Giriş

Virtual Connect, Webex Calling Örneğine Bulut Bağlantısı için ek bir eklenti seçeneğidir. Sanal Bağlantı, Müşterilerin Özel Ağlarını noktadan noktaya IP VPN Tünelleri kullanarak güvenli bir şekilde internet üzerinden genişletmelerini sağlar. Bu bağlantı seçeneği, mevcut Müşteri Şirket İçi Ekipmanlarını (CPE) ve internet bağlantısını kullanarak Özel Ağ bağlantısı için hızlı bir neden sağlar.

Cisco toplantı sahipleri, hizmetin gerekli olduğu Cisco'nun Adanmış Örnek veri merkezi bölgesinde yedek IP VPN Tünelleri ve gerekli İnternet erişimini yönetir ve sağlar. Benzer şekilde, Yönetici sanal bağlantı ile ilgili CPE ve internet hizmetlerinden sorumludur. Bu hizmetlerden.

Belirli bir Adanmış Örnek bölgedeki her bir Sanal Bağlantı sırası, IPSec şifrelemesi (IPSec üzerinden GRE) tarafından korunan iki genel yönlendirme encapsyası (GRE) tüneli içerir. Bunlardan biri Bölge için seçilen Cisco'nun veri merkezi.

Virtual Connect'in, tünel başına 250 Mbps bant genişliği sınırı vardır ve daha küçük dağıtımlar için önerilir. İki noktadan noktaya VPN tüneliler kullanılabilir olduğu için buluta tüm trafiğin müşteri uç CPE'sinde uygulaması gerekir ve bu nedenle çok sayıda uzak sitenin bulunduğu yere uygun olmayacaktır. Diğer alternatif eşleme seçenekleri için Bulut Bağlantısı'ne bakın.

Sanal Bağlantı için eşleme talebini göndermeden önce, Ayrılmış Örnek hizmetinin ilgili bölgede etkinleştirildiğinden emin olun.

Cisco WebEx Meeting Center Yapılandırma Kılavuzları

Sanal Bağlantı kurma ön koşulları şunlardır:

  • Müşteri sağlar

    • Dağıtımı desteklemek için kullanılabilir yeterli bant genişliğine sahip internet bağlantısı

    • İki IPSec tüneli için genel IP adresleri

    • İki GRE tünelin müşteri tarafı GRE taşıma IP adresleri

  • İş Ortağı ve Müşteri

    • Bant genişliği gereksinimlerini değerlendirmek için birlikte çalışma

    • Ağ cihazı(ları) desteğinin (BGP) Sınır Ağ Geçidi Protokolü ve IPSec üzerinden GRE tünel tasarımının sağlanması

  • İş ortağı veya Müşteri size

    • Siteden siteye VPN tüneli teknolojilerinin bilgisi olan ağ ekibi

    • BGP, eBGP ve genel yönlendirme ilkeleri hakkında bilgi sahibi olan ağ ekibi

  • Cisco

    • Cisco, GRE tünel arayüzleri için özel otomatik sistem numaraları (ASN'ler) ve geçici IP adresi atadı

    • Cisco genel olarak atanmıştır, ancak Özel Örnek Bulut adresi için İnternet yönlendirilebilir C Sınıfı (/24) ağına atanmış değildir

Müşterinin yalnızca 1 CPE cihazı varsa her bir bölgedeki Cisco veri merkezlerine (DC1 ve DC2) doğru 2 tünel bu CPE cihazından olacak. Müşterinin 2 CPE cihazı için bir seçeneği vardır. Ardından her bir CPE cihazı, her bir bölge için yalnızca Cisco'nun Veri merkezlerine (DC1 ve DC2) doğru 1 tünele bağlanmalı. Müşterinin altyapısındaki ayrı bir fiziksel site/konumda her bir tüneli sonlandırarak ek yedeklilik sağlama sağlama.

