Upoznavanje

Virtual Connect je dodatna opcija dodatka za povezivanje u oblaku sa namenskom instancom za Webex pozivanje (namenska instanca). Virtual Connect omogućava korisnicima da bezbedno prošire svoju privatnu mrežu preko Interneta koristeći IP VPN tunele od tačke do tačke. Ova opcija povezivanja obezbeđuje brzo uspostavljanje veze privatne mreže korišćenjem postojeće opreme za prostorije klijenta (CPE) i internet konekcnosti.

Cisco je domaćin, upravlja i uverava suvišne IP VPN tunele i zahtevani pristup Internetu u regionima centara podataka "Cisco's Dedicated Instance" gde je usluga potrebna. Slično tome, administrator je odgovoran za odgovarajuće CPE i Internet usluge koje su potrebne za uspostavljanje virtuelnog povezivanja.

Svaki redosled virtuelnog povezivanja u određenom regionu namenske instance uključivao bi dva generička tunela za enkapsulaciju usmeravanja (GRE) zaštićena IPSec šifrovanjem (GRE preko IPSec-a), po jedan u svaki odabrani Cisco-in centar podataka u regionu.

Virtual Connect ima ograničenje propusnog opsega od 250 Mb/s po tunelu i preporučuje se za manja raspoređivanja. S obzirom na to da se u dva VPN tunela od tačke do tačke koristi sav saobraćaj do oblaka mora da prođe kroz headend CPE kupca, pa samim tim možda neće biti pogodno tamo gde ima dosta udaljenih sajtova. Za druge alternativne opcije za zavirivanje pogledajte opciju "Povezivanje u oblaku".

Pre nego što pošaljete zahtev za peering za Virtual Connect, proverite da li je usluga Dedicated Instance aktivirana u tom regionu.

Preduslovi

Preduslovi za uspostavljanje virtuelnog povezivanja obuhvataju:

  • Klijent obezbeđuje

    • Internet veza sa dovoljno dostupnog propusnog opsega da podrži primenu

    • Javna IP adresa(es) za dva IPSec tunela

    • Customer side GRE transport IP adrese za dva GRE tunela

  • Partner i kupac

    • Radite zajedno na proceni zahteva propusnog opsega

    • Uverite se da mrežni uređaji podržavaju usmeravanje Protokola graničnog mrežnog prolaza (BGP) i GRE preko dizajna IPSec tunela

  • Partner ili klijent obezbeđuje

    • Mrežni tim sa znanjem tehnologija VPN tunela od lokacije do lokacije

    • Mrežni tim sa znanjem o BGP, eBGP i opštim principima usmeravanja

  • Cisco

    • Cisco je dodelio privatne brojeve autonoumnih sistema (ASNS) i prolazne IP adrese za GRE interfejse tunela

    • Cisco je dodelio javnu, ali ne i Internet routable Klasu C (/24) mrežu za namensko obraćanje u oblaku

Ako kupac ima samo 1 CPE uređaj, onda će 2 tunela prema Cisco-ovima datacentrima (DC1 i DC2) u svakom regionu biti sa tog CPE uređaja. Kupac takođe ima opciju za 2 CPE uređaja, zatim svaki CPE uređaj treba da se poveže sa 1 tunelom samo prema Cisco-ovih Datacentra (DC1 i DC2) u svakom regionu. Dodatna redundantnost se može postići prekidom svakog tunela na posebnoj fizičkoj lokaciji/lokaciji unutar infrastrukture kupca.

Tehnički detalji

Model raspoređivanja

Virtual Connect koristi dvostruku tier headend arhitekturu, gde avione za kontrolu usmeravanja i GRE obezbeđuje jedan uređaj, a IPSec kontrolni avion drugi.

Po završetku virtuelne veze , biće kreirana dva GRE preko IPSec tunela između poslovne mreže kupca i datacentra namenske instance Cisco. Po jedan svakom suvišnom datacentru unutar odgovarajućeg regiona. Dodatne elemente umrežavanja potrebne za vršnjake partner ili klijent razmenjuju na Cisco putem obrasca za aktivaciju virtuelnog povezivanja kontrolnog čvorišta.

Donja slika prikazuje primer modela primene virtuelnog povezivanja za opciju KSNUMKS-koncentratora na strani kupca.

Virtual Connect - VPN je dizajn čvorišta, gde su lokacije čvorišta klijenta povezane sa DC1 i DC2 centara podataka namenske instance unutar određenog regiona.

