Úvod

Virtual Connect je ďalšia doplnková možnosť pre cloudové pripojenie k vyhradenej inštancii pre volanie cez Webex (vyhradená inštancia). Virtual Connect umožňuje zákazníkom bezpečne rozšíriť svoju súkromnú sieť cez internet pomocou tunelov typu point-to-point IP VPN. Táto možnosť pripojenia poskytuje rýchle nadviazanie pripojenia k súkromnej sieti pomocou existujúceho vybavenia zákazníka (CPE) a pripojenia na internet.

Cisco hosťuje, spravuje a zaisťuje redundantné IP VPN tunely a požadovaný prístup na internet v regiónoch dátových centier Cisco Dedicated Instance, kde sa služba vyžaduje. Podobne je správca zodpovedný za ich zodpovedajúce CPE a internetové služby, ktoré sú potrebné na vytvorenie Virtual Connect.

Každá objednávka Virtual Connect v konkrétnej oblasti vyhradenej inštancie by zahŕňala dva tunely všeobecného smerovania (GRE) chránené šifrovaním IPSec (GRE over IPSec), jeden do každého dátového centra Cisco vo vybranom regióne.

Virtual Connect má limit šírky pásma 250 Mbps na tunel a odporúča sa pre menšie nasadenia. Keďže sa používajú dva tunely VPN typu point-to-point, všetka prevádzka do cloudu musí prejsť cez koncovú stanicu zákazníka CPE, a preto nemusí byť vhodná tam, kde je veľa vzdialených lokalít. Ďalšie alternatívne možnosti partnerského vzťahu nájdete v časti Pripojenie ku cloudu.

Pred odoslaním žiadosti o partnerský vzťah pre Virtual Connect sa uistite, že je v príslušnom regióne aktivovaná služba Vyhradená inštancia.

Predpoklady

Predpoklady na vytvorenie virtuálneho pripojenia zahŕňajú:

  • Zákazník poskytuje

    • Internetové pripojenie s dostatočnou dostupnou šírkou pásma na podporu nasadenia

    • Verejná IP adresa (adresy) pre dva IPSec tunely

    • Na strane zákazníka GRE prenosové IP adresy pre dva GRE tunely

  • Partner a zákazník

    • Spolupracujte na hodnotení požiadaviek na šírku pásma

    • Zaistite, aby sieťové zariadenia podporovali smerovanie protokolu Border Gateway Protocol (BGP) a dizajn tunela GRE over IPSec

  • Partner alebo zákazník poskytuje

    • Sieťový tím so znalosťami technológií tunela VPN typu site-to-site

    • Sieťový tím so znalosťou BGP, eBGP a všeobecných princípov smerovania

  • Cisco

    • Cisco priradilo privátne čísla autonómnych systémov (ASN) a prechodné IP adresy pre rozhrania tunelov GRE

    • Cisco pridelilo verejnú, ale nie internetovú smerovateľnú sieť triedy C (/24) na adresovanie vyhradenej inštancie cloudu

Ak má zákazník iba 1 zariadenie CPE, potom 2 tunely smerom k dátovým centrám Cisco (DC1 a DC2) v každom regióne budú pochádzať z tohto zariadenia CPE. Zákazník má tiež možnosť pre 2 zariadenia CPE, potom by sa každé zariadenie CPE malo pripojiť iba k 1 tunelu smerom k dátovým centrám Cisco (DC1 a DC2) v každom regióne. Dodatočnú redundanciu možno dosiahnuť ukončením každého tunela na samostatnom fyzickom mieste/mieste v rámci infraštruktúry zákazníka.

Technické detaily

Model nasadenia

Virtual Connect využíva dvojúrovňovú architektúru koncovej stanice, kde smerovanie a riadiace roviny GRE poskytuje jedno zariadenie a kontrolnú rovinu IPSec poskytuje druhé.

Po dokončení pripojenia Virtual Connect sa vytvoria dva tunely GRE over IPSec medzi podnikovou sieťou zákazníka a dátovými centrami Cisco Dedicated Instance. Jeden do každého redundantného dátového centra v rámci príslušného regiónu. Ďalšie sieťové prvky potrebné pre partnerský vzťah si partner alebo zákazník vymieňa so spoločnosťou Cisco prostredníctvom aktivačného formulára Control Hub Virtual Connect.