Teknik Ayrıntılar

Dağıtım Modeli

Virtual Connect, yönlendirme ve GRE kontrolünün bir cihaz tarafından sağlanmıştır ve IPSec kontrol aracı başka bir kişi tarafından sağlanmıştır çift katmanlu uç mimarisi kullanır.

Sanal Bağlantı bağlantısı tamamlandıktan sonra, Müşterinin kurumsal ağı ve Adanmış Örnek Cisco'nun veri merkezleri arasında iki GRE IPSec tüneli oluşturulacak. İlgili Bölge içindeki her yedekli veri merkezinden. Eşleme için gereken ek ağ öğeleri, İş Ortağı veya Müşteri tarafından Control Hub Sanal Bağlantı etkinleştirme formu aracılığıyla Cisco'ya exchange'tir.

Şekil 1, müşteri tarafında 2 odaklı seçenek için Sanal Bağlantı dağıtım modeline bir örnek gösterir.

Sanal Bağlantı - VPN, Müşterinin Hub Sitelerinin belirli bir bölge içindeki Adanmış Örneğin veri merkezlerinin DC1 ve DC2'ye bağlı olduğu bir Hub tasarımıdır.

Daha iyi yedeklilik için iki Hub sitesi önerilir ancak iki tünele sahip One Hub sitesi de desteklenen bir dağıtım modelidir.

Tünel başına bant genişliği 250 Mbps ile sınırlıdır.

Müşterinin aynı bölge içindeki uzak sitelerinin, Müşterinin WAN'ı üzerinden Hub sitelerine tekrar bağlanması gerekir ve bu bağlantı için Cisco'nun sorumluluk alanı değildir.

İş ortaklarının Müşterilerle yakın bir şekilde çalışması beklenmiyor ve "Sanal Bağlantı" hizmet bölgesi için en optimum yolun seçiliyor.

Şekil 2, Adanmış Örnek Bulut Bağlantısı eşleme Bölgelerini gösterir.

Yönlendirme

Sanal Bağlantı eklentisi için yönlendirme, Özel Örnek ve Müşteri Şirket Donanımı (CPE) arasında harici BGP (eBGP) kullanılarak uygulanır. Cisco, ilgili ağın bir bölge içindeki her yedek DC için Müşterinin CPE'sinde tanıtacak ve Cisco'ya varsayılan bir rotanın tanıtımı için CPE gereklidir.

  • Cisco bakım ve atamaları

    • Tünel Arayüzü IP adresi (yönlendirme için geçici bağlantı) Cisco, belirtilen bir Paylaşılan Adres Alanından (genel olmayan yönlendirilebilir) atar

    • Tünel taşıma desiyasyonu adresi (Cisco tarafı)

    • Müşteri BGP yönlendirme yapılandırması için özel otonom sistem numaraları (ASN'ler)

      • Cisco, belirtilen özel kullanım aralığından atar: 64512 - 65534

  • Adanmış Örnek ve CPE arasında yönlendirme değişimi için kullanılan eBGP

    • Cisco, atanan /24 ağı ilgili bölgedeki her DC için 2/25 ağına bölecek

    • Sanal Bağlantı'da her /25 ağın, ilgili noktadan noktaya VPN tünelleri (geçici bağlantı) üzerinden Cisco tarafından CPE'ye geri tanıtıldı

    • CPE, uygun eBGP komşuları ile yapılandır olmalı. Bir CPE kullanılırsa iki eBGP komşusu kullanılacaktır, bir de her uzak tüneli işaret eden. İki CPE kullanıyorsanız her CPE'de CPE için tek uzak tünelde bir eBGP komşusu olacak.

    • Her GRE tünelin Cisco tarafı (tünel arayüzü IP), CPE'de BGP komşusu olarak yapılandırılmıştır

    • Her bir tünel üzerinde varsayılan bir yönlendirmenin tanıtımını yapmak için CPE gereklidir

    • CPE, gerektiğinde cutomer'ın kurumsal ağında öğrenilen rotaları yeniden dağıtılabilir.