Dva Hub sajta se preporučuju za bolju redundantnost, ali one Hub lokacija sa dva tunela je takođe podržan model primene.

Propusni opseg po tunelu je ograničen na 250 Mbps. Da bi se osigurala efikasna preklapanje, kombinovani saobraćaj preko oba tunela ne sme da prelazi KSNUMKS Mbps, jer će sav saobraćaj biti usmeren kroz jedan tunel u slučaju kvara.

Udaljene lokacije klijenta u okviru istog regiona, morale bi da se povežu sa lokacijama čvorišta preko WAN-a kupca i to nije Cisco-ova odgovornost za tu vezu.

Od partnera se očekuje da blisko sarađuju sa klijentima, osiguravajući da se izabere najoptimalniji put za region usluge Virtual Connect .

Donja slika prikazuje regione peeringa za povezivanje oblaka Dedicated Instance.

Virtuelni regioni povezivanja

Usmeravanje

Proizvodni postupak za virtuelno povezivanje se primenjuje pomoću spoljnog BGP (eBGP) između namenske instance i opreme za premisu kupca (CPE). Cisco će reklamirati svoju mrežu za svaki suvišni DC u regionu na CPE klijenta i CPE je obavezan da reklamira podrazumevani put do kompanije Cisco.

  • Cisco održava i dodeljuje

    • IP adresa interfejsa tunela (prolazna veza za usmeravanje) Cisco dodeljuje iz naznačenog prostora deljene adrese (ne-javno usmeravanje)

    • Adresa za presačišanost tunela (Cisco's side)

    • Brojevi privatnih autonomnih sistema (ASNS) za konfiguraciju BGP usmeravanja kupca

      • Cisco dodeljuje iz naznačenog opsega privatne upotrebe: 64512 kroz 65534

  • eBGP koji se koristi za razmenu ruta između namenske instance i CPE

    • Cisco će podeliti dodeljenu /24 mrežu na 2/25 po jednu za svaki DC u odgovarajućem regionu

    • U Virtual Connect svakoj /25 mreži se oglašava nazad u CPE od strane kompanije Cisco preko odgovarajućeg point-to-point VPN tunela (prolazna veza)

    • CPE mora biti konfigurisan sa odgovarajućim eBGP komšijama. Ako koristite jedan CPE, koristiće se dva eBGP suseda, po jedan koji pokazuje na svaki udaljeni tunel. Ako koristite dva CPE- a, onda će svaki CPE imati po jednog eBGP komšiju koji će se potegnuti ka jednom udaljenom tunelu za CPE.

    • Cisco strana svakog GRE tunela (tunelski interfejs IP) konfigurisana je kao BGP komšija na CPE

    • CPE je obavezan da reklamira podrazumevanu rutu preko svakog od tunela

    • CPE je odgovornost za preraspodelu, kao što je propisano, naučenih puteva unutar mreže preduzeća rezača.

  • Pod uslovom otkazivanja veze koja nije neuspešna, jedan CPE će imati dva aktivna/aktivna tunela. Za dva CPE čvora, svaki CPE će imati po jedan aktivni tunel i oba CPE čvora bi trebalo da budu aktivna i da prolaze u saobraćaju. Prema scenariju koji se ne kvari, saobraćaj mora da se podeli na dva tunela koji idu na ispravne /25 destinacije, ako se jedan od tunela spusti, preostali tunel može da nosi saobraćaj za oba. Prema takvom scenariju otkazivanja, kada je mreža /25 u padu onda se mreža /24 koristi kao ruta pravljenja rezervne kopije. Cisco će poslati promet korisnika preko svog internog WAN-a prema DC-u koji je izgubio vezu.

Virtuelni protok saobraćaja za povezivanje

Protok saobraćaja kada su oba tunela gore

Dedicated Instance - Virtuelno povezivanje

Ova slika ilustruje mrežnu arhitekturu Virtual Connect-a , detaljno opisujući protok saobraćaja kada su i primarni i sekundarni tuneli operativni.

Predstavlja aktivan model povezivanja za kupca da pristupi UC aplikacijama hostovanim u Cisco centrima podataka, koristeći dvostruke GRE / IPSEC tunele preko interneta sa BGP-om za razmenu ruta.

