Вступ

Віртуальне з 'єднання - це додаткова опція для підключення хмари до виділеного екземпляра для виклику Webex (виділений екземпляр). Virtual Connect дозволяє клієнтам безпечно розширювати свою приватну мережу через Інтернет, використовуючи тунелі IP VPN. Цей варіант підключення забезпечує швидке встановлення приватного мережевого з 'єднання за допомогою існуючого обладнання для приміщення клієнта (CPE) та підключення до Інтернету.

Cisco розміщує, керує та забезпечує резервні тунелі IP VPN та необхідний доступ до Інтернету в регіоні(-ах) виділеного центру (-ів) даних Cisco, де потрібна послуга. Подібним чином, адміністратор несе відповідальність за свої відповідні послуги CPE та Інтернету, які необхідні для створення Virtual Connect.

Кожне замовлення на віртуальне з 'єднання в певній області виділеного екземпляра включатиме два загальні тунелі інкапсуляції маршрутизації (GRE), захищені шифруванням IPSec (GRE по IPSec), по одному для кожного центру даних Cisco в обраному регіоні.

Virtual Connect має обмеження пропускної здатності 250 Мбіт/с на тунель і рекомендується для меншого розгортання. Оскільки використовуються два VPN-тунелі «точка-точка», весь трафік до хмари повинен проходити через головний CPE клієнта, і тому він може не підходити там, де є багато віддалених сайтів. Інші альтернативні варіанти пірингу див. у розділі Хмарне з 'єднання.

Перш ніж надсилати запит на піринг для Virtual Connect, переконайтеся, що служба виділеного екземпляра активована у відповідному регіоні.

Передумови

Передумови для створення Virtual Connect включають:

  • Замовник надає

    • Інтернет-з 'єднання з достатньою доступною пропускною здатністю для підтримки розгортання

    • Публічні IP-адреси для двох тунелів IPSec

    • Транспортні IP-адреси GRE на стороні клієнта для двох тунелів GRE

  • Партнер і Замовник

    • Спільна робота для оцінки вимог до пропускної здатності

    • Забезпечити підтримку мережевими пристроями маршрутизації протоколу прикордонних шлюзів (BGP) та проектування тунелю GRE через IPSec

  • Партнер або Замовник надає

    • Мережева команда, яка знає технології VPN-тунелю від місця до місця

    • Мережева команда зі знанням BGP, eBGP та загальних принципів маршрутизації

  • Cisco

    • Cisco присвоїла приватні номери автонумусних систем (ASN) і тимчасову IP-адресу для інтерфейсів тунелю GRE

    • Cisco призначила загальнодоступну, але не маршрутизовану мережу класу C (/24) для виділеної хмарної адреси екземпляра

Якщо клієнт має лише 1 пристрій CPE, то 2 тунелі до дата-центрів Cisco (DC1 і DC2) у кожному регіоні будуть з цього пристрою CPE. Клієнт також має опцію для 2 пристроїв CPE, тоді кожен пристрій CPE повинен підключатися до 1 тунелю тільки в напрямку до дата-центрів Cisco (DC1 і DC2) в кожному регіоні. Додаткове резервування може бути досягнуто шляхом закінчення кожного тунелю в окремому фізичному місці/місці в межах інфраструктури Замовника.

Технічні деталі

Модель розгортання

Virtual Connect використовує дворівневу архітектуру головного пристрою, де площини маршрутизації та управління GRE забезпечуються одним пристроєм, а площина управління IPSec - іншим.

Після завершення підключення до Virtual Connect буде створено два тунелі GRE через IPSec між корпоративною мережею Клієнта та центрами обробки даних Cisco Dedicated Instance. По одному до кожного резервного центру даних у відповідному регіоні. Додаткові елементи мережі, необхідні для пірингу, обмінюються Партнером або Клієнтом з Cisco через форму активації Control Hub Virtual Connect.

На рисунку нижче показано приклад моделі розгортання віртуального підключення для варіанта з 2 концентраторами на стороні клієнта.

Virtual Connect - VPN - це дизайн концентратора, де сайти концентратора клієнта підключаються до DC1 і DC2 центрів обробки даних Dedicated Instance у певному регіоні.

Для кращого резервування рекомендується два вузли, але також підтримується модель розгортання One Hub з двома тунелями.

