie Webex (vyhradená inštancia). Virtual Connect umožňuje zákazníkom bezpečne rozšíriť svoju súkromnú sieť cez internet pomocou tunelov IP VPN typu point-to-point. Táto možnosť pripojenia poskytuje rýchle vytvorenie pripojenia k súkromnej sieti pomocou existujúceho zariadenia CPE (Customer Premise Equipment) a internetového pripojenia.

Cisco hosťuje, spravuje a zabezpečuje redundantné IP VPN tunely a požadovaný prístup na internet v oblastiach dátových centier vyhradených inštancií spoločnosti Cisco, kde sa služba vyžaduje. Podobne je správca zodpovedný za zodpovedajúce CPE a internetové služby, ktoré sú potrebné na vytvorenie virtuálneho pripojenia.

Každá objednávka virtuálneho pripojenia v konkrétnej oblasti vyhradenej inštancie by zahŕňala dva tunely GRE (General Routing encapsulation) chránené šifrovaním IPSec (GRE over IPSec), jeden do každého dátového centra spoločnosti Cisco vo vybranom regióne.

Virtual Connect má limit šírky pásma 250 Mbps na tunel a odporúča sa pre menšie nasadenia. Keďže sa používajú dva tunely VPN typu point-to-point, všetka prevádzka do cloudu musí ísť cez CPE zákazníckej koncovky, a preto nemusí byť vhodná tam, kde je veľa vzdialených lokalít. Ďalšie alternatívne možnosti partnerského vzťahu nájdete v časti Cloudové pripojenie.


 

Pred odoslaním žiadosti o partnerský vzťah pre službu Virtual Connect sa uistite, že je v príslušnej oblasti aktivovaná služba Vyhradená inštancia.

Predpoklady

Predpoklady na vytvorenie virtuálneho pripojenia zahŕňajú:

  • Zákazník poskytuje

    • Internetové pripojenie s dostatočnou dostupnou šírkou pásma na podporu nasadenia

    • Verejná IP adresa (adresy) pre dva tunely IPSec

    • Prepravné IP adresy GRE na strane zákazníka pre dva tunely GRE

  • Partner a zákazník

    • Spolupracujte na vyhodnotení požiadaviek na šírku pásma

    • Zabezpečte, aby sieťové zariadenia podporovali smerovanie protokolu BGP (Border Gateway Protocol) a návrh tunela GRE cez IPSec

  • Partner alebo zákazník poskytuje

    • Sieťový tím so znalosťami technológií tunelov VPN typu site-to-site

    • Sieťový tím so znalosťou BGP, eBGP a všeobecných princípov smerovania

  • Cisco

    • Spoločnosť Cisco pridelila súkromné autonomické systémové čísla (ASN) a prechodné IP adresovanie pre tunelové rozhrania GRE

    • Spoločnosť Cisco pridelila verejnú, ale nie internetovú smerovateľnú sieť triedy C (/24) pre cloudové adresovanie vyhradenej inštancie


 

Ak má zákazník iba 1 zariadenie CPE, potom 2 tunely smerom k dátovým centrám spoločnosti Cisco (DC1 a DC2) v každom regióne budú z tohto zariadenia CPE. Zákazník má tiež možnosť pre 2 CPE zariadenia, potom by sa každé CPE zariadenie malo pripojiť k 1 tunelu iba smerom k dátovým centrám Cisco (DC1 a DC2) v každom regióne. Dodatočnú redundanciu je možné dosiahnuť ukončením každého tunela na samostatnom fyzickom mieste/mieste v rámci infraštruktúry zákazníka.

Technické detaily

Model nasadenia

Virtual Connect používa dvojvrstvovú architektúru koncovej stanice, kde riadiace roviny smerovania a GRE zabezpečuje jedno zariadenie a riadiacu rovinu IPSec iné.

Po dokončení konektivity Virtual Connect sa vytvoria dva tunely GRE cez IPSec medzi podnikovou sieťou zákazníka a dátovými centrami spoločnosti Cisco Dedicated Instance. Jeden pre každé redundantné dátové centrum v rámci príslušného regiónu. Ďalšie sieťové prvky potrebné pre partnerský vzťah si partner alebo zákazník vymieňa so spoločnosťou Cisco prostredníctvom aktivačného formulára Control Hub Virtual Connect.

