Úvod

Virtuálne pripojenie je ďalšia doplnková možnosť pre cloudové pripojenie k vyhradenej inštancii pre volania Webex (vyhradená inštancia). Virtuálne pripojenie umožňuje zákazníkom bezpečne rozšíriť svoju súkromnú sieť cez internet pomocou point-to-point IP VPN tunelov. Táto možnosť pripojenia umožňuje rýchle nadviazanie pripojenia k súkromnej sieti pomocou existujúceho zariadenia zákazníka (CPE) a internetového pripojenia.

Spoločnosť Cisco hostuje, spravuje a zabezpečuje redundantné IP VPN tunely a požadovaný prístup na internet v regióne (regiónoch) dátových centier vyhradených inštancií spoločnosti Cisco, kde je služba vyžadovaná. Podobne je správca zodpovedný za príslušné koncové zariadenie (CPE) a internetové služby, ktoré sú potrebné na vytvorenie virtuálneho pripojenia.

Každá objednávka virtuálneho pripojenia v konkrétnom regióne vyhradenej inštancie by obsahovala dva tunely generického zapuzdrenia smerovania (GRE) chránené šifrovaním IPSec (GRE cez IPSec), jeden do každého dátového centra spoločnosti Cisco vo vybranom regióne.

Virtuálne pripojenie má limit šírky pásma 250 Mbps na tunel a odporúča sa pre menšie nasadenia. Keďže sa používajú dva VPN tunely typu point-to-point, všetka prevádzka do cloudu musí prechádzať cez koncové zariadenie zákazníka (CPE), a preto nemusí byť vhodná tam, kde je veľa vzdialených lokalít. Ďalšie alternatívne možnosti peeringu nájdete v časti Cloud Connectivity.

Pred odoslaním požiadavky na peering pre Virtual Connect sa uistite, že je v danom regióne aktivovaná služba Dedicated Instance.

Predpoklady

Medzi predpoklady na vytvorenie virtuálneho pripojenia patria:

  • Zákazník poskytuje

    • Internetové pripojenie s dostatočnou dostupnou šírkou pásma na podporu nasadenia

    • Verejná IP adresa (adresy) pre dva IPSec tunely

    • IP adresy GRE transportu na strane zákazníka pre dva GRE tunely

  • Partner a zákazník

    • Spolupracujte na vyhodnotení požiadaviek na šírku pásma

    • Zabezpečte, aby sieťové zariadenia podporovali smerovanie protokolu BGP (Border Gateway Protocol) a návrh tunela GRE cez IPSec.

  • Partner alebo zákazník poskytuje

    • Sieťový tím so znalosťou technológií VPN tunelov typu site-to-site

    • Sieťový tím so znalosťou BGP, eBGP a všeobecných princípov smerovania

  • Cisco

    • Spoločnosť Cisco priradila súkromné autonómne systémové čísla (ASN) a prechodné IP adresy pre rozhrania tunelov GRE.

    • Cisco priradilo verejnú, ale nie internetovú smerovateľnosť triedy C (/24) sieť pre adresovanie cloudových dedikovaných inštancií

Ak má zákazník iba jedno zariadenie CPE, potom 2 tunely smerujúce k dátovým centrám spoločnosti Cisco (DC1 a DC2) v každom regióne budú z tohto zariadenia CPE. Zákazník má tiež možnosť 2 zariadení CPE, pričom každé zariadenie CPE by sa malo pripojiť iba k 1 tunelu smerom k dátovým centrám spoločnosti Cisco (DC1 a DC2) v každom regióne. Dodatočnú redundanciu je možné dosiahnuť ukončením každého tunela v samostatnom fyzickom site/location v rámci infraštruktúry Zákazníka.

Technické detaily

Model nasadenia

Virtuálne pripojenie využíva dvojvrstvovú architektúru koncovej stanice, kde smerovacie a riadiace roviny GRE poskytuje jedno zariadenie a riadiacu rovinu IPSec poskytuje druhé.

Po dokončení pripojenia Virtual Connect sa medzi podnikovou sieťou zákazníka a dátovými centrami spoločnosti Cisco pre vyhradené inštancie vytvoria dva tunely GRE cez IPSec. Jeden pre každé redundantné dátové centrum v príslušnom regióne. Ďalšie sieťové prvky potrebné pre peering si partner alebo zákazník vymieňa so spoločnosťou Cisco prostredníctvom aktivačného formulára Control Hub Virtual Connect.

Obrázok nižšie zobrazuje príklad modelu nasadenia virtuálneho pripojenia pre možnosť s 2 koncentrátormi na strane zákazníka.

Virtuálne pripojenie – VPN je dizajn Hub, kde sú lokality Hub zákazníka pripojené k dátovým centrám DC1 a DC2 vyhradenej inštancie v rámci konkrétneho regiónu.