  • Başarısız olmayan bağlantı hatası koşulu altında, tek bir CPE'de iki etkin/etkin tünel olur. İki CPE düğümü için her CPE'de bir etkin tünel olacak ve her iki CPE düğümünün de etkin olması ve trafiğin aktarılacak olması gerekir. Başarısız olmayan senaryo altında, trafik doğru /25 hedeflere giden iki tünelde ayrılmalı; eğer tünelden biri arızalıysa kalan tünel her ikisi için de trafiği taşıyabilir. Böyle bir hata senaryoda, /25 ağı arızalı olduğunda, /24 ağı yedek yol olarak kullanılır. Cisco, bağlantının kaybedil olduğu DC'ye doğru dahili WAN üzerinden müşteri trafiğini gönderecek.

Bağlantı Süreci

Aşağıdaki üst düzey adımlar, Adanmış Örnek için sanal Bağlantı ile nasıl bağlantı kurulacaklarını açıklar.
1

Cisco CCW'de sipariş yerine

2

Control Hub'dan Sanal Bağlantı'yı etkinleştir

3

Cisco, Ağ Yapılandırmasını gerçekleştirir

4

Müşteri, Ağ Yapılandırmasını gerçekleştirir

1. Adım: CCW Siparişi

Virtual Connect, CCW'de Adanmış Örnek için bir eklentidir.

1

CCW sipariş sitesine gidin ve ardından sitede oturum aç için Oturum Aç'a tıklayın:

https://apps.cisco.com/Commerce/guest.
2

Tahmini Oluştur.

3

"A-FLEX-3" SKU EKLEYIN.

4

Seçenekleri düzenle'yi seçin.

5

Görüntülenen abonelik sekmesinde, Seçenekler ve Eklentiler'i seçin.

6

Ek Eklentiler altında, "Adanmış Örnek için Sanal Bağlantı" seçeneğinin yanındaki onay kutusunu işaretleyin. SKU adı "A-FLEX-DI-VC"dir.

7

Sanal Bağlantının gerekli olduğu bölgelerin miktarını ve sayısını girin.

Sanal Bağlantı miktarı, Adanmış Örnek için satın alınan toplam bölge sayısını aşmaz. Ayrıca her bölge için yalnızca bir Sanal Bağlantı sırasına izin verilir.
8

Seçimlerinizi onaylarsanız sayfanın sağ üst kısmında Doğrula ve Kaydet'e tıklayın.

9

Siparişinizi sonleştirmek için Kaydet ve Devam Öğesini tıklatın. Son siparişiniz artık sipariş kılavuzunda yer aldı.

2. Adım: Control Hub'da Sanal Bağlantının Etkinleştirilmesi

1

Control Hub'da oturum açma https://admin.webex.com/login.

2

Hizmetler bölümünde , Bulut Bağlantısı için > Özel Enstacnce > gidin.

3

Sanal Bağlantı kartında, satın alınan Sanal Bağlantı miktarı listelenir. Yönetici bundan böyle Etkinleştir'e tıklar ve sanal bağlantı etkinleştirmeyi başlatsın.

Etkinleştirme işlemi yalnızca "Müşteri Tam yöneticisi" Rolüne sahip Yöneticiler tarafından tetiklenir. Iken, "Müşteri salt okunur yöneticisi" Rolüne sahip bir yönetici durumu yalnızca görüntülemeye sahiptir.
4

Etkinleştir düğmesine tıklarsanız Yöneticinin Cisco tarafında eşleme yapılandırmaları için gereken Sanal Bağlantı teknik ayrıntılarını sağlamak için Sanal Bağlantıyı Etkinleştir formu görüntülenir.

Form, Seçilen Bölge'ye bağlı olarak Cisco tarafında statik bilgiler de sağlar. Bu bilgiler, Müşteri yöneticilerinin Bağlantı kurmak için kendi tarafında CPE'yi yapılandırmalarına yardımcı olacaktır.

