Virtual Connect, yönlendirme ve GRE kontrolünün bir cihaz tarafından sağlanmıştır ve IPSec kontrol aracı başka bir kişi tarafından sağlanmıştır çift katmanlu uç mimarisi kullanır.

Sanal Bağlantı bağlantısı tamamlandıktan sonra, Müşterinin kurumsal ağı ve Adanmış Örnek Cisco'nun veri merkezleri arasında iki GRE IPSec tüneli oluşturulacak. İlgili Bölge içindeki her yedekli veri merkezinden. Eşleme için gereken ek ağ öğeleri, İş Ortağı veya Müşteri tarafından Control Hub Sanal Bağlantı etkinleştirme formu aracılığıyla Cisco'ya exchange'tir.

Aşağıdaki şekilde, müşteri tarafındaki 2 konsantratör seçeneği için sanal bağlantı dağıtım modeli örneği gösterilmektedir.

Sanal Bağlantı - VPN, Müşterinin Hub Sitelerinin belirli bir bölge içindeki Adanmış Örneğin veri merkezlerinin DC1 ve DC2'ye bağlı olduğu bir Hub tasarımıdır.

Daha iyi yedeklilik için iki Hub sitesi önerilir ancak iki tünele sahip One Hub sitesi de desteklenen bir dağıtım modelidir.

Iş ortaklarının Müşteriler ile yakın bir şekilde çalışması ve Sanal Bağlantı hizmet bölgesi için en uygun yolun seçilmesini sağlar.

Aşağıdaki şekilde, Özel Örnek bulut bağlantısı eşleme bölgeleri gösterilmektedir.

Sanal Bağlantı eklentisi için yönlendirme, Özel Örnek ve Müşteri Şirket Donanımı (CPE) arasında harici BGP (eBGP) kullanılarak uygulanır. Cisco, ilgili ağın bir bölge içindeki her yedek DC için Müşterinin CPE'sinde tanıtacak ve Cisco'ya varsayılan bir rotanın tanıtımı için CPE gereklidir.

• Cisco bakım ve atamaları

  • Tünel Arayüzü IP adresi (yönlendirme için geçici bağlantı) Cisco, belirtilen bir Paylaşılan Adres Alanından (genel olmayan yönlendirilebilir) atar

  • Tünel taşıma desiyasyonu adresi (Cisco tarafı)

  • Müşteri BGP yönlendirme yapılandırması için özel otonom sistem numaraları (ASN'ler)

    • Cisco, belirtilen özel kullanım aralığından atar: 64512 - 65534

• Adanmış Örnek ve CPE arasında yönlendirme değişimi için kullanılan eBGP

  • Cisco, atanan /24 ağı ilgili bölgedeki her DC için 2/25 ağına bölecek

  • Sanal Bağlantı'da her /25 ağın, ilgili noktadan noktaya VPN tünelleri (geçici bağlantı) üzerinden Cisco tarafından CPE'ye geri tanıtıldı

  • CPE, uygun eBGP komşuları ile yapılandır olmalı. Bir CPE kullanılırsa iki eBGP komşusu kullanılacaktır, bir de her uzak tüneli işaret eden. İki CPE kullanıyorsanız her CPE'de CPE için tek uzak tünelde bir eBGP komşusu olacak.

  • Her GRE tünelin Cisco tarafı (tünel arayüzü IP), CPE'de BGP komşusu olarak yapılandırılmıştır

  • Her bir tünel üzerinde varsayılan bir yönlendirmenin tanıtımını yapmak için CPE gereklidir

  • CPE, gerektiğinde cutomer'ın kurumsal ağında öğrenilen rotaları yeniden dağıtılabilir.

• Başarısız olmayan bağlantı hatası koşulu altında, tek bir CPE'de iki etkin/etkin tünel olur. İki CPE düğümü için her CPE'de bir etkin tünel olacak ve her iki CPE düğümünün de etkin olması ve trafiğin aktarılacak olması gerekir. Başarısız olmayan senaryo altında, trafik doğru /25 hedeflere giden iki tünelde ayrılmalı; eğer tünelden biri arızalıysa kalan tünel her ikisi için de trafiği taşıyabilir. Böyle bir hata senaryoda, /25 ağı arızalı olduğunda, /24 ağı yedek yol olarak kullanılır. Cisco, bağlantının kaybedil olduğu DC'ye doğru dahili WAN üzerinden müşteri trafiğini gönderecek.