Obrázok 1 znázorňuje príklad modelu nasadenia virtuálneho pripojenia pre možnosť 2 koncentrátorov na strane zákazníka.

Virtuálne pripojenie - VPN je dizajn centra, kde sú centrálne lokality zákazníka pripojené k DC1 a DC2 dátových centier vyhradenej inštancie v konkrétnom regióne.

Pre lepšiu redundanciu sa odporúčajú dve lokality hubu, ale podporovaným modelom nasadenia je aj lokalita One Hub s dvoma tunelmi.


 

Šírka pásma na tunel je obmedzená na 250 Mbps.


 

Vzdialené pracoviská Zákazníka v rovnakom regióne by sa museli pripojiť späť k pracoviskám Hubu cez sieť WAN Zákazníka a spoločnosť Cisco za toto pripojenie nenesie zodpovednosť.

Od partnerov sa očakáva, že budú úzko spolupracovať so zákazníkmi a zabezpečiť výber najoptimálnejšej cesty pre oblasť služby "Virtual Connect".

Na obrázku 2 sú znázornené oblasti partnerského vzťahu vyhradených inštancií cloudového pripojenia.

Smerovanie

Doplnok Smerovanie pre virtuálne pripojenie je implementovaný pomocou externého protokolu BGP (eBGP) medzi vyhradenou inštanciou a zariadením CPE (Customer Premise Equipment). Spoločnosť Cisco bude inzerovať svoju príslušnú sieť pre každý redundantný DC v rámci regiónu CPE zákazníka a CPE je povinný inzerovať predvolenú trasu do spoločnosti Cisco.

  • Spoločnosť Cisco udržiava a prideľuje

    • IP adresa rozhrania tunela (prechodné spojenie na smerovanie) Cisco priraďuje z určeného zdieľaného priestoru adries (verejne nesmerovateľné)

    • Adresa na zastavenie tunelovej dopravy (strana spoločnosti Cisco)

    • Čísla súkromných autonómnych systémov (ASN) pre konfiguráciu smerovania BGP zákazníka

      • Spoločnosť Cisco prideľuje z určeného rozsahu súkromného použitia: 64512 až 65534

  • eBGP používaný na výmenu trás medzi vyhradenou inštanciou a CPE

    • Cisco rozdelí pridelenú sieť /24 na 2/25 pre každý DC v príslušnom regióne

    • Vo virtuálnom pripojení je každá sieť /25 inzerovaná späť do CPE spoločnosťou Cisco cez príslušné tunely VPN typu point-to-point (prechodné spojenie)

    • CPE musí byť nakonfigurovaný s príslušnými susedmi eBGP. Ak používate jeden CPE, použijú sa dvaja susedia eBGP, jeden smerujúci na každý vzdialený tunel. Ak používate dva CPE, potom každý CPE bude mať jedného suseda eBGP, ktorý sa poniuje do jedného vzdialeného tunela pre CPE.

    • Strana Cisco každého tunela GRE (IP rozhrania tunela) je nakonfigurovaná ako sused BGP na CPE

    • CPE je potrebné na inzerovanie predvolenej trasy cez každý z tunelov

    • CPE je zodpovedný za prerozdelenie naučených trás v rámci podnikovej siete zákazníka podľa potreby.

  • V podmienke zlyhania linky bez zlyhania bude mať jeden CPE dva aktívne/aktívne tunely. V prípade dvoch uzlov CPE bude mať každý CPE jeden aktívny tunel a oba uzly CPE by mali byť aktívne a mali by prechádzať prenosom. V prípade scenára bez zlyhania sa premávka musí rozdeliť na dva tunely smerujúce do správnych cieľov /25, ak jeden z tunelov zlyhá, zostávajúci tunel môže prenášať prevádzku pre oboch. V takomto scenári zlyhania, keď je sieť /25 nefunkčná, sieť /24 sa použije ako záložná trasa. Cisco bude posielať zákaznícku prevádzku cez svoju internú sieť WAN smerom k DC, ktorý stratil pripojenie.

Proces pripojenia

Nasledujúce kroky na vysokej úrovni popisujú, ako vytvoriť pripojenie pomocou virtuálneho pripojenia pre vyhradenú inštanciu.
1

Zadajte objednávku v Cisco CCW

2

Aktivácia virtuálneho pripojenia z riadiaceho centra

3

Cisco vykonáva konfiguráciu siete

4

Zákazník vykonáva konfiguráciu siete

Krok 1: Príkaz CCW

Virtual Connect je doplnok pre Dedicated Instance v CCW.