  1. GRE Tünel Taşıma IP adresi: Müşteriden, müşterinin tarafında Tünel Taşıma IP adresleri sağlaması gerekir. Cisco, etkinleştirme tamamlandıktan sonra IP adreslerini dinamik olarak ayıracak. İlginç Trafik için IPSec ACL, yerel Tünel Taşıma IP/32'nin uzak Tünel Taşıma IP/32'ye izin vermesine neden olabilir. ACL ayrıca yalnızca GRE IP protokolünü belirterek

    Müşteri tarafından sağlanan IP adresi özel veya genel olabilir.

  2. IPSec eşleri: Müşteriden IPSec Tünelin kaynak IP adreslerini sağlaması gerekir ve Cisco, IPSec hedef IP adresini ayırır. Gerekirse dahili I DILI tüneli adresinin genel bir adrese NAT çevirisi de de yine de ulur.

    Müşteri tarafından sağlanan IP adresi genel olmalı.

    Etkinleştirme ekranında sağlanan diğer tüm statik bilgiler, Cisco'nun taraf güvenlik ve şifreleme standartlarıdır. Bu statik yapılandırma, özelleştirilemez veya değiştirilebilir değildir. Cisco tarafında statik yapılandırmalarla ilgili daha fazla yardım için müşterinin TAC'ye ulaşması gerekir.
5

Tüm zorunlu alanlar doldurulduktan sonra Etkinleştir düğmesine tıklayın.

6

Particluar bölgesi için Sanal Bağlantı Etkinleştirme formu tamamlandıktan sonra, müşteri Etkinleştirme formunu Control Hub'dan dışa aktarabilir, Çağrı > Örneği > Bulut Bağlantısı sekmesine tıklar ve ayarları dışa aktar'a tıklayın.

Güvenlik nedeniyle, Kimlik Doğrulama ve BGP Parolası Dışa Aktarılan belgede kullanılamayacaktır. Ancak yönetici, Control Hub, Calling > Ayrılmış Örnek > Bulut Bağlantısı sekmesi altındaki Ayarları Görüntüle seçeneğine tıklayarak bu parolayı Control Hub'da görüntüleyebilir.

3. Adım: Cisco, Ağ Yapılandırmasını gerçekleştirir

1

Sanal Bağlantı Etkinleştirme formu tamamlandığında durum, Bulut Bağlantısı Sanal Bağlantı kartı için Adanmış Örnek > Etkinleştirme Sürüyor > olarak güncellenecektir.

2

Cisco, Cisco yan ekipmanlarında gerekli yapılandırmaları 5 iş günü içinde tamamlayacaktır. Başarılı bir şekilde tamamlandıktan sonra, durum Control Hub'daki ilgili bölge için "Etkinleştirilen" olarak güncellenecektir.

4. Adım: Müşteri, Ağ Yapılandırmasını gerçekleştirir

Durum, Müşteri yöneticisine IP VPN bağlantısı için yapılandırmaların Cisco tarafındaki ben'in Müşteri tarafından sağlanan girişlere göre tamam olduğunu bildirmek için "Etkinleştirildi" olarak değiştirilir. Ancak, müşteri yöneticisinin CPES'de yapılandırmaların kendi taraflarını tamamlaması ve Sanal Bağlantı tünelinin Çevrimiçi olması için bağlantı yollarını test olması beklenmiyor. Yapılandırma veya bağlantı zamanında sorun yaşadığında müşteri, destek için Cisco TAC'ye ulaşabilir.

Sorun Giderme

IPsec Birinci Aşama (IKEv2 Anlaşması) Sorun Giderme ve Doğrulama

IPsec tünel anlaşması IKEv2 fazı ve IPsec fazı olmak üzere iki fazdan oluşur. IKEv2 aşaması anlaşması tamamlanmazsa ikinci bir IPsec aşaması başlatılmaz. Ilk olarak, IKEv2 oturumunun etkin olup olmadığını doğrulamak için üçüncü taraf ekipmanında "şifreleme ikev2 sa'yı göster" komutunu (Cisco ekipmanında) veya benzer komutu verin. IKEv2 oturumu etkin değilse olası nedenler şunlar olabilir:

  • Ilginç trafik IPsec tünelini tetiklemiyor.