Пропускна здатність на тунель обмежена 250 Мбіт/с. Для забезпечення ефективного резервного перемикання, сумарний трафік через обидва тунелі не повинен перевищувати 250 Мбіт/с, оскільки весь трафік у разі збою буде маршрутизовано через один тунель.

Віддалені сайти Клієнта в межах одного регіону повинні будуть з 'єднуватися з місцем(ами) концентратора через WAN Клієнта, і Cisco не несе відповідальності за це з' єднання.

Очікується, що партнери тісно співпрацюватимуть із Клієнтами, забезпечуючи вибір найоптимальнішого шляху для регіону обслуговування Virtual Connect.

На рисунку нижче показано регіони пірингу хмарного підключення виділених екземплярів.

Віртуальні регіони підключення

Маршрутизація

Маршрутизація для доповнення Virtual Connect здійснюється за допомогою зовнішнього BGP (eBGP) між виділеним екземпляром та обладнанням приміщення клієнта (CPE). Cisco буде рекламувати свою відповідну мережу для кожного надлишкового постійного струму в межах регіону CPE Клієнта, і CPE зобов 'язаний рекламувати маршрут за замовчуванням до Cisco.

  • Cisco підтримує та призначає

    • IP-адреса інтерфейсу тунелю (перехідний зв 'язок для маршрутизації) Cisco призначає з визначеного спільного адресного простору (непублічно маршрутизується)

    • Адреса дезінфекції тунельного транспорту (сторона Cisco)

    • Приватні автономні номери систем (ASN) для конфігурації маршрутизації BGP клієнта

      • Cisco призначає з визначеного діапазону приватного використання: 64512 - 65534

  • eBGP використовується для обміну маршрутами між виділеним екземпляром та CPE

    • Cisco розділить призначену /24 мережу на 2 /25 по одному для кожного постійного струму у відповідному регіоні

    • У Virtual Connect кожна /25 мережа рекламується Cisco CPE через відповідні тунелі VPN з точкою до точки (перехідний зв 'язок)

    • CPE повинен бути налаштований з відповідними сусідами eBGP. Якщо використовується один CPE, будуть використовуватися два сусіди eBGP, один з яких вказує на кожен віддалений тунель. Якщо використовується два CPE, то кожен CPE матиме одного сусіда eBGP, що понізує до єдиного віддаленого тунелю для CPE.

    • Сторона Cisco кожного тунелю GRE (IP інтерфейсу тунелю) налаштована як сусід BGP на CPE

    • CPE зобов 'язаний рекламувати маршрут за замовчуванням по кожному з тунелів

    • CPE відповідає за перерозподіл, за необхідності, вивчених маршрутів в межах мережі підприємства Cutomer.

  • За умови невідмовності зв 'язку, один CPE буде мати два активних/активних тунелі. Для двох вузлів CPE кожен CPE матиме один активний тунель, і обидва вузли CPE повинні бути активними та передавати трафік. За сценарієм невідмовності, трафік повинен розділятися на два тунелі, що йдуть до правильних /25 пунктів призначення, якщо один з тунелів рухається вниз, решта тунелів може нести трафік для обох. За такого сценарію відмови, коли мережа/25 вимкнена, тоді мережа/24 використовується як резервний маршрут. Cisco надсилатиме трафік клієнтів через свою внутрішню глобальну мережу до DC, який втратив зв 'язок.

Потік трафіку віртуального з'єднання

Рух транспорту, коли обидва тунелі працюють

Виділений екземпляр – віртуальне підключення

Це зображення ілюструє архітектуру мережі Virtual Connect, детально описуючи потік трафіку, коли працюють як первинний, так і вторинний тунелі.

Це являє собою модель активного підключення, яка дозволяє клієнту отримувати доступ до UC-застосунків, розміщених у центрах обробки даних Cisco, використовуючи подвійне... GRE/IPSEC тунелі через Інтернет з BGP для обміну маршрутами.

