Въведение

Виртуалното свързване е допълнителна опция за добавка за свързване в облак към специален екземпляр за повикване на Webex (посветен екземпляр). Virtual Connect позволява на клиентите да разширят сигурно своята частна мрежа през интернет, използвайки IP VPN тунели от точка до точка. Тази опция за свързване осигурява бързо установяване на частна мрежова връзка чрез използване на съществуващото клиентско оборудване (CPE) и интернет свързаност.

Cisco хоства, управлява и осигурява излишни IP VPN тунели и необходимия достъп до Интернет в регион(ите) на центъра за данни на Cisco Dedicated Instance, където се изисква услугата. По същия начин, администраторът е отговорен за съответните им CPE и интернет услуги, които са необходими за установяване на Virtual Connect.

Всяка поръчка за виртуално свързване в конкретен регион на Специализиран инстанция ще включва два тунела за капсулиране на обща маршрутизация (GRE), защитени с IPSec криптиране (GRE над IPSec), по един към всеки център за данни на Cisco в избрания регион.

Virtual Connect има ограничение на честотната лента от 250 Mbps на тунел и се препоръчва за по-малки разгръщания. Тъй като се използват два VPN тунела от точка до точка, целият трафик към облака трябва да минава през CPE на клиентската глава и следователно може да не е подходящ, където има много отдалечени сайтове. За други алтернативни опции за peering вижте Свързване в облак.

Предварителни изисквания

Предпоставките за установяване на Virtual Connect включват:

  • Клиентът предоставя

    • Интернет връзка с достатъчно налична честотна лента, за да поддържа внедряването

    • Публичен IP адрес(и) за два IPSec тунела

    • GRE транспортни IP адреси от страна на клиента за двата GRE тунела

  • Партньор и Клиент

    • Работете заедно, за да оцените изискванията за честотна лента

    • Уверете се, че мрежовото(ите) устройство(а) поддържат маршрутизиране на Border Gateway Protocol (BGP) и GRE over IPSec тунелен дизайн

  • Партньорът или Клиентът предоставя

    • Мрежов екип с познания за VPN тунелни технологии от място до място

    • Мрежов екип с познания по BGP, eBGP и общи принципи за маршрутизиране

  • Cisco

    • Присвоени на Cisco частни автономни системни номера (ASN) и преходно IP адресиране за GRE тунелни интерфейси

    • Присвоена на Cisco публична, но не и интернет маршрутизирана мрежа от клас C (/24) за адресиране в облак за Специализирани инстанции

Ако клиентът има само 1 CPE устройство, тогава 2-та тунела към центровете за данни на Cisco (DC1 и DC2) във всеки регион ще бъдат от това CPE устройство. Клиентът също има опция за 2 CPE устройства, след което всяко CPE устройство трябва да се свърже към 1 тунел само към центровете за данни на Cisco (DC1 и DC2) във всеки регион. Допълнително резервиране може да се постигне чрез прекратяване на всеки тунел в отделен физически обект/местоположение в инфраструктурата на Клиента.

Технически данни

Модел на разполагане

Virtual Connect използва двустепенна архитектура на главата, където равнините на маршрутизиране и GRE се осигуряват от едно устройство, а IPSec контролната равнина се осигурява от друго.

След завършване на свързването „Виртуално свързване“ ще бъдат създадени два тунела GRE през IPSec между корпоративната мрежа на Клиента и центровете за данни на Cisco за специален екземпляр. По един към всеки излишен център за данни в рамките на съответния регион. Както е отбелязано в предпоставките, ще се изисква мрежа /24 от партньора или клиента, за да се използва при конфигурирането на виртуалната връзка. Допълнителните мрежови елементи, необходими за пиринга, се обменят от Партньорът или Клиентът към Cisco чрез формуляра за активиране на Control Hub Virtual Connect.

Фигура 1 показва пример за модела за внедряване на Virtual Connect за опцията с 2 концентратора от страна на клиента.

Виртуално свързване – VPN е дизайн на хъб, при който хъб сайтовете на клиента са свързани към DC1 и DC2 на центровете за данни на Специализиран екземпляр в рамките на определен регион.

