Úvod

Virtual Connect je další doplňkovou možností pro cloudové připojení k dedikované instanci pro volání Webex (dedikovaná instance). Virtuální připojení umožňuje zákazníkům bezpečně rozšířit svou privátní síť přes internet pomocí IP VPN tunelů. Tato možnost připojení umožňuje rychlé navázání připojení k soukromé síti pomocí stávajícího zákaznického zařízení (CPE) a připojení k internetu.

Společnost Cisco hostí, spravuje a zajišťuje redundantní IP VPN tunely a požadovaný přístup k internetu v oblasti datového centra (regionech) vyhrazené instance společnosti Cisco, kde je služba vyžadována. Podobně je Správce odpovědný za své odpovídající cpe a internetové služby, které jsou vyžadovány pro zřízení Virtual Connect.

Každá objednávka Virtual Connect v určité oblasti vyhrazené instance by zahrnovala dva obecné tunely zapouzdření směrování (GRE) chráněné šifrováním IPSec (GRE přes IPSec), jeden do každého datového centra společnosti Cisco ve vybrané oblasti.

Virtual Connect má limit šířky pásma 250 Mbps na tunel a je doporučen pro menší nasazení. Vzhledem k tomu, dva body-to-point VPN tunely jsou používány všechny provoz do cloudu musí jít přes zákaznické headend cpe, a proto to nemusí být vhodné, pokud existuje mnoho vzdálených míst. Další alternativní možnosti peeringu naleznete v části Cloud Connectivity.

Požadavky

Předpoklady pro vytvoření Virtual Connect zahrnují:

  • Zákazník poskytuje

    • Internetové připojení s dostatečnou dostupnou šířkou pásma pro podporu nasazení

    • Veřejná IP adresa(adresy) pro dva tunely IPSec

    • IP adresy pro přepravu GRE na straně zákazníka pro dva tunely GRE

  • Partner a zákazník

    • Spolupracujte na vyhodnocení požadavků na šířku pásma

    • Zajistěte, aby síťová zařízení podporovala směrování protokolu Border Gateway Protocol (BGP) a návrh tunelu GRE přes IPSec

  • Partner nebo Zákazník poskytuje

    • Síťový tým se znalostmi technologií tunelů VPN mezi lokalitami

    • Síťový tým se znalostmi BGP, eBGP a obecnými zásadami směrování

  • Cisco

    • Cisco přidělilo soukromým autonomálním systémovým číslům (ASN) a přechodné IP adresování pro GRE tunelová rozhraní

    • Síť Cisco přidělila veřejnou, ale ne internetovou routerovatelnou síť třídy C (/24) pro dedikovanou instanční cloudovou adresaci

Pokud má zákazník pouze 1 CPE zařízení, pak 2 tunely směrem k datovým centrům společnosti Cisco (DC1 a DC2) v každém regionu budou z tohoto CPE zařízení. Zákazník má také možnost pro 2 CPE zařízení, pak by se každé CPE zařízení mělo připojit k 1 tunelu pouze směrem k datovým centrům Cisco (DC1 a DC2) v každém regionu. Dodatečné redundance lze dosáhnout ukončením každého tunelu na samostatném fyzickém místě/místě v rámci infrastruktury zákazníka.

Technické údaje

Model nasazení

Virtual Connect používá dvouúrovňovou architekturu headendu, kde jsou řídící roviny routing a GRE zajišťovány jedním zařízením a řídící rovina IPSec je zajišťována jiným.

Po dokončení připojení „Virtual Connect“ budou vytvořeny dva tunely GRE přes IPSec mezi podnikovou sítí Zákazníka a datovými centry Dedikované instance Cisco. Jedno pro každé nadbytečné datové centrum v příslušném regionu. Jak je uvedeno v předpokladech, bude od partnera nebo zákazníka vyžadována síť/24, která bude použita při konfiguraci virtuálního připojení. Další síťové prvky potřebné pro peering vyměňuje Partner nebo Zákazník společnosti Cisco prostřednictvím aktivačního formuláře Control Hub Virtual Connect.

Obrázek 1 ukazuje příklad modelu nasazení Virtual Connect pro možnost 2koncentrátoru na straně zákazníka.