Pre lepšiu redundanciu sa odporúčajú dve Hub lokality, ale podporovaný model nasadenia je aj jedna Hub lokalita s dvoma tunelmi.

Šírka pásma na tunel je obmedzená na 250 Mbps. Pre zabezpečenie efektívneho záložného prepnutia nesmie kombinovaná prevádzka cez oba tunely prekročiť 250 Mbps, pretože v prípade poruchy bude všetka prevádzka smerovaná cez jeden tunel.

Vzdialené lokality zákazníka v rámci toho istého regiónu by sa museli pripojiť späť k centrálnym lokalitám cez sieť WAN zákazníka a spoločnosť Cisco za túto konektivitu nezodpovedá.

Od partnerov sa očakáva úzka spolupráca so zákazníkmi a zabezpečenie výberu najoptimálnejšej cesty pre oblasť služieb Virtual Connect.

Obrázok nižšie zobrazuje peeringové oblasti pripojenia vyhradenej inštancie do cloudu.

Virtuálne pripojené oblasti

Smerovanie

Smerovanie pre doplnok Virtual Connect je implementované pomocou externého BGP (eBGP) medzi vyhradenou inštanciou a zariadením zákazníka (CPE). Spoločnosť Cisco bude inzerovať svoju príslušnú sieť pre každý redundantný DC v rámci regiónu koncovému bodu zákazníka a koncový bod zákazníka je povinný inzerovať predvolenú trasu spoločnosti Cisco.

  • Spoločnosť Cisco udržiava a prideľuje

    • IP adresovanie tunelového rozhrania (prechodné prepojenie pre smerovanie) Cisco priraďuje z určeného zdieľaného adresného priestoru (neverejne smerovateľného)

    • Adresa cieľa tunelovej prepravy (strana spoločnosti Cisco)

    • Čísla súkromných autonómnych systémov (ASN) pre konfiguráciu smerovania BGP zákazníka

      • Spoločnosť Cisco priraďuje z určeného rozsahu súkromného použitia: 64512 až 65534

  • eBGP používaný na výmenu trás medzi vyhradenou inštanciou a CPE

    • Spoločnosť Cisco rozdelí pridelené /24 sieť do 2 /25 jeden pre každý DC v príslušnom regióne

    • Vo Virtuálnom pripojení každý /25 sieť je spoločnosťou Cisco inzerovaná späť do CPE cez príslušné tunely VPN typu point-to-point (prechodné spojenie)

    • CPE musí byť nakonfigurované s príslušnými susedmi eBGP. Ak sa používa jedno CPE, použijú sa dvaja susedia eBGP, jeden smerujúci do každého vzdialeného tunela. Ak sa používajú dve CPE zariadenia, každé CPE bude mať jedného suseda eBGP smerujúceho k jednému vzdialenému tunelu pre dané CPE.

    • Strana Cisco každého GRE tunela (IP rozhranie tunela) je nakonfigurovaná ako BGP neighbor na CPE.

    • CPE musí inzerovať predvolenú trasu cez každý z tunelov.

    • CPE je zodpovedné za prerozdelenie naučených trás v rámci podnikovej siete zákazníka podľa potreby.

  • V stave zlyhania linky bez poruchy bude mať jedno CPE dve active/active tunely. Pre dva uzly CPE bude mať každý CPE jeden aktívny tunel a oba uzly CPE by mali byť aktívne a prepúšťať prevádzku. V scenári bez poruchy sa musí doprava rozdeliť do dvoch tunelov smerujúcich do správneho /25 destinácie, ak jeden z tunelov skolabuje, zostávajúci tunel môže prepraviť dopravu pre obe. V takomto scenári zlyhania, keď /25 sieť je nefunkčná, potom /24 sieť sa používa ako záložná trasa. Spoločnosť Cisco bude posielať zákaznícku prevádzku cez svoju internú sieťovú sieť WAN smerom k centrále domény, ktorá stratila pripojenie.

Tok prevádzky virtuálneho pripojenia

Plynulá doprava, keď sú oba tunely v prevádzke

Vyhradená inštancia – virtuálne pripojenie

Tento obrázok znázorňuje architektúru siete Virtual Connect a podrobne zobrazuje tok premávky, keď sú v prevádzke primárny aj sekundárny tunel.

Predstavuje aktívny model pripojenia, ktorý umožňuje zákazníkovi prístup k aplikáciám UC hostovaným v dátových centrách spoločnosti Cisco, pričom využíva duálne... GRE/IPSEC tunely cez internet s BGP na výmenu trás.