  • IPsec tünel erişim listesi yanlış yapılandırılmış.

  • Müşteri ile Ayrılmış Örnek IPsec tünel uç noktası IP'si arasında bağlantı yoktur.

  • IKEv2 oturum parametreleri, Ayrılmış Örnek tarafı ile müşteri tarafı arasında eşleşmiyor.

  • Bir güvenlik duvarı, IKEv2 UDP paketlerini engelliyor.

Öncelikle, IKEv2 tünel anlaşmasının ilerlemesini gösteren herhangi bir mesaj için IPsec günlüklerini kontrol edin. Günlükler IKEv2 görüşmesindeki bir sorunun nerede olduğunu gösterebilir. Günlük mesajlarının olmaması, IKEv2 oturumunun etkinleştirilmediğini de gösterebilir.

IKEv2 anlaşmasıyla ilgili bazı yaygın hatalar şunlardır:

  • CPE tarafında IKEv2 ayarları Cisco tarafıyla eşleşmiyor, belirtilen ayarları tekrar kontrol edin:

    • IKE sürümünün sürüm 2 olduğunu kontrol edin.

    • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafında beklenen şifrelemeyle eşleştiğini doğrulayın.

      "GCM" şifresi kullanımda olduğunda, GCM protokolü kimlik doğrulamayı işler ve kimlik doğrulama parametresini NULL olarak ayarlar.

    • Kullanım ömrü ayarını doğrulayın.

    • Diffie Hellman modül grubunu doğrulayın.

    • Sözde Rastgele Işlev ayarlarını doğrulayın.

  • Şifreleme haritasının erişim listesi şu şekilde ayarlanmadı:

    • GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255" (veya eşdeğer komut) izni

      Erişim listesi özellikle "GRE" protokolü için olmalıdır ve "IP" protokolü çalışmayacaktır.

Günlük mesajlarında IKEv2 aşaması için herhangi bir müzakere etkinliği gösterilmiyorsa paket yakalama gerekebilir.

Ayrılmış Örnek tarafı her zaman IKEv2 alışverişine başlamayabilir ve bazen müşteri CPE tarafının başlatıcı olmasını bekleyebilir.

IKEv2 oturumu başlatma için aşağıdaki ön koşullar için CPE tarafı yapılandırmasını kontrol edin:

  • CPE tünel taşıma IP'sinden Ayrılmış Örnek tünel taşıma IP'sine GRE trafiği (protokol 50) için bir IPsec kripto erişim listesi olup olmadığını kontrol edin.

  • Ekipman GRE keepalives desteklemiyorsa GRE tünel arayüzünün GRE keepalives varsayılan olarak Ayrılmış Örnek tarafında etkinleştirileceğinden Cisco bilgilendirilir.

  • BGP'nin, Ayrılmış Örnek tüneli IP'sinin komşu adresi ile etkinleştirildiğinden ve yapılandırıldığından emin olun.

Düzgün yapılandırıldığında, aşağıdakiler IPsec tüneli ve ilk faz IKEv2 anlaşmasına başlar:

  • GRE, CPE tarafı GRE tünel arabiriminden Ayrılmış Örnek tarafı GRE tünel arabirimine bekler.

  • CPE tarafı BGP komşusundan Ayrılmış Örnek tarafı BGP komşusuna BGP komşu TCP oturumu.

  • CPE yan tünel IP adresinden Ayrılmış Örnek yan tünel IP adresine ping atın.

    Ping tünel taşıma IP'si tünel taşıma IP'si olamaz, tünel IP'si için tünel IP'si olmalıdır.

IKEv2 trafiği için bir paket izlemesi gerekiyorsa, UDP için filtreyi ve 500 numaralı bağlantı noktasını (IPsec uç noktalarının ortasında NAT cihazı olmadığında) veya 4500 numaralı bağlantı noktasını (IPsec uç noktalarının ortasına bir NAT cihazı yerleştirildiğinde) ayarlayın.