1

Prejdite na stránku objednávania CCW a potom sa kliknutím na tlačidlo Prihlásiť prihláste na stránku:

https://apps.cisco.com/Commerce/guest.
2

Vytvorte odhad.

3

Pridajte SKU "A-FLEX-3".

4

Vyberte položku Možnosti úprav.

5

Na karte predplatného, ktorá sa zobrazí, vyberte položku Možnosti a doplnky.

6

V časti Ďalšie doplnky začiarknite políčko vedľa položky Virtuálne pripojenie pre vyhradenú inštanciu. Názov SKU je "A-FLEX-DI-VC".

7

Zadajte množstvo a počet oblastí, v ktorých sa vyžaduje virtuálne pripojenie.


 
Množstvo virtuálneho pripojenia by nemalo prekročiť celkový počet oblastí zakúpených pre vyhradenú inštanciu. Na región je tiež povolená iba jedna objednávka virtuálneho pripojenia.
8

Keď ste s výberom spokojní, kliknite na položku Overiť a uložiť v pravej hornej časti stránky.

9

Kliknutím na tlačidlo Uložiť a pokračovať dokončite objednávku. Vaša dokončená objednávka sa teraz zobrazí v mriežke objednávok.

Krok 2: Aktivácia virtuálneho pripojenia v riadiacom centre

1

Prihláste sa do centra ovládania https://admin.webex.com/login.

2

V časti Služby prejdite na Volanie > Dedicated Intacnce > Cloud Connectivity.

3

Na karte Virtual Connect je uvedené zakúpené množstvo Virtual Connect. Správca teraz môže kliknúť na Aktivovať a spustiť aktiváciu virtuálneho pripojenia.


 
Proces aktivácie môžu spustiť iba administrátori s rolou "Úplný správca zákazníka". Zatiaľ čo správca s rolou "Správca iba na čítanie zákazníka" môže zobraziť iba stav.
4

Po kliknutí na tlačidlo Aktivovať sa zobrazí formulár Aktivovať virtuálne pripojenie , aby správca poskytol technické podrobnosti o službe Virtual Connect potrebné pre konfigurácie partnerského vzťahu na strane spoločnosti Cisco.


 
Formulár tiež poskytuje statické informácie na strane spoločnosti Cisco na základe vybraného regiónu. Tieto informácie budú užitočné pre správcov zákazníkov na konfiguráciu CPE na svojej strane na vytvorenie pripojenia.

  1. IP adresaprenosu tunela GRE: Zákazník je povinný poskytnúť IP adresy Tunnel Transport na strane zákazníka a spoločnosť Cisco po dokončení aktivácie dynamicky pridelí IP adresy. Zoznam ACL IPSec pre zaujímavú prevádzku by mal umožňovať lokálny prenos tunela IP/32 na vzdialený prenos tunela IP/32. ACL by mal tiež špecifikovať iba protokol GRE IP.


     
    IP adresa poskytnutá zákazníkom môže byť súkromná alebo verejná.

  2. PartneriIPSec: Zákazník je povinný poskytnúť zdrojové IP adresy tunela IPSec a spoločnosť Cisco pridelí cieľovú adresu IP protokolu IPSec. V prípade potreby je podporované aj vykonanie prekladu NAT internej adresy tunela IPSEC na verejnú adresu.


     

    IP adresa poskytnutá zákazníkom by mala byť verejná.


     
    Všetky ostatné statické informácie uvedené na aktivačnej obrazovke sú dodržiavané štandardy zabezpečenia a šifrovania spoločnosti Cisco. Táto statická konfigurácia nie je prispôsobiteľná ani upraviteľná. Ak potrebujete akúkoľvek ďalšiu pomoc týkajúcu sa statických konfigurácií na strane spoločnosti Cisco, zákazník by sa musel obrátiť na spoločnosť TAC.
5

Po vyplnení všetkých povinných polí kliknite na tlačidlo Aktivovať .

6

Po vyplnení formulára aktivácie virtuálneho pripojenia pre konkrétny región môže zákazník exportovať aktivačný formulár z Control Hubu, karty Volanie > vyhradená inštancia > cloudové pripojenie a kliknúť na Exportovať nastavenia.