Definicije:

  • Premisa kupca:
    • Ovo predstavlja mrežu na licu mesta kupca, gde se nalaze korisnici i njihovi uređaji (npr. IP telefoni, računari koji pokreću UC klijente).
    • Saobraćaj koji potiče odavde treba da stigne do UC aplikacija koje se nalaze u Cisco centrima podataka.
  • Cisco Vebek Calling Dedicated Instance (Dedicated Instance) datacentri (VksC-DI DC-A i VkC-DI DC-B):
    • Ovo su Cisco centri podataka koji hostuju UC aplikacije.
    • DC-A i DC-B su geografski različiti, obezbeđujući redundantnost.
    • Svaki centar podataka ima svoju podmrežu za UC aplikacije:
      • DC-A podmreža: X.X.X.0/25
      • DC-B podmreža: X.X.X.128/25
  • GRE / IPsec tuneli (tunel 1 i tunel 2):
    • To su sigurne, šifrovane veze između prostorije kupca i Cisco centra podataka preko javnog interneta.
    • GRE (generička inkapsulacija rutiranja): Ovaj protokol se koristi za inkapsulaciju različitih protokola mrežnog sloja unutar virtuelnih point-to-point linkova. Omogućava rutiranje protokola kao što je BGP da rade preko tunela.
    • IPsec (Internet Protocol Securiti): Ovaj paket protokola pruža kriptografske bezbednosne usluge (autentifikacija, integritet, poverljivost) za IP komunikacije. Šifrira GRE-inkapsulirani saobraćaj, obezbeđujući siguran prenos podataka preko Interneta.
  • Protokol o graničnom prolazu (BGP):
    • BGP je protokol rutiranja koji se koristi za razmjenu informacija o rutiranju između korisničke prostorije i Cisco centara podataka.

Kao što je prikazano na gornjem dijagramu, uređaji raspoređeni u prostorijama kupaca moraju uspostaviti dva GRE / IPSEC tunela.

Konvencije imenovanja koje se koriste u nastavku sa KSKS / YI, DC-A DC-B su generičke za sve regione u kojima se nudi Dedicated Instance. Ove vrednosti će biti jedinstvene za svaki region i stvarne vrednosti za svaki region. Specifične vrednosti su obezbeđene tokom aktiviranja virtuelne veze.

Na Cisco strani IPSec i GRE tuneli će biti ukinuti na različitim uređajima. Dakle, kupac mora da se uveri da je u skladu sa tim konfigurisao IPSec odredišne i GRE odredišne IP adrese na uređajima. Korisnici mogu koristiti istu IP adresu za GRE i IPSEC ako je podržan na njihovim uređajima. Pogledajte dijagram iznad. Vrednosti vezane za IP su obezbeđene tokom aktivacije virtuelne veze na portalu.

  • Tunel 1: Povezuje premisu kupca sa "Dedicated Instance DC-A" (Data Center A) preko Interneta. Ovaj tunel koristi BGP AS: 64KSKS1 na strani kupca i BGP AS: 64KSKS2 na strani namenske instance DC-A. Konfiguracije izvora tunela IPSEC i GRE podeljene su između detalja koje pruža kupac i Cisco.
  • Tunel 2: Povezuje premisu kupca sa "Dedicated Instance DC-B" (Data Center B) preko Interneta. Ovaj tunel koristi BGP AS: 64II1 na strani kupca i BGP AS: 64II2 na strani namenske instance DC-B. Kao i Tunnel 1, IPSEC i GRE konfiguracije izvora tunela dele se između kupca i Cisco-a.

U BGP AS:64XX i BGP AS:64YY, XX i YY su specifični za određeni region.

Kada se GRE / IPSEC tuneli uspostave u Vebek Calling Dedicated Instance datacentrima (A i B), korisnik treba da primi sledeće rute koje se oglašavaju od Cisco-a preko odgovarajućih BGP sesija.

  • Za DC-A: Rute oglašene od Cisco-a će biti Ks.Ks.Ks.0/25 i Ks.K.k.0/24. Opciono, ako se IaaS traži i konfiguriše za rute kupaca, IIKSNUMKS / KSNUMKS i IIKSNUMKS / KSNUMKS će se oglašavati od Cisco-a.
  • Za DC-B: Rute oglašene od Cisco-a će biti Ks.Ks.Ks.128/25 i Ks.K.k.0/24. Opciono, ako se IaaS traži i konfiguriše za rute kupaca, IIKSNUMKS / KSNUMKS i IIKSNUMKS / KSNUMKS će se oglašavati od Cisco-a.
  • Kupac treba da reklamira KSNUMKS / KSNUMKS rutu do Cisцo-a kroz obe veze (tunele)
  • Kupac mora da prati najduže prefiks (/ KSNUMKS) rute da pošalje saobraćaj na Cisco kroz odgovarajuće tunele kada su oba tunela gore.
  • Cisco će vratiti saobraćaj kroz iste tunele kako bi saobraćaj bio simetričan.