Bağlantı noktası 500 veya 4500 olan IKEv2 UDP paketlerinin DI IPsec IP adresine gönderildiğini ve buradan alındığını doğrulayın.

Ayrılmış Örnek veri merkezi her zaman ilk IKEv2 paketini başlamayabilir. Gereksinim, CPE cihazının ilk IKEv2 paketini Ayrılmış Örnek tarafına doğru başlatabilmesidir.

Yerel güvenlik duvarı izin veriyorsa, uzak IPsec adresine ping göndermeyi de deneyin. Ping yerel IPsec adresinden uzak IPsec adresine başarılı değilse, yardım etmek için bir izleme yolu gerçekleştirin ve paketin nerede bırakıldığını belirleyin.

Bazı güvenlik duvarları ve internet donanımları izleme yoluna izin vermeyebilir.

IPsec Ikinci Aşama (IPsec Anlaşması) Sorun Giderme ve Doğrulama

IPsec ikinci aşamasında sorun gidermeden önce IPsec birinci aşamasının (yani IKEv2 güvenlik ilişkilendirmesinin) etkin olduğunu doğrulayın. IKEv2 oturumunu doğrulamak için bir "şifreleme ikev2 sa göster" veya eşdeğer komut gerçekleştirin. Çıktıda, IKEv2 oturumunun birkaç saniyeden fazla olduğunu ve sıçramadığını doğrulayın. Oturum çalışma zamanı, çıktıda oturum "Aktif Süre" veya eşdeğeri olarak gösterilir.

IKEv2 oturumu yukarı ve aktif olarak doğrulandıktan sonra, IPsec oturumunu Inceleyin. IKEv2 oturumunda olduğu gibi, IPsec oturumunu doğrulamak için bir "şifreleme ipsec sa göster" veya eşdeğer komut gerçekleştirin. GRE tüneli kurulmadan önce hem IKEv2 oturumu hem de IPsec oturumu aktif olmalıdır. IPsec oturumu etkin olarak gösterilmiyorsa, hata mesajları veya anlaşma hataları için IPsec günlüklerini kontrol edin.

IPsec görüşmeleri sırasında karşılaşılabilecek daha yaygın sorunlardan bazıları şunlardır:

CPE tarafındaki ayarlar Ayrılmış Örnek tarafıyla eşleşmiyor, ayarları tekrar kontrol edin:

  • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafındaki ayarlarla eşleştiğini doğrulayın.

  • Mükemmel Iletme Gizliliği ayarlarını ve Ayrılmış Örnek tarafında ayarlarla eşleştiğini doğrulayın.

  • Kullanım ömrü ayarlarını doğrulayın.

  • IPsec' in tünel modunda yapılandırıldığını doğrulayın.

  • Kaynak ve hedef IPsec adreslerini doğrulayın.

Tünel Arayüzü Sorun Giderme ve Doğrulama

IPsec ve IKEv2 oturumları yukarı ve etkin olarak doğrulandığında, GRE tüneli canlı tutma paketleri Ayrılmış Örnek ve CPE tüneli uç noktaları arasında akabilir. Tünel arayüzü durumu görünmüyorsa bazı sık karşılaşılan sorunlar şunlardır:

  • Tünel arabirimi taşıma VRF, geri döngü arayüzünün VRF'siyle eşleşmiyor (tünel arayüzünde VRF yapılandırması kullanılırsa).

    Tünel arayüzünde VRF yapılandırması kullanılmazsa bu kontrol yoksayılır.

  • CPE yan tünel arayüzünde keepalives etkinleştirilmedi

    CPE ekipmanında bekletmeler desteklenmiyorsa Ayrılmış Örnek tarafındaki varsayılan bekletmelerin de devre dışı bırakılacak şekilde Cisco'ya bildirilmesi gerekir.

    Bekletmeler destekleniyorsa, bekletmelerin etkinleştirildiğini doğrulayın.