Визначення:

  • Приміщення клієнта:
    • Це відображає локальну мережу клієнта, де розташовані користувачі та їхні пристрої (наприклад, IP-телефони, комп'ютери з клієнтами UC).
    • Трафік, що надходить звідси, має досягати UC-застосунків, розміщених у центрах обробки даних Cisco.
  • Центри обробки даних виділеного екземпляра Cisco Webex Calling (виділений екземпляр) (WxC-DI DC-A та WxC-DI DC-B):
    • Це центри обробки даних Cisco, де розміщені UC-додатки.
    • DC-A та DC-B географічно відрізняються, що забезпечує резервування.
    • Кожен центр обробки даних має власну підмережу для UC-застосунків:
      • DC-A subnet:X.X.X.0/25
      • DC-B subnet:X.X.X.128/25
  • GRE/IPsec Тунелі (Тунель 1 та Тунель 2):
    • Це безпечні, зашифровані з’єднання між приміщенням клієнта та центром обробки даних Cisco через загальнодоступний Інтернет.
    • GRE (Загальна інкапсуляція маршрутизації): Цей протокол використовується для інкапсуляції різних протоколів мережевого рівня всередині віртуальних з'єднань типу "точка-точка". Це дозволяє протоколам маршрутизації, таким як BGP, працювати через тунель.
    • IPsec (безпека інтернет-протоколу): Цей набір протоколів забезпечує криптографічні послуги безпеки (автентифікація, цілісність, конфіденційність) для IP-комунікацій. Він шифрує трафік, інкапсульований GRE, забезпечуючи безпечну передачу даних через Інтернет.
  • Протокол граничного шлюзу (BGP):
    • BGP – це протокол маршрутизації, який використовується для обміну маршрутною інформацією між приміщенням клієнта та центрами обробки даних Cisco.

Як показано на діаграмі вище, пристрої, розгорнуті в приміщеннях клієнта, повинні встановити два GRE/IPSEC тунелі.

Умови іменування, що використовуються нижче, з XX / YY, DC-A DC-B є загальними для всіх регіонів, де пропонується виділений екземпляр. Ці значення будуть унікальними для кожного регіону, а фактичні значення – для кожного регіону. Конкретні значення надаються під час активації віртуального з’єднання.

З боку Cisco тунелі IPSec та GRE будуть закінчуватися на різних пристроях. Тож клієнт повинен переконатися, що налаштував IP-адреси призначення IPSec та GRE на пристроях відповідно. Клієнти можуть використовувати одну й ту саму IP-адресу для GRE та IPSEC, якщо це підтримується на їхніх пристроях. Зверніться до схеми вище. Значення, пов’язані з IP-адресою, надаються під час активації віртуального з’єднання на порталі.

  • Тунель 1: Підключає приміщення клієнта до "виділеного екземпляра DC-A" (центру обробки даних A) через Інтернет. Цей тунель використовує BGP AS:64XX1 на стороні клієнта та BGP AS:64XX2 на стороні виділеного екземпляра DC-A. Конфігурації джерел тунелів IPSEC та GRE поділяються на ті, що надаються клієнтом, та ті, що надаються Cisco.
  • Тунель 2: Підключає приміщення клієнта до "Виділеного екземпляра DC-B" (Центр обробки даних B) через Інтернет. Цей тунель використовує BGP AS:64YY1 на стороні клієнта та BGP AS:64YY2 на стороні виділеного екземпляра DC-B. Як і у випадку з тунелем 1, конфігурації джерел тунелів IPSEC та GRE спільно використовуються між клієнтом та Cisco.

У BGP AS:64XX та BGP AS:64YY, XX та YY є специфічними для певного регіону.

Як тільки GRE/IPSEC тунелі встановлюються до центрів обробки даних виділених екземплярів Webex Calling (A та B), клієнт повинен отримувати наступні маршрути, оголошені від Cisco через відповідні сеанси BGP.

  • Для DC-A: Маршрути, що рекламуються Cisco, будуть X.X.X.0/25 і X.X.x.0/24. За потреби, якщо IaaS запитується та налаштовується для маршрутів клієнта Y.Y.Y.0/25 і Y.Y.Y.0/24 буде рекламуватися компанією Cisco.
  • Для DC-B: Маршрути, що рекламуються Cisco, будуть X.X.X.128/25 і X.X.x.0/24. За потреби, якщо IaaS запитується та налаштовується для маршрутів клієнта Y.Y.Y.128/25 і Y.Y.Y.0/24 буде рекламуватися компанією Cisco.
  • Клієнту потрібно рекламувати 0.0.0./0 маршрут до Cisco через обидва з'єднання (тунелі)
  • Клієнт повинен дотримуватися найдовшого префікса (/25) маршрути для надсилання трафіку до Cisco через відповідні тунелі, коли обидва тунелі запущені.
  • Cisco повертатиме трафік через ті самі тунелі, щоб забезпечити симетрію трафіку.