Virtuální připojení - VPN je návrh rozbočovače, kde jsou rozbočovače zákazníka připojeny k DC1 a DC2 datových center vyhrazených instancí v konkrétním regionu.

Pro lepší redundanci se doporučují dvě pracoviště Hubu, ale podporován je také web One Hub se dvěma tunely.

Šířka pásma na tunel je omezena na 250 Mbps.

Vzdálená pracoviště zákazníka ve stejném regionu by se musela připojit zpět na pracoviště HUBu přes Wan zákazníka a není odpovědností společnosti Cisco za tuto konektivitu.

Očekává se, že partneři budou úzce spolupracovat se zákazníky a zajistí, že pro oblast služeb „Virtual Connect“ bude zvolena nejoptimálnější cesta.

Obrázek 2 znázorňuje peeringové oblasti cloudového připojení dedikovaných instancí.

Směrování

Routing pro doplněk Virtual Connect je implementován pomocí externího BGP (eBGP) mezi dedikovanou instancí a zákaznickým vybavením (CPE). Společnost Cisco bude inzerovat svou příslušnou síť pro každý nadbytečný DC v rámci regionu na CPE zákazníka a CPE je povinna inzerovat výchozí trasu do společnosti Cisco.

  • Společnost Cisco udržuje a přiděluje

    • Adresa IP rozhraní tunelu (přechodný odkaz pro směrování) Cisco přiřadí z určeného sdíleného adresního prostoru (neveřejně směrovatelný)

    • Adresa pro určení přepravy tunelem (strana Cisco)

    • Soukromá autonomní čísla systémů (ASN) pro konfiguraci směrování BGP zákazníka

      • Společnost Cisco přiřazuje z určeného rozsahu soukromého použití: 64512 až 65534

  • eBGP používané k výměně tras mezi vyhrazenou instancí a CPE

    • Cisco rozdělí přidělenou síť/24 na 2 /25 jednu pro každý stejnosměrný proud v příslušném regionu

    • Ve Virtual Connect je každá síť/25 inzerována zpět do CPE společností Cisco přes příslušné tunely VPN z bodu do bodu (přechodný odkaz)

    • CPE musí být nakonfigurováno s příslušnými sousedy eBGP. Pokud používáte jednu cpe, budou použity dva sousedé eBGP, jeden směřující do každého vzdáleného tunelu. Pokud použijete dva cpe, pak každý cpe bude mít jednoho souseda eBGP, který ponikne do jediného vzdáleného tunelu pro cpe.

    • Strana Cisco každého tunelu GRE (rozhraní tunelu IP) je nakonfigurována jako soused BGP na CPE

    • CPE je povinna inzerovat výchozí trasu přes každý z tunelů

    • CPE je podle potřeby odpovědná za přerozdělení naučených tras v rámci podnikové sítě cutomeru.

  • V případě poruchy spojení bez poruchy bude mít jeden CPE dva aktivní/aktivní tunely. Pro dva cpe uzly bude mít každý cpe jeden aktivní tunel a oba cpe uzly by měly být aktivní a měly by procházet provozem. Podle scénáře bez poruchy musí být provoz rozdělen na dva tunely směřující do správných /25 destinací, pokud jeden z tunelů spadne, zbývající tunel může nést provoz pro oba. Při takovém scénáři selhání, když je síť/25 mimo provoz, je síť/24 použita jako záložní trasa. Cisco pošle zákaznický provoz prostřednictvím své interní sítě Wan směrem k DC, který ztratil konektivitu.

Proces připojení

Následující kroky na vysoké úrovni popisují, jak navázat spojení s virtuálním připojením pro vyhrazenou instanci.

1

Objednat v Cisco CCW
2

Aktivace virtuálního připojení z ovládacího centra
3

Cisco provádí konfiguraci sítě
4

Zákazník provádí konfiguraci sítě

Krok 1: Pořadí CCW

Virtual Connect je doplněk pro dedikovanou instanci v CCW.

1

Přejděte na stránku CCW objednávání a poté klikněte na tlačítko Přihlásit pro přihlášení na stránky:

https://apps.cisco.com/Commerce/guest.
2

Vytvořit odhad.
3

Přidat "A-FLEX-3" SKU.
4

Vyberte možnost Upravit.
5

Na zobrazené kartě předplatného vyberte Možnosti a doplňky.
6

V části Další doplňky zaškrtněte políčko vedle položky Virtuální připojení pro vyhrazenou instanci. Název SKU je "A-FLEX-DI-VC".
7

Zadejte množství a počet oblastí, ve kterých je vyžadováno Virtual Connect.


