Virtual Connect, yönlendirme ve GRE kontrol düzlemlerinin bir cihaz tarafından ve IPSec kontrol düzleminin başka bir cihaz tarafından sağlandığı çift katmanlı bir headend mimarisi kullanır.

Virtual Connect bağlantısı tamamlandığında, Müşterinin kurumsal ağı ile Ayrılmış Örnek Cisco’nun veri merkezleri arasında IPSec üzerinden iki GRE oluşturulacaktır. Ilgili Bölgedeki her bir yedekli veri merkezine bir tane. Eşleme için gereken ek ağ öğeleri, Iş Ortağı veya Müşteri tarafından Control Hub Virtual Connect etkinleştirme formu aracılığıyla Cisco'ya aktarılır.

Şekil 1, müşteri tarafında 2-konsantratör seçeneği için Sanal Bağlantı dağıtım modelinin bir örneğini gösterir.

Sanal Bağlantı - VPN, Müşterinin Hub Sitelerinin belirli bir bölgedeki Ayrılmış Örnek veri merkezlerinin DC1 ve DC2'sine bağlandığı bir Hub tasarımıdır.

Daha iyi yedeklilik için iki Hub sitesi önerilir, ancak iki tünelli Bir Hub sitesi de desteklenen bir dağıtım modelidir.

Tünel başına bant genişliği 250 Mbps ile sınırlıdır.

Müşterinin aynı bölgedeki uzak sitelerinin, Müşterinin WAN üzerinden Hub sitelerine tekrar bağlanması gerekir ve bu bağlantı Cisco’nun sorumluluğu değildir.

Iş ortaklarının Müşterilerle yakın bir şekilde çalışması ve “Sanal Bağlantı” hizmet bölgesi için en uygun yolun seçilmesini sağlaması beklenir.

Şekil 2, Ayrılmış Örnek Bulut Bağlantısı eşleme Bölgelerini göstermektedir.

Sanal Bağlantı eklentisi için yönlendirme, Özel Örnek ve Müşteri Tesisi Ekipmanı (CPE) arasında harici BGP (eBGP) kullanılarak uygulanır. Cisco, bir bölgedeki her yedekli DC için ilgili ağını Müşterinin CPE'sine bildirir ve Cisco'ya varsayılan bir rota tanıtmak için CPE gereklidir.

• Cisco korur ve atar

  • Tünel Arabirimi IP adresleme (yönlendirme için geçici bağlantı) Cisco, belirlenmiş bir Paylaşılan Adres Alanından atar (herkese açık olmayan)

  • Tünel taşıma desitination adresi (Cisco tarafı)

  • Müşteri BGP yönlendirme yapılandırması için özel otonom sistem numaraları (ASN'ler)

    • Cisco, belirtilen özel kullanım aralığından atar: 64512 ile 65534 arası

• Ayrılmış Örnek ve CPE arasındaki yolları değiştirmek için kullanılan eBGP

  • Cisco, atanan /24 ağını ilgili bölgedeki her bir DC için 2 /25 ağa bölecektir

  • Virtual Connect'te her bir /25 ağ, ilgili noktadan noktaya VPN tünelleri üzerinden Cisco tarafından CPE'ye geri tanıtılır (geçici bağlantı)

  • CPE, uygun eBGP komşularıyla yapılandırılmalıdır. Bir CPE kullanıyorsanız, her bir uzak tünele işaret eden iki eBGP komşusu kullanılır. Iki CPE kullanıyorsanız, her CPE, CPE için tek bir uzak tünele ponpon yapan bir eBGP komşusu olacaktır.

  • Her bir GRE tünelinin (tünel arayüzü IP'si) Cisco tarafı, CPE'de BGP komşusu olarak yapılandırılır

  • Tünellerin her biri üzerinde varsayılan bir güzergah tanıtmak için CPE gereklidir

  • CPE, cutomer kurumsal ağı içinde öğrenilen rotaları gerektiği gibi yeniden dağıtmak için yanıt verebilir.