Protok saobraćaja:

  • Saobraćaj namenjen za "DC-A UC Apps" (X.X.X.0/25) iz prostorije kupca teče kroz tunel 1.
  • Saobraćaj namenjen za "DC-B UC Apps" (X.X.X.128/25) iz prostorije kupca teče kroz tunel 2.

Fail over scenario: protok saobraćaja kada je jedan od tunela dole

Dedicated Instance - Virtuelno povezivanje

Kao što je prikazano na gornjem dijagramu, kada je tunel do DC-A dole, BGP uspostavljen kroz tunel do DC-A će ići dole.

Uticaj na BGP: Kada tunel 1 padne, BGP sesija preko tog tunela će takođe pasti. Shodno tome, DC-A više neće moći da reklamira svoje rute (posebno X.X.X.0/25) kupcu putem ovog puta. Stoga će ruter kupca otkriti put kao nedostupan.

Sada, pošto je tunel KSNUMKS dole, ruter kupca u prostorijama kupca će automatski ukloniti rute naučene preko tunela KSNUMKS iz svoje tabele rutiranja ili ih označiti kao nedostupne.

  • Saobraćaj namenjen za UC App mrežu (Ks.Ks.Ks.0/24) ili DC-A podmrežu (Ks.Ks.Ks.0/25) će zatim biti preusmeren kroz radni tunel prema DC-B koji nastavlja da reklamira Ks.Ks.Ks.0/24 koji uključuje Ks.Ks.Ks.0/25 mrežu.
  • Slično ponašanje će se videti ako tunel za DC-B je dole dok tunel za DC-A je još uvek gore.

Proces povezivanja

Sledeći koraci visokog nivoa opisuju kako se uspostavlja povezivanje sa virtuelnim povezivanjem za namensku instancu.
1

Naručite u Cisco CCW

2

Aktiviraj virtuelno povezivanje iz kontrolnog čvorišta

3

Cisco izvršava konfiguraciju mreže

4

Klijent izvršava konfiguraciju mreže

Korak 1: CCW porudžbina

Virtual Connect je dodatak za namensku instancu u CCW.

1

Krećite se do lokacije ccW naručivanja, a zatim kliknite na dugme Prijavi se da biste se prijavili na lokaciju:

https://apps.cisco.com/Commerce/guest.
2

Kreirajte procenu.

3

Dodaj "A-FLEX-3" MJ.

4

Izaberite opcije uređivanja.

5

Na kartici za pretplatu koja se pojavljuje izaberite opcije i dodatke.

6

U okviru Dodatni dodaci potvrdite izbor u polju za potvrdu pored stavke "Virtuelno povezivanje za namensku instancu". Ime MJ je "A-FLEX-DI-VC".

7

Unesite količinu i broj regiona u kojima je potrebno virtuelno povezivanje.

Količina virtuelnog povezivanja ne bi trebalo da premašuje ukupan broj regiona kupljenih za namensku instancu. Takođe, dozvoljena je samo jedna virtuelna porudžbina za povezivanje po regionu.
8

Kada budete zadovoljni izborom, kliknite na dugme Proveri i sačuvaj u gornjem desnom delu stranice.

9

Kliknite na dugme Sačuvaj i nastavi da biste dotizovali porudžbinu. Vaša finalizovana porudžbina se sada utiša u koordinatnu mrežu porudžbina.

Korak 2: Aktiviranje virtuelnog povezivanja u kontrolnom čvorištu

1

Prijavite se u kontrolno čvorište https://admin.webex.com/login.

2

U odeljku Usluge , dođite do pozivanja > Instacnce > u oblaku.

3

Na kartici Virtuelno povezivanje navedena je kupljena količina virtuelnog povezivanja. Administrator sada može da klikne na dugme "Aktiviraj " da bi pokrenuo aktivaciju virtuelnog povezivanja.

Proces aktivacije mogu da pokrenu samo administratori sa ulogom "Customer Full admin". Dok administrator sa ulogom "Administrator samo za čitanje klijenta" može da vidi samo status.
4

Kada kliknete na dugme "Aktiviraj ", prikazuje se obrazac "Aktiviraj virtuelno povezivanje" da bi administrator obezbedio tehničke detalje virtuelnog povezivanja neophodne za vršnjačke konfiguracije sa Cisco-ove strane.