 
Množství virtuálního připojení by nemělo překročit celkový počet oblastí zakoupených pro vyhrazený případ. V každém regionu je také povolena pouze jedna objednávka virtuálního připojení.
8

Až budete se svými výběry spokojeni, klikněte na tlačítko Ověřit a uložit v pravé horní části stránky.
9

Kliknutím na tlačítko Uložit a pokračovat dokončete objednávku. Dokončená objednávka se nyní zobrazuje v mřížce objednávek.

Krok 2: Aktivace Virtual Connect v Control Hubu

1

Přihlaste se do ovládacího centrahttps://admin.webex.com/login.
2

V části Služby přejděte na Volání > Vyhrazené Instacnce > Cloudové připojení.
3

Na kartě Virtual Connect je uvedeno zakoupené množství Virtual Connect. Správce nyní může kliknout na Aktivovat a spustit aktivaci virtuálního připojení.


 
Aktivační proces mohou spustit pouze administrátoři s rolí „Customer Full admin“. Zatímco administrátor s rolí „pouze pro čtení zákazníků“ může zobrazit pouze stav.
4

Po kliknutí na tlačítko Activate (Aktivovat) se zobrazí formulář Activate Virtual Connect (Aktivovat virtuální připojení), aby administrátor mohl poskytnout technické detaily virtuálního připojení požadované pro konfigurace peeringu na straně Cisco.


 
Formulář také poskytuje statické informace na straně společnosti Cisco na základě zvoleného regionu. Tyto informace budou užitečné pro administrátory zákazníků při konfiguraci CPE na jejich straně pro vytvoření konektivity.

  1. IP adresa GRE Tunnel Transport: Zákazník je povinen poskytnout IP adresy na straně zákazníka Tunel Transport a po dokončení aktivace společnost Cisco IP adresy dynamicky přidělí. IPSec ACL pro zajímavý provoz by měl umožnit místní tunelové dopravě IP/32 vzdálenou tunelovou dopravu IP/32. ACL by měl také specifikovat pouze protokol GRE IP.


     
    IP adresa poskytnutá zákazníkem může být soukromá nebo veřejná.

  2. IPSec peers: Zákazník je povinen uvést zdrojové IP adresy tunelu IPSec a společnost Cisco přidělí cílovou IP adresu IPSec. V případě potřeby je podporován také překlad interní IPSEC tunelové adresy na veřejnou adresu.


     

    IP adresa poskytnutá zákazníkem by měla být veřejná.

     
    Všechny ostatní statické informace uvedené na aktivační obrazovce jsou následovány bezpečnostními a šifrovacími standardy Cisco. Tato statická konfigurace není přizpůsobitelná nebo upravitelná. V případě jakékoli další pomoci týkající se statických konfigurací na straně společnosti Cisco by zákazník musel kontaktovat TAC.
5

Po vyplnění všech povinných polí klikněte na tlačítko Aktivovat.
6

Po vyplnění formuláře pro aktivaci virtuálního připojení pro částicovou oblast může zákazník exportovat aktivační formulář z Control Hubu, Calling > Dedicated Instance > Cloud Connectivity a kliknout na Export settings.


 
Z bezpečnostních důvodů nebude heslo Authentication a BGP v exportovaném dokumentu k dispozici, ale administrátor je může zobrazit v ovládacím centru kliknutím na kartu Zobrazit nastavení v ovládacím centru, Volání > Vyhrazená instance > Cloudové připojení.

Krok 3: Cisco provádí konfiguraci sítě

1

Po vyplnění formuláře Aktivace virtuálního připojení bude stav aktualizován na Aktivace probíhá v položce Volání > Vyhrazená instance > Karta Virtuální připojení ke cloudové konektivitě.
2

Společnost Cisco dokončí požadované konfigurace zařízení na straně společnosti Cisco do 4 pracovních dnů. Po úspěšném dokončení bude stav aktualizován na „Aktivováno“ pro daný region v Control Hubu.

Krok 4: Zákazník provádí konfiguraci sítě