 
Z bezpečnostných dôvodov nebudú overenie a heslo BGP k dispozícii v exportovanom dokumente, ale správca ich môže zobraziť v centre ovládania kliknutím na Zobraziť nastavenia v časti Control Hub, karta Volanie > vyhradená inštancia > cloudové pripojenie.

Krok 3: Cisco vykonáva konfiguráciu siete

1

Po vyplnení formulára aktivácie virtuálneho pripojenia sa stav aktualizuje na Prebieha aktivácia v > vyhradenej inštancii > karte virtuálneho pripojenia ku cloudu.

2

Cisco dokončí požadované konfigurácie na bočnom zariadení Cisco do 5 pracovných dní. Po úspešnom dokončení sa stav aktualizuje na "Aktivované" pre daný región v Centre ovládania.

Krok 4: Zákazník vykonáva konfiguráciu siete

Stav sa zmení na "Aktivované", aby sa správca zákazníka upozornil, že na základe vstupov poskytnutých zákazníkom bola dokončená strana konfigurácií spoločnosti Cisco pre pripojenie IP VPN. Od správcu zákazníka sa však očakáva, že dokončí svoju časť konfigurácií na CPE a otestuje trasy pripojenia, aby bol tunel Virtual Connect online. V prípade akýchkoľvek problémov, ktoré sa vyskytnú v čase konfigurácie alebo pripojenia, sa zákazník môže obrátiť na Cisco TAC so žiadosťou o pomoc.

Riešenie problémov

Riešenie problémov a overovanie prvej fázy protokolu IPsec (vyjednávanie IKEv2)

Vyjednávanie tunela IPsec zahŕňa dve fázy, fázu IKEv2 a fázu IPsec. Ak sa vyjednávanie fázy IKEv2 nedokončí, nezačne sa druhá fáza protokolu IPsec. Najprv vydajte príkaz "show crypto ikev2 sa" (na zariadení Cisco) alebo podobný príkaz na zariadení tretej strany, aby ste overili, či je relácia IKEv2 aktívna. Ak relácia IKEv2 nie je aktívna, možné dôvody môžu byť:

  • Zaujímavá prevádzka nespúšťa tunel IPsec.

  • Zoznam prístupu k tunelu IPsec je nesprávne nakonfigurovaný.

  • Medzi zákazníkom a IP koncovým bodom tunela IPsec vyhradenej inštancie nie je žiadne pripojenie.

  • Parametre relácie IKEv2 sa nezhodujú na strane vyhradenej inštancie a na strane zákazníka.

  • Firewall blokuje IKEv2 UDP pakety.

Najprv skontrolujte, či sa v denníkoch IPsec nenachádzajú všetky správy, ktoré ukazujú priebeh vyjednávania tunela IKEv2. Protokoly môžu naznačovať, kde sa vyskytol problém s vyjednávaním IKEv2. Nedostatok správ o zapisovaní do denníka môže tiež naznačovať, že relácia IKEv2 nie je aktivovaná.

Niektoré bežné chyby pri vyjednávaní IKEv2 sú:

  • Nastavenia pre IKEv2 na strane CPE sa nezhodujú so stranou Cisco, znova skontrolujte uvedené nastavenia:

    • Skontrolujte, či je verzia IKE verzie 2.

    • Overte, či sa parametre šifrovania a overovania zhodujú s očakávaným šifrovaním na strane vyhradenej inštancie.


       

      Keď sa používa šifra "GCM", protokol GCM spracuje autentifikáciu a nastaví parameter overenia na hodnotu NULL.

    • Overte nastavenie životnosti.

    • Overte skupinu modulov Diffieho Hellmana.

    • Overte nastavenia funkcie Pseudo Random.

  • Zoznam prístupov pre mapu kryptomien nie je nastavený na:

    • Povolenie GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (alebo ekvivalentný príkaz)


       

      Prístupový zoznam musí byť špeciálne pre protokol "GRE" a protokol "IP" nebude fungovať.

Ak správy denníka nezobrazujú žiadnu aktivitu vyjednávania pre fázu IKEv2, môže byť potrebné zachytenie paketov.


 

Strana vyhradenej inštancie nemusí vždy začať výmenu IKEv2 a niekedy môže očakávať, že iniciátorom bude strana CPE zákazníka.