Obrazac takođe pruža statične informacije na Cisco-ovoj strani, zasnovane na izabranom regionu. Ove informacije će biti korisne za administratore klijenta da konfigurišu CPE na svojoj strani da bi uspostavili vezu.

  1. GRE Tunnel Transport IP adresa: Od kupca se traži da obezbedi IP adrese za transport tunela, a Cisco će dinamički dodeliti IP adrese kada se aktivacija završi. IPSec ACL za zanimljiv saobraćaj treba da omogući lokalnom tunelu Transport IP/32 udaljenom tunelu Transport IP/32. ACL bi takođe trebalo da navede samo GRE IP protokol.

    IP adresa koju je obezbedio klijent može biti privatna ili javna.

  2. IPSec vršnjaci: Od kupca se zahteva da obezbedi IPSec IP adrese izvora tunela, a Cisco dodeljuje IPSec odredišnu IP adresu. Izvršavanje NAT prevoda interne adrese IPSEC tunela na javnu adresu takođe je podržano ako je to potrebno.

    IP adresa koju je obezbedio klijent treba da bude javna.

    Sve ostale statične informacije navedene na ekranu za aktivaciju su Cisco-ini sporedni standardi bezbednosti i šifrovanja. Ova statička konfiguracija nije prilagodljiva ili modifikovana. Za svaku dalju pomoć u vezi sa statičnim konfiguracijama na Cisco-ovoj strani, kupac bi trebalo da dopre do TAC-a.
5

Kliknite na dugme Aktiviraj kada sva obavezna polja budu popunjena.

6

Kada se obrazac za aktiviranje virtuelnog povezivanja dovrši za particluarnu oblast, kupac može da izveze obrazac za aktivaciju iz kontrolnog čvorišta, pozove > karticu Posvećena instanca > povezivanje u oblaku i klikne na postavke izvoza.

Iz bezbednosnih razloga autentifikacija i BGP lozinka neće biti dostupni u izvezenom dokumentu, ali administrator može da ih vidi u kontrolnom čvorištu klikom na Pogledaj podešavanja pod kontrolnim čvorištem, pozivajući > namensku instancu > karticu Cloud Connecticut.

Korak 3: Cisco izvršava konfiguraciju mreže

1

Kada se obrazac za aktiviranje virtuelnog povezivanja dovrši, status će biti ažuriran na activation In-Progress u pozivanje > namenske instance > Cloud Connectivity Virtual Connect kartica.

2

Cisco će završiti potrebne konfiguracije na Cisco-ovoj bočnoj opremi u roku od KSNUMKS radnih dana. Kada se uspešno dovrši, status će biti ažuriran u "Aktivirano" za taj region u kontrolnom čvorištu.

Korak 4: Klijent izvršava konfiguraciju mreže

Status se menja u "Aktivirano" da bi se administrator klijenta obavestio da je Cisco-jeva strana konfiguracija za IP VPN povezivanje ben dovršena na osnovu ulaza koje je obezbedio Klijent. Međutim, očekuje se da će administrator klijenta završiti svoju stranu konfiguracija na CPE-u i testirati puteve povezivanja da bi tunel Virtual Connect bio na mreži. U slučaju bilo kakvih problema sa kojima se suočava u vreme konfiguracije ili povezivanja, klijent može da se dopre do Cisco TAC-a za pomoć.

Rešavanje problema

IPsec prva faza (IKEvKSNUMKS pregovaranje) - rešavanje problema i validacija

Pregovori o IPsec tunelu uključuju dve faze, IKEv2 fazu i IPsec fazu. Ako se pregovori o IKEv2 fazi ne završe, onda nema pokretanja druge IPsec faze. Prvo, izdati komandu "shov kripto ikev2 sa" (na Cisco opreme) ili sličnu komandu na opremi treće strane da proveri da li je IKEv2 sesija je aktivan. Ako IKEv2 sesija nije aktivna, potencijalni razlozi mogu biti:

  • Zanimljiv saobraćaj ne pokreće IPsec tunel.

  • Lista pristupa IPsec tunelu je pogrešno konfigurisana.

  • Ne postoji povezanost između kupca i IPSEC krajnje tačke tunela Dedicated Instance.

  • Parametri IKEv2 sesije se ne poklapaju između strane namenske instance i strane kupca.

  • Zaštitni zid blokira IKEv2 UDP pakete.

