Giriş

Sanal Bağlantı, Webex Calling (Özel Örnek) için Bulut Bağlantısı için ek bir eklenti seçeneğidir. Sanal Bağlantı, Müşterilerin noktadan noktaya IP VPN Tünellerini kullanarak Özel Ağlarını internet üzerinden güvenli bir şekilde genişletmelerini sağlar. Bu bağlantı seçeneği, mevcut Müşteri Şirket Ekipmanı (CPE) ve internet bağlantısını kullanarak Özel Ağ bağlantısının hızlı bir şekilde kurulmasını sağlar.

Cisco, yedekli IP VPN Tünellerini ve hizmetin gerekli olduğu Cisco'nun Ayrılmış Örnek veri merkezi bölgelerinde gerekli Internet erişimini barındırır, yönetir ve sağlar. Benzer şekilde, Yönetici, Virtual Connect kuruluşu için gerekli olan ilgili CPE ve Internet hizmetlerinden sorumludur.

Belirli bir Ayrılmış Örnek bölgesindeki her Sanal Bağlantı siparişi, IPSec şifrelemesi (IPSec üzerinden GRE) ile korunan iki genel yönlendirme kapsülleme (GRE) tünelini içerecek ve seçilen Bölgedeki her Cisco'nun veri temsilcisine birer tane olacaktır.

Virtual Connect, tünel başına 250 Mbps bant genişliği sınırına sahiptir ve daha küçük dağıtımlar için önerilir. Iki noktadan noktaya VPN tünelleri kullanıldığından, buluta giden tüm trafiğin müşteri başlığı CPE'sinden geçmesi gerekir ve bu nedenle uzak sitelerin çok olduğu yerlerde uygun olmayabilir. Diğer alternatif eşleme seçenekleri için Bulut Bağlantısına bakın.


 

Sanal Bağlantı için eşleme talebini göndermeden önce, Ayrılmış Örnek hizmetinin ilgili bölgede etkinleştirildiğinden emin olun.

Cisco WebEx Meeting Center Yapılandırma Kılavuzları

Sanal Bağlantı kurmak için ön koşullar şunlardır:

  • Müşteri hizmetleri

    • Dağıtımı desteklemek için yeterli bant genişliğine sahip internet bağlantısı

    • Iki IPSec tüneli için genel IP adresi(leri)

    • Iki GRE tünelinin müşteri tarafı GRE taşıma IP adresleri

  • Iş ortağı ve Müşteri

    • Bant genişliği gereksinimlerini değerlendirmek için birlikte çalışın

    • Ağ cihazlarının Sınır Ağ Geçidi Protokolü (BGP) yönlendirmesini ve IPSec tünel tasarımında bir GRE desteklediğinden emin olun

  • Iş Ortağı veya Müşterinin sunduğu

    • Siteden siteye VPN tünel teknolojileri bilgisi olan ağ ekibi

    • BGP, eBGP ve genel yönlendirme prensipleri bilgisi olan ağ ekibi

  • Cisco

    • Cisco, GRE tünel arayüzleri için özel otonom sistem numaraları (ASN'ler) ve geçici IP adresleme atamıştır

    • Cisco, Ayrılmış Örnek Bulut adreslemesi için genel C Sınıfı (/24) ağı atamış ancak Internet yönlendirilebilir değildir


 

Müşterinin yalnızca 1 CPE cihazı varsa, her bölgedeki Cisco veri merkezlerine (DC1 ve DC2) doğru 2 tünel o CPE cihazından olacaktır. Müşterinin 2 CPE cihazı için de bir seçeneği vardır ve ardından her CPE cihazı yalnızca her bölgedeki Cisco Veri Merkezlerine (DC1 ve DC2) doğru 1 tünele bağlanmalıdır. Ek yedeklilik, her bir tünelin Müşterinin altyapısında ayrı bir fiziksel sahada/konumda sonlandırılmasıyla elde edilebilir.