Потік трафіку:

  • Трафік, призначений для "DC-A UC Apps" (X.X.X.0/25) з приміщення клієнта протікає через тунель 1.
  • Трафік, призначений для "DC-B UC Apps" (X.X.X.128/25) з приміщення клієнта протікає через тунель 2.

Сценарій перемикання на резервний рахунок : потік транспорту, коли один з тунелів не працює

Виділений екземпляр – віртуальне підключення

Як показано на діаграмі вище, коли тунель до DC-A не працює, BGP, встановлений через тунель до DC-A, також не працює.

Вплив на BGP: Коли тунель 1 вийде з ладу, сеанс BGP через цей тунель також вийде з ладу. Відповідно, DC-A більше не зможе рекламувати свої маршрути (зокрема X.X.X.0/25) до клієнта цим шляхом. Отже, маршрутизатор клієнта виявить шлях як недоступний.

Оскільки тунель 1 не працює, маршрутизатор клієнта в приміщенні клієнта автоматично видаляє маршрути, отримані через тунель 1, зі своєї таблиці маршрутизації або позначає їх як недоступні.

  • Трафік, призначений для мережі UC App Network (X.X.X.0/24) або підмережа DC-A (X.X.X.0/25) потім буде перенаправлено через робочий тунель до DC-B, який продовжує рекламувати X.X.X.0/24 що включає X.X.X.0/25 мережа.
  • Подібна поведінка спостерігатиметься, якщо тунель до DC-B не працює, тоді як тунель до DC-A все ще працює.

Процес підключення

Наступні кроки на високому рівні описують, як встановити з 'єднання з віртуальним підключенням для виділеного екземпляра.
1

Оформити замовлення в ККТ Cisco

2

Активувати віртуальне з 'єднання з центру керування

3

Cisco виконує налаштування мережі

4

Клієнт виконує налаштування мережі

Крок 1. Наказ ККТ

Virtual Connect - це доповнення для виділеного екземпляра в CCW.

1

Перейдіть на сайт замовлення CCW, а потім натисніть Увійти, щоб увійти на сайт:

https://apps.cisco.com/Commerce/guest.
2

Створіть кошторис.

3

Додайте артикул "A-FLEX-3".

4

Виберіть Edit options (Редагувати параметри).

5

На вкладці підписки, що з 'явиться, виберіть Параметри та надбудови.

6

У розділі Додаткові доповнення встановіть прапорець поруч із пунктом "Віртуальне з 'єднання для виділеного екземпляра". Назва артикулу - "A-FLEX-DI-VC".

7

Введіть кількість і кількість регіонів, у яких необхідне віртуальне з 'єднання.

Кількість віртуального з 'єднання не повинна перевищувати загальну кількість регіонів, придбаних для виділеного екземпляра. Крім того, для кожного регіону дозволено лише одне замовлення Virtual Connect.
8

Коли ви задоволені вибором, натисніть Перевірити та Зберегти у верхній правій частині сторінки.

9

Натисніть Зберегти та продовжити, щоб завершити замовлення. Ваше остаточне замовлення тепер відображається в сітці замовлень.

Крок 2: Активація віртуального з 'єднання в концентраторі керування

1

Увійдіть у Центр https://admin.webex.com/loginкерування .

2

У розділі "Послуги" перейдіть до розділу "Виклик" > "Виділений інсталяція" > "Хмарне з 'єднання".

3

На картці Virtual Connect відображається придбана кількість Virtual Connect. Тепер адміністратор може натиснути кнопку Активація, щоб ініціювати активацію віртуального з 'єднання.

Процес активації може бути запущений лише адміністраторами з роллю "Клієнт повний адміністратор". Тоді як адміністратор з роллю "Адміністратор тільки для читання клієнтом" може лише переглядати статус.
4

При натисканні кнопки Activate (Активувати) відображається форма Activate Virtual Connect (Активувати віртуальне з 'єднання), за допомогою якої адміністратор може надати технічні дані про віртуальне з' єднання, необхідні для налаштувань пірингу на стороні Cisco.

Форма також надає статичну інформацію на стороні Cisco на основі обраного Регіону. Ця інформація буде корисною для адміністраторів Клієнта, щоб налаштувати CPE на їхній стороні для встановлення підключення.