IPsec tünel anlaşması iki fazdan oluşur: IKEv2 fazı ve IPsec fazı. IKEv2 fazı anlaşması tamamlanmazsa ikinci bir IPsec fazının başlatılması yoktur. Öncelikle, IKEv2 oturumunun etkin olup olmadığını doğrulamak için "show crypto ikev2 sa" komutunu (Cisco ekipmanında) veya üçüncü taraf ekipmanlarda benzer komutları düzenleyin. IKEv2 oturumu etkin değilse olası nedenler şunlar olabilir:

• Ilginç trafik IPsec tünelini tetiklemez.

• IPsec tünel erişim listesi yanlış yapılandırılmış.

• Müşteri ve Ayrılmış Örnek IPsec tünel uç noktası IP'si arasında bağlantı yoktur.

• IKEv2 oturum parametreleri, Ayrılmış Örnek tarafı ile müşteri tarafı arasında eşleşmiyor.

• Bir güvenlik duvarı, IKEv2 UDP paketlerini engelliyor.

Öncelikle, IKEv2 tünel anlaşmasının ilerlemesini gösteren tüm mesajlar için IPsec günlüklerini kontrol edin. Günlükler IKEv2 anlaşmasıyla ilgili bir sorunun nerede olduğunu gösterebilir. Günlük mesajlarının olmaması, IKEv2 oturumunun etkinleştirilmediğine de işaret edebilir.

IKEv2 anlaşmasıyla ilgili bazı yaygın hatalar şunlardır:

• CPE tarafındaki IKEv2 ayarları Cisco tarafıyla eşleşmiyor, bahsedilen ayarları yeniden kontrol edin:

  • IKE sürümünün sürüm 2 olduğundan emin olun.

  • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafında beklenen şifrelemeyle eşleştiğini doğrulayın.

    "GCM" şifresi kullanımda olduğunda, GCM protokolü kimlik doğrulamayı işler ve kimlik doğrulama parametresini NULL olarak ayarlar.

  • Kullanım süresi ayarını doğrulayın.

  • Diffie Hellman modül grubunu doğrulayın.

  • Sözde Rastgele Işlev ayarlarını doğrulayın.

• Şifreleme haritası için erişim listesi şu şekilde ayarlanmadı:

  • GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (veya eşdeğer komut)

    Erişim listesi özellikle "GRE" protokolü için olmalıdır ve "IP" protokolü çalışmayacaktır.

Günlük mesajlarında IKEv2 fazı için herhangi bir anlaşma etkinliği gösterilmiyorsa, bir paket yakalama gerekebilir.

Doğru şekilde yapılandırıldığında, aşağıdakiler IPsec tüneli ve ilk aşama IKEv2 anlaşmasına başlar:

• GRE, CPE tarafı GRE tünel arabiriminden Ayrılmış Örnek tarafı GRE tünel arayüzüne etkin kılar.

• BGP komşusu TCP oturumu, CPE tarafı BGP komşusundan Ayrılmış Örnek tarafı BGP komşusuna.

• CPE yan tünel IP adresinden Ayrılmış Örnek yan tünel IP adresine ping göndermek.

  Ping, tünel taşıma IP’sinden tünel taşıma IP’sine olamaz, tünel IP’sinden tünel IP’ye olmalıdır.

IKEv2 trafiği için paket izleme gerekiyorsa, filtreyi UDP'ye ve bağlantı noktası 500 (IPsec uç noktalarının ortasında bir NAT cihazı yoksa) veya 4500 (IPsec uç noktalarının ortasına bir NAT cihazı yerleştirildiğinde) ayarlayın.

500 veya 4500 bağlantı noktasına sahip IKEv2 UDP paketlerinin DI IPsec IP adresine ve bu adresten gönderilip alındığını doğrulayın.

IPsec ikinci fazında sorun gidermeden önce IPsec ilk fazının (yani IKEv2 güvenlik ilişkilendirmesi) etkin olduğunu doğrulayın. IKEv2 oturumunu doğrulamak için "show crypto ikev2 sa" veya eşdeğer bir komut gerçekleştirin. Çıktıda, IKEv2 oturumunun birkaç saniyeden uzun süre açık olduğunu ve geri dönmediğini doğrulayın. Oturum çalışma süresi, çıkışta oturum "Aktif Süre" veya eşdeğeri olarak gösterilir.

IKEv2 oturumu etkin ve etkin olarak doğrulandıktan sonra, IPsec oturumunu araştırın. IKEv2 oturumunda olduğu gibi, IPsec oturumunu doğrulamak için "show crypto ipsec sa" veya eşdeğer bir komut gerçekleştirin. GRE tüneli kurulmadan önce hem IKEv2 oturumunun hem de IPsec oturumunun etkin olması gerekir. IPsec oturumu etkin olarak gösterilmiyorsa hata mesajları veya anlaşma hataları için IPsec günlüklerini kontrol edin.

