Giriş

Virtual Connect, Webex Calling Örneğine Bulut Bağlantısı için ek bir eklenti seçeneğidir. Sanal Bağlantı, Müşterilerin Özel Ağlarını noktadan noktaya IP VPN Tünelleri kullanarak güvenli bir şekilde internet üzerinden genişletmelerini sağlar. Bu bağlantı seçeneği, mevcut Müşteri Şirket İçi Ekipmanlarını (CPE) ve internet bağlantısını kullanarak Özel Ağ bağlantısı için hızlı bir neden sağlar.

Cisco toplantı sahipleri, hizmetin gerekli olduğu Cisco'nun Adanmış Örnek veri merkezi bölgesinde yedek IP VPN Tünelleri ve gerekli İnternet erişimini yönetir ve sağlar. Benzer şekilde, Yönetici sanal bağlantı ile ilgili CPE ve internet hizmetlerinden sorumludur. Bu hizmetlerden.

Belirli bir Adanmış Örnek bölgedeki her bir Sanal Bağlantı sırası, IPSec şifrelemesi (IPSec üzerinden GRE) tarafından korunan iki genel yönlendirme encapsyası (GRE) tüneli içerir. Bunlardan biri Bölge için seçilen Cisco'nun veri merkezi.

Virtual Connect'in, tünel başına 250 Mbps bant genişliği sınırı vardır ve daha küçük dağıtımlar için önerilir. İki noktadan noktaya VPN tüneliler kullanılabilir olduğu için buluta tüm trafiğin müşteri uç CPE'sinde uygulaması gerekir ve bu nedenle çok sayıda uzak sitenin bulunduğu yere uygun olmayacaktır. Diğer alternatif eşleme seçenekleri için Bulut Bağlantısı'ne bakın.

Sanal Bağlantı için eşleme isteğini göndermeden önce, ilgili bölgede Ayrılmış Örnek hizmetinin etkinleştirildiğinden emin olun.

Cisco WebEx Meeting Center Yapılandırma Kılavuzları

Sanal Bağlantı kurma ön koşulları şunlardır:

  • Müşteri sağlar

    • Dağıtımı desteklemek için kullanılabilir yeterli bant genişliğine sahip internet bağlantısı

    • İki IPSec tüneli için genel IP adresleri

    • İki GRE tünelin müşteri tarafı GRE taşıma IP adresleri

  • İş Ortağı ve Müşteri

    • Bant genişliği gereksinimlerini değerlendirmek için birlikte çalışma

    • Ağ cihazı(ları) desteğinin (BGP) Sınır Ağ Geçidi Protokolü ve IPSec üzerinden GRE tünel tasarımının sağlanması

  • İş ortağı veya Müşteri size

    • Siteden siteye VPN tüneli teknolojilerinin bilgisi olan ağ ekibi

    • BGP, eBGP ve genel yönlendirme ilkeleri hakkında bilgi sahibi olan ağ ekibi

  • Cisco

    • Cisco, GRE tünel arayüzleri için özel otomatik sistem numaraları (ASN'ler) ve geçici IP adresi atadı

    • Cisco genel olarak atanmıştır, ancak Özel Örnek Bulut adresi için İnternet yönlendirilebilir C Sınıfı (/24) ağına atanmış değildir

Müşterinin yalnızca 1 CPE cihazı varsa her bir bölgedeki Cisco veri merkezlerine (DC1 ve DC2) doğru 2 tünel bu CPE cihazından olacak. Müşterinin 2 CPE cihazı için bir seçeneği vardır. Ardından her bir CPE cihazı, her bir bölge için yalnızca Cisco'nun Veri merkezlerine (DC1 ve DC2) doğru 1 tünele bağlanmalı. Müşterinin altyapısındaki ayrı bir fiziksel site/konumda her bir tüneli sonlandırarak ek yedeklilik sağlama sağlama.

Teknik Ayrıntılar

Dağıtım modeli

Virtual Connect, yönlendirme ve GRE kontrolünün bir cihaz tarafından sağlanmıştır ve IPSec kontrol aracı başka bir kişi tarafından sağlanmıştır çift katmanlu uç mimarisi kullanır.

Sanal Bağlantı bağlantısı tamamlandıktan sonra, Müşterinin kurumsal ağı ve Adanmış Örnek Cisco'nun veri merkezleri arasında iki GRE IPSec tüneli oluşturulacak. İlgili Bölge içindeki her yedekli veri merkezinden. Eşleme için gereken ek ağ öğeleri, İş Ortağı veya Müşteri tarafından Control Hub Sanal Bağlantı etkinleştirme formu aracılığıyla Cisco'ya exchange'tir.

Aşağıdaki şekil, müşteri tarafındaki 2-konsantratör seçeneği için sanal bağlantı dağıtım modelinin örneğini göstermektedir.

Sanal Bağlantı - VPN, Müşterinin Hub Sitelerinin belirli bir bölge içindeki Adanmış Örneğin veri merkezlerinin DC1 ve DC2'ye bağlı olduğu bir Hub tasarımıdır.