Skontrolujte konfiguráciu na strane CPE pre nasledujúce predpoklady na začatie relácie IKEv2:

  • Skontrolujte zoznam prístupu ku kryptomenám IPsec pre prenos GRE (protokol 50) z IP adresy prenosu tunela CPE na IP adresu prenosu tunela vyhradenej inštancie.

  • Uistite sa, že je pre udržiavanie GRE povolené rozhranie tunela GRE, ak zariadenie nepodporuje udržiavanie GRE, spoločnosť Cisco bude upozornená, pretože udržiavanie GRE bude predvolene povolené na strane vyhradenej inštancie.

  • Uistite sa, že protokol BGP je povolený a nakonfigurovaný s adresou suseda IP adresy tunela vyhradenej inštancie.

Pri správnej konfigurácii sa tunel IPsec a vyjednávanie v prvej fáze IKEv2 spustí nasledovné:

  • GRE udržiava palivo z rozhrania tunela GRE na strane CPE na rozhranie tunela GRE na strane vyhradenej inštancie.

  • Relácia TCP suseda BGP zo suseda BGP na strane CPE na suseda BGP na strane vyhradenej inštancie.

  • Ping z IP adresy tunela na strane CPE na adresu IP tunela na strane vyhradenej inštancie.


     

    Ping nemôže byť IP adresa prenosu tunela na IP prenosu tunela, musí to byť IP adresa tunela na IP adresu tunela.

Ak je pre prenos IKEv2 potrebné sledovanie paketov, nastavte filter pre UDP a buď port 500 (keď nie je žiadne zariadenie NAT uprostred koncových bodov IPsec) alebo port 4500 (keď je zariadenie NAT vložené do stredu koncových bodov IPsec).

Overte, či sa pakety IKEv2 UDP s portom 500 alebo 4500 odosielajú a prijímajú na IP adresu DI IPsec a z nej.


 

Údajové centrum vyhradenej inštancie nemusí vždy spustiť prvý paket IKEv2. Požiadavkou je, aby zariadenie CPE bolo schopné iniciovať prvý paket IKEv2 smerom k strane vyhradenej inštancie.

Ak to lokálny firewall umožňuje, skúste tiež pingovať na vzdialenú adresu IPsec. Ak príkaz ping nie je úspešný z lokálnej na vzdialenú adresu IPsec, vykonajte trasu sledovania, ktorá vám pomôže a určte, kam sa paket zahodí.

Niektoré brány firewall a internetové zariadenia nemusia umožňovať trasovanie trasy.

Riešenie problémov a overovanie druhej fázy protokolu IPsec (vyjednávanie protokolu IPsec)

Pred riešením problémov s druhou fázou protokolu IPsec overte, či je aktívna prvá fáza protokolu IPsec (t. j. priradenie zabezpečenia IKEv2). Vykonaním príkazu "show crypto ikev2 sa" alebo ekvivalentným príkazom overte reláciu IKEv2. Vo výstupe overte, či relácia IKEv2 bola v prevádzke dlhšie ako niekoľko sekúnd a či sa neodráža. Dostupnosť relácie sa vo výstupe zobrazuje ako relácia "Aktívny čas" alebo ekvivalent.

Keď sa relácia IKEv2 overí ako aktívna, preskúmajte reláciu IPsec. Rovnako ako v prípade relácie IKEv2 vykonajte "show crypto ipsec sa" alebo ekvivalentný príkaz na overenie relácie IPsec. Pred vytvorením tunela GRE musia byť aktívne relácia IKEv2 aj relácia IPsec. Ak sa relácia IPsec nezobrazuje ako aktívna, skontrolujte, či sa v protokoloch IPsec nenachádzajú chybové hlásenia alebo chyby pri vyjednávaní.

Niektoré z najbežnejších problémov, s ktorými sa môžete stretnúť počas rokovaní o IPsec, sú:

Nastavenia na strane CPE sa nezhodujú so stranou vyhradenej inštancie, znova skontrolujte nastavenia:

  • Overte, či sa parametre šifrovania a overovania zhodujú s nastaveniami na strane vyhradenej inštancie.

  • Overte nastavenia dokonalého dopredného utajenia a či sa zhodujú nastavenia na strane vyhradenej inštancie.

  • Overte nastavenia životnosti.

  • Overte, či bol protokol IPsec nakonfigurovaný v režime tunelového prepojenia.

  • Overte zdrojovú a cieľovú adresu IPsec.