• Arızasız bağlantı arızası durumunda, tek bir CPE'nin iki aktif/aktif tünelleri olacaktır. Iki CPE düğümü için her CPE'nin bir aktif tüneli olacaktır ve her iki CPE düğümü aktif ve geçen trafik olmalıdır. Hatasız senaryoda, trafik doğru /25 hedefe giden iki tünelde bölünmelidir, eğer tünelden biri düşerse, geri kalan tünel her iki tünel için de trafiği taşıyabilir. Böyle bir hata senaryosu altında, /25 ağı devre dışı bırakıldığında, yedek yol olarak /24 ağı kullanılır. Cisco, müşteri trafiğini dahili WAN üzerinden bağlantısı kesilen DC'ye gönderir.

IPsec tünel anlaşması IKEv2 fazı ve IPsec fazı olmak üzere iki fazdan oluşur. IKEv2 aşaması anlaşması tamamlanmazsa ikinci bir IPsec aşaması başlatılmaz. Ilk olarak, IKEv2 oturumunun etkin olup olmadığını doğrulamak için üçüncü taraf ekipmanında "şifreleme ikev2 sa'yı göster" komutunu (Cisco ekipmanında) veya benzer komutu verin. IKEv2 oturumu etkin değilse olası nedenler şunlar olabilir:

• Ilginç trafik IPsec tünelini tetiklemiyor.

• IPsec tünel erişim listesi yanlış yapılandırılmış.

• Müşteri ile Ayrılmış Örnek IPsec tünel uç noktası IP'si arasında bağlantı yoktur.

• IKEv2 oturum parametreleri, Ayrılmış Örnek tarafı ile müşteri tarafı arasında eşleşmiyor.

• Bir güvenlik duvarı, IKEv2 UDP paketlerini engelliyor.

Öncelikle, IKEv2 tünel anlaşmasının ilerlemesini gösteren herhangi bir mesaj için IPsec günlüklerini kontrol edin. Günlükler IKEv2 görüşmesindeki bir sorunun nerede olduğunu gösterebilir. Günlük mesajlarının olmaması, IKEv2 oturumunun etkinleştirilmediğini de gösterebilir.

IKEv2 anlaşmasıyla ilgili bazı yaygın hatalar şunlardır:

• CPE tarafında IKEv2 ayarları Cisco tarafıyla eşleşmiyor, belirtilen ayarları tekrar kontrol edin:

  • IKE sürümünün sürüm 2 olduğunu kontrol edin.

  • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafında beklenen şifrelemeyle eşleştiğini doğrulayın.

    "GCM" şifresi kullanımda olduğunda, GCM protokolü kimlik doğrulamayı işler ve kimlik doğrulama parametresini NULL olarak ayarlar.

  • Kullanım ömrü ayarını doğrulayın.

  • Diffie Hellman modül grubunu doğrulayın.

  • Sözde Rastgele Işlev ayarlarını doğrulayın.

• Şifreleme haritasının erişim listesi şu şekilde ayarlanmadı:

  • GRE izni (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (veya eşdeğer komut)

    Erişim listesi özellikle "GRE" protokolü için olmalıdır ve "IP" protokolü çalışmayacaktır.

Günlük mesajlarında IKEv2 aşaması için herhangi bir müzakere etkinliği gösterilmiyorsa paket yakalama gerekebilir.

Ayrılmış Örnek tarafı her zaman IKEv2 alışverişine başlamayabilir ve bazen müşteri CPE tarafının başlatıcı olmasını bekleyebilir. IKEv2 oturumu başlatma için aşağıdaki ön koşullar için CPE tarafı yapılandırmasını kontrol edin: CPE tünel taşıma IP'sinden Ayrılmış Örnek tünel taşıma IP'sine GRE trafiği (protokol 50) için bir IPsec kripto erişim listesi olup olmadığını kontrol edin. Ekipman GRE keepalives desteklemiyorsa GRE tünel arayüzünün GRE keepalives varsayılan olarak Ayrılmış Örnek tarafında etkinleştirileceğinden Cisco bilgilendirilir. BGP'nin, Ayrılmış Örnek tüneli IP'sinin komşu adresi ile etkinleştirildiğinden ve yapılandırıldığından emin olun.