Teknik Ayrıntılar

Dağıtım Modeli

Virtual Connect, yönlendirme ve GRE kontrol düzlemlerinin bir cihaz tarafından ve IPSec kontrol düzleminin başka bir cihaz tarafından sağlandığı çift katmanlı bir headend mimarisi kullanır.

Virtual Connect bağlantısı tamamlandığında, Müşterinin kurumsal ağı ile Ayrılmış Örnek Cisco’nun veri merkezleri arasında IPSec üzerinden iki GRE oluşturulacaktır. Ilgili Bölgedeki her bir yedekli veri merkezine bir tane. Eşleme için gereken ek ağ öğeleri, Iş Ortağı veya Müşteri tarafından Control Hub Virtual Connect etkinleştirme formu aracılığıyla Cisco'ya aktarılır.

Şekil 1, müşteri tarafında 2-konsantratör seçeneği için Sanal Bağlantı dağıtım modelinin bir örneğini gösterir.

Sanal Bağlantı - VPN, Müşterinin Hub Sitelerinin belirli bir bölgedeki Ayrılmış Örnek veri merkezlerinin DC1 ve DC2'sine bağlandığı bir Hub tasarımıdır.

Daha iyi yedeklilik için iki Hub sitesi önerilir, ancak iki tünelli Bir Hub sitesi de desteklenen bir dağıtım modelidir.


 

Tünel başına bant genişliği 250 Mbps ile sınırlıdır.


 

Müşterinin aynı bölgedeki uzak sitelerinin, Müşterinin WAN üzerinden Hub sitelerine tekrar bağlanması gerekir ve bu bağlantı Cisco’nun sorumluluğu değildir.

Iş ortaklarının Müşterilerle yakın bir şekilde çalışması ve “Sanal Bağlantı” hizmet bölgesi için en uygun yolun seçilmesini sağlaması beklenir.

Şekil 2, Ayrılmış Örnek Bulut Bağlantısı eşleme Bölgelerini göstermektedir.

Yönlendirme

Sanal Bağlantı eklentisi için yönlendirme, Özel Örnek ve Müşteri Tesisi Ekipmanı (CPE) arasında harici BGP (eBGP) kullanılarak uygulanır. Cisco, bir bölgedeki her yedekli DC için ilgili ağını Müşterinin CPE'sine bildirir ve Cisco'ya varsayılan bir rota tanıtmak için CPE gereklidir.

  • Cisco korur ve atar

    • Tünel Arabirimi IP adresleme (yönlendirme için geçici bağlantı) Cisco, belirlenmiş bir Paylaşılan Adres Alanından atar (herkese açık olmayan)

    • Tünel taşıma desitination adresi (Cisco tarafı)

    • Müşteri BGP yönlendirme yapılandırması için özel otonom sistem numaraları (ASN'ler)

      • Cisco, belirtilen özel kullanım aralığından atar: 64512 ile 65534 arası

  • Ayrılmış Örnek ve CPE arasındaki yolları değiştirmek için kullanılan eBGP

    • Cisco, atanan /24 ağını ilgili bölgedeki her bir DC için 2 /25 ağa bölecektir

    • Virtual Connect'te her bir /25 ağ, ilgili noktadan noktaya VPN tünelleri üzerinden Cisco tarafından CPE'ye geri tanıtılır (geçici bağlantı)

    • CPE, uygun eBGP komşularıyla yapılandırılmalıdır. Bir CPE kullanıyorsanız, her bir uzak tünele işaret eden iki eBGP komşusu kullanılır. Iki CPE kullanıyorsanız, her CPE, CPE için tek bir uzak tünele ponpon yapan bir eBGP komşusu olacaktır.

    • Her bir GRE tünelinin (tünel arayüzü IP'si) Cisco tarafı, CPE'de BGP komşusu olarak yapılandırılır

    • Tünellerin her biri üzerinde varsayılan bir güzergah tanıtmak için CPE gereklidir

    • CPE, cutomer kurumsal ağı içinde öğrenilen rotaları gerektiği gibi yeniden dağıtmak için yanıt verebilir.