  1. IP-адреса тунельного транспорту GRE: Клієнт зобов 'язаний надати IP-адреси тунельного транспорту на стороні клієнта, і Cisco буде динамічно розподіляти IP-адреси після завершення активації. IPSec ACL для цікавого трафіку повинен дозволяти локальному транспорту тунелю IP/32 до віддаленого транспорту тунелю IP/32. ACL також повинен вказувати лише протокол GRE IP.

    IP-адреса, надана клієнтом, може бути приватною або загальнодоступною.

  2. Однорангові вузли IPSec: Клієнт зобов 'язаний надати вихідні IP-адреси тунелю IPSec, а Cisco виділяє IP-адресу призначення IPSec. Виконання NAT-трансляції внутрішньої адреси тунелю IPSEC до загальної адреси також підтримується, якщо це необхідно.

    IP-адреса, надана замовником, повинна бути загальнодоступною.

    Вся інша статична інформація, надана на екрані активації, є стандартом безпеки та шифрування сторони Cisco. Цю статичну конфігурацію не можна налаштувати або змінити. Для отримання будь-якої подальшої допомоги щодо статичних конфігурацій на стороні Cisco клієнту потрібно звернутися до TAC.
5

Натисніть кнопку «Активувати» після заповнення всіх обов 'язкових полів.

6

Після заповнення форми активації віртуального з 'єднання для певної області клієнт може експортувати форму активації з Control Hub, Calling > Dedicated Instance > Cloud Connectivity tab і натиснути Export settings (Експортувати налаштування).

З міркувань безпеки автентифікація та пароль BGP не будуть доступні в експортованому документі, але адміністратор може переглянути їх у Центрі керування, натиснувши Переглянути налаштування у Центрі керування, Виклики > Виділений екземпляр > Вкладка «Підключення до хмари».

Крок 3: Cisco виконує налаштування мережі

1

Після заповнення форми активації віртуального з 'єднання статус буде оновлено до статусу Активація виконується в меню Виклик > Виділений екземпляр > Карта віртуального з' єднання Cloud Connect.

2

Cisco завершить необхідні налаштування обладнання Cisco протягом 5 робочих днів. Після успішного завершення статус буде оновлено до "Активовано" для цього конкретного регіону в Центрі управління.

Крок 4: Клієнт виконує налаштування мережі

Статус змінюється на "Активовано", щоб повідомити адміністратора Клієнта про те, що сторона конфігурацій Cisco для з 'єднання IP VPN була завершена на основі вхідних даних, наданих Клієнтом. Але очікується, що адміністратор клієнта завершить свою сторону конфігурацій на CPE і перевірить маршрути з 'єднання для тунелю Virtual Connect, який буде онлайн. У разі виникнення будь-яких проблем під час налаштування або підключення, клієнт може звернутися за допомогою до Cisco TAC.

Виправлення неполадок

Усунення несправностей та перевірка першої фази IPsec (узгодження IKEv2)

Узгодження тунелю IPsec включає дві фази: фазу IKEv2 та фазу IPsec. Якщо узгодження фази IKEv2 не завершено, то друга фаза IPsec не ініціюється. Спочатку виконайте команду "show crypto ikev2 sa" (на обладнанні Cisco) або аналогічну команду на обладнанні стороннього виробника, щоб перевірити, чи активний сеанс IKEv2. Якщо сеанс IKEv2 неактивний, можливими причинами можуть бути:

  • Цікавий трафік не активує тунель IPsec.

  • Список доступу до тунелю IPsec налаштовано неправильно.

  • Немає з’єднання між клієнтом та кінцевою IP-адресою тунелю IPsec виділеного екземпляра.

  • Параметри сеансу IKEv2 не збігаються між виділеним екземпляром та клієнтом.

  • Брандмауер блокує UDP-пакети IKEv2.

Спочатку перевірте журнали IPsec на наявність повідомлень, які відображають перебіг узгодження тунелю IKEv2. У журналах може бути зазначено, де є проблема з узгодженням IKEv2. Відсутність повідомлень журналу також може свідчити про те, що сеанс IKEv2 не активовано.

Деякі поширені помилки під час узгодження IKEv2:

  • Налаштування IKEv2 на стороні CPE не відповідають налаштуванням на стороні Cisco, перевірте згадані налаштування ще раз:

    • Перевірте, чи версія IKE — це версія 2.

    • Перевірте, чи параметри шифрування та автентифікації відповідають очікуваному шифруванню на стороні виділеного екземпляра.

      Коли використовується шифр "GCM", протокол GCM обробляє автентифікацію та встановлює параметр автентифікації на NULL.