Definície:

  • Priestory zákazníka:
    • Toto predstavuje sieť zákazníka na mieste, kde sa nachádzajú používatelia a ich zariadenia (napr. IP telefóny, počítače s klientmi UC).
    • Prevádzka odtiaľto pochádzajúca sa musí dostať k aplikáciám UC hostovaným v dátových centrách spoločnosti Cisco.
  • Dátové centrá Cisco Webex Calling Dedicated Instance (Dedicated Instance) (WxC-DI DC-A a WxC-DI DC-B):
    • Toto sú dátové centrá spoločnosti Cisco, ktoré hostujú aplikácie UC.
    • DC-A a DC-B sú geograficky odlišné, čo zabezpečuje redundanciu.
    • Každé dátové centrum má vlastnú podsieť pre aplikácie UC:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Tunely (Tunel 1 a Tunel 2):
    • Ide o bezpečné, šifrované pripojenia medzi priestormi zákazníka a dátovým centrom Cisco cez verejný internet.
    • GRE (Generic Routing Encapsulation): Tento protokol sa používa na zapuzdrenie rôznych protokolov sieťovej vrstvy vo vnútri virtuálnych point-to-point spojení. Umožňuje prevádzku smerovacích protokolov ako BGP cez tunel.
    • IPsec (zabezpečenie internetového protokolu): Táto sada protokolov poskytuje kryptografické bezpečnostné služby (autentizácia, integrita, dôvernosť) pre IP komunikáciu. Šifruje prevádzku zapuzdrenú pomocou GRE, čím zaisťuje bezpečný prenos dát cez internet.
  • Protokol hraničnej brány (BGP):
    • BGP je smerovací protokol používaný na výmenu smerovacích informácií medzi priestormi zákazníka a dátovými centrami spoločnosti Cisco.

Ako je znázornené na vyššie uvedenom diagrame, zariadenia nasadené v priestoroch zákazníka musia nadviazať dve GRE/IPSEC tunely.

Konvencie pomenovávania použité nižšie s XX / YY, DC-A DC-B sú všeobecné pre všetky regióny, kde sa ponúka vyhradená inštancia. Tieto hodnoty budú jedinečné pre každý región a skutočné hodnoty pre každý región. Konkrétne hodnoty sa poskytujú počas aktivácie virtuálneho pripojenia.

Na strane spoločnosti Cisco budú tunely IPSec a GRE ukončené na rôznych zariadeniach. Zákazník sa teda musí uistiť, že na zariadeniach nakonfiguruje cieľové IP adresy IPSec a GRE. Zákazníci môžu používať rovnakú IP adresu pre GRE a IPSEC, ak je to na ich zariadeniach podporované. Pozrite si diagram vyššie. Hodnoty súvisiace s IP adresou sa poskytujú počas aktivácie virtuálneho pripojenia na portáli.

  • Tunel 1: Pripája priestory zákazníka k „vyhradenej inštancii DC-A“ (dátové centrum A) cez internet. Tento tunel používa BGP AS:64XX1 na strane zákazníka a BGP AS:64XX2 na strane vyhradenej inštancie DC-A. Konfigurácie zdrojov tunelov IPSEC a GRE sú rozdelené medzi podrobnosti poskytnuté zákazníkom a podrobnosti poskytnuté spoločnosťou Cisco.
  • Tunel 2: Pripája priestory zákazníka k „vyhradenej inštancii DC-B“ (dátové centrum B) cez internet. Tento tunel používa BGP AS:64YY1 na strane zákazníka a BGP AS:64YY2 na strane vyhradenej inštancie DC-B. Podobne ako v prípade tunela 1, aj konfigurácie zdrojov tunelov IPSEC a GRE sú zdieľané medzi zákazníkom a spoločnosťou Cisco.

V BGP AS:64XX a BGP AS:64YY, XX a YY sú špecifické pre konkrétny región.

Akonáhle GRE/IPSEC Ak sú tunely vytvorené do dátových centier vyhradených inštancií Webex Calling (A a B), zákazník by mal od spoločnosti Cisco dostávať nasledujúce trasy inzerované prostredníctvom príslušných relácií BGP.

  • Pre DC-A: Trasy inzerované spoločnosťou Cisco budú X.X.X.0/25 a X.X.x.0/24. Voliteľne, ak je IaaS vyžiadaná a nakonfigurovaná pre trasy zákazníka Y.Y.Y.0/25 a Y.Y.Y.0/24 bude inzerované spoločnosťou Cisco.
  • Pre DC-B: Trasy inzerované spoločnosťou Cisco budú X.X.X.128/25 a X.X.x.0/24. Voliteľne, ak je IaaS vyžiadaná a nakonfigurovaná pre trasy zákazníka Y.Y.Y.128/25 a Y.Y.Y.0/24 bude inzerované spoločnosťou Cisco.
  • Zákazník musí inzerovať 0.0.0./0 trasa do Cisco cez obe pripojenia (tunely)
  • Zákazník musí dodržiavať najdlhší prefix (/25) trasy na posielanie prevádzky do spoločnosti Cisco cez príslušné tunely, keď sú oba tunely v prevádzke.
  • Spoločnosť Cisco bude vracať prevádzku cez tie isté tunely, aby zachovala symetriu prevádzky.