  • Arızasız bağlantı arızası durumunda, tek bir CPE'nin iki aktif/aktif tünelleri olacaktır. Iki CPE düğümü için her CPE'nin bir aktif tüneli olacaktır ve her iki CPE düğümü aktif ve geçen trafik olmalıdır. Hatasız senaryoda, trafik doğru /25 hedefe giden iki tünelde bölünmelidir, eğer tünelden biri düşerse, geri kalan tünel her iki tünel için de trafiği taşıyabilir. Böyle bir hata senaryosu altında, /25 ağı devre dışı bırakıldığında, yedek yol olarak /24 ağı kullanılır. Cisco, müşteri trafiğini dahili WAN üzerinden bağlantısı kesilen DC'ye gönderir.

Bağlantı Süreci

Aşağıdaki üst düzey adımlar, Ayrılmış Örnek için sanal Bağlantı ile nasıl bağlantı kurulacağını açıklamaktadır.
1

Cisco CCW’ye sipariş verin

2

Control Hub'dan Sanal Bağlantıyı Etkinleştirme

3

Cisco Ağ Yapılandırması gerçekleştirir

4

Müşteri Ağ Yapılandırması gerçekleştirir

1. Adım: CCW Sipariş

Sanal Bağlantı, CCW’de Özel Örnek için bir eklentidir.

1

CCW sipariş sitesine gidin ve ardından sitede oturum açmak için Oturum Aç’a tıklayın:

2

Tahmin Oluştur.

3

"A-FLEX-3" SKU ekleyin.

4

Düzenleme seçeneklerini belirleyin.

5

Açılan abonelik sekmesinde Seçenekler ve Eklentileri seçin.

6

Ek Eklentiler altında, "Özel Örnek için Sanal Bağlantı" seçeneğinin yanındaki onay kutusunu seçin. SKU adı "A-FLEX-DI-VC"dir.

7

Sanal Bağlantının gerekli olduğu bölge miktarını ve sayısını girin.


 
Sanal Connect miktarı, Özel Örnek için satın alınan toplam bölge sayısını geçmemelidir. Ayrıca her bölge için yalnızca bir Virtual Connect siparişine izin verilir.
8

Seçimlerinizden memnun kaldığınızda, sayfanın sağ üst kısmında Doğrula ve Kaydet’e tıklayın.

9

Kaydet’e tıklayın ve siparişinizi tamamlamak için Devam edin. Son siparişiniz artık sipariş kılavuzunda appers.

2. Adım: Control Hub’da Sanal Bağlantının Etkinleştirilmesi

1

https://admin.webex.com/login adresinde oturum açın.

2

Hizmetler bölümünde Çağrı > Ayrılmış Içgüdü > Bulut Bağlantısı bölümüne gidin.

3

Sanal Bağlantı kartında, satın alınan Sanal Bağlantı miktarı listelenir. Yönetici artık Sanal Bağlantı etkinleştirmesini başlatmak için Etkinleştir seçeneğine tıklayabilir.


 
Etkinleştirme işlemi yalnızca “Müşteri Tam yöneticisi” Rolüne sahip Yöneticiler tarafından tetiklenebilir. Bununla birlikte, “Müşteri salt okunur yönetici” Rolüne sahip bir yönetici yalnızca durumu görüntüleyebilir.
4

Etkinleştir düğmesine tıklandığında, yöneticinin Cisco tarafındaki eşleme yapılandırmaları için gerekli Sanal Bağlantıyı Etkinleştir teknik ayrıntılarını sağlaması için Sanal Bağlantıyı Etkinleştir formu görüntülenir.


 
Form ayrıca, seçilen Bölgeye bağlı olarak Cisco tarafında statik bilgiler de sağlar. Bu bilgiler, Müşteri yöneticilerinin Bağlantıyı kurmak üzere CPE’yi yapılandırmaları için yararlı olacaktır.
  1. GRE Tünel Taşıma IP adresi: Müşterinin, müşterinin yan Tünel Taşıma IP adreslerini sağlaması gerekir ve etkinleştirme tamamlandıktan sonra Cisco, IP adreslerini dinamik olarak tahsis edecektir. Ilginç Trafik için IPSec ACL, yerel Tünel Taşıma IP / 32'den uzak Tünel Taşıma IP / 32'ye izin vermelidir. ACL ayrıca yalnızca GRE IP protokolünü belirtmelidir.