Düzgün yapılandırıldığında, aşağıdakiler IPsec tüneli ve ilk faz IKEv2 anlaşmasına başlar:

• GRE, CPE tarafı GRE tünel arabiriminden Ayrılmış Örnek tarafı GRE tünel arabirimine bekler.

• CPE tarafı BGP komşusundan Ayrılmış Örnek tarafı BGP komşusuna BGP komşu TCP oturumu.

• CPE yan tünel IP adresinden Ayrılmış Örnek yan tünel IP adresine ping atın.

  Ping tünel taşıma IP'si tünel taşıma IP'si olamaz, tünel IP'si için tünel IP'si olmalıdır.

IKEv2 trafiği için bir paket izlemesi gerekiyorsa, UDP için filtreyi ve 500 numaralı bağlantı noktasını (IPsec uç noktalarının ortasında NAT cihazı olmadığında) veya 4500 numaralı bağlantı noktasını (IPsec uç noktalarının ortasına bir NAT cihazı yerleştirildiğinde) ayarlayın.

Bağlantı noktası 500 veya 4500 olan IKEv2 UDP paketlerinin DI IPsec IP adresine gönderildiğini ve buradan alındığını doğrulayın.

Ayrılmış Örnek veri merkezi her zaman ilk IKEv2 paketini başlamayabilir. Gereksinim, CPE cihazının ilk IKEv2 paketini Ayrılmış Örnek tarafına doğru başlatabilmesidir. Yerel güvenlik duvarı izin veriyorsa, uzak IPsec adresine ping göndermeyi de deneyin. Ping yerel IPsec adresinden uzak IPsec adresine başarılı değilse, yardım etmek için bir izleme yolu gerçekleştirin ve paketin nerede bırakıldığını belirleyin. Bazı güvenlik duvarları ve internet donanımları izleme yoluna izin vermeyebilir.

IPsec ikinci aşamasında sorun gidermeden önce IPsec birinci aşamasının (yani IKEv2 güvenlik ilişkilendirmesinin) etkin olduğunu doğrulayın. IKEv2 oturumunu doğrulamak için bir "şifreleme ikev2 sa göster" veya eşdeğer komut gerçekleştirin. Çıktıda, IKEv2 oturumunun birkaç saniyeden fazla olduğunu ve sıçramadığını doğrulayın. Oturum çalışma zamanı, çıktıda oturum "Aktif Süre" veya eşdeğeri olarak gösterilir.

IKEv2 oturumu yukarı ve aktif olarak doğrulandıktan sonra, IPsec oturumunu Inceleyin. IKEv2 oturumunda olduğu gibi, IPsec oturumunu doğrulamak için bir "şifreleme ipsec sa göster" veya eşdeğer komut gerçekleştirin. GRE tüneli kurulmadan önce hem IKEv2 oturumu hem de IPsec oturumu aktif olmalıdır. IPsec oturumu etkin olarak gösterilmiyorsa, hata mesajları veya anlaşma hataları için IPsec günlüklerini kontrol edin.

IPsec görüşmeleri sırasında karşılaşılabilecek daha yaygın sorunlardan bazıları şunlardır:

CPE tarafındaki ayarlar Ayrılmış Örnek tarafıyla eşleşmiyor, ayarları tekrar kontrol edin:

• Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafındaki ayarlarla eşleştiğini doğrulayın.

• Mükemmel Iletme Gizliliği ayarlarını ve Ayrılmış Örnek tarafında ayarlarla eşleştiğini doğrulayın.

• Kullanım ömrü ayarlarını doğrulayın.

• IPsec' in tünel modunda yapılandırıldığını doğrulayın.

• Kaynak ve hedef IPsec adreslerini doğrulayın.