Daha iyi yedeklilik için iki Hub sitesi önerilir ancak iki tünele sahip One Hub sitesi de desteklenen bir dağıtım modelidir.

Tünel başına bant genişliği 250 Mbps ile sınırlıdır. Etkili bir devralma sağlamak için, her iki tüneldeki toplam trafik 250 Mbps'yi geçmemelidir; çünkü bir arıza durumunda tüm trafik tek bir tünel üzerinden yönlendirilecektir.

Müşterinin aynı bölge içindeki uzak sitelerinin, Müşterinin WAN'ı üzerinden Hub sitelerine tekrar bağlanması gerekir ve bu bağlantı için Cisco'nun sorumluluk alanı değildir.

Ortakların, Müşterilerle yakın bir şekilde çalışarak Sanal Bağlantı hizmet bölgesi için en uygun yolun seçilmesini sağlamaları beklenmektedir.

Aşağıdaki şekil, Ayrılmış Örnek bulut bağlantısı eşleme bölgelerini göstermektedir.

Sanal bağlantı bölgeleri

Yönlendirme

Sanal Bağlantı eklentisi için yönlendirme, Özel Örnek ve Müşteri Şirket Donanımı (CPE) arasında harici BGP (eBGP) kullanılarak uygulanır. Cisco, ilgili ağın bir bölge içindeki her yedek DC için Müşterinin CPE'sinde tanıtacak ve Cisco'ya varsayılan bir rotanın tanıtımı için CPE gereklidir.

  • Cisco bakım ve atamaları

    • Tünel Arayüzü IP adresi (yönlendirme için geçici bağlantı) Cisco, belirtilen bir Paylaşılan Adres Alanından (genel olmayan yönlendirilebilir) atar

    • Tünel taşıma desiyasyonu adresi (Cisco tarafı)

    • Müşteri BGP yönlendirme yapılandırması için özel otonom sistem numaraları (ASN'ler)

      • Cisco, belirtilen özel kullanım aralığından atar: 64512 - 65534

  • Adanmış Örnek ve CPE arasında yönlendirme değişimi için kullanılan eBGP

    • Cisco, atanan /24 ağı ilgili bölgedeki her DC için 2/25 ağına bölecek

    • Sanal Bağlantı'da her /25 ağın, ilgili noktadan noktaya VPN tünelleri (geçici bağlantı) üzerinden Cisco tarafından CPE'ye geri tanıtıldı

    • CPE, uygun eBGP komşuları ile yapılandır olmalı. Bir CPE kullanılırsa iki eBGP komşusu kullanılacaktır, bir de her uzak tüneli işaret eden. İki CPE kullanıyorsanız her CPE'de CPE için tek uzak tünelde bir eBGP komşusu olacak.

    • Her GRE tünelin Cisco tarafı (tünel arayüzü IP), CPE'de BGP komşusu olarak yapılandırılmıştır

    • Her bir tünel üzerinde varsayılan bir yönlendirmenin tanıtımını yapmak için CPE gereklidir

    • CPE, gerektiğinde cutomer'ın kurumsal ağında öğrenilen rotaları yeniden dağıtılabilir.

  • Başarısız olmayan bağlantı hatası koşulu altında, tek bir CPE'de iki etkin/etkin tünel olur. İki CPE düğümü için her CPE'de bir etkin tünel olacak ve her iki CPE düğümünün de etkin olması ve trafiğin aktarılacak olması gerekir. Başarısız olmayan senaryo altında, trafik doğru /25 hedeflere giden iki tünelde ayrılmalı; eğer tünelden biri arızalıysa kalan tünel her ikisi için de trafiği taşıyabilir. Böyle bir hata senaryoda, /25 ağı arızalı olduğunda, /24 ağı yedek yol olarak kullanılır. Cisco, bağlantının kaybedil olduğu DC'ye doğru dahili WAN üzerinden müşteri trafiğini gönderecek.

Sanal bağlantı trafik akışı

Her iki tünel de açıkken trafik akışı

Adanmış Örnek - Sanal bağlantı

Bu görüntü, hem birincil hem de ikincil tüneller çalışır durumdayken trafik akışını ayrıntılı olarak gösteren bir Sanal Bağlantı ağ mimarisini göstermektedir.

Cisco'nun veri merkezlerinde barındırılan UC uygulamalarına erişmek için bir müşterinin çift yönlü bağlantıdan yararlanmasını sağlayan aktif bir bağlantı modelini temsil eder. GRE/IPSEC BGP ile internet üzerinden rota değişimi için tüneller.