     
    Müşteri tarafından sağlanan IP adresi özel veya halka açık olabilir.
  2. IPSec eşleri: Müşterinin, IPSec Tüneli'nin kaynak IP adreslerini sağlaması gerekir ve Cisco, IPSec hedef IP adresini tahsis eder. Gerekirse, dahili bir IPSEC tünel adresinin genel bir adrese NAT çevirisinin gerçekleştirilmesi de desteklenir.​


     

    Müşteri tarafından sağlanan IP adresi herkese açık olmalıdır.


     
    Etkinleştirme ekranında sağlanan diğer tüm statik bilgiler, Cisco’nun takip ettiği yan güvenlik ve şifreleme standartlarıdır. Bu statik yapılandırma özelleştirilebilir veya değiştirilebilir değildir. Cisco tarafında statik yapılandırmalarla ilgili daha fazla yardım için müşterinin TAC’ye ulaşması gerekir.
5

Tüm zorunlu alanlar doldurulduktan sonra Etkinleştir düğmesine tıklayın.

6

Bir partikül bölgesi için Sanal Bağlantı Etkinleştirme formu tamamlandıktan sonra, müşteri etkinleştirme formunu Control Hub, Çağrı > Ayrılmış Örnek > Bulut Bağlantısı sekmesinden dışa aktarabilir ve Dışa Aktarma ayarlarını tıklayın.


 
Güvenlik nedeniyle Kimlik Doğrulama ve BGP Parolası Dışa Aktarılan belgede kullanılamaz, ancak yönetici Control Hub, Çağrı > Ayrılmış Örnek > Bulut Bağlantısı sekmesi altındaki Ayarları Görüntüle seçeneğine tıklayarak aynısını Control Hub'da görüntüleyebilir.

3. Adım: Cisco Ağ Yapılandırması gerçekleştirir

1

Sanal Bağlantı Etkinleştirme formu tamamlandıktan sonra durum, Çağrı > Ayrılmış Örnek > Bulut Bağlantısı Sanal Bağlantı kartında Devam Eden Etkinleştirme olarak güncellenecektir.

2

Cisco, Cisco yan ekipmanlarında gerekli yapılandırmaları 5 iş günü içinde tamamlayacaktır. Başarılı bir şekilde tamamlandığında, durum Control Hub’da ilgili bölge için “Etkinleştirildi” olarak güncellenecektir.

4. Adım: Müşteri Ağ Yapılandırması gerçekleştirir

Durum, Müşteri yöneticisine IP VPN bağlantısı için yapılandırmaların Cisco tarafının Müşteri tarafından sağlanan girişlere göre tamamlandığını bildirmek için "Aktif" olarak değiştirilir. Ancak, müşteri yöneticisinin CPE'lerdeki yapılandırmaları kendi tarafını tamamlaması ve Virtual Connect tüneli için bağlantı yollarını Çevrimiçi olarak test etmesi beklenir. Yapılandırma veya bağlantı sırasında karşılaşılan herhangi bir sorun olması durumunda, müşteri yardım için Cisco TAC'ye ulaşabilir.

Sorun Giderme

IPsec Birinci Aşama (IKEv2 Anlaşması) Sorun Giderme ve Doğrulama

IPsec tünel anlaşması IKEv2 fazı ve IPsec fazı olmak üzere iki fazdan oluşur. IKEv2 aşaması anlaşması tamamlanmazsa ikinci bir IPsec aşaması başlatılmaz. Ilk olarak, IKEv2 oturumunun etkin olup olmadığını doğrulamak için üçüncü taraf ekipmanında "şifreleme ikev2 sa'yı göster" komutunu (Cisco ekipmanında) veya benzer komutu verin. IKEv2 oturumu etkin değilse olası nedenler şunlar olabilir:

  • Ilginç trafik IPsec tünelini tetiklemiyor.