Riešenie problémov a overovanie rozhrania tunela

Keď sú relácie IPsec a IKEv2 overené ako aktívne a aktívne, GRE tunel udržiava pakety schopné prúdiť medzi koncovými bodmi vyhradenej inštancie a tunela CPE. Ak sa stav rozhrania tunela nezobrazuje, niektoré bežné problémy sú:

  • Prenosové VRF rozhrania tunela sa nezhoduje s VRF rozhrania spätnej slučky (ak sa na rozhraní tunela používa konfigurácia VRF).


     

    Ak sa na rozhraní tunela nepoužíva konfigurácia VRF, túto kontrolu možno ignorovať.

  • Udržiavanie nie je povolené na rozhraní bočného tunela CPE


     

    Ak udržiavanie nie je podporované na zariadení CPE, musí byť spoločnosť Cisco upozornená, aby boli zakázané aj predvolené udržiavanie na strane vyhradenej inštancie.

    Ak sú udržiavanie podporované, overte, či sú povolené.

  • Maska alebo IP adresa rozhrania tunela nie je správna a nezhoduje sa s očakávanými hodnotami vyhradenej inštancie.

  • Zdrojová alebo cieľová adresa prenosu tunela nie je správna a nezhoduje sa s očakávanými hodnotami vyhradenej inštancie.

  • Firewall blokuje odosielanie paketov GRE do tunela IPsec alebo prijímanie z tunela IPsec (tunel GRE sa prenáša cez tunel IPsec)

Test ping by mal overiť, či je rozhranie lokálneho tunela v prevádzke a či je pripojenie k vzdialenému rozhraniu tunela dobré. Vykonajte kontrolu pingu z IP adresy tunela (nie z IP adresy prenosu) na IP adresu vzdialeného tunela.


 

Zoznam prístupu ku kryptomenám pre tunel IPsec, ktorý prenáša prevádzku tunela GRE, umožňuje prechod iba paketom GRE. V dôsledku toho nebudú pingy fungovať z IP adresy prenosu tunela na vzdialenú IP adresu prenosu tunela.

Výsledkom kontroly pingu je paket GRE, ktorý sa vygeneruje z IP prenosu zdrojového tunela na IP prenosu cieľového tunela, zatiaľ čo užitočné zaťaženie paketu GRE (vnútorná IP adresa) bude IP zdrojového a cieľového tunela.

Ak test ping nie je úspešný a predchádzajúce položky sú overené, potom môže byť potrebné zachytenie paketu, aby sa zabezpečilo, že príkaz icmp ping bude mať za následok paket GRE, ktorý je potom zapuzdrený do paketu IPsec a potom odoslaný zo zdrojovej adresy IPsec na cieľovú adresu IPsec. Pomôcť aj počítadlá na rozhraní tunela GRE a počítadlá relácií IPsec. ak sa odosielanie a prijímanie paketov zvyšuje.

Okrem ping prevádzky by mal záber zobrazovať aj keepalive GRE pakety aj počas nečinnej prevádzky. Nakoniec, ak je nakonfigurovaný protokol BGP, pakety udržiavania protokolu BGP by sa mali odosielať aj ako pakety GRE zapuzdrené v paketoch IPSEC aj cez sieť VPN.

Riešenie problémov a overovanie protokolu BGP

Relácie BGP

Protokol BGP sa vyžaduje ako smerovací protokol cez tunel IPsec VPN. Lokálny sused BGP by mal vytvoriť reláciu eBGP so susedom BGP vyhradenej inštancie. IP adresy susedov eBGP sú rovnaké ako IP adresy lokálneho a vzdialeného tunela. Najprv sa uistite, že relácia BGP je v prevádzke, a potom overte, či sa z vyhradenej inštancie prijímajú správne trasy a či sa do vyhradenej inštancie odosiela správna predvolená trasa.

Ak je tunel GRE v prevádzke, overte, či je príkaz ping medzi lokálnou a vzdialenou IP adresou tunela GRE úspešný. Ak je príkaz ping úspešný, ale relácia protokolu BGP sa nezobrazuje, preskúmajte protokol BGP, či neobsahuje chyby pri vytváraní protokolu BGP.

Niektoré z najbežnejších problémov pri vyjednávaní BGP sú:

  • Vzdialené číslo AS sa nezhoduje s číslom AS, ktoré je nakonfigurované na strane vyhradenej inštancie, znova skontrolujte konfiguráciu susedného AS.