Tanımlar:

  • Müşteri Tesisi:
    • Bu, kullanıcıların ve cihazlarının (örneğin IP telefonlar, UC istemcileri çalıştıran bilgisayarlar) bulunduğu müşterinin yerinde ağını temsil eder.
    • Buradan kaynaklanan trafiğin Cisco'nun veri merkezlerinde barındırılan UC uygulamalarına ulaşması gerekiyor.
  • Cisco Webex Calling Özel Örnek (Dedicated Instance) veri merkezleri (WxC-DI DC-A ve WxC-DI DC-B):
    • Bunlar Cisco'nun UC uygulamalarını barındıran veri merkezleridir.
    • DC-A ve DC-B coğrafi olarak farklıdır ve yedeklilik sağlar.
    • Her veri merkezinin UC uygulamaları için kendi alt ağı vardır:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Tüneller (Tünel 1 ve Tünel 2):
    • Bunlar, müşteri tesisi ile Cisco veri merkezi arasındaki genel internet üzerinden güvenli, şifrelenmiş bağlantılardır.
    • GRE (Genel Yönlendirme Kapsüllemesi): Bu protokol, çeşitli ağ katmanı protokollerini sanal noktadan noktaya bağlantılar içinde kapsüllemek için kullanılır. BGP gibi yönlendirme protokollerinin tünel üzerinden çalışmasına olanak tanır.
    • IPsec (İnternet Protokolü Güvenliği): Bu protokol paketi, IP iletişimleri için kriptografik güvenlik hizmetleri (kimlik doğrulama, bütünlük, gizlilik) sağlar. GRE kapsüllenmiş trafiği şifreleyerek internet üzerinden güvenli veri iletimini sağlar.
  • Sınır Geçidi Protokolü (BGP):
    • BGP, müşteri tesisi ile Cisco veri merkezleriarasında yönlendirme bilgilerinin değişimi için kullanılan yönlendirme protokolüdür.

Yukarıdaki diyagramda gösterildiği gibi, müşteri tesislerinde konuşlandırılan cihazların iki GRE/IPSEC tüneller.

Aşağıda XX ile kullanılan adlandırma kuralları / YY, DC-A DC-B, Özel Örneğin sunulduğu tüm bölgeler için geneldir. Bu değerler her bölge için benzersiz olacak ve her bölgenin gerçek değerleri olacaktır. Sanal bağlantının etkinleştirilmesi sırasında belirli değerler sağlanır.

Cisco tarafında IPSec ve GRE tünelleri farklı cihazlarda sonlandırılacak. Bu nedenle müşterinin cihazlarda IPSec hedef ve GRE hedef IP'lerini buna göre yapılandırdığından emin olması gerekir. Müşteriler, cihazlarında destekleniyorsa GRE ve IPSEC için aynı IP'yi kullanabilirler. Yukarıdaki şemaya bakınız. Portal üzerinde sanal bağlantının aktif edilmesi sırasında IP ile ilgili değerler verilmektedir.

  • Tünel 1: Müşteri tesisini İnternet üzerinden "Dedicated Instance DC-A"ya (Veri Merkezi A) bağlar. Bu tünel BGP kullanıyor AS:64XX1 müşteri tarafında ve BGP'de AS:64XX2 Dedicated Instance DC-A tarafında. IPSEC ve GRE tüneli kaynak yapılandırmaları, müşteri tarafından sağlanan ve Cisco tarafından sağlanan ayrıntılar arasında bölünmüştür.
  • Tünel 2: Müşteri tesisini İnternet üzerinden "Dedicated Instance DC-B"ye (Veri Merkezi B) bağlar. Bu tünel BGP kullanıyor AS:64YY1 müşteri tarafında ve BGP'de AS:64YY2 Dedicated Instance DC-B tarafında. Tünel 1'de olduğu gibi IPSEC ve GRE tünel kaynak yapılandırmaları müşteri ile Cisco arasında paylaşılır.

BGP'de AS:64XX ve BGP AS:64YY, XX ve YY belirli bir bölgeye özgüdür.

Bir kez GRE/IPSEC Webex Calling Özel Örnek veri merkezlerine (A ve B) tüneller kurulduğunda, müşteri Cisco tarafından ilgili BGP oturumları üzerinden duyurulan aşağıdaki rotaları almalıdır.

  • DC-A için: Cisco'dan duyurulan rotalar X.X.X.0/25 Ve X.X.x.0/24. İsteğe bağlı olarak IaaS talep edilirse ve müşteri rotaları için yapılandırılırsa Y.Y.Y.0/25 Ve Y.Y.Y.0/24 Cisco'dan duyurulacak.
  • DC-B için: Cisco'dan duyurulan rotalar X.X.X.128/25 Ve X.X.x.0/24. İsteğe bağlı olarak IaaS talep edilirse ve müşteri rotaları için yapılandırılırsa Y.Y.Y.128/25 Ve Y.Y.Y.0/24 Cisco'dan duyurulacak.
  • Müşterinin reklam yapması gerekiyor 0.0.0./0 her iki bağlantı (tünel) üzerinden Cisco'ya giden yol
  • Müşteri en uzun öneki takip etmelidir (/25) Her iki tünel de açıkken trafiği ilgili tüneller üzerinden Cisco'ya göndermek için yollar.
  • Cisco, trafiği simetrik tutmak için trafiği aynı tünellerden geri döndürecek.