  • IPsec tünel erişim listesi yanlış yapılandırılmış.

  • Müşteri ile Ayrılmış Örnek IPsec tünel uç noktası IP'si arasında bağlantı yoktur.

  • IKEv2 oturum parametreleri, Ayrılmış Örnek tarafı ile müşteri tarafı arasında eşleşmiyor.

  • Bir güvenlik duvarı, IKEv2 UDP paketlerini engelliyor.

Öncelikle, IKEv2 tünel anlaşmasının ilerlemesini gösteren herhangi bir mesaj için IPsec günlüklerini kontrol edin. Günlükler IKEv2 görüşmesindeki bir sorunun nerede olduğunu gösterebilir. Günlük mesajlarının olmaması, IKEv2 oturumunun etkinleştirilmediğini de gösterebilir.

IKEv2 anlaşmasıyla ilgili bazı yaygın hatalar şunlardır:

  • CPE tarafında IKEv2 ayarları Cisco tarafıyla eşleşmiyor, belirtilen ayarları tekrar kontrol edin:

    • IKE sürümünün sürüm 2 olduğunu kontrol edin.

    • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafında beklenen şifrelemeyle eşleştiğini doğrulayın.


       

      "GCM" şifresi kullanımda olduğunda, GCM protokolü kimlik doğrulamayı işler ve kimlik doğrulama parametresini NULL olarak ayarlar.

    • Kullanım ömrü ayarını doğrulayın.

    • Diffie Hellman modül grubunu doğrulayın.

    • Sözde Rastgele Işlev ayarlarını doğrulayın.

  • Şifreleme haritasının erişim listesi şu şekilde ayarlanmadı:

    • GRE izni (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (veya eşdeğer komut)


       

      Erişim listesi özellikle "GRE" protokolü için olmalıdır ve "IP" protokolü çalışmayacaktır.

Günlük mesajlarında IKEv2 aşaması için herhangi bir müzakere etkinliği gösterilmiyorsa paket yakalama gerekebilir.


 

Ayrılmış Örnek tarafı her zaman IKEv2 alışverişine başlamayabilir ve bazen müşteri CPE tarafının başlatıcı olmasını bekleyebilir.

IKEv2 oturumu başlatma için aşağıdaki ön koşullar için CPE tarafı yapılandırmasını kontrol edin:

  • CPE tünel taşıma IP'sinden Ayrılmış Örnek tünel taşıma IP'sine GRE trafiği (protokol 50) için bir IPsec kripto erişim listesi olup olmadığını kontrol edin.

  • Ekipman GRE keepalives desteklemiyorsa GRE tünel arayüzünün GRE keepalives varsayılan olarak Ayrılmış Örnek tarafında etkinleştirileceğinden Cisco bilgilendirilir.

  • BGP'nin, Ayrılmış Örnek tüneli IP'sinin komşu adresi ile etkinleştirildiğinden ve yapılandırıldığından emin olun.

Düzgün yapılandırıldığında, aşağıdakiler IPsec tüneli ve ilk faz IKEv2 anlaşmasına başlar:

  • GRE, CPE tarafı GRE tünel arabiriminden Ayrılmış Örnek tarafı GRE tünel arabirimine bekler.

  • CPE tarafı BGP komşusundan Ayrılmış Örnek tarafı BGP komşusuna BGP komşu TCP oturumu.

  • CPE yan tünel IP adresinden Ayrılmış Örnek yan tünel IP adresine ping atın.


     

    Ping tünel taşıma IP'si tünel taşıma IP'si olamaz, tünel IP'si için tünel IP'si olmalıdır.

IKEv2 trafiği için bir paket izlemesi gerekiyorsa, UDP için filtreyi ve 500 numaralı bağlantı noktasını (IPsec uç noktalarının ortasında NAT cihazı olmadığında) veya 4500 numaralı bağlantı noktasını (IPsec uç noktalarının ortasına bir NAT cihazı yerleştirildiğinde) ayarlayın.