Два сайта на Hub се препоръчват за по-добро дублиране, но един сайт Hub с два тунела също е поддържан модел за внедряване.

Пропускателната способност на тунел е ограничена до 250 Mbps.

Отдалечените сайтове на Клиента в рамките на същия регион ще трябва да се свържат обратно към сайта(ите) на центъра през WAN на Клиента и Cisco не носи отговорност за тази свързаност.

Очаква се партньорите да работят в тясно сътрудничество с клиентите, като гарантират, че е избран най-оптималният път за региона на обслужване „Virtual Connect“.

Фигура 2 показва пиринговите региони за свързаност в облак за специален екземпляр.

Маршрутизиране

Добавката за маршрутизиране за Virtual Connect се реализира с помощта на външен BGP (eBGP) между специален екземпляр и оборудването на клиента (CPE). Cisco ще рекламира своята съответна мрежа за всеки излишен DC в рамките на региона на CPE на Клиента и CPE се изисква да рекламира маршрут по подразбиране до Cisco.

  • Cisco поддържа и възлага

    • IP адресиране на тунелен интерфейс (преходна връзка за маршрутизиране) Cisco присвоява от определено споделено адресно пространство (непублично маршрутизирано)

    • Тунелен транспортен адрес на местоназначение (от страната на Cisco)

    • Частни автономни системни номера (ASN) за конфигурация на клиентска BGP маршрутизация

      • Cisco присвоява от определения обхват за частна употреба: 64512 до 65534

  • eBGP се използва за обмен на маршрути между Специализиран инстанция и CPE

    • Cisco ще раздели назначената /24 мрежа на 2/25 за всеки DC в съответния регион

    • Във Virtual Connect всяка /25 мрежа се рекламира обратно към CPE от Cisco през съответните VPN тунели от точка до точка (преходна връзка)

    • CPE трябва да бъде конфигуриран със съответните съседи на eBGP. Ако се използва един CPE, ще се използват два съседни eBGP, единият сочещ към всеки отдалечен тунел. Ако използвате два CPE, тогава всеки CPE ще има един съсед eBGP, насочващ към единичния отдалечен тунел за CPE.

    • Cisco страната на всеки GRE тунел (IP интерфейс на тунела) е конфигурирана като BGP съсед на CPE

    • CPE се изисква за рекламиране на маршрут по подразбиране над всеки от тунелите

    • CPE е отговорен за преразпределянето, ако е необходимо, на научените маршрути в рамките на корпоративната мрежа на клиента.

  • При условие за отказ на връзката без повреда, един CPE ще има два активни/активни тунела. За два CPE възела, всеки CPE ще има един активен тунел и двата CPE възела трябва да са активни и преминаващи трафик. При сценарий без повреда трафикът трябва да се раздели на два тунела, които отиват до правилните /25 дестинации, ако един от тунелите падне, оставащият тунел може да пренася трафика и за двата. При такъв сценарий на неуспех, когато мрежата /25 не работи, тогава мрежата /24 се използва като резервен маршрут. Cisco ще изпраща клиентски трафик през своя вътрешен WAN към DC, който загуби връзка.

Процес на свързване

Следните стъпки от високо ниво описват как да установите свързаност с виртуално свързване за специален екземпляр.

1

Направете поръчка в Cisco CCW
2

Активирайте Virtual Connect от Control Hub
3

Cisco извършва мрежова конфигурация
4

Клиентът извършва мрежова конфигурация

Стъпка 1: CCW Заповед

Virtual Connect е добавка за специален екземпляр в CCW.

1

Отидете до сайта за поръчки CCW и след това щракнете върху Вход, за да влезете в сайта:

https://apps.cisco.com/Commerce/guest.
2

Създаване на оценка.
3

Добавете SKU "A-FLEX-3".
4

Изберете Опции за редактиране.
5

В раздела за абонамент, който се показва, Изберете Опции и Добавки.
6

Под Допълнителни добавки поставете отметка в квадратчето до „Virtual Connect for Dedicated Instance“. Името на SKU е "A-FLEX-DI-VC".
7

Въведете количеството и броя на регионите, в които се изисква Virtual Connect.