  • Lokálne číslo AS sa nezhoduje s tým, čo očakáva strana Dedictaed Instance, overte, či sa lokálne číslo AS zhoduje s očakávanými parametrami vyhradenej inštancie.

  • Brána firewall blokuje odosielanie paketov BGP TCP zapuzdrených v paketoch GRE do tunela IPsec alebo prijímanie z tunela IPSEC

  • IP adresa vzdialeného suseda BGP sa nezhoduje so vzdialenou IP adresou tunela GRE.

Výmena trás BGP

Po overení relácie BGP pre obe tunely sa uistite, že sa odosielajú a prijímajú správne trasy zo strany vyhradenej inštancie.

Riešenie Dedicated Instance VPN očakáva vytvorenie dvoch tunelov zo strany zákazníka/partnera. Prvý tunel ukazuje na údajové centrum vyhradenej inštancie A a druhý tunel ukazuje na údajové centrum vyhradenej inštancie B. Oba tunely musia byť v aktívnom stave a riešenie vyžaduje aktívne/aktívne nasadenie. Každé dátové centrum vyhradenej inštancie bude inzerovať svoju lokálnu trasu /25, ako aj záložnú trasu /24. Pri kontrole prichádzajúcich trás BGP z vyhradenej inštancie sa uistite, že relácia BGP priradená k tunelu smerujúcemu do údajového centra vyhradenej inštancie A prijíma lokálnu trasu datacentra A /25 vyhradenej inštancie, ako aj záložnú trasu /24. Okrem toho sa uistite, že tunel smerujúci do údajového centra vyhradenej inštancie B prijíma lokálnu trasu údajového centra vyhradenej inštancie B/25, ako aj záložnú trasu /24. Upozorňujeme, že trasa zálohovania /24 bude rovnaká ako trasa inzerovaná z údajového centra vyhradenej inštancie A a dátového centra B vyhradenej inštancie.

Redundancia je poskytovaná údajovému centru vyhradenej inštancie, ak dôjde k výpadku rozhrania tunela do tohto údajového centra. Ak dôjde k strate pripojenia k údajovému centru vyhradenej inštancie A, prenos sa presmeruje z údajového centra B vyhradenej inštancie do údajového centra A. V tomto scenári bude tunel do dátového centra B používať trasu údajového centra B/25 na odosielanie prenosu do údajového centra B a tunel do údajového centra B použije záložnú trasu /24 na odosielanie prenosu do údajového centra A cez dátové centrum B.

Je dôležité, aby sa tunel údajového centra A nepoužíval na odosielanie prenosu do údajového centra B a naopak. V tomto scenári, ak sa prevádzka odošle do údajového centra A s cieľom údajového centra B, údajové centrum A presmeruje prenos do údajového centra B a potom sa údajové centrum B pokúsi odoslať prenos späť do zdroja cez tunel údajového centra B. To bude mať za následok neoptimálne smerovanie a môže to tiež prerušiť prevádzku prechádzajúcich firewallmi. Preto je dôležité, aby boli oba tunely počas normálnej prevádzky v aktívnej/aktívnej konfigurácii.

Trasa 0.0.0.0/0 musí byť inzerovaná zo strany zákazníka na stranu údajového centra vyhradenej inštancie. Konkrétnejšie trasy nebudú akceptované stranou vyhradenej inštancie. Uistite sa, že trasa 0.0.0.0/0 je inzerovaná z tunela A údajového centra vyhradenej inštancie aj tunela dátového centra B vyhradenej inštancie.

Konfigurácia MTU

Na strane vyhradenej inštancie sú povolené dve funkcie na dynamickú úpravu MTU pre veľké veľkosti paketov. Tunel GRE pridáva ďalšie hlavičky do paketov IP prúdiacich cez reláciu VPN. Tunel IPsec pridáva ďalšie hlavičky na vrch hlavičiek GRE, čím sa ďalej zníži najväčšia MTU povolená nad tunelom.

Tunel GRE upravuje funkciu MSS a cesta tunela GRE vo funkcii zisťovania MTU je povolená na strane vyhradenej inštancie. Nakonfigurujte "ip tcp adjust-mss 1350" alebo ekvivalentný príkaz, ako aj "tunnel path\u0002mtu-discovery" alebo ekvivalentný príkaz na strane zákazníka, ktorý vám pomôže s dynamickým nastavením MTU prevádzky cez tunel VPN.