Bağlantı noktası 500 veya 4500 olan IKEv2 UDP paketlerinin DI IPsec IP adresine gönderildiğini ve buradan alındığını doğrulayın.


 

Ayrılmış Örnek veri merkezi her zaman ilk IKEv2 paketini başlamayabilir. Gereksinim, CPE cihazının ilk IKEv2 paketini Ayrılmış Örnek tarafına doğru başlatabilmesidir.

Yerel güvenlik duvarı izin veriyorsa, uzak IPsec adresine ping göndermeyi de deneyin. Ping yerel IPsec adresinden uzak IPsec adresine başarılı değilse, yardım etmek için bir izleme yolu gerçekleştirin ve paketin nerede bırakıldığını belirleyin.

Bazı güvenlik duvarları ve internet donanımları izleme yoluna izin vermeyebilir.

IPsec Ikinci Aşama (IPsec Anlaşması) Sorun Giderme ve Doğrulama

IPsec ikinci aşamasında sorun gidermeden önce IPsec birinci aşamasının (yani IKEv2 güvenlik ilişkilendirmesinin) etkin olduğunu doğrulayın. IKEv2 oturumunu doğrulamak için bir "şifreleme ikev2 sa göster" veya eşdeğer komut gerçekleştirin. Çıktıda, IKEv2 oturumunun birkaç saniyeden fazla olduğunu ve sıçramadığını doğrulayın. Oturum çalışma zamanı, çıktıda oturum "Aktif Süre" veya eşdeğeri olarak gösterilir.

IKEv2 oturumu yukarı ve aktif olarak doğrulandıktan sonra, IPsec oturumunu Inceleyin. IKEv2 oturumunda olduğu gibi, IPsec oturumunu doğrulamak için bir "şifreleme ipsec sa göster" veya eşdeğer komut gerçekleştirin. GRE tüneli kurulmadan önce hem IKEv2 oturumu hem de IPsec oturumu aktif olmalıdır. IPsec oturumu etkin olarak gösterilmiyorsa, hata mesajları veya anlaşma hataları için IPsec günlüklerini kontrol edin.

IPsec görüşmeleri sırasında karşılaşılabilecek daha yaygın sorunlardan bazıları şunlardır:

CPE tarafındaki ayarlar Ayrılmış Örnek tarafıyla eşleşmiyor, ayarları tekrar kontrol edin:

  • Şifreleme ve Kimlik Doğrulama parametrelerinin Ayrılmış Örnek tarafındaki ayarlarla eşleştiğini doğrulayın.

  • Mükemmel Iletme Gizliliği ayarlarını ve Ayrılmış Örnek tarafında ayarlarla eşleştiğini doğrulayın.

  • Kullanım ömrü ayarlarını doğrulayın.

  • IPsec' in tünel modunda yapılandırıldığını doğrulayın.

  • Kaynak ve hedef IPsec adreslerini doğrulayın.

Tünel Arayüzü Sorun Giderme ve Doğrulama

IPsec ve IKEv2 oturumları yukarı ve etkin olarak doğrulandığında, GRE tüneli canlı tutma paketleri Ayrılmış Örnek ve CPE tüneli uç noktaları arasında akabilir. Tünel arayüzü durumu görünmüyorsa bazı sık karşılaşılan sorunlar şunlardır:

  • Tünel arabirimi taşıma VRF, geri döngü arayüzünün VRF'siyle eşleşmiyor (tünel arayüzünde VRF yapılandırması kullanılırsa).


     

    Tünel arayüzünde VRF yapılandırması kullanılmazsa bu kontrol yoksayılır.

  • CPE yan tünel arayüzünde keepalives etkinleştirilmedi


     

    CPE ekipmanında bekletmeler desteklenmiyorsa Ayrılmış Örnek tarafındaki varsayılan bekletmelerin de devre dışı bırakılacak şekilde Cisco'ya bildirilmesi gerekir.

    Bekletmeler destekleniyorsa, bekletmelerin etkinleştirildiğini doğrulayın.