 
Количеството Virtual Connect не трябва да надвишава общия брой региони, закупени за Специализиран екземпляр. Освен това за регион е позволена само една поръчка за Virtual Connect.
8

Когато сте доволни от избора си, щракнете върху Потвърди и Запази в горната дясна част на страницата.
9

Щракнете върху Запазване и Продължи, за да финализирате поръчката си. Вашата финализирана поръчка вече се показва в мрежата за поръчки.

Стъпка 2: Активиране на Virtual Connect в Control Hub

1

Влезте в Control Hub https://admin.webex.com/login.
2

В секцията Услуги отворете Обаждания > Специализиран екземпляр > Свързване в облак.
3

В картата Virtual Connect е посочено закупеното количество Virtual Connect. Администраторът вече може да щракне върху Активиране, за да започне активирането на Virtual Connect.


 
Процесът на активиране може да бъде задействан само от администратори с роля „Пълен администратор на клиента“. Докато администратор с роля „Администратор само за четене на клиента“ може да вижда само състоянието.
4

При щракване върху бутона Активиране се показва формулярът Активиране на виртуално свързване за администратора, за да предостави технически подробности за Virtual Connect, необходими за конфигурациите за пиринг от страната на Cisco.


 
Формулярът също така предоставя статична информация от страна на Cisco въз основа на избрания регион. Тази информация ще бъде полезна за администраторите на клиентите, за да конфигурират CPE от тяхна страна, за да установят свързаността.

  1. GRE тунелен транспортен IP адрес: От клиента се изисква да предостави IP адреси за тунелен транспорт от страна на клиента и Cisco ще разпредели динамично IP адресите, след като активирането приключи. IPSec ACL за интересен трафик трябва да позволява локален тунелен транспорт IP/32 към отдалечен тунелен транспортен IP/32. ACL трябва също да посочи само IP протокола GRE.


     
    IP адресът, предоставен от клиента, може да бъде частен или публичен.

  2. IPSec партньори: От клиента се изисква да предостави IP адресите на източника на IPSec тунела и Cisco разпределя IP адреса на IPSec на местоназначението. Извършването на NAT транслация на вътрешен IPSEC тунелен адрес към публичен адрес също се поддържа, ако е необходимо.


     

    IP адресът, предоставен от клиента, трябва да е публичен.

     
    Цялата друга статична информация, предоставена на екрана за активиране, е страничната сигурност и стандартите за криптиране на Cisco, които се следват. Тази статична конфигурация не може да се персонализира или модифицира. За всякаква допълнителна помощ по отношение на статичните конфигурации от страна на Cisco, клиентът ще трябва да се свърже с TAC.
5

Кликнете върху бутона Активиране, след като всички задължителни полета са попълнени.
6

След като формулярът за активиране на виртуално свързване е попълнен за конкретен регион, клиентът може да експортира формуляра за активиране от Control Hub, Calling > Dedicated Instance > Cloud Connectivity и щракнете върху Export settings.


 
Поради съображения за сигурност удостоверяването и BGP паролата няма да са налични в експортирания документ, но администраторът може да ги види в Control Hub, като щракне върху Преглед на настройките под Control Hub, Calling > Dedicated Instance > Cloud Connection раздел.

Стъпка 3: Cisco извършва мрежова конфигурация

1

След като формулярът за активиране на виртуално свързване бъде попълнен, състоянието ще бъде актуализирано на Активацията в ход в Обаждане > Специализиран екземпляр > карта за виртуална връзка с облак.
2

Cisco ще завърши необходимите конфигурации на страничното оборудване на Cisco в рамките на 4 работни дни. При успешно завършване състоянието ще бъде актуализирано на „Активирано“ за този конкретен регион в Control Hub.

Стъпка 4: Клиентът извършва мрежова конфигурация

Състоянието се променя на „Активирано“, за да уведоми администратора на Клиента, че конфигурацията на Cisco за IP VPN свързаността е завършена въз основа на въведените данни, предоставени от Клиента. Но се очаква администраторът на клиента да завърши своята част от конфигурациите на CPE и да тества маршрутите за свързване, за да може тунелът Virtual Connect да бъде онлайн. В случай на някакви проблеми по време на конфигуриране или свързване, клиентът може да се обърне към Cisco TAC за съдействие.