Tok dopravy:

  • Prevádzka smerujúca pre „DC-A UC Apps“ (X.X.X.0/25) z priestorov zákazníka preteká cez tunel 1.
  • Prevádzka smerujúca pre „DC-B UC Apps“ (X.X.X.128/25) z priestorov zákazníka preteká cez tunel 2.

Scenár prepnutia pri zlyhaní : plynulosť dopravy, keď je jeden z tunelov nefunkčný

Vyhradená inštancia – virtuálne pripojenie

Ako je znázornené na vyššie uvedenom diagrame, keď je tunel do DC-A nefunkčný, preruší sa aj BGP vytvorený cez tunel do DC-A.

Vplyv na BGP: Keď tunel 1 prestane fungovať, preruší sa aj relácia BGP cez tento tunel. V dôsledku toho spoločnosť DC-A už nebude môcť inzerovať svoje trasy (konkrétne X.X.X.0/25) k zákazníkovi touto cestou. Zákaznícky smerovač preto zistí cestu ako nedostupnú.

Keďže tunel 1 je nefunkčný, smerovač zákazníka v priestoroch zákazníka automaticky odstráni trasy získané cez tunel 1 zo svojej smerovacej tabuľky alebo ich označí ako nedostupné.

  • Prevádzka smerujúca do siete UC App Network (X.X.X.0/24) alebo podsieť DC-A (X.X.X.0/25) bude potom presmerovaný cez pracovný tunel smerom na DC-B, ktorý bude naďalej inzerovať X.X.X.0/24 čo zahŕňa X.X.X.0/25 sieť.
  • Podobné správanie sa bude pozorovať, ak je tunel do DC-B nefunkčný, zatiaľ čo tunel do DC-A je stále aktívny.

Proces pripojenia

Nasledujúce kroky na vysokej úrovni opisujú, ako nadviazať pripojenie s virtuálnym Connectom pre vyhradenú inštanciu.
1

Zadať objednávku v Cisco CCW

2

Aktivujte virtuálne pripojenie z ovládacieho centra

3

Cisco vykonáva konfiguráciu siete

4

Zákazník vykonáva konfiguráciu siete

Krok 1: Objednávka proti smeru hodinových ručičiek

Virtual Connect je doplnok pre vyhradenú inštanciu v CCW.

1

Prejdite na objednávkovú stránku CCW a potom kliknite na tlačidlo Prihlásiť sa, čím sa prihlásite na stránku:

https://apps.cisco.com/Commerce/guest.
2

Vytvoriť odhad.

3

Pridajte skladový kód „A-FLEX-3“.

4

Vyberte možnosť Upraviť možnosti.

5

Na zobrazenej karte predplatného vyberte položku Možnosti a doplnky.

6

V časti Ďalšie doplnky začiarknite políčko vedľa položky „Virtuálne pripojenie pre vyhradenú inštanciu“. Názov SKU je „A-FLEX-DI-VC“.

7

Zadajte množstvo a počet regiónov, v ktorých je potrebné virtuálne pripojenie.

Množstvo virtuálneho pripojenia by nemalo presiahnuť celkový počet zakúpených regiónov pre vyhradenú inštanciu. Taktiež je povolená iba jedna objednávka Virtual Connect na región.
8

Keď ste s výberom spokojní, kliknite na tlačidlo Overiť a uložiť v pravej hornej časti stránky.

9

Kliknite na Uložiť a pokračovať pre dokončenie objednávky. Vaša finálna objednávka sa teraz zobrazí v tabuľke objednávok.

Krok 2: Aktivácia virtuálneho pripojenia v Control Hub

1

Prihláste sa do Control Hubu https://admin.webex.com/login.

2

V sekcii Služby prejdite na Volanie > Vyhradená inštancia > Pripojenie ku cloudu.

3

Na karte Virtual Connect je uvedené zakúpené množstvo Virtual Connect. Administrátor môže teraz kliknúť na Aktivovať a spustiť aktiváciu virtuálneho pripojenia.

Proces aktivácie môžu spustiť iba administrátori s rolou „Úplný administrátor zákazníka“. Zatiaľ čo správca s rolou „Správca zákazníka iba na čítanie“ môže stav iba zobraziť.
4

Po kliknutí na tlačidlo Aktivovať sa zobrazí formulár Aktivovať virtuálne pripojenie, v ktorom správca zadá technické podrobnosti o virtuálnom pripojení potrebné pre konfigurácie peeringu na strane Cisco.

Formulár tiež poskytuje statické informácie na strane spoločnosti Cisco na základe vybratého regiónu. Tieto informácie budú užitočné pre administrátorov zákazníkov pri konfigurácii CPE na ich strane a nadviazaní pripojenia.