Obrázok 1 zobrazuje príklad modelu nasadenia Virtual Connect pre možnosť 2 koncentrátorov na strane zákazníka.

Virtual Connect – VPN je dizajn rozbočovača, kde sú zákaznícke rozbočovače pripojené k DC1 a DC2 dátových centier vyhradenej inštancie v rámci konkrétneho regiónu.

Pre lepšiu redundanciu sa odporúčajú dve lokality Hub, ale podporovaným modelom nasadenia je aj lokalita One Hub s dvoma tunelmi.

Šírka pásma na tunel je obmedzená na 250 Mbps.

Vzdialené lokality zákazníka v rámci toho istého regiónu by sa museli pripojiť späť k lokalitám rozbočovača cez WAN zákazníka a spoločnosť Cisco nie je zodpovedná za toto pripojenie.

Od partnerov sa očakáva, že budú úzko spolupracovať so zákazníkmi a zabezpečia výber najoptimálnejšej cesty pre oblasť služieb „Virtual Connect“.

Obrázok 2 zobrazuje peeringové oblasti vyhradenej inštancie cloudového pripojenia.

Smerovanie

Doplnok Routing for Virtual Connect je implementovaný pomocou externého BGP (eBGP) medzi vyhradenou inštanciou a zariadením zákazníka (CPE). Cisco bude inzerovať svoju príslušnú sieť pre každý redundantný DC v rámci regiónu k CPE zákazníka a CPE musí inzerovať predvolenú cestu do Cisco.

  • Cisco udržiava a prideľuje

    • Tunel Interface IP adresovanie (prechodné prepojenie na smerovanie) Cisco prideľuje z určeného zdieľaného priestoru adries (neverejne smerovateľné)

    • Cieľová adresa dopravy v tuneli (strana spoločnosti Cisco)

    • Súkromné čísla autonómnych systémov (ASN) pre konfiguráciu smerovania BGP zákazníka

      • Cisco priraďuje z určeného rozsahu súkromného použitia: 64512 až 65534

  • eBGP sa používa na výmenu trás medzi vyhradenou inštanciou a CPE

    • Cisco rozdelí pridelenú sieť /24 na 2 /25 pre každý DC v príslušnom regióne

    • V rámci Virtual Connect je každá sieť /25 inzerovaná späť do CPE spoločnosťou Cisco cez príslušné tunely typu point-to-point VPN (prechodné prepojenie)

    • CPE musí byť nakonfigurované s príslušnými susedmi eBGP. Ak používate jeden CPE, použijú sa dvaja susedia eBGP, jeden ukazuje na každý vzdialený tunel. Ak používate dva CPE, potom každé CPE bude mať jedného suseda eBGP smerujúceho do jediného vzdialeného tunela pre CPE.

    • Strana Cisco každého tunela GRE (IP tunelového rozhrania) je nakonfigurovaná ako sused BGP na CPE

    • CPE sa vyžaduje na inzerovanie predvolenej trasy cez každý z tunelov

    • CPE je zodpovedný za redistribúciu podľa potreby naučených ciest v rámci podnikovej siete zákazníka.

  • V prípade zlyhania spojenia bez zlyhania bude mať jeden CPE dva aktívne/aktívne tunely. Pre dva uzly CPE bude mať každý CPE jeden aktívny tunel a oba uzly CPE by mali byť aktívne a mali by prechádzať prevádzkou. V scenári bez zlyhania sa musí premávka rozdeliť do dvoch tunelov smerujúcich do správnych /25 cieľov, ak jeden z tunelov spadne, zostávajúci tunel môže prenášať premávku pre oba. Pri takomto scenári zlyhania, keď je sieť /25 mimo prevádzky, potom sa sieť /24 používa ako záložná trasa. Cisco bude posielať zákaznícky prenos cez svoju internú WAN do DC, ktoré stratilo konektivitu.

Proces pripojenia

Nasledujúce kroky na vysokej úrovni popisujú, ako vytvoriť pripojenie s virtuálnym Connect for Dedicated Instance.
1

Zadajte objednávku v Cisco CCW

2

Aktivujte Virtual Connect z Control Hub

3

Cisco vykoná konfiguráciu siete

4

Zákazník vykoná konfiguráciu siete

Krok 1: Objednávka CCW

Virtual Connect je doplnok pre vyhradenú inštanciu v CCW.

1

Prejdite na stránku objednávania CCW a potom sa kliknutím na tlačidlo Prihlásiť na stránku prihláste:

2

Vytvoriť odhad.

3

Pridajte SKU "A-FLEX-3".

4

Vyberte možnosť Upraviť.

5

Na zobrazenej karte predplatného vyberte položku Možnosti a doplnky.

6

V časti Ďalšie doplnky začiarknite políčko vedľa položky „Virtual Connect for Dedicated Instance“. Názov SKU je "A-FLEX-DI-VC".

7

Zadajte množstvo a počet oblastí, v ktorých sa vyžaduje Virtual Connect.

Množstvo Virtual Connect by nemalo presiahnuť celkový počet oblastí zakúpených pre vyhradenú inštanciu. Okrem toho je povolená iba jedna objednávka Virtual Connect na región.
8

Keď ste s výberom spokojní, kliknite na položku Overiť a uložiť v pravej hornej časti stránky.

9

Objednávku dokončite kliknutím na Uložiť a pokračovať. Vaša dokončená objednávka sa teraz zobrazuje v tabuľke objednávok.

Krok 2: Aktivácia Virtual Connect v Control Hub

1

Prihláste sa do https://admin.webex.com/loginControl Hub.

2

V sekcii Služby prejdite na položku Volanie > Vyhradená inštancia > Cloudové pripojenie.

3

Na karte Virtual Connect je uvedené zakúpené množstvo Virtual Connect. Správca teraz môže kliknúť na tlačidlo Aktivovať a spustiť aktiváciu Virtual Connect.

Proces aktivácie môžu spustiť iba správcovia s rolou „Customer full admin“. Zatiaľ čo správca s rolou „Správca len na čítanie zákazníka“ môže zobraziť iba stav.
4

Po kliknutí na tlačidlo Aktivovať sa správcovi zobrazí formulár Aktivovať virtuálne pripojenie , aby mohol poskytnúť technické podrobnosti Virtual Connect potrebné pre konfigurácie partnerského vzťahu na strane spoločnosti Cisco.

Formulár tiež poskytuje statické informácie na strane spoločnosti Cisco na základe vybratého regiónu. Tieto informácie budú užitočné pre správcov zákazníka na konfiguráciu CPE na ich strane na vytvorenie pripojenia.
  1. Adresa IP prepravy tunela GRE: Zákazník je povinný poskytnúť IP adresy pre tunelový transport na strane zákazníka a Cisco dynamicky pridelí IP adresy po dokončení aktivácie. IPSec ACL pre zaujímavú prevádzku by mal umožniť lokálny tunelový transport IP/32 na vzdialený tunelový transport IP/32. ACL by mal tiež špecifikovať iba protokol GRE IP.

    IP adresa poskytnutá zákazníkom môže byť súkromná alebo verejná.
  2. Používatelia protokolu IPSec: Zákazník je povinný poskytnúť zdrojové IP adresy IPSec tunela a Cisco pridelí cieľovú IP adresu IPSec. V prípade potreby je podporované aj vykonávanie prekladu NAT internej adresy tunela IPSEC na verejnú adresu.​

    IP adresa poskytnutá zákazníkom by mala byť verejná.

    Všetky ostatné statické informácie uvedené na aktivačnej obrazovke predstavujú bočné bezpečnostné a šifrovacie štandardy spoločnosti Cisco. Táto statická konfigurácia nie je prispôsobiteľná ani modifikovateľná. Ak potrebujete ďalšiu pomoc týkajúcu sa statických konfigurácií na strane spoločnosti Cisco, zákazník sa bude musieť obrátiť na TAC.
5

Po vyplnení všetkých povinných polí kliknite na tlačidlo Aktivovať .

6

Po vyplnení aktivačného formulára Virtual Connect pre konkrétnu oblasť môže zákazník exportovať aktivačný formulár z Control Hub, Calling > Dedicated Instance > Cloud Connectivity a kliknúť na Exportovať nastavenia.

Z bezpečnostných dôvodov nebudú v exportovanom dokumente k dispozícii overenie a heslo BGP, ale správca ich môže zobraziť v Control Hub kliknutím na Zobraziť nastavenia v časti Control Hub, Volanie > Vyhradená inštancia > karta Cloud Connectivity.

Krok 3: Cisco vykoná konfiguráciu siete

1

Po vyplnení formulára Aktivácia Virtual Connect sa stav aktualizuje na Prebieha aktivácia v časti Volanie > Vyhradená inštancia > Karta Virtual Connect Cloud Connectivity.

2

Cisco dokončí požadované konfigurácie na bočnom zariadení Cisco do 5 pracovných dní. Po úspešnom dokončení sa stav v Control Hub pre danú oblasť aktualizuje na „Aktivované“.

Krok 4: Zákazník vykoná konfiguráciu siete

Stav sa zmení na „Aktivovaný“, aby sa správcovi zákazníka oznámilo, že konfigurácia na strane Cisco pre pripojenie IP VPN bola dokončená na základe vstupov poskytnutých zákazníkom. Od administrátora zákazníka sa však očakáva, že dokončí svoju stranu konfigurácií na CPE a otestuje trasy pripojenia pre tunel Virtual Connect, aby bol online. V prípade akýchkoľvek problémov, ktorým čelí v čase konfigurácie alebo pripojenia, sa zákazník môže obrátiť na Cisco TAC so žiadosťou o pomoc.

riešenie problémov

Riešenie problémov a overenie prvej fázy IPsec (IKEv2 Negotiation).

Vyjednávanie tunela IPsec zahŕňa dve fázy, fázu IKEv2 a fázu IPsec. Ak sa vyjednávanie fázy IKEv2 nedokončí, druhá fáza IPsec sa nespustí. Najprv zadajte príkaz „show crypto ikev2 sa“ (na zariadení Cisco) alebo podobný príkaz na zariadení tretej strany, aby ste overili, či je relácia IKEv2 aktívna. Ak relácia IKEv2 nie je aktívna, možné dôvody môžu byť:

  • Zaujímavá prevádzka nespúšťa tunel IPsec.

  • Prístupový zoznam tunela IPsec je nesprávne nakonfigurovaný.

  • Medzi zákazníkom a IPsec tunelového tunela vyhradenej inštancie neexistuje žiadne prepojenie.

  • Parametre relácie IKEv2 sa nezhodujú medzi stranou vyhradenej inštancie a stranou zákazníka.

  • Firewall blokuje pakety IKEv2 UDP.

Najprv skontrolujte protokoly IPsec, či neobsahujú správy, ktoré ukazujú priebeh vyjednávania tunela IKEv2. Protokoly môžu naznačovať, kde sa vyskytol problém s vyjednávaním IKEv2. Nedostatok protokolovacích správ môže tiež naznačovať, že relácia IKEv2 nie je aktivovaná.

Niektoré bežné chyby pri vyjednávaní IKEv2 sú:

  • Nastavenia pre IKEv2 na strane CPE nezodpovedajú strane Cisco, znova skontrolujte uvedené nastavenia:

    • Skontrolujte, či je verzia IKE verzia 2.

    • Overte, či sa parametre šifrovania a overovania zhodujú s očakávaným šifrovaním na strane vyhradenej inštancie.

      Keď sa používa šifra „GCM“, protokol GCM spracuje overenie a nastaví parameter overenia na hodnotu NULL.

    • Skontrolujte nastavenie životnosti.

    • Overte skupinu modulov Diffie Hellman.

    • Overte nastavenia Pseudo Random Function.

  • Zoznam prístupových práv pre krypto mapu nie je nastavený na:

    • Povoliť GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (alebo ekvivalentný príkaz)

      Prístupový zoznam musí byť špecificky pre protokol „GRE“ a protokol „IP“ nebude fungovať.

Ak správy denníka nezobrazujú žiadnu aktivitu vyjednávania pre fázu IKEv2, môže byť potrebné zachytenie paketov.

Strana vyhradenej inštancie nemusí vždy začať výmenu IKEv2 a niekedy môže očakávať, že iniciátorom bude strana CPE zákazníka.

Skontrolujte konfiguráciu strany CPE pre nasledujúce predpoklady na spustenie relácie IKEv2:

  • Vyhľadajte zoznam šifrovacích prístupov IPsec pre prevádzku GRE (protokol 50) z prenosovej IP tunela CPE na prenosovú IP tunela vyhradenej inštancie.

  • Uistite sa, že rozhranie tunela GRE je povolené pre udržiavanie GRE, ak zariadenie nepodporuje udržiavanie GRE, spoločnosť Cisco bude upozornená, pretože udržiavanie GRE bude predvolene povolené na strane vyhradenej inštancie.

  • Uistite sa, že BGP je povolený a nakonfigurovaný s adresou suseda IP tunela vyhradenej inštancie.

Pri správnej konfigurácii sa spustí tunel IPsec a prvá fáza vyjednávania IKEv2:

  • GRE udržiava z rozhrania GRE tunela na strane CPE do rozhrania tunela GRE na strane vyhradenej inštancie.

  • Susedná TCP relácia BGP od suseda BGP na strane BGP suseda vyhradenej inštancie.

  • Pingujte z IP adresy bočného tunela CPE na IP adresu bočného tunela vyhradenej inštancie.

    Ping nemôže byť tunelová transportná IP do tunelovej transportnej IP, musí to byť tunelová IP do tunelovej IP.

Ak je pre prenos IKEv2 potrebné sledovanie paketov, nastavte filter pre UDP a buď port 500 (keď sa v strede koncových bodov IPsec nenachádza žiadne zariadenie NAT) alebo port 4500 (keď je zariadenie NAT vložené do stredu IPsec koncové body).

Overte, či sa pakety IKEv2 UDP s portom 500 alebo 4500 odosielajú a prijímajú na a z adresy IP DI IPsec.

Dátové centrum vyhradenej inštancie nemusí vždy začať prvým paketom IKEv2. Požiadavkou je, aby zariadenie CPE bolo schopné iniciovať prvý paket IKEv2 smerom k strane vyhradenej inštancie.

Ak to lokálna brána firewall umožňuje, skúste tiež zadať príkaz ping na vzdialenú adresu IPsec. Ak ping nie je úspešný z lokálnej na vzdialenú IPsec adresu, vykonajte trasu sledovania, ktorá vám pomôže, a zistite, kde bol paket zahodený.

Niektoré brány firewall a internetové zariadenia nemusia umožňovať sledovanie trasy.

Riešenie problémov a overenie pravosti IPsec druhej fázy (IPsec Negotiation).

Pred riešením problémov s druhou fázou IPsec overte, či je aktívna prvá fáza IPsec (t. j. priradenie zabezpečenia IKEv2). Vykonajte príkaz „show crypto ikev2 sa“ alebo ekvivalentný príkaz na overenie relácie IKEv2. Vo výstupe overte, či relácia IKEv2 trvá dlhšie ako niekoľko sekúnd a či nedochádza k odrazom. Doba prevádzkyschopnosti relácie sa vo výstupe zobrazuje ako relácia „Aktívny čas“ alebo ekvivalent.

Keď sa relácia IKEv2 overí ako aktívna a aktívna, preskúmajte reláciu IPsec. Rovnako ako pri relácii IKEv2 vykonajte príkaz „show crypto ipsec sa“ alebo ekvivalentný príkaz na overenie relácie IPsec. Pred vytvorením tunela GRE musia byť aktívna relácia IKEv2 aj relácia IPsec. Ak sa relácia IPsec nezobrazuje ako aktívna, skontrolujte protokoly IPsec, či neobsahujú chybové hlásenia alebo chyby pri vyjednávaní.

Niektoré z bežnejších problémov, s ktorými sa možno stretnúť počas rokovaní o IPsec, sú:

Nastavenia na strane CPE sa nezhodujú so stranou vyhradenej inštancie, znova skontrolujte nastavenia:

  • Skontrolujte, či sa parametre šifrovania a overovania zhodujú s nastaveniami na strane Vyhradená inštancia.

  • Overte nastavenia Perfect Forward Secrecy a či sa zhodujú nastavenia na strane Dedicated Instance.

  • Overte nastavenia životnosti.

  • Overte, či bol IPsec nakonfigurovaný v režime tunela.

  • Overte zdrojovú a cieľovú adresu IPsec.

Riešenie problémov s rozhraním tunela a overenie

Keď sú relácie IPsec a IKEv2 overené ako aktívne a udržiavané, pakety GRE tunela môžu prúdiť medzi koncovými bodmi vyhradenej inštancie a tunela CPE. Ak sa stav rozhrania tunela nezobrazuje, niektoré bežné problémy sú:

  • Transport VRF rozhrania tunela sa nezhoduje s VRF rozhrania spätnej slučky (ak sa na rozhraní tunela používa konfigurácia VRF).

    Ak sa na rozhraní tunela nepoužíva konfigurácia VRF, túto kontrolu možno ignorovať.

  • Keepalives nie sú povolené na rozhraní bočného tunela CPE

    Ak zariadenie CPE nepodporuje udržiavanie, potom musí byť spoločnosť Cisco upozornená, aby sa zakázali aj predvolené udržiavania na strane vyhradenej inštancie.

    Ak sú udržiavané životy podporované, overte, či sú povolené udržiavanie života.

  • Maska alebo IP adresa rozhrania tunela nie je správna a nezodpovedá očakávaným hodnotám vyhradenej inštancie.

  • Adresa prenosu zdroja alebo cieľa tunela nie je správna a nezodpovedá očakávaným hodnotám vyhradenej inštancie.

  • Brána firewall blokuje odosielanie paketov GRE do tunela IPsec alebo prijímanie z tunela IPsec (tunel GRE sa prenáša cez tunel IPsec)

Test ping by mal overiť, či je aktívne rozhranie lokálneho tunela a či je dobré pripojenie k rozhraniu vzdialeného tunela. Vykonajte kontrolu ping z IP tunela (nie transportnej IP) do IP vzdialeného tunela.

Zoznam kryptografických prístupov pre tunel IPsec, ktorý prenáša prevádzku tunela GRE, umožňuje prechádzať iba paketom GRE. V dôsledku toho nebudú príkazy ping fungovať z IP prenosu tunela na IP prenosu vzdialeného tunela.

Výsledkom kontroly pingu je paket GRE, ktorý sa vygeneruje z IP transportného tunela zdroja do cieľového tunela IP, zatiaľ čo užitočné zaťaženie paketu GRE (vnútorná IP) bude IP zdroja a cieľa tunela.

Ak test ping nie je úspešný a predchádzajúce položky sú overené, môže byť potrebné zachytenie paketov, aby sa zabezpečilo, že výsledkom icmp ping bude paket GRE, ktorý je potom zapuzdrený do paketu IPsec a odoslaný zo zdrojovej adresy IPsec na cieľovú IPsec adresu. Počítadlá na rozhraní tunela GRE a počítadlá relácií IPsec môžu tiež pomôcť zobraziť. ak sa odosielané a prijímacie pakety zvyšujú.

Okrem ping prevádzky by zachytávanie malo tiež zobrazovať udržiavacie GRE pakety aj počas nečinnej prevádzky. Nakoniec, ak je nakonfigurované BGP, pakety udržiavania BGP by sa mali odosielať aj ako pakety GRE zapuzdrené v paketoch IPSEC aj cez VPN.

Riešenie problémov a overenie BGP

BGP relácie

BGP sa vyžaduje ako smerovací protokol cez tunel IPsec VPN. Miestny sused BGP by mal vytvoriť reláciu eBGP so susedom BGP s vyhradenou inštanciou. Susedné IP adresy eBGP sú rovnaké ako adresy IP lokálneho a vzdialeného tunela. Najprv sa uistite, že je spustená relácia BGP a potom overte, či sa z vyhradenej inštancie prijímajú správne trasy a do vyhradenej inštancie sa odosiela správna predvolená trasa.

Ak je tunel GRE aktívny, overte, či je ping úspešný medzi lokálnou a vzdialenou IP tunela GRE. Ak je ping úspešný, ale relácia BGP nenastáva, potom v denníku BGP skontrolujte chyby pri vytváraní BGP.

Niektoré z bežnejších problémov s vyjednávaním BGP sú:

  • Číslo vzdialeného AS sa nezhoduje s číslom AS, ktoré je nakonfigurované na strane vyhradenej inštancie, znova skontrolujte konfiguráciu susedného AS.

  • Číslo lokálneho AS sa nezhoduje s tým, čo očakáva strana vyhradenej inštancie, overte, či sa číslo lokálneho AS zhoduje s očakávanými parametrami vyhradenej inštancie.

  • Brána firewall blokuje odosielanie paketov BGP TCP zapuzdrených do paketov GRE do tunela IPsec alebo prijímanie z tunela IPSEC

  • Vzdialená IP suseda BGP sa nezhoduje so vzdialenou IP tunela GRE.

Výmena trás BGP

Po overení relácie BGP pre oba tunely sa uistite, že zo strany vyhradenej inštancie sa odosielajú a prijímajú správne trasy.

Riešenie Dedicated Instance VPN očakáva vytvorenie dvoch tunelov zo strany zákazníka/partnera. Prvý tunel ukazuje na údajové centrum vyhradenej inštancie A a druhý tunel ukazuje na údajové centrum vyhradenej inštancie B. Oba tunely musia byť v aktívnom stave a riešenie vyžaduje aktívne/aktívne nasadenie. Každé dátové centrum vyhradenej inštancie bude propagovať svoju miestnu trasu /25, ako aj záložnú trasu /24. Pri kontrole prichádzajúcich trás BGP z vyhradenej inštancie sa uistite, že relácia BGP spojená s tunelom smerujúcim do údajového centra A vyhradenej inštancie prijíma lokálnu cestu údajového centra vyhradenej inštancie A /25, ako aj záložnú cestu /24. Okrem toho sa uistite, že tunel smerujúci do údajového centra B vyhradenej inštancie prijíma lokálnu trasu údajového centra vyhradenej inštancie B /25, ako aj záložnú cestu /24. Upozorňujeme, že záložná trasa /24 bude rovnaká ako trasa inzerovaná mimo dátového centra vyhradenej inštancie A a vyhradenej inštancie dátového centra B.

Redundancia sa poskytuje dátovému centru vyhradenej inštancie, ak dôjde k výpadku rozhrania tunela k tomuto dátovému centru. Ak dôjde k strate pripojenia k dátovému centru vyhradenej inštancie A, prevádzka bude presmerovaná z dátového centra vyhradenej inštancie B do dátového centra A. V tomto scenári tunel do dátového centra B použije trasu dátového centra B /25 na odoslanie prevádzky do dátového centra B a tunela do dátového centra B použije záložnú trasu /24 na odoslanie prevádzky do dátového centra A cez dátové centrum B.

Je dôležité, že keď sú aktívne oba tunely, tunel dátového centra A sa nepoužíva na odosielanie prevádzky do dátového centra B a naopak. V tomto scenári, ak sa prevádzka odošle do dátového centra A s cieľom dátového centra B, dátové centrum A prepošle prevádzku do dátového centra B a potom sa dátové centrum B pokúsi poslať prevádzku späť do zdroja cez tunel dátového centra B. To bude mať za následok suboptimálne smerovanie a môže tiež narušiť prevádzku prechádzajúcu bránami firewall. Preto je dôležité, aby oba tunely boli počas normálnej prevádzky v aktívnej/aktívnej konfigurácii.

Smerovanie 0.0.0.0/0 musí byť inzerované zo strany zákazníka na stranu dátového centra vyhradenej inštancie. Špecifickejšie trasy nebudú akceptované stranou Vyhradenej inštancie. Uistite sa, že trasa 0.0.0.0/0 je inzerovaná mimo tunela údajového centra vyhradenej inštancie A aj tunela údajového centra vyhradenej inštancie B.

Konfigurácia MTU

Na strane vyhradenej inštancie sú povolené dve funkcie na dynamickú úpravu MTU pre veľké veľkosti paketov. Tunel GRE pridáva ďalšie hlavičky do paketov IP prúdiacich cez reláciu VPN. Tunel IPsec pridáva ďalšie hlavičky na hlavičky GRE ďalej zníži najväčšiu povolenú MTU v tuneli.

Tunel GRE upravuje funkciu MSS a cesta tunela GRE vo funkcii zisťovania MTU je povolená na strane vyhradenej inštancie. Nakonfigurujte príkaz „ip tcp adjust-mss 1350“ alebo ekvivalentný príkaz, ako aj príkaz „tunel path\u0002mtu-discovery“ alebo ekvivalentný príkaz na strane zákazníka, aby ste pomohli s dynamickým prispôsobením MTU prevádzky cez tunel VPN.