IPsec müzakereleri sırasında karşılaşılabilecek daha yaygın konulardan bazıları şunlardır:

CPE tarafındaki ayarlar Ayrılmış Örnek tarafıyla eşleşmiyor, ayarları yeniden kontrol edin:

• Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafındaki ayarlarla eşleştiğini doğrulayın.

• Mükemmel Iletme Gizliliği ayarlarını ve Ayrılmış Örnek tarafındaki ayarların eşleştiğini doğrulayın.

• Kullanım süresi ayarlarını doğrulayın.

• IPsec'in tünel modunda yapılandırıldığını doğrulayın.

• Kaynak ve hedef IPsec adreslerini doğrulayın.

IPsec ve IKEv2 oturumları etkin ve etkin olarak doğrulandığında, GRE tüneli etkin paketleri Ayrılmış Örnek ve CPE tüneli uç noktaları arasında akış yapabilir. Tünel arabirimi durum göstermiyorsa, bazı yaygın sorunlar şunlardır:

• Tünel arayüzü taşıma VRF'si, geri döngü arayüzünün VRF'siyle eşleşmez (tünel arayüzünde VRF yapılandırması kullanılıyorsa).

  VRF yapılandırması tünel arabiriminde kullanılmıyorsa bu kontrol yoksayılabilir.

• CPE yan tünel arayüzünde etkin değil

  Etkin tutmalar CPE ekipmanında desteklenmiyorsa Ayrılmış Örnek tarafındaki varsayılan etkin tutmaların da devre dışı bırakılması için Cisco’ya bildirilmelidir.

  Etkin tutmalar destekleniyorsa etkin tutmaların doğrulandığını doğrulayın.

• Tünel arayüzünün maskesi veya IP adresi doğru değil ve Ayrılmış Örnek beklenen değerlerle eşleşmiyor.

• Kaynak veya hedef tünel taşıma adresi doğru değil ve Özel Örnek beklenen değerlerle eşleşmiyor.

• Bir güvenlik duvarı, IPsec tüneline gönderilen veya IPsec tünelinden alınan GRE paketlerini engelliyor (GRE tüneli IPsec tüneli üzerinden taşınır)

Bir ping testi, yerel tünel arayüzünün açık olduğunu ve uzak tünel arayüzüne bağlantının iyi olduğunu doğrulamalıdır. Ping kontrolünü tünel IP'sinden (taşıma IP'si değil) uzak tünel IP'sine gerçekleştirin.

Ping kontrolü, kaynak tünel taşıma IP'sinden hedef tünel taşıma IP'sine oluşturulan bir GRE paketini alırken, GRE paketinin (iç IP) yükü kaynak ve hedef tünel IP'si olacaktır.

Ping testi başarılı değilse ve önceki öğeler doğrulanırsa, icmp ping'in, daha sonra bir IPsec paketine kapsüllenmiş ve kaynak IPsec adresinden hedef IPsec adresine gönderilen bir GRE paketine neden olduğundan emin olmak için bir paket yakalama gerekebilir. GRE tünel arayüzündeki sayaçlar ve IPsec oturum sayaçlarının da gösterilmesine yardımcı olabilir. Paket gönderme ve alma işlemlerinin artıp artmadığını.

Ping trafiğine ek olarak yakalama, boş trafik sırasında bile etkin GRE paketlerini de göstermelidir. Son olarak, BGP yapılandırılırsa, BGP etkin paketleri ayrıca IPSEC paketlerinde ve VPN üzerinden kapsüllenmiş GRE paketleri olarak gönderilmelidir.

Ayrılmış Örnek tarafında, büyük paket boyutları için MTU'yu dinamik olarak ayarlamak üzere iki özellik etkinleştirilmiştir. GRE tüneli, VPN oturumu boyunca akan IP paketlerine daha fazla başlık ekler. IPsec tüneli, GRE üstbilgilerinin üstüne ilave üstbilgileri ekler, tünel üzerinden izin verilen en büyük MTU'yu daha da azaltır.

GRE tüneli MSS özelliğini ayarlar ve MTU keşif özelliğindeki GRE tünel yolu Ayrılmış Örnek tarafında etkinleştirilir. VPN tüneli üzerinden trafiğin MTU'nun dinamik olarak ayarlanmasına yardımcı olması için "ip tcp adjust-mss 1350" veya eşdeğer komutun yanı sıra müşteri tarafında "tünel yolu\u0002mtu-discovery" veya eşdeğer komutu yapılandırın.