    • Перевірте налаштування терміну служби.

    • Перевірте групу модулів Діффі-Геллмана.

    • Перевірте налаштування псевдовипадкової функції.

  • Список доступу для криптокарти не встановлено на:

    • Дозвіл GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (або еквівалентна команда)

      Список доступу має бути спеціально для протоколу "GRE", а протокол "IP" не працюватиме.

Якщо повідомлення журналу не відображають жодної активності узгодження для фази IKEv2, можливо, знадобиться захоплення пакетів.

Виділений екземпляр не завжди може розпочати обмін IKEv2 та іноді може очікувати, що ініціатором буде сторона CPE клієнта.

Перевірте конфігурацію сторони CPE на наявність наступних передумов для ініціювання сеансу IKEv2:

  • Перевірте наявність списку криптодоступу IPsec для трафіку GRE (протокол 50) від транспортної IP-адреси тунелю CPE до транспортної IP-адреси тунелю виділеного екземпляра.

  • Переконайтеся, що інтерфейс тунелю GRE увімкнено для підтримки GRE keepalives. Якщо обладнання не підтримує GRE keepalives, Cisco отримує сповіщення, оскільки GRE keepalives буде увімкнено на стороні виділеного екземпляра за замовчуванням.

  • Переконайтеся, що BGP увімкнено та налаштовано з адресою сусіда IP-адреси тунелю виділеного екземпляра.

Після правильного налаштування наступне запускає тунель IPsec та першу фазу узгодження IKEv2:

  • Підтримка активності GRE від інтерфейсу тунелю GRE на стороні CPE до інтерфейсу тунелю GRE на стороні виділеного екземпляра.

  • TCP-сеанс BGP-сусіда від BGP-сусіда на стороні CPE до BGP-сусіда на стороні виділеного екземпляра.

  • Виконайте команду ping з IP-адреси тунелю на стороні CPE до IP-адреси тунелю на стороні виділеного екземпляра.

    Ping не може бути IP-адресою тунельного транспорту до IP-адреси тунельного транспорту, це має бути IP-адреса тунелю до IP-адреси тунелю.

Якщо для трафіку IKEv2 потрібне трасування пакетів, встановіть фільтр для UDP та порт 500 (коли посередині кінцевих точок IPsec немає пристрою NAT) або порт 4500 (коли посередині кінцевих точок IPsec вставлено пристрій NAT).

Перевірте, чи пакети IKEv2 UDP з портом 500 або 4500 надсилаються та отримуються на IP-адресу DI IPsec та з неї.

Центр обробки даних виділеного екземпляра може не завжди починати перший пакет IKEv2. Вимога полягає в тому, щоб пристрій CPE був здатний ініціювати перший пакет IKEv2 на стороні виділеного екземпляра.

Якщо локальний брандмауер дозволяє, також спробуйте виконати запит ping на віддалену IPsec-адресу. Якщо запит ping з локальної на віддалену IPsec-адресу не вдався, виконайте трасування маршруту, щоб визначити, куди втрачено пакет.

Деякі брандмауери та інтернет-обладнання можуть не дозволяти трасування маршруту.

Усунення несправностей та перевірка другої фази IPsec (узгодження IPsec)

Перш ніж виправляти несправності другої фази IPsec, переконайтеся, що перша фаза IPsec (тобто зв'язок безпеки IKEv2) активна. Виконайте команду "show crypto ikev2 sa" або еквівалентну, щоб перевірити сеанс IKEv2. У виводі перевірте, чи сеанс IKEv2 працює більше кількох секунд і чи не переривається він. Час безперебійної роботи сеансу відображається у виводі як «Активний час» сеансу або еквівалент.

Після того, як сеанс IKEv2 буде підтверджено як активний, перевірте сеанс IPsec. Як і у випадку з сеансом IKEv2, виконайте команду "show crypto ipsec sa" або еквівалентну команду для перевірки сеансу IPsec. Як сеанс IKEv2, так і сеанс IPsec мають бути активними, перш ніж буде встановлено тунель GRE. Якщо сеанс IPsec не відображається як активний, перевірте журнали IPsec на наявність повідомлень про помилки або помилок узгодження.

Деякі з найпоширеніших проблем, які можуть виникнути під час переговорів IPsec:

Налаштування на стороні CPE не відповідають налаштуванням на стороні виділеного екземпляра, перевірте налаштування ще раз:

  • Перевірте, чи параметри шифрування та автентифікації відповідають налаштуванням на стороні виділеного екземпляра.