  • Tünel arayüzündeki maske veya IP adresi doğru değil ve Ayrılmış Örnek beklenen değerlerle eşleşmiyor.

  • Kaynak veya hedef tünel taşıma adresi doğru değil ve Özel Örnek beklenen değerlerle eşleşmiyor.

  • Bir güvenlik duvarı, GRE paketlerinin IPsec tüneline gönderilmesini veya IPsec tünelinden alınmasını engelliyor (GRE tüneli IPsec tüneli üzerinden taşınır)

Bir ping testi, yerel tünel arayüzünün açık olduğunu ve bağlantının uzak tünel arabirimi için iyi olduğunu doğrulamalıdır. Tünel IP'sinden (taşıma IP'si değil) uzak tünel IP'sine ping kontrolü yapın.


 

GRE tünel trafiğini taşıyan IPsec tüneli için kripto erişim listesi, yalnızca GRE paketlerinin geçmesine izin verir. Sonuç olarak, pings tünel taşıma IP'sinden uzak tünel taşıma IP'sine çalışmaz.

Ping kontrolü, kaynak tünel taşıma IP'sinden hedef tünel taşıma IP'sine oluşturulan bir GRE paketinde sonuçlandırılırken, GRE paketinin (içindeki IP) yük kaynak ve hedef tünel IP'si olacaktır.

Ping testi başarılı olmazsa ve önceki öğeler doğrulanırsa, icmp ping'inin bir GRE paketi ile sonuçlandığından emin olmak için bir paket yakalama gerekebilir. Bu paket daha sonra bir IPsec paketine kapsüllenir ve ardından kaynak IPsec adresinden hedef IPsec adresine gönderilir. GRE tünel arayüzündeki ve IPsec oturum sayaçlarındaki sayaçlar da gösterilmeye yardımcı olabilir. Gönderme ve alma paketleri artıyorsa.

Ping trafiğine ek olarak, yakalama boşta trafik sırasında bile canlı tutma GRE paketlerini göstermelidir. Son olarak, eğer BGP yapılandırılmışsa, BGP tutma paketleri VPN üzerinden olduğu gibi IPSEC paketlerinde kapsüllenmiş GRE paketleri olarak gönderilmelidir.

BGP Sorun Giderme ve Doğrulama

BGP Oturumları

VPN IPsec tüneli üzerinden yönlendirme protokolü olarak BGP gereklidir. Yerel BGP komşusu, Ayrılmış Örnek BGP komşusuyla bir eBGP oturumu kurmalıdır. eBGP komşu IP adresleri yerel ve uzak tünel IP adresleriyle aynıdır. Önce BGP oturumunun hazır olduğundan emin olun ve ardından Ayrılmış Örnekten doğru yolların alındığını ve Ayrılmış Örneğe doğru varsayılan yolun gönderildiğini doğrulayın.

GRE tüneli çalışıyorsa yerel ve uzak GRE tüneli IP'si arasında bir ping'in başarılı olduğunu doğrulayın. Ping başarılı ama BGP oturumu gelmiyorsa, BGP kurma hataları için BGP günlüğünü araştırın.

Daha yaygın BGP müzakere sorunlarından bazıları şunlardır:

  • Uzak AS numarası, Ayrılmış Örnek tarafında yapılandırılan AS numarasıyla eşleşmiyor, komşu AS yapılandırmasını yeniden kontrol edin.

  • Yerel AS numarası, Ayrılmış Örnek tarafının beklediği ile eşleşmiyor ve yerel AS numarasının beklenen Ayrılmış Örnek parametreleriyle eşleştiğini doğrulayın.

  • Bir güvenlik duvarı, GRE paketlerinde kapsüllenmiş BGP TCP paketlerinin IPsec tüneline gönderilmesini veya IPSEC tünelinden alınmasını engelliyor

  • Uzak BGP komşu IP'si, uzak GRE tünel IP'siyle eşleşmiyor.

BGP Rota Değişimi

BGP oturumu her iki tünel için de doğrulandıktan sonra, doğru rotaların Ayrılmış Örnek tarafından gönderildiğinden ve alındığından emin olun.