Trafik Akışı:

  • "DC-A UC Uygulamaları"na yönelik trafik (X.X.X.0/25) Müşteri öncülünden Tünel 1'e akar.
  • "DC-B UC Uygulamaları"na yönelik trafik (X.X.X.128/25) Müşteri öncülünden Tünel 2'ye akış sağlanır.

Başarısız olma senaryosu : tünellerden biri kapalıyken trafik akışı

Adanmış Örnek - Sanal bağlantı

Yukarıdaki diyagramda görüldüğü gibi DC-A'ya giden tünel kesildiğinde DC-A'ya giden tünel üzerinden kurulan BGP kesilecektir.

BGP üzerindeki etkisi: Tünel 1 kapandığında, o tünel üzerindeki BGP oturumu da kapanacaktır. Sonuç olarak, DC-A artık rotalarını (özellikle X.X.X.0/25) Bu yol üzerinden müşteriye ulaştırılır. Bu nedenle müşteri yönlendiricisi yolu ulaşılamaz olarak algılayacaktır.

Artık Tunnel 1 kapalı olduğundan, müşteri tesisindeki müşteri yönlendiricisi, Tunnel 1 aracılığıyla öğrenilen rotaları yönlendirme tablosundan otomatik olarak kaldıracak veya ulaşılamaz olarak işaretleyecektir.

  • UC Uygulama Ağı'na yönelik trafik (X.X.X.0/24) veya DC-A alt ağı (X.X.X.0/25) daha sonra DC-B'ye doğru çalışan tünelden yönlendirilecek ve DC-B reklamını yapmaya devam edecek X.X.X.0/24 bu şunları içerir X.X.X.0/25 ağ.
  • DC-B'ye giden tünel kapalıyken DC-A'ya giden tünel hala açıksa benzer bir davranış görülecektir.

Bağlantı Süreci

Aşağıdaki üst düzey adımlar, Adanmış Örnek için sanal Bağlantı ile nasıl bağlantı kurulacaklarını açıklar.
1

Cisco CCW'de sipariş yerine

2

Control Hub'dan Sanal Bağlantı'yı etkinleştir

3

Cisco, Ağ Yapılandırmasını gerçekleştirir

4

Müşteri, Ağ Yapılandırmasını gerçekleştirir

1. Adım: CCW Siparişi

Virtual Connect, CCW'de Adanmış Örnek için bir eklentidir.

1

CCW sipariş sitesine gidin ve ardından sitede oturum aç için Oturum Aç'a tıklayın:

https://apps.cisco.com/Commerce/guest.
2

Tahmini Oluştur.

3

"A-FLEX-3" SKU EKLEYIN.

4

Seçenekleri düzenle'yi seçin.

5

Görüntülenen abonelik sekmesinde, Seçenekler ve Eklentiler'i seçin.

6

Ek Eklentiler altında, "Adanmış Örnek için Sanal Bağlantı" seçeneğinin yanındaki onay kutusunu işaretleyin. SKU adı "A-FLEX-DI-VC"dir.

7

Sanal Bağlantının gerekli olduğu bölgelerin miktarını ve sayısını girin.

Sanal Bağlantı miktarı, Adanmış Örnek için satın alınan toplam bölge sayısını aşmaz. Ayrıca her bölge için yalnızca bir Sanal Bağlantı sırasına izin verilir.
8

Seçimlerinizi onaylarsanız sayfanın sağ üst kısmında Doğrula ve Kaydet'e tıklayın.

9

Siparişinizi sonleştirmek için Kaydet ve Devam Öğesini tıklatın. Son siparişiniz artık sipariş kılavuzunda yer aldı.

2. Adım: Control Hub'da Sanal Bağlantının Etkinleştirilmesi

1

Control Hub'da oturum açma https://admin.webex.com/login.

2

Hizmetler bölümünde , Bulut Bağlantısı için > Özel Enstacnce > gidin.

3

Sanal Bağlantı kartında, satın alınan Sanal Bağlantı miktarı listelenir. Yönetici bundan böyle Etkinleştir'e tıklar ve sanal bağlantı etkinleştirmeyi başlatsın.

Etkinleştirme işlemi yalnızca "Müşteri Tam yöneticisi" Rolüne sahip Yöneticiler tarafından tetiklenir. Iken, "Müşteri salt okunur yöneticisi" Rolüne sahip bir yönetici durumu yalnızca görüntülemeye sahiptir.
4

Etkinleştir düğmesine tıklarsanız Yöneticinin Cisco tarafında eşleme yapılandırmaları için gereken Sanal Bağlantı teknik ayrıntılarını sağlamak için Sanal Bağlantıyı Etkinleştir formu görüntülenir.

Form, Seçilen Bölge'ye bağlı olarak Cisco tarafında statik bilgiler de sağlar. Bu bilgiler, Müşteri yöneticilerinin Bağlantı kurmak için kendi tarafında CPE'yi yapılandırmalarına yardımcı olacaktır.