  1. IP adresa tunelového prenosu GRE: Zákazník je povinný poskytnúť svoje IP adresy tunelového prenosu na strane zákazníka a spoločnosť Cisco ich po dokončení aktivácie dynamicky pridelí. IPSec ACL pre zaujímavú prevádzku by mal umožňovať lokálny tunelový prenos IP/32 na vzdialenú tunelovú dopravu IP/32. ACL by mal tiež špecifikovať iba protokol GRE IP.

    IP adresa poskytnutá zákazníkom môže byť súkromná alebo verejná.

  2. IPSec partneri: Zákazník je povinný poskytnúť zdrojové IP adresy tunela IPSec a spoločnosť Cisco prideľuje cieľovú IP adresu IPSec. V prípade potreby je podporované aj vykonanie NAT prekladu internej adresy IPSEC tunela na verejnú adresu.

    IP adresa poskytnutá zákazníkom by mala byť verejná.

    Všetky ostatné statické informácie uvedené na aktivačnej obrazovke sú dodržané bezpečnostné a šifrovacie štandardy spoločnosti Cisco. Túto statickú konfiguráciu nie je možné prispôsobiť ani upraviť. V prípade akejkoľvek ďalšej pomoci týkajúcej sa statických konfigurácií na strane spoločnosti Cisco by sa zákazník mal obrátiť na oddelenie TAC.
5

Po vyplnení všetkých povinných polí kliknite na tlačidlo Aktivovať.

6

Po vyplnení aktivačného formulára Virtual Connect pre konkrétny región môže zákazník exportovať aktivačný formulár z Control Hub, volaním > Vyhradená inštancia > Karta Pripojenie ku cloudu a kliknite na položku Exportovať nastavenia.

Z bezpečnostných dôvodov nebudú overenie a heslo BGP k dispozícii v exportovanom dokumente, ale administrátor si ich môže pozrieť v aplikácii Control Hub kliknutím na Zobraziť nastavenia v časti Control Hub, Volanie > Vyhradená inštancia > Karta Pripojenie ku cloudu.

Krok 3: Cisco vykonáva konfiguráciu siete

1

Po vyplnení aktivačného formulára Virtual Connect sa stav v časti Volanie aktualizuje na Prebieha aktivácia > Vyhradená inštancia > Karta virtuálneho pripojenia cloudového pripojenia.

2

Spoločnosť Cisco dokončí požadované konfigurácie na svojich vedľajších zariadeniach do 5 pracovných dní. Po úspešnom dokončení sa stav pre daný región v aplikácii Control Hub aktualizuje na „Aktivované“.

Krok 4: Zákazník vykonáva konfiguráciu siete

Stav sa zmení na „Aktivované“, aby sa správca zákazníka upozornil, že konfigurácie spoločnosti Cisco pre pripojenie IP VPN boli dokončené na základe údajov poskytnutých zákazníkom. Od administrátora zákazníka sa však očakáva, že dokončí svoju časť konfigurácií na zariadeniach CPE a otestuje trasy pripojenia, aby bol tunel Virtual Connect online. V prípade akýchkoľvek problémov počas konfigurácie alebo pripojenia sa zákazník môže obrátiť na oddelenie Cisco TAC so žiadosťou o pomoc.

Riešenie problémov

Riešenie problémov a overovanie prvej fázy IPsec (vyjednávanie IKEv2)

Vyjednávanie tunela IPsec zahŕňa dve fázy, fázu IKEv2 a fázu IPsec. Ak sa vyjednávanie fázy IKEv2 nedokončí, druhá fáza IPsec sa nezačne. Najprv zadajte príkaz „show crypto ikev2 sa“ (na zariadeniach Cisco) alebo podobný príkaz na zariadeniach tretej strany, aby ste overili, či je relácia IKEv2 aktívna. Ak relácia IKEv2 nie je aktívna, možné príčiny môžu byť:

  • Zaujímavá prevádzka nespúšťa tunel IPsec.

  • Zoznam prístupových bodov tunela IPsec je nesprávne nakonfigurovaný.

  • Medzi zákazníkom a koncovou IP adresou tunela IPsec vyhradenej inštancie nie je žiadne pripojenie.

  • Parametre relácie IKEv2 sa nezhodujú medzi stranou vyhradenej inštancie a stranou zákazníka.

  • Brána firewall blokuje pakety IKEv2 UDP.

Najprv skontrolujte protokoly IPsec, či neobsahujú správy, ktoré zobrazujú priebeh vyjednávania tunela IKEv2. V protokoloch môže byť uvedené, kde sa vyskytol problém s vyjednávaním IKEv2. Absencia správ v protokole môže tiež naznačovať, že relácia IKEv2 nie je aktivovaná.