  • Tünel arayüzündeki maske veya IP adresi doğru değil ve Ayrılmış Örnek beklenen değerlerle eşleşmiyor.

  • Kaynak veya hedef tünel taşıma adresi doğru değil ve Özel Örnek beklenen değerlerle eşleşmiyor.

  • Bir güvenlik duvarı, GRE paketlerinin IPsec tüneline gönderilmesini veya IPsec tünelinden alınmasını engelliyor (GRE tüneli IPsec tüneli üzerinden taşınır)

Bir ping testi, yerel tünel arayüzünün açık olduğunu ve bağlantının uzak tünel arabirimi için iyi olduğunu doğrulamalıdır. Tünel IP'sinden (taşıma IP'si değil) uzak tünel IP'sine ping kontrolü yapın.

GRE tünel trafiğini taşıyan IPsec tüneli için kripto erişim listesi, yalnızca GRE paketlerinin geçmesine izin verir. Sonuç olarak, pings tünel taşıma IP'sinden uzak tünel taşıma IP'sine çalışmaz.

Ping kontrolü, kaynak tünel taşıma IP'sinden hedef tünel taşıma IP'sine oluşturulan bir GRE paketinde sonuçlandırılırken, GRE paketinin (içindeki IP) yük kaynak ve hedef tünel IP'si olacaktır.

Ping testi başarılı olmazsa ve önceki öğeler doğrulanırsa, icmp ping'inin bir GRE paketi ile sonuçlandığından emin olmak için bir paket yakalama gerekebilir. Bu paket daha sonra bir IPsec paketine kapsüllenir ve ardından kaynak IPsec adresinden hedef IPsec adresine gönderilir. GRE tünel arayüzündeki ve IPsec oturum sayaçlarındaki sayaçlar da gösterilmeye yardımcı olabilir. Gönderme ve alma paketleri artıyorsa.

Ping trafiğine ek olarak, yakalama boşta trafik sırasında bile canlı tutma GRE paketlerini göstermelidir. Son olarak, eğer BGP yapılandırılmışsa, BGP koruma paketleri VPN üzerinden olduğu gibi IPSEC paketlerinde kapsüllenmiş GRE paketleri olarak gönderilmelidir.

BGP Sorun Giderme ve Doğrulama

BGP Oturumları

VPN IPsec tüneli üzerinden yönlendirme protokolü olarak BGP gereklidir. Yerel BGP komşusu, Ayrılmış Örnek BGP komşusuyla bir eBGP oturumu kurmalıdır. eBGP komşu IP adresleri yerel ve uzak tünel IP adresleriyle aynıdır. Önce BGP oturumunun hazır olduğundan emin olun ve ardından Ayrılmış Örnekten doğru yolların alındığını ve Ayrılmış Örneğe doğru varsayılan yolun gönderildiğini doğrulayın.

GRE tüneli çalışıyorsa yerel ve uzak GRE tüneli IP'si arasında bir ping'in başarılı olduğunu doğrulayın. Ping başarılı ama BGP oturumu gelmiyorsa, BGP kurma hataları için BGP günlüğünü araştırın.

Daha yaygın BGP müzakere sorunlarından bazıları şunlardır:

  • Uzak AS numarası, Ayrılmış Örnek tarafında yapılandırılan AS numarasıyla eşleşmiyor, komşu AS yapılandırmasını yeniden kontrol edin.

  • Yerel AS numarası, Ayrılmış Örnek tarafının beklediği ile eşleşmiyor ve yerel AS numarasının beklenen Ayrılmış Örnek parametreleriyle eşleştiğini doğrulayın.

  • Bir güvenlik duvarı, GRE paketlerinde kapsüllenmiş BGP TCP paketlerinin IPsec tüneline gönderilmesini veya IPSEC tünelinden alınmasını engelliyor

  • Uzak BGP komşu IP'si, uzak GRE tünel IP'siyle eşleşmiyor.

BGP Rota Değişimi

BGP oturumu her iki tünel için de doğrulandıktan sonra, doğru rotaların Ayrılmış Örnek tarafından gönderildiğinden ve alındığından emin olun.