  1. GRE Tünel Taşıma IP adresi: Müşteriden, müşterinin tarafında Tünel Taşıma IP adresleri sağlaması gerekir. Cisco, etkinleştirme tamamlandıktan sonra IP adreslerini dinamik olarak ayıracak. İlginç Trafik için IPSec ACL, yerel Tünel Taşıma IP/32'nin uzak Tünel Taşıma IP/32'ye izin vermesine neden olabilir. ACL ayrıca yalnızca GRE IP protokolünü belirterek

    Müşteri tarafından sağlanan IP adresi özel veya genel olabilir.

  2. IPSec eşleri: Müşteriden IPSec Tünelin kaynak IP adreslerini sağlaması gerekir ve Cisco, IPSec hedef IP adresini ayırır. Gerekirse dahili I DILI tüneli adresinin genel bir adrese NAT çevirisi de de yine de ulur.

    Müşteri tarafından sağlanan IP adresi genel olmalı.

    Etkinleştirme ekranında sağlanan diğer tüm statik bilgiler, Cisco'nun taraf güvenlik ve şifreleme standartlarıdır. Bu statik yapılandırma, özelleştirilemez veya değiştirilebilir değildir. Cisco tarafında statik yapılandırmalarla ilgili daha fazla yardım için müşterinin TAC'ye ulaşması gerekir.
5

Tüm zorunlu alanlar doldurulduktan sonra Etkinleştir düğmesine tıklayın.

6

Particluar bölgesi için Sanal Bağlantı Etkinleştirme formu tamamlandıktan sonra, müşteri Etkinleştirme formunu Control Hub'dan dışa aktarabilir, Çağrı > Örneği > Bulut Bağlantısı sekmesine tıklar ve ayarları dışa aktar'a tıklayın.

Güvenlik nedenlerinden dolayı Kimlik Doğrulama ve BGP Parolası Dışa Aktarılan belgede kullanılamayacaktır, ancak yönetici Denetim Merkezi'nde Ayarları Görüntüle 'ye tıklayarak bunları görüntüleyebilir Denetim Merkezi, Çağrı > Özel Örnek > Bulut Bağlantısı sekmesi.

3. Adım: Cisco, Ağ Yapılandırmasını gerçekleştirir

1

Sanal Bağlantı Etkinleştirme formu tamamlandığında durum, Bulut Bağlantısı Sanal Bağlantı kartı için Adanmış Örnek > Etkinleştirme Sürüyor > olarak güncellenecektir.

2

Cisco, Cisco'nun yan ekipmanlarında gerekli yapılandırmaları 5 iş günüiçinde tamamlayacaktır. Başarılı bir şekilde tamamlandıktan sonra, durum Control Hub'daki ilgili bölge için "Etkinleştirilen" olarak güncellenecektir.

4. Adım: Müşteri, Ağ Yapılandırmasını gerçekleştirir

Durum, Müşteri yöneticisine IP VPN bağlantısı için yapılandırmaların Cisco tarafındaki ben'in Müşteri tarafından sağlanan girişlere göre tamam olduğunu bildirmek için "Etkinleştirildi" olarak değiştirilir. Ancak, müşteri yöneticisinin CPES'de yapılandırmaların kendi taraflarını tamamlaması ve Sanal Bağlantı tünelinin Çevrimiçi olması için bağlantı yollarını test olması beklenmiyor. Yapılandırma veya bağlantı zamanında sorun yaşadığında müşteri, destek için Cisco TAC'ye ulaşabilir.

Sorun Giderme

IPsec Birinci Aşama (IKEv2 Görüşmesi) Sorun Giderme ve Doğrulama

IPsec tünel müzakeresi iki aşamadan oluşur: IKEv2 aşaması ve IPsec aşaması. IKEv2 faz müzakeresi tamamlanmazsa, ikinci bir IPsec fazının başlatılması söz konusu olmaz. Öncelikle Cisco ekipmanlarında "show crypto ikev2 sa" komutunu veya üçüncü taraf ekipmanlarda benzer bir komutu çalıştırarak IKEv2 oturumunun aktif olup olmadığını doğrulayın. IKEv2 oturumu etkin değilse, olası nedenler şunlar olabilir:

  • İlgi çekici trafik IPsec tünelini tetiklemiyor.

  • IPsec tünel erişim listesi yanlış yapılandırılmış.

  • Müşteri ile Özel Örnek IPsec tünel uç noktası IP'si arasında bağlantı yoktur.

  • IKEv2 oturum parametreleri, Özel Örnek tarafı ile müşteri tarafı arasında eşleşmiyor.

  • Bir güvenlik duvarı IKEv2 UDP paketlerini engelliyor.

Öncelikle, IKEv2 tünel müzakeresinin ilerleyişini gösteren herhangi bir mesaj olup olmadığını görmek için IPsec günlüklerini kontrol edin. Günlükler, IKEv2 müzakeresinde bir sorun olduğunu gösterebilir. Günlük mesajlarının eksikliği, IKEv2 oturumunun etkinleştirilmediğini de gösterebilir.

IKEv2 müzakeresinde sık karşılaşılan bazı hatalar şunlardır:

  • CPE tarafındaki IKEv2 ayarları Cisco tarafıyla uyuşmuyor, belirtilen ayarları tekrar kontrol edin:

    • IKE sürümünün 2 olduğunu kontrol edin.

    • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafında beklenen şifrelemeyle eşleştiğini doğrulayın.

      "GCM" şifresi kullanıldığında, GCM protokolü kimlik doğrulamayı yönetir ve kimlik doğrulama parametresini NULL olarak ayarlar.

    • Ömür boyu ayarını doğrulayın.

    • Diffie Hellman modül grubunu doğrulayın.

    • Sahte Rastgele İşlev ayarlarını doğrulayın.

  • Kripto haritasına erişim listesi şu şekilde ayarlanmadı:

    • GRE'ye izin ver (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (veya eşdeğer komut)

      Erişim listesi özellikle "GRE" protokolü için olmalıdır ve "IP" protokolü çalışmayacaktır.

Günlük mesajları IKEv2 aşaması için herhangi bir müzakere etkinliği göstermiyorsa, o zaman bir paket yakalama gerekebilir.

Adanmış Örnek tarafı her zaman IKEv2 değişimini başlatmayabilir ve bazen müşteri CPE tarafının başlatıcı olmasını bekleyebilir.

IKEv2 oturum başlatma için aşağıdaki ön koşullar için CPE tarafı yapılandırmasını kontrol edin:

  • CPE tünel taşıma IP'sinden Özel Örnek tünel taşıma IP'sine GRE trafiği (protokol 50) için bir IPsec şifreleme erişim listesi olup olmadığını kontrol edin.

  • GRE tünel arayüzünün GRE keepalive'lar için etkinleştirildiğinden emin olun; eğer ekipman GRE keepalive'ları desteklemiyorsa Cisco bilgilendirilir çünkü GRE keepalive'lar varsayılan olarak Özel Örnek tarafında etkinleştirilecektir.

  • BGP'nin etkinleştirildiğinden ve Özel Örnek tünel IP'sinin komşu adresiyle yapılandırıldığından emin olun.

Doğru şekilde yapılandırıldığında, IPsec tüneli ve birinci aşama IKEv2 müzakeresi aşağıdaki şekilde başlar:

  • GRE, CPE tarafı GRE tünel arayüzünden Özel Örnek tarafı GRE tünel arayüzüne kadar canlı tutulur.

  • BGP komşu TCP oturumu, CPE tarafındaki BGP komşusundan Dedicated Instance tarafındaki BGP komşusuna.

  • CPE yan tünel IP adresinden Özel Örnek yan tünel IP adresine ping atın.

    Ping tünel taşıma IP'sinden tünel taşıma IP'sine olamaz, tünel IP'sinden tünel IP'sine olmalıdır.

IKEv2 trafiği için bir paket izleme gerekiyorsa, UDP için filtreyi ayarlayın ve 500 numaralı portu (IPsec uç noktalarının ortasında bir NAT aygıtı olmadığında) veya 4500 numaralı portu (IPsec uç noktalarının ortasına bir NAT aygıtı yerleştirildiğinde) kullanın.

500 veya 4500 portuna sahip IKEv2 UDP paketlerinin DI IPsec IP adresine gönderilip alındığını doğrulayın.

Adanmış Örnek veri merkezi her zaman ilk IKEv2 paketini başlatmayabilir. Gereklilik, CPE cihazının Adanmış Örnek tarafına doğru ilk IKEv2 paketini başlatabilme yeteneğine sahip olmasıdır.

Yerel güvenlik duvarı izin veriyorsa, uzak IPsec adresine de ping atmayı deneyin. Yerelden uzak IPsec adresine ping başarılı olmazsa, yardımcı olması için bir izleme rotası gerçekleştirin ve paketin nereye düştüğünü belirleyin.

Bazı güvenlik duvarları ve internet ekipmanları izleme rotasına izin vermeyebilir.

IPsec İkinci Aşama (IPsec Görüşmesi) Sorun Giderme ve Doğrulama

IPsec ikinci aşamasını gidermeden önce IPsec birinci aşamasının (yani IKEv2 güvenlik ilişkisinin) etkin olduğunu doğrulayın. IKEv2 oturumunu doğrulamak için "show crypto ikev2 sa" veya eşdeğer bir komut çalıştırın. Çıktıda, IKEv2 oturumunun birkaç saniyeden uzun süredir açık olduğunu ve sekmediğini doğrulayın. Oturum çalışma süresi çıkışta oturumun "Etkin Süresi" veya eşdeğeri olarak gösterilir.

IKEv2 oturumunun aktif ve çalışır durumda olduğu doğrulandıktan sonra IPsec oturumunu araştırın. IKEv2 oturumunda olduğu gibi, IPsec oturumunu doğrulamak için "show crypto ipsec sa" veya eşdeğer bir komut çalıştırın. GRE tüneli kurulmadan önce hem IKEv2 oturumu hem de IPsec oturumu etkin olmalıdır. IPsec oturumu etkin olarak görünmüyorsa, hata mesajları veya müzakere hataları için IPsec günlüklerini kontrol edin.