IPsec ve IKEv2 oturumları yukarı ve etkin olarak doğrulandığında, GRE tüneli canlı tutma paketleri Ayrılmış Örnek ve CPE tüneli uç noktaları arasında akabilir. Tünel arayüzü durumu görünmüyorsa bazı sık karşılaşılan sorunlar şunlardır:

• Tünel arabirimi taşıma VRF, geri döngü arayüzünün VRF'siyle eşleşmiyor (tünel arayüzünde VRF yapılandırması kullanılırsa).

  Tünel arayüzünde VRF yapılandırması kullanılmazsa bu kontrol yoksayılır.

• CPE yan tünel arayüzünde keepalives etkinleştirilmedi

  CPE ekipmanında bekletmeler desteklenmiyorsa Ayrılmış Örnek tarafındaki varsayılan bekletmelerin de devre dışı bırakılacak şekilde Cisco'ya bildirilmesi gerekir. Bekletmeler destekleniyorsa, bekletmelerin etkinleştirildiğini doğrulayın.

• Tünel arayüzündeki maske veya IP adresi doğru değil ve Ayrılmış Örnek beklenen değerlerle eşleşmiyor.

• Kaynak veya hedef tünel taşıma adresi doğru değil ve Özel Örnek beklenen değerlerle eşleşmiyor.

• Bir güvenlik duvarı, GRE paketlerinin IPsec tüneline gönderilmesini veya IPsec tünelinden alınmasını engelliyor (GRE tüneli IPsec tüneli üzerinden taşınır)

Bir ping testi, yerel tünel arayüzünün açık olduğunu ve bağlantının uzak tünel arabirimi için iyi olduğunu doğrulamalıdır. Tünel IP'sinden (taşıma IP'si değil) uzak tünel IP'sine ping kontrolü yapın.

GRE tünel trafiğini taşıyan IPsec tüneli için kripto erişim listesi, yalnızca GRE paketlerinin geçmesine izin verir. Sonuç olarak, pings tünel taşıma IP'sinden uzak tünel taşıma IP'sine çalışmaz.

Ping kontrolü, kaynak tünel taşıma IP'sinden hedef tünel taşıma IP'sine oluşturulan bir GRE paketinde sonuçlandırılırken, GRE paketinin (içindeki IP) yük kaynak ve hedef tünel IP'si olacaktır.

Ping testi başarılı olmazsa ve önceki öğeler doğrulanırsa, icmp ping'inin bir GRE paketi ile sonuçlandığından emin olmak için bir paket yakalama gerekebilir. Bu paket daha sonra bir IPsec paketine kapsüllenir ve ardından kaynak IPsec adresinden hedef IPsec adresine gönderilir. GRE tünel arayüzündeki ve IPsec oturum sayaçlarındaki sayaçlar da gösterilmeye yardımcı olabilir. Gönderme ve alma paketleri artıyorsa.

Ping trafiğine ek olarak, yakalama boşta trafik sırasında bile canlı tutma GRE paketlerini göstermelidir. Son olarak, eğer BGP yapılandırılmışsa, BGP tutma paketleri VPN üzerinden olduğu gibi IPSEC paketlerinde kapsüllenmiş GRE paketleri olarak gönderilmelidir.

Ayrılmış Örnek tarafında, büyük paket boyutları için MTU'yu dinamik olarak ayarlamak üzere iki özellik etkinleştirilir. GRE tüneli, VPN oturumundan akan IP paketlerine daha fazla başlık ekler. IPsec tüneli, GRE başlıklarının üstüne ek başlıklar ekler, tünel üzerinde izin verilen en büyük MTU'yu daha da azaltacaktır.

GRE tüneli MSS özelliğini ayarlar ve MTU keşif özelliğindeki GRE tünel yolu Ayrılmış Örnek tarafında etkinleştirilir. Müşteri tarafında "ip tcp adjust-mss 1350" veya eşdeğer komutunun yanı sıra "tünel yolu\u0002mtu-discovery" veya eşdeğer komutu yapılandırarak VPN tüneli üzerinden trafiğin dinamik ayarına yardımcı olur.