Niektoré bežné chyby pri vyjednávaní IKEv2 sú:

  • Nastavenia pre IKEv2 na strane CPE sa nezhodujú so stranami Cisco, znova skontrolujte uvedené nastavenia:

    • Skontrolujte, či je verzia IKE verzia 2.

    • Overte, či parametre šifrovania a overovania zodpovedajú očakávanému šifrovaniu na strane vyhradenej inštancie.

      Keď sa používa šifra „GCM“, protokol GCM spracováva autentifikáciu a nastavuje parameter autentifikácie na hodnotu NULL.

    • Overte nastavenie životnosti.

    • Overte Diffie-Hellmanovu modulovú grupu.

    • Overte nastavenia funkcie Pseudo Random.

  • Prístupový zoznam pre krypto mapu nie je nastavený na:

    • Povolenie GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (alebo ekvivalentný príkaz)

      Zoznam prístupových práv musí byť špecificky pre protokol „GRE“ a protokol „IP“ nebude fungovať.

Ak správy v protokole neukazujú žiadnu vyjednávaciu aktivitu pre fázu IKEv2, môže byť potrebné zachytenie paketov.

Strana vyhradenej inštancie nemusí vždy začať výmenu IKEv2 a niekedy môže očakávať, že iniciátorom bude strana CPE zákazníka.

Skontrolujte konfiguráciu na strane CPE, či sú splnené nasledujúce požiadavky na spustenie relácie IKEv2:

  • Skontrolujte zoznam prístupových práv IPsec pre kryptografické pripojenie pre prevádzku GRE (protokol 50) z transportnej IP adresy tunela CPE do transportnej IP adresy tunela vyhradenej inštancie.

  • Uistite sa, že rozhranie tunela GRE je povolené pre udržiavanie pamäte GRE. Ak zariadenie nepodporuje udržiavanie pamäte GRE, spoločnosť Cisco bude upozornená, pretože udržiavanie pamäte GRE bude na strane vyhradenej inštancie predvolene povolené.

  • Uistite sa, že je protokol BGP povolený a nakonfigurovaný s adresou suseda IP adresy tunela vyhradenej inštancie.

Po správnej konfigurácii sa spustí tunel IPsec a prvá fáza vyjednávania IKEv2:

  • Udržiavanie prítomnosti GRE z rozhrania tunela GRE na strane CPE do rozhrania tunela GRE na strane vyhradenej inštancie.

  • BGP neighbor TCP relácia zo suseda BGP na strane CPE do suseda BGP na strane vyhradenej inštancie.

  • Vykonajte príkaz ping z IP adresy tunela na strane CPE na IP adresu tunela na strane vyhradenej inštancie.

    Ping nemôže byť IP adresa tunela do IP adresy tunela, musí byť IP adresa tunela do IP adresy tunela.

Ak je pre prevádzku IKEv2 potrebné sledovanie paketov, nastavte filter pre UDP a buď port 500 (keď sa uprostred koncových bodov IPsec nenachádza žiadne zariadenie NAT), alebo port 4500 (keď je uprostred koncových bodov IPsec vložené zariadenie NAT).

Overte, či sa pakety IKEv2 UDP s portom 500 alebo 4500 odosielajú a prijímajú na a z IP adresy DI IPsec.

Dátové centrum vyhradenej inštancie nemusí vždy začať s prvým paketom IKEv2. Požiadavkou je, aby zariadenie CPE bolo schopné iniciovať prvý paket IKEv2 smerom k strane vyhradenej inštancie.

Ak to lokálny firewall umožňuje, skúste aj pingnúť vzdialenú IPsec adresu. Ak príkaz ping z lokálnej na vzdialenú IPsec adresu nie je úspešný, vykonajte sledovanie trasy, aby ste zistili, kam bol paket zahodený.

Niektoré firewally a internetové zariadenia nemusia povoľovať sledovanie trasy.

Riešenie problémov a overovanie druhej fázy IPsec (IPsec Negotiation)

Pred riešením problémov s druhou fázou IPsec overte, či je aktívna prvá fáza IPsec (t. j. bezpečnostné priradenie IKEv2). Vykonajte príkaz „show crypto ikev2 sa“ alebo ekvivalentný príkaz na overenie relácie IKEv2. Vo výstupe overte, či je relácia IKEv2 aktívna dlhšie ako niekoľko sekúnd a či sa nedeaktivuje. Doba prevádzkyschopnosti relácie sa vo výstupe zobrazuje ako „aktívny čas“ relácie alebo ekvivalent.

Keď sa overí, že relácia IKEv2 je spustená a aktívna, preskúmajte reláciu IPsec. Rovnako ako v prípade relácie IKEv2, vykonajte príkaz „show crypto ipsec sa“ alebo ekvivalentný príkaz na overenie relácie IPsec. Pred vytvorením tunela GRE musia byť aktívne relácie IKEv2 aj IPsec. Ak sa relácia IPsec nezobrazuje ako aktívna, skontrolujte protokoly IPsec, či neobsahujú chybové hlásenia alebo chyby vyjednávania.