Ayrılmış Örnek VPN çözümü, müşteri/iş ortağı tarafından iki tünel kurulmasını bekler. Ayrılmış Örnek veri merkezine ilk tünel noktaları A ve ikinci tünel noktaları Ayrılmış Örnek veri merkezine B'dir. Her iki tünel de aktif durumda olmalıdır ve çözüm etkin/aktif bir dağıtım gerektirir. Her Ayrılmış Örnek veri merkezi, yerel /25 rotasının yanı sıra /24 yedek rotasının tanıtımını yapar. Özel Örnekten gelen BGP rotalarını kontrol ederken, Özel Örnek veri merkezine işaret eden tünelle ilişkili BGP oturumunun Özel Örnek veri merkezini A /25 yerel yolunu ve /24 yedek yolunu aldığından emin olun. Buna ek olarak, Ayrılmış Örnek veri merkezi B'ye işaret eden tünelin, Ayrılmış Örnek veri merkezi B /25 yerel yolunu ve /24 yedek yolunu kullandığından emin olun. /24 yedek yolunun, Ayrılmış Örnek veri merkezi A ve Ayrılmış Örnek veri merkezi B dışında ilan edilen aynı yol olacağını unutmayın.

Bu veri merkezinin tünel arabirimi aşağı giderse, yedeklilik bir Ayrılmış Örnek veri merkezine sağlanır. Ayrılmış Örnek veri merkezine bağlantı kaybedilirse, trafik Ayrılmış Örnek veri merkezi B'den veri merkezi A'ya yönlendirilecektir. Bu senaryoda, veri merkezi B'ye giden tünel, veri merkezi B'ye trafik göndermek için veri merkezi B /25 yolunu kullanacak ve veri merkezi B'ye giden tünel, veri merkezi B üzerinden veri merkezi A'ya trafik göndermek için yedek /24 yolunu kullanacaktır.

Her iki tünel de aktif olduğunda veri merkezi A tüneli B veri merkezine trafik göndermek için kullanılmaz ve bunun tersi önemlidir. Bu senaryoda, trafik veri merkezi B'nin bir hedefi olan veri merkezi A'ya gönderilirse, veri merkezi A trafiği veri merkezi B'ye iletir ve daha sonra veri merkezi B tüneli aracılığıyla trafiği kaynağa geri göndermeye çalışacaktır. Bu, optimum olmayan yönlendirmeyle sonuçlanır ve güvenlik duvarlarından geçen trafiği de bozabilir. Bu nedenle her iki tünelin de normal çalışma sırasında aktif/aktif konfigürasyonda olması önemlidir.

0.0.0.0/0 güzergahının müşteri tarafından Ayrılmış Örnek veri merkezi tarafına duyurulması gerekir. Ayrılmış Örnek tarafında daha belirli yollar kabul edilmeyecektir. 0.0.0.0/0 rotasının hem Ayrılmış Örnek veri merkezi A tüneli hem de Ayrılmış Örnek veri merkezi B tüneli dışında tanıtıldığından emin olun.

MTU Yapılandırması

Ayrılmış Örnek tarafında, büyük paket boyutları için MTU'yu dinamik olarak ayarlamak üzere iki özellik etkinleştirilir. GRE tüneli, VPN oturumundan akan IP paketlerine daha fazla başlık ekler. IPsec tüneli, GRE başlıklarının üstüne ek başlıklar ekler, tünel üzerinde izin verilen en büyük MTU'yu daha da azaltacaktır.

GRE tüneli MSS özelliğini ayarlar ve MTU keşif özelliğindeki GRE tünel yolu Ayrılmış Örnek tarafında etkinleştirilir. Müşteri tarafında "ip tcp adjust-mss 1350" veya eşdeğer komutunun yanı sıra "tünel yolu\u0002mtu-discovery" veya eşdeğer komutu yapılandırarak VPN tüneli üzerinden trafiğin dinamik ayarına yardımcı olur.