  • Перевірте налаштування Perfect Forward Secrecy та чи відповідають вони налаштуванням на стороні виділеного екземпляра.

  • Перевірте налаштування терміну служби.

  • Перевірте, чи IPsec налаштовано в тунельному режимі.

  • Перевірте IPsec-адреси джерела та призначення.

Усунення несправностей та перевірка інтерфейсу тунелю

Коли сеанси IPsec та IKEv2 підтверджено як активні, пакети підтримки активності тунелю GRE можуть передаватися між кінцевими точками виділеного екземпляра та тунелю CPE. Якщо інтерфейс тунелю не відображає статус, деякі поширені проблеми:

  • Транспортний VRF інтерфейсу тунелю не збігається з VRF інтерфейсу зворотного зв'язку (якщо на інтерфейсі тунелю використовується конфігурація VRF).

    Якщо конфігурація VRF не використовується на тунельному інтерфейсі, цю перевірку можна проігнорувати.

  • Функції keepalive не ввімкнено на тунельному інтерфейсі на стороні CPE.

    Якщо на обладнанні CPE не підтримуються keepalive, то Cisco необхідно повідомити, щоб keepalive за замовчуванням на стороні виділеного екземпляра також було вимкнено.

    Якщо підтримуються keepalive, перевірте, чи keepalive увімкнено.

  • Маска або IP-адреса тунельного інтерфейсу неправильна та не відповідає очікуваним значенням виділеного екземпляра.

  • Транспортна адреса тунелю джерела або призначення неправильна та не відповідає очікуваним значенням виділеного екземпляра.

  • Брандмауер блокує надсилання GRE-пакетів у тунель IPsec або отримання з тунелю IPsec (тунель GRE транспортується через тунель IPsec).

Тест ping має перевірити, чи працює локальний тунельний інтерфейс, а також чи є підключення до віддаленого тунельного інтерфейсу належним. Виконайте перевірку ping з IP-адреси тунелю (не транспортної IP-адреси) до IP-адреси віддаленого тунелю.

Список криптодоступу для тунелю IPsec, який передає трафік тунелю GRE, дозволяє проходження лише пакетів GRE. В результаті, запити ping не працюватимуть від IP-адреси тунельного транспорту до IP-адреси віддаленого тунельного транспорту.

Перевірка ping призводить до створення GRE-пакета, який генерується з IP-адреси транспортного тунелю джерела до IP-адреси транспортного тунелю призначення, тоді як корисним навантаженням GRE-пакета (внутрішня IP-адреса) буде IP-адреса тунелю джерела та призначення.

Якщо тест ping не пройшов успішно, а попередні пункти перевірено, може знадобитися захоплення пакета, щоб переконатися, що результатом запиту icmp ping є GRE-пакет, який потім інкапсулюється в IPsec-пакет і надсилається з IPsec-адреси джерела на IPsec-адресу призначення. Лічильники на інтерфейсі тунелю GRE та лічильники сеансів IPsec також можуть допомогти показати, чи збільшується кількість пакетів надсилання та отримання.

Окрім трафіку ping, захоплення також має показувати GRE-пакети keepalive навіть під час простою трафіку. Зрештою, якщо BGP налаштовано, пакети BGP keepalive також слід надсилати як GRE-пакети, інкапсульовані в IPSEC-пакети, через VPN.

Усунення несправностей та перевірка BGP

BGP-сесії

BGP потрібен як протокол маршрутизації через тунель VPN IPsec. Локальний сусід BGP повинен встановити сеанс eBGP із сусідом BGP виділеного екземпляра. IP-адреси сусідів eBGP такі ж, як IP-адреси локального та віддаленого тунелів. Спочатку переконайтеся, що сеанс BGP запущено, а потім перевірте, чи від виділеного екземпляра отримуються правильні маршрути, і чи до виділеного екземпляра надсилається правильний маршрут за замовчуванням.

Якщо тунель GRE запущено, перевірте, чи успішно проведено ping між локальною та віддаленою IP-адресами тунелю GRE. Якщо ping успішний, але сеанс BGP не встановлюється, перевірте журнал BGP на наявність помилок встановлення BGP.

Деякі з найпоширеніших проблем узгодження BGP:

  • Номер віддаленої AS не збігається з номером AS, налаштованим на стороні виділеного екземпляра. Перевірте конфігурацію сусідньої AS ще раз.