Medzi najčastejšie problémy, s ktorými sa môžete stretnúť počas rokovaní o IPsec, patria:

Nastavenia na strane CPE sa nezhodujú so stranami vyhradenej inštancie, znova skontrolujte nastavenia:

  • Overte, či sa parametre šifrovania a overovania zhodujú s nastaveniami na strane vyhradenej inštancie.

  • Overte nastavenia funkcie Perfect Forward Secrecy a či sa zhodujú s nastaveniami na strane vyhradenej inštancie.

  • Overte nastavenia životnosti.

  • Overte, či bol IPsec nakonfigurovaný v tunelovom režime.

  • Overte zdrojovú a cieľovú IPsec adresu.

Riešenie problémov a overovanie rozhrania tunela

Keď sa overí, že relácie IPsec a IKEv2 sú spustené a aktívne, pakety keepalive tunela GRE môžu prúdiť medzi koncovými bodmi vyhradenej inštancie a tunela CPE. Ak sa stav rozhrania tunela nezobrazuje, niektoré bežné problémy sú:

  • VRF prenosového rozhrania tunela sa nezhoduje s VRF rozhrania spätnej slučky (ak sa na rozhraní tunela používa konfigurácia VRF).

    Ak sa na rozhraní tunela nepoužíva konfigurácia VRF, túto kontrolu možno ignorovať.

  • Funkcie Keepalive nie sú povolené na rozhraní tunela na strane CPE.

    Ak zariadenia CPE nepodporujú funkcie keepalive, spoločnosť Cisco musí byť o tom informovaná, aby sa predvolené funkcie keepalive na strane vyhradenej inštancie tiež deaktivovali.

    Ak sú podporované funkcie keepalive, overte, či sú povolené.

  • Maska alebo IP adresa tunelového rozhrania nie je správna a nezodpovedá očakávaným hodnotám vyhradenej inštancie.

  • Zdrojová alebo cieľová transportná adresa tunela nie je správna a nezodpovedá očakávaným hodnotám vyhradenej inštancie.

  • Brána firewall blokuje pakety GRE odosielané do tunela IPsec alebo prijímané z tunela IPsec (tunel GRE sa prenáša cez tunel IPsec).

Test ping by mal overiť, či je lokálne tunelové rozhranie funkčné a či je pripojenie k vzdialenému tunelovému rozhraniu dobré. Vykonajte kontrolu ping z IP adresy tunela (nie transportnej IP adresy) na IP adresu vzdialeného tunela.

Zoznam kryptografických prístupov pre tunel IPsec, ktorý prenáša prevádzku tunela GRE, umožňuje prechod iba paketov GRE. V dôsledku toho nebudú príkazy ping fungovať z IP adresy tunelového prenosu na vzdialenú IP adresu tunelového prenosu.

Výsledkom kontroly ping je paket GRE, ktorý sa vygeneruje zo zdrojovej IP adresy tunela do cieľovej IP adresy tunela, pričom užitočné zaťaženie paketu GRE (vnútorná IP adresa) bude zdrojová a cieľová IP adresa tunela.

Ak test ping nie je úspešný a predchádzajúce položky sú overené, môže byť potrebné zachytenie paketov, aby sa zabezpečilo, že test ping ICMP vedie k vygenerovaniu paketu GRE, ktorý je potom zapuzdrený do paketu IPsec a následne odoslaný zo zdrojovej adresy IPsec na cieľovú adresu IPsec. Počítadlá na rozhraní tunela GRE a počítadlá relácií IPsec môžu tiež pomôcť zobraziť, či sa počet odosielaných a prijímaných paketov zvyšuje.

Okrem prevádzky ping by mal zachytený prenos zobrazovať aj keepalive GRE pakety, a to aj počas nečinnej prevádzky. Nakoniec, ak je nakonfigurovaný protokol BGP, pakety BGP keepalive by sa mali odosielať aj ako pakety GRE zapuzdrené v paketoch IPSEC cez VPN.

Riešenie problémov a overovanie BGP

BGP relácie

BGP je vyžadovaný ako smerovací protokol cez tunel VPN IPsec. Lokálny BGP sused by mal nadviazať reláciu eBGP so susedom BGP vyhradenej inštancie. IP adresy susedov eBGP sú rovnaké ako IP adresy lokálneho a vzdialeného tunela. Najprv sa uistite, že je relácia BGP spustená, a potom overte, či sa z vyhradenej inštancie prijímajú správne trasy a či sa do vyhradenej inštancie odosiela správna predvolená trasa.

Ak je tunel GRE spustený, overte, či je úspešné vykonanie príkazu ping medzi lokálnou a vzdialenou IP adresou tunela GRE. Ak je ping úspešný, ale relácia BGP sa nenadväzuje, preskúmajte protokol BGP, či neobsahuje chyby pri nadväzovaní BGP.