IPsec görüşmeleri sırasında karşılaşılabilecek daha yaygın sorunlardan bazıları şunlardır:

CPE tarafındaki ayarlar Dedicated Instance tarafındaki ayarlarla uyuşmuyor, ayarları tekrar kontrol edin:

  • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafındaki ayarlarla eşleştiğini doğrulayın.

  • Mükemmel İletme Gizliliği ayarlarını ve Ayrılmış Örnek tarafındaki ayarların eşleştiğini doğrulayın.

  • Ömür boyu ayarlarını doğrulayın.

  • IPsec'in tünel modunda yapılandırıldığını doğrulayın.

  • Kaynak ve hedef IPsec adreslerini doğrulayın.

Tünel Arayüzü Sorun Giderme ve Doğrulama

IPsec ve IKEv2 oturumları çalışır ve etkin olarak doğrulandığında, GRE tüneli canlı tutma paketleri, Özel Örnek ile CPE tüneli uç noktaları arasında akabilir. Tünel arayüzü durum göstermiyorsa, bazı yaygın sorunlar şunlardır:

  • Tünel arayüzü taşıma VRF'si, loopback arayüzünün VRF'siyle eşleşmiyor (tünel arayüzünde VRF yapılandırması kullanılıyorsa).

    Tünel arayüzünde VRF konfigürasyonu kullanılmıyorsa bu kontrol göz ardı edilebilir.

  • CPE yan tünel arayüzünde canlı tutmalar etkinleştirilmemiştir

    CPE ekipmanında keepalive'lar desteklenmiyorsa, Cisco'ya bildirimde bulunulmalı ve böylece Ayrılmış Örnek tarafındaki varsayılan keepalive'lar da devre dışı bırakılmalıdır.

    Keepalive'lar destekleniyorsa, keepalive'ların etkin olduğunu doğrulayın.

  • Tünel arayüzünün maskesi veya IP adresi doğru değil ve Ayrılmış Örnek'in beklenen değerleriyle eşleşmiyor.

  • Kaynak veya hedef tünel taşıma adresi doğru değil ve Ayrılmış Örnek'in beklenen değerleriyle eşleşmiyor.

  • Bir güvenlik duvarı, GRE paketlerinin IPsec tüneline gönderilmesini veya IPsec tünelinden alınmasını engelliyor (GRE tüneli IPsec tüneli üzerinden taşınıyor)

Bir ping testi, yerel tünel arayüzünün çalışır durumda olduğunu ve uzak tünel arayüzüne bağlantının iyi olduğunu doğrulamalıdır. Ping kontrolünü tünel IP'sinden (taşıma IP'sinden değil) uzak tünel IP'sine doğru gerçekleştirin.

GRE tünel trafiğini taşıyan IPsec tüneli için kripto erişim listesi yalnızca GRE paketlerinin geçişine izin verir. Sonuç olarak, tünel taşıma IP'sinden uzak tünel taşıma IP'sine pingler çalışmayacaktır.

Ping kontrolü, kaynak tünel taşıma IP'sinden hedef tünel taşıma IP'sine bir GRE paketi oluşturulmasıyla sonuçlanırken, GRE paketinin yükü (iç IP) kaynak ve hedef tünel IP'si olacaktır.

Ping testi başarılı olmazsa ve önceki maddeler doğrulanırsa, icmp ping'inin bir GRE paketiyle sonuçlandığından ve ardından bir IPsec paketine kapsüllendiğinden ve ardından kaynak IPsec adresinden hedef IPsec adresine gönderildiğinden emin olmak için bir paket yakalama gerekebilir. GRE tünel arayüzündeki sayaçlar ve IPsec oturum sayaçları da gönderilen ve alınan paketlerin artıp artmadığını göstermeye yardımcı olabilir.

Ping trafiğine ek olarak, yakalamanın boşta trafik sırasında bile keepalive GRE paketlerini de göstermesi gerekir. Son olarak, eğer BGP yapılandırılmışsa, BGP keepalive paketleri, IPSEC paketleri içerisinde kapsüllenmiş GRE paketleri olarak da VPN üzerinden gönderilmelidir.

BGP Sorun Giderme ve Doğrulama

BGP Oturumları

VPN IPsec tüneli üzerinden yönlendirme protokolü olarak BGP gereklidir. Yerel BGP komşusu, Adanmış Örnek BGP komşusuyla bir eBGP oturumu kurmalıdır. eBGP komşu IP adresleri, yerel ve uzak tünel IP adresleriyle aynıdır. Öncelikle BGP oturumunun açık olduğundan emin olun ve ardından Ayrılmış Örnekten doğru rotaların alındığından ve Ayrılmış Örneğe doğru varsayılan rotanın gönderildiğinden emin olun.

GRE tüneli çalışıyorsa, yerel ve uzak GRE tüneli IP'si arasında ping işleminin başarılı olduğunu doğrulayın. Ping başarılıysa ancak BGP oturumu açılmıyorsa, BGP kurulum hataları için BGP günlüğünü inceleyin.