Ayrılmış Örnek VPN çözümü, müşteri/iş ortağı tarafından iki tünel kurulmasını bekler. Ayrılmış Örnek veri merkezine ilk tünel noktaları A ve ikinci tünel noktaları Ayrılmış Örnek veri merkezine B'dir. Her iki tünel de aktif durumda olmalıdır ve çözüm etkin/aktif bir dağıtım gerektirir. Her Özel Örnek veri merkezi, yerel /25 yolunun yanı sıra /24 yedek yolunun tanıtımını yapacaktır. Özel Örnekten gelen BGP rotalarını kontrol ederken, Özel Örnek veri merkezine işaret eden tünelle ilişkili BGP oturumunun Özel Örnek veri merkezini A /25 yerel yolunu ve /24 yedek yolunu aldığından emin olun. Buna ek olarak, Ayrılmış Örnek veri merkezi B'ye işaret eden tünelin, Ayrılmış Örnek veri merkezi B /25 yerel yolunu ve /24 yedek yolunu kullandığından emin olun. /24 yedek yolunun, Ayrılmış Örnek veri merkezi A ve Ayrılmış Örnek veri merkezi B dışında ilan edilen aynı yol olacağını unutmayın.

Bu veri merkezinin tünel arabirimi aşağı giderse, yedeklilik bir Ayrılmış Örnek veri merkezine sağlanır. Ayrılmış Örnek veri merkezine bağlantı kaybedilirse, trafik Ayrılmış Örnek veri merkezi B'den veri merkezi A'ya yönlendirilecektir. Bu senaryoda, veri merkezi B'ye giden tünel, veri merkezi B'ye trafik göndermek için veri merkezi B /25 yolunu kullanacak ve veri merkezi B'ye giden tünel, veri merkezi B üzerinden veri merkezi A'ya trafik göndermek için yedek /24 yolunu kullanacaktır.

Her iki tünel de aktif olduğunda veri merkezi A tüneli B veri merkezine trafik göndermek için kullanılmaz ve bunun tersi önemlidir. Bu senaryoda, trafik veri merkezi B'nin bir hedefi olan veri merkezi A'ya gönderilirse, veri merkezi A trafiği veri merkezi B'ye iletir ve daha sonra veri merkezi B tüneli aracılığıyla trafiği kaynağa geri göndermeye çalışacaktır. Bu, optimum olmayan yönlendirmeyle sonuçlanır ve güvenlik duvarlarından geçen trafiği de bozabilir. Bu nedenle her iki tünelin de normal çalışma sırasında aktif/aktif konfigürasyonda olması önemlidir.

0.0.0.0/0 güzergahının müşteri tarafından Ayrılmış Örnek veri merkezi tarafına duyurulması gerekir. Ayrılmış Örnek tarafında daha belirli yollar kabul edilmeyecektir. 0.0.0.0/0 rotasının hem Ayrılmış Örnek veri merkezi A tüneli hem de Ayrılmış Örnek veri merkezi B tüneli dışında tanıtıldığından emin olun.

MTU Yapılandırması

Ayrılmış Örnek tarafında, büyük paket boyutları için MTU'yu dinamik olarak ayarlamak üzere iki özellik etkinleştirilir. GRE tüneli, VPN oturumundan akan IP paketlerine daha fazla başlık ekler. IPsec tüneli, GRE başlıklarının üstüne ek başlıklar ekler, tünel üzerinde izin verilen en büyük MTU'yu daha da azaltacaktır.

GRE tüneli MSS özelliğini ayarlar ve MTU keşif özelliğindeki GRE tünel yolu Ayrılmış Örnek tarafında etkinleştirilir. Müşteri tarafında "ip tcp adjust-mss 1350" veya eşdeğer komutunun yanı sıra "tunnel path\u0002mtu-discovery" veya eşdeğer komutu yapılandırarak VPN tüneli üzerinden trafiğin dinamik ayarına yardımcı olur.