Prvo, proverite IPsec dnevnike za bilo kakve poruke koje pokazuju napredak pregovora IKEv2 tunela. Dnevnici mogu ukazivati na to gde postoji problem sa IKEv2 pregovorima. Nedostatak poruka za evidentiranje takođe može ukazivati na to da se IKEv2 sesija ne aktivira.

Neke uobičajene greške u IKEv2 pregovorima su:

  • Podešavanja za IKEvKSNUMKS na CPE strani ne odgovaraju Cisco strani, ponovo proverite pomenute postavke:

    • Proverite da li je IKE verzija verzija 2.

    • Proverite da li parametri šifrovanja i autentifikacije odgovaraju očekivanoj enkripciji na strani namenske instance.

      Kada je "GCM" šifra u upotrebi, GCM protokol obrađuje autentifikaciju i podesite parametar autentifikacije na NULL.

    • Proverite postavku životnog veka.

    • Proverite grupu modula Diffie Hellman.

    • Proverite postavke Pseudo Random Function.

  • Lista pristupa za kripto mapu nije postavljena na:

    • Dozvola GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (ili ekvivalentna komanda)

      Lista pristupa mora biti posebno za "GRE" protokol i "IP" protokol neće raditi.

Ako dnevnik poruke ne prikazuju nikakvu pregovaračku aktivnost za IKEv2 fazu, onda hvatanje paketa može biti potrebno.

Posvećena strana instance možda neće uvek započeti IKEvKSNUMKS razmenu i ponekad može očekivati da će CPE strana kupca biti inicijator.

Proverite konfiguraciju CPE strane za sledeće preduslove za pokretanje IKEvKSNUMKS sesije:

  • Proverite IPsec kripto pristupnu listu za GRE saobraćaj (protokol 50) od IP-a transporta CPE tunela do IP-a transporta tunela Dedicated Instance.

  • Uverite se da je interfejs GRE tunela omogućen za GRE keepalives, ako oprema ne podržava GRE keepalives onda Cisco je obavešten jer će GRE keepalives biti omogućen na strani Dedicated Instance na podrazumevanoj strani.

  • Uverite se da je BGP omogućen i konfigurisan sa susednom adresom IP adrese tunela namenske instance.

Kada se pravilno konfiguriše, sledeće počinje IPsec tunel i prva faza IKEv2 pregovora:

  • GRE keepalives od CPE strane GRE tunelskog interfejsa do GRE tunelskog interfejsa na strani Dedicated Instance.

  • BGP susedna TCP sesija od BGP suseda na strani CPE do BGP suseda na strani namenske instance.

  • Ping sa IP adrese CPE bočnog tunela na IP adresu bočnog tunela namenske instance.

    Ping ne može biti tunel transport IP u tunel transporta IP, to mora biti tunel IP u tunel IP.

Ako je potreban trag paketa za IKEv2 saobraćaj, podesite filter za UDP i bilo port 500 (kada nijedan NAT uređaj nije u sredini IPsec krajnjih tačaka) ili port 4500 (kada je NAT uređaj ubačen u sredini IPsec krajnjih tačaka).

Proverite da li se IKEv2 UDP paketi sa portom 500 ili 4500 šalju i primaju do i od DI IPsec IP adrese.

Dedicated Instance datacenter ne može uvek započeti prvi IKEv2 paket. Uslov je da je CPE uređaj sposoban da pokrene prvi IKEv2 paket prema strani namenske instance.

Ako lokalni zaštitni zid to dozvoljava, onda takođe pokušajte ping na udaljenu IPsec adresu. Ako ping nije uspešan od lokalnog do udaljenog IPsec adrese, onda izvršite trag put da pomogne, i odrediti gde je paket pao.

Neki zaštitni zidovi i internet oprema ne mogu dozvoliti trag put.

IPsec druga faza (IPsec pregovaranje) - rešavanje problema i validacija

Proverite da li je IPsec prva faza (to jest, IKEv2 bezbednosna asocijacija) je aktivan pre rešavanja problema IPsec druge faze. Izvršite "shov kripto ikev2 sa" ili ekvivalentnu komandu za verifikaciju IKEv2 sesije. U izlazu, proverite da li je IKEv2 sesija bila više od nekoliko sekundi i da se ne odbija. Vreme rada sesije prikazuje se kao sesija "Aktivno vreme" ili ekvivalent u izlazu.

Kada se IKEvKSNUMKS sesija potvrdi kao aktivna i aktivna, istražite IPsec sesiju. Kao i kod IKEv2 sesije, izvršite "shov kripto ipsec sa" ili ekvivalentnu komandu za verifikaciju IPsec sesije. I IKEv2 sesija i IPsec sesija moraju biti aktivni pre nego što se uspostavi GRE tunel. Ako se IPsec sesija ne prikaže kao aktivna, proverite IPsec dnevnike za poruke o greškama ili greške u pregovorima.