  • Номер локальної AS не відповідає очікуваному номеру виділеного екземпляра. Перевірте, чи відповідає номер локальної AS очікуваним параметрам виділеного екземпляра.

  • Брандмауер блокує надсилання пакетів BGP TCP, інкапсульованих у пакети GRE, в тунель IPsec або отримання з тунелю IPSEC.

  • IP-адреса віддаленого сусіда BGP не збігається з IP-адресою віддаленого тунелю GRE.

Обмін маршрутами BGP

Після перевірки сеансу BGP для обох тунелів переконайтеся, що з боку виділеного екземпляра надсилаються та отримуються правильні маршрути.

Рішення VPN виділених екземплярів очікує встановлення двох тунелів з customer/partner сторона. Перший тунель вказує на центр обробки даних виділеного екземпляра A, а другий тунель вказує на центр обробки даних виділеного екземпляра B. Обидва тунелі мають бути в активному стані, а рішення вимагає active/active розгортання. Кожен виділений екземпляр центру обробки даних рекламуватиме свій локальний /25 маршрут, а також /24 резервний маршрут. Під час перевірки вхідних BGP-маршрутів від виділеного екземпляра переконайтеся, що сеанс BGP, пов'язаний з тунелем, що вказує на центр обробки даних виділеного екземпляра A, отримує дані з центру обробки даних виділеного екземпляра A. /25 місцевий маршрут, а також /24 резервний маршрут. Крім того, переконайтеся, що тунель, що вказує на центр обробки даних виділеного екземпляра B, отримує дані з центру обробки даних виділеного екземпляра B. /25 місцевий маршрут, а також /24 резервний маршрут. Зверніть увагу, що /24 Резервний маршрут буде тим самим маршрутом, що оголошується з центру обробки даних виділеного екземпляра A та центру обробки даних виділеного екземпляра B.

Резервування забезпечується для виділеного екземпляра центру обробки даних, якщо тунельний інтерфейс до цього центру обробки даних виходить з ладу. Якщо підключення до центру обробки даних виділеного екземпляра A втрачено, трафік буде перенаправлено з центру обробки даних виділеного екземпляра B до центру обробки даних A. У цьому сценарії тунель до центру обробки даних B використовуватиме центр обробки даних B. /25 маршрут для надсилання трафіку до центру обробки даних B, а тунель до центру обробки даних B використовуватиме резервну копію /24 маршрут для надсилання трафіку до центру обробки даних A через центр обробки даних B.

Важливо, щоб, коли обидва тунелі активні, тунель центру обробки даних A не використовувався для надсилання трафіку до центру обробки даних B і навпаки. У цьому сценарії, якщо трафік надсилається до центру обробки даних A з пунктом призначення – центром обробки даних B, центр обробки даних A перенаправить трафік до центру обробки даних B, а потім центр обробки даних B спробує надіслати трафік назад до джерела через тунель центру обробки даних B. Це призведе до неоптимальної маршрутизації, а також може порушити роботу брандмауерів, що проходять через трафік. Тому важливо, щоб обидва тунелі знаходилися active/active конфігурацію під час нормальної роботи.

The 0.0.0.0/0 Маршрут має бути оголошений з боку клієнта до сторони центру обробки даних виділеного екземпляра. Більш конкретні маршрути не будуть прийняті стороною виділеного екземпляра. Переконайтеся, що 0.0.0.0/0 Маршрут оголошується як з тунелю центру обробки даних A виділеного екземпляра, так і з тунелю центру обробки даних B виділеного екземпляра.

Конфігурація MTU

На стороні виділеного екземпляра ввімкнено дві функції для динамічного налаштування MTU для великих розмірів пакетів. Тунель GRE додає більше заголовків до IP-пакетів, що проходять через сеанс VPN. Тунель IPsec додає додаткові заголовки поверх заголовків GRE, що ще більше зменшить найбільший MTU, дозволений у тунелі.

Тунель GRE налаштовує функцію MSS, а шлях тунелю GRE у функції виявлення MTU увімкнено на стороні виділеного екземпляра. Налаштуйте команду "ip tcp adjust-mss 1350" або еквівалентну, а також "tunnel path\u0002mtu-discovery" або еквівалентну команду на стороні клієнта, щоб допомогти з динамічним налаштуванням MTU трафіку через VPN-тунель.