Medzi najbežnejšie problémy s vyjednávaním BGP patria:

  • Číslo vzdialeného AS sa nezhoduje s číslom AS, ktoré je nakonfigurované na strane vyhradenej inštancie, znova skontrolujte konfiguráciu susedného AS.

  • Lokálne číslo AS sa nezhoduje s tým, čo očakáva strana vyhradenej inštancie. Overte, či sa lokálne číslo AS zhoduje s očakávanými parametrami vyhradenej inštancie.

  • Brána firewall blokuje odosielanie paketov BGP TCP zapuzdrených v paketoch GRE do tunela IPsec alebo ich prijímanie z tunela IPSEC.

  • Vzdialená IP adresa suseda BGP sa nezhoduje s vzdialenou IP adresou tunela GRE.

Výmena trás BGP

Po overení relácie BGP pre oba tunely sa uistite, že zo strany vyhradenej inštancie sa odosielajú a prijímajú správne trasy.

Riešenie VPN pre vyhradené inštancie očakáva vytvorenie dvoch tunelov z customer/partner strana. Prvý tunel smeruje do dátového centra vyhradenej inštancie A a druhý tunel smeruje do dátového centra vyhradenej inštancie B. Oba tunely musia byť v aktívnom stave a riešenie vyžaduje active/active nasadenie. Každé dátové centrum vyhradenej inštancie bude inzerovať svoje lokálne /25 trasa, ako aj /24 záložná trasa. Pri kontrole prichádzajúcich trás BGP z vyhradenej inštancie sa uistite, že relácia BGP spojená s tunelom smerujúcim do dátového centra vyhradenej inštancie A prijíma dátové centrum vyhradenej inštancie A. /25 miestna trasa, ako aj /24 záložná trasa. Okrem toho sa uistite, že tunel smerujúci do dátového centra vyhradenej inštancie B prijíma dátové centrum vyhradenej inštancie B. /25 miestna trasa, ako aj /24 záložná trasa. Všimnite si, že /24 Záložná trasa bude rovnaká trasa, aká je inzerovaná z dátového centra vyhradenej inštancie A a dátového centra vyhradenej inštancie B.

Redundancia sa poskytuje dátovému centru vyhradenej inštancie, ak dôjde k výpadku tunelového rozhrania do tohto dátového centra. Ak sa stratí pripojenie k dátovému centru vyhradenej inštancie A, prevádzka bude presmerovaná z dátového centra vyhradenej inštancie B do dátového centra A. V tomto scenári tunel do dátového centra B použije dátové centrum B. /25 trasa na odoslanie prevádzky do dátového centra B a tunel do dátového centra B bude používať záložnú /24 trasa na odoslanie prevádzky do dátového centra A cez dátové centrum B.

Je dôležité, aby v prípade, že sú oba tunely aktívne, tunel z dátového centra A nebol používaný na odosielanie prevádzky do dátového centra B a naopak. V tomto scenári, ak je prevádzka odoslaná do dátového centra A s cieľom v dátovom centre B, dátové centrum A presmeruje prevádzku do dátového centra B a potom sa dátové centrum B pokúsi odoslať prevádzku späť k zdroju cez tunel dátového centra B. To bude mať za následok neoptimálne smerovanie a môže to tiež narušiť prevádzku prechádzajúcu cez firewally. Preto je dôležité, aby sa oba tunely nachádzali v active/active konfigurácia počas bežnej prevádzky.

Ten/Tá/To 0.0.0.0/0 Trasa musí byť inzerovaná zo strany zákazníka do dátového centra vyhradenej inštancie. Strana vyhradenej inštancie nebude akceptovať špecifickejšie trasy. Uistite sa, že 0.0.0.0/0 Trasa je inzerovaná z tunela dátového centra vyhradenej inštancie A aj z tunela dátového centra vyhradenej inštancie B.

Konfigurácia MTU

Na strane vyhradenej inštancie sú povolené dve funkcie na dynamické nastavenie MTU pre veľké veľkosti paketov. Tunel GRE pridáva ďalšie hlavičky k IP paketom prechádzajúcim cez reláciu VPN. Tunel IPsec pridáva ďalšie hlavičky nad hlavičky GRE, čo ďalej zníži najväčšiu povolenú hodnotu MTU v tuneli.

Tunel GRE upravuje funkciu MSS a cesta tunela GRE vo funkcii zisťovania MTU je povolená na strane vyhradenej inštancie. Nakonfigurujte príkaz „ip tcp adjust-mss 1350“ alebo ekvivalentný, ako aj „tunnel path\u0002mtu-discovery" alebo ekvivalentný príkaz na strane zákazníka, ktorý pomôže s dynamickým nastavením MTU prevádzky cez VPN tunel.