Neki od najčešćih problema koji se mogu susresti tokom pregovora o IPsec-u su:

Podešavanja na strani CPE ne odgovaraju strani Dedicated Instance, ponovo proverite podešavanja:

  • Proverite da li parametri šifrovanja i autentifikacije odgovaraju podešavanjima na strani namenske instance.

  • Proverite postavke Perfect Forvard Secreci i da su postavke meč na strani Dedicated Instance.

  • Proverite životne postavke.

  • Proverite da li je IPsec konfigurisan u režimu tunela.

  • Proverite izvor i odredište IPsec adrese.

Rešavanje problema i validacija tunelskog interfejsa

Kada su IPsec i IKEvKSNUMKS sesije verifikovane kao gore i aktivne, GRE tunel keepalive paketi mogu da teku između Dedicated Instance i CPE tunelskih krajnjih tačaka. Ako interfejs tunela ne prikazuje status, neki uobičajeni problemi su:

  • Transport tunelskog interfejsa VRF ne odgovara VRF-u interfejsa povratne petlje (ako se VRF konfiguracija koristi na interfejsu tunela).

    Ako se VRF konfiguracija ne koristi na interfejsu tunela, ova provera se može ignorisati.

  • Keepalives nisu omogućeni na CPE bočnom tunelskom interfejsu

    Ako keepalives nisu podržani na CPE opremi, onda Cisco mora biti obavešten tako da su podrazumevani keepalives na strani Dedicated Instance takođe onemogućeni.

    Ako su podržani keepalives, proverite da li su keepalives omogućeni.

  • Maska ili IP adresa interfejsa tunela nije tačna i ne odgovara očekivanim vrednostima namenske instance.

  • Adresa izvornog ili odredišnog tunela nije tačna i ne odgovara očekivanim vrednostima namenske instance.

  • Zaštitni zid blokira GRE pakete od slanja u IPsec tunel ili primljenih iz IPsec tunela (GRE tunel se transportuje preko IPsec tunela)

Ping test treba da potvrdi da li je lokalni interfejs tunela gore i povezivanje je dobro sa udaljenim interfejsom tunela. Izvršite ping proveru od tunela IP (ne transportne IP) do udaljenog tunela IP.

Kripto pristupna lista za IPsec tunel koji nosi GRE tunel saobraćaj omogućava samo GRE pakete da pređu. Kao rezultat toga, pingovi neće raditi od IP adrese za transport tunela do IP adrese udaljenog transporta tunela.

Provera pinga rezultira GRE paketom koji se generiše iz IP adrese transporta izvornog tunela do IP adrese transporta tunela odredišta, dok će korisni teret GRE paketa (unutrašnji IP) biti IP izvorni i odredišni tunel.

Ako ping test nije uspešan i prethodne stavke su verifikovane, onda hvatanje paketa može biti potrebno kako bi se osiguralo da je icmp ping rezultira GRE paketom koji se zatim inkapsulira u IPsec paket, a zatim šalje sa izvorne IPsec adrese na odredišnu IPsec adresu. Brojači na GRE tunelskom interfejsu i brojači IPsec sesija takođe mogu pomoći da se prikaže. ako se paketi za slanje i primanje povećavaju.

Pored ping saobraćaja, hvatanje bi trebalo da pokaže i keepalive GRE pakete čak i tokom neaktivnog saobraćaja. Konačno, ako je BGP konfigurisan, BGP keepalive paketi takođe treba da se šalju kao GRE paketi inkapsulirani u IPSEC paketima, kao i preko VPN-a.

Rešavanje problema i validacija BGP-a

BGP sesije

BGP je potreban kao protokol za rutiranje preko VPN IPsec tunela. Lokalni BGP komšija treba da uspostavi eBGP sesiju sa BGP susedom namenske instance. IP adrese suseda eBGP-a su iste kao i IP adrese lokalnog i udaljenog tunela. Prvo proverite da li je BGP sesija podignuta, a zatim proverite da li su ispravne rute primljene od namenske instance i da li se ispravna podrazumevana ruta šalje u namensku instancu.

Ako je GRE tunel gore, proverite da li je ping uspešan između lokalnog i udaljenog GRE tunela IP. Ako je ping uspešan, ali BGP sesija ne dolazi, onda istražite BGP dnevnik za greške u uspostavljanju BGP-a.