BGP müzakerelerinde karşılaşılan en yaygın sorunlardan bazıları şunlardır:

  • Uzak AS numarası, Ayrılmış Örnek tarafında yapılandırılan AS numarasıyla eşleşmiyor, komşu AS yapılandırmasını yeniden kontrol edin.

  • Yerel AS numarası, Ayrılmış Örnek tarafının beklediğiyle eşleşmiyor. Yerel AS numarasının beklenen Ayrılmış Örnek parametreleriyle eşleştiğini doğrulayın.

  • Bir güvenlik duvarı, GRE paketlerinde kapsüllenmiş BGP TCP paketlerinin IPsec tüneline gönderilmesini veya IPSEC tünelinden alınmasını engelliyor

  • Uzak BGP komşu IP'si uzak GRE tünel IP'siyle eşleşmiyor.

BGP Rota Değişimi

BGP oturumu her iki tünel için de doğrulandıktan sonra, Ayrılmış Örnek tarafından doğru rotaların gönderilip alındığından emin olun.

Adanmış Örnek VPN çözümü, iki tünelin kurulmasını bekler customer/partner taraf. İlk tünel, Ayrılmış Örnek veri merkezi A'ya, ikinci tünel ise Ayrılmış Örnek veri merkezi B'ye işaret eder. Her iki tünel de etkin durumda olmalıdır ve çözüm için bir active/active dağıtım. Her Adanmış Örnek veri merkezi yerelini duyuracaktır /25 rota ve ayrıca bir /24 yedek rota. Ayrılmış Örnekten gelen BGP rotalarını kontrol ederken, Ayrılmış Örnek veri merkezi A'ya işaret eden tünelle ilişkili BGP oturumunun Ayrılmış Örnek veri merkezi A'yı aldığından emin olun. /25 yerel güzergahın yanı sıra /24 yedek rota. Ayrıca, Ayrılmış Örnek veri merkezi B'ye işaret eden tünelin Ayrılmış Örnek veri merkezi B'yi aldığından emin olun /25 yerel güzergahın yanı sıra /24 yedek rota. Dikkat edin ki, /24 Yedekleme rotası, Adanmış Örnek veri merkezi A ve Adanmış Örnek veri merkezi B'den duyurulan rota ile aynı olacaktır.

Tünel arayüzünün veri merkezine bağlanması durumunda, söz konusu veri merkezine yedeklilik sağlanır. Adanmış Örnek veri merkezi A'ya bağlantı kesilirse, trafik Adanmış Örnek veri merkezi B'den veri merkezi A'ya yönlendirilir. Bu senaryoda, veri merkezi B'ye giden tünel, veri merkezi B'yi kullanır. /25 Trafiği veri merkezi B'ye gönderecek rota ve veri merkezi B'ye giden tünel yedeklemeyi kullanacak /24 Veri merkezi B üzerinden veri merkezi A'ya trafik gönderme rotası.

Her iki tünel de aktif olduğunda, veri merkezi A tünelinin veri merkezi B'ye trafik göndermek için kullanılmaması ve bunun tersinin de yapılmaması önemlidir. Bu senaryoda, eğer trafik veri merkezi A'ya, hedefi veri merkezi B olacak şekilde gönderilirse, veri merkezi A trafiği veri merkezi B'ye iletecek ve ardından veri merkezi B, trafiği veri merkezi B tüneli üzerinden kaynağa geri göndermeye çalışacaktır. Bu, optimum olmayan yönlendirmeye yol açacak ve ayrıca güvenlik duvarlarını aşan trafiğin kesilmesine neden olabilir. Bu nedenle her iki tünelin de aynı yerde olması önemlidir. active/active normal çalışma sırasındaki yapılandırma.

The 0.0.0.0/0 Rota, müşteri tarafından Dedicated Instance veri merkezi tarafına duyurulmalıdır. Daha spesifik rotalar Dedicated Instance tarafı tarafından kabul edilmeyecektir. Emin olun ki 0.0.0.0/0 rota hem Özel Örnek veri merkezi A tünelinden hem de Özel Örnek veri merkezi B tünelinden duyurulur.

MTU Yapılandırması

Adanmış Örnek tarafında, büyük paket boyutları için MTU'yu dinamik olarak ayarlamak üzere iki özellik etkinleştirilmiştir. GRE tüneli, VPN oturumu üzerinden akan IP paketlerine daha fazla başlık ekler. IPsec tüneli, GRE başlıklarının üstüne ek başlıklar ekleyerek tünel üzerinden izin verilen en büyük MTU'yu daha da azaltacaktır.

GRE tüneli MSS özelliğini ayarlar ve MTU keşif özelliğindeki GRE tünel yolu, Özel Örnek tarafında etkinleştirilir. "ip tcp adjust-mss 1350" veya eşdeğer komutu ve "tunnel" komutunu yapılandırın path\u0002mtu-discovery" veya VPN tüneli üzerinden geçen trafiğin MTU'sunun dinamik olarak ayarlanmasına yardımcı olmak için müşteri tarafında eşdeğer bir komut.