Neka od najčešćih pitanja BGP pregovora su:

  • Udaljeni AS broj ne odgovara AS broj koji je podešen na strani Dedicated Instance, ponovo proverite suseda AS konfiguraciju.

  • Lokalni AS broj ne odgovara onome što Dedictaed Instance strana očekuje, proverite da li lokalni AS broj odgovara očekivanim parametrima Dedicated Instance.

  • Zaštitni zid blokira BGP TCP pakete inkapsulirane u GRE paketima da se pošalju u IPsec tunel ili da se primaju iz IPSEC tunela

  • IP udaljeni BGP sused ne odgovara udaljenom GRE tunelu IP.

Razmena BGP ruta

Kada se BGP sesija verifikuje za oba tunela, uverite se da se ispravne rute šalju i primaju sa strane namenske instance.

Dedicated Instance VPN rešenje očekuje da se uspostave dva tunela sa strane kupca / partnera. Prvi tunel ukazuje na centar podataka Dedicated Instance A, a drugi tunel ukazuje na centar podataka Dedicated Instance B. Oba tunela moraju biti u aktivnom stanju i rešenje zahteva aktivno / aktivno raspoređivanje. Svaki namenski centar za podatke će reklamirati svoju lokalnu / KSNUMKS rutu, kao i / KSNUMKS rezervnu rutu. Kada proveravate dolazne BGP rute iz namenske instance, uverite se da BGP sesija povezana sa tunelom koji ukazuje na namenski instanцe dataцentra A prima namenski inцenцe dataцentar A / KSNUMKS lokalnu rutu, kao i / KSNUMKS rezervnu rutu. Pored toga, uverite se da tunel koji ukazuje na Dedicated Instance datacenter B prima lokalnu rutu Dedicated Instance data center B / 25, kao i / 24 rezervnu rutu. Imajte na umu da će / KSNUMKS rezervna ruta biti ista ruta koja se oglašava iz Dedicated Instance datacentra A i Dedicated Instance datacentra B.

Redundancija je obezbeđena u namenskom centru za podatke ako se interfejs tunela do tog centra podataka smanji. Ako se izgubi povezanost sa namenskim inštanci datacentra A, saobraćaj će biti prosleđen iz namenskog instance datacentra B u datacentar A. U ovom scenariju, tunel do centra podataka B će koristiti rutu data centra B / KSNUMKS za slanje saobraćaja u centar podataka B i tunel do centra podataka B će koristiti backup / KSNUMKS rutu za slanje saobraćaja u centar podataka A preko centra podataka B.

Važno je da, kada su oba tunela aktivna, tunel datacentra A se ne koristi za slanje saobraćaja u datacentar B i obrnuto. U ovom scenariju, ako se saobraćaj pošalje u centar podataka A sa odredištem centra podataka B, centar podataka A će proslediti saobraćaj u centar podataka B, a zatim centar podataka B će pokušati da pošalje saobraćaj nazad na izvor preko tunela centra podataka B. To će rezultirati neoptimalnim rutiranjem i takođe može prekinuti saobraćaj koji prelazi zaštitne zidove. Zbog toga je važno da oba tunela budu u aktivnoj / aktivnoj konfiguraciji tokom normalnog rada.

Ruta 0.0.0.0 / 0 mora se oglašavati sa strane kupca na stranu Dedicated Instance datacentra. Specifičnije rute neće biti prihvaćene od strane Dedicated Instance. Uverite se da se ruta 0.0.0.0 / 0 oglašava i iz tunela Dedicated Instance datacenter A i tunela Dedicated Instance datacenter B.

MTU Konfiguracija

Na strani Dedicated Instance, dve funkcije su omogućene da dinamički podešavaju MTU za velike veličine paketa. GRE tunel dodaje više zaglavlja IP paketima koji prolaze kroz VPN sesiju. IPsec tunel dodaje dodatne zaglavlja na vrhu GRE zaglavlja će dodatno smanjiti najveći MTU dozvoljen preko tunela.

GRE tunel podešava MSS funkciju i GRE tunel put u MTU otkrivanju funkcija je omogućena na strani Dedicated Instance. Konfigurišite "ip tcp adjust-mss 1350" ili ekvivalentnu komandu, kao i "tunnel path\u0002mtu-discovery" ili ekvivalentnu komandu na strani kupca kako biste pomogli u dinamičkom podešavanju MTU-a saobraćaja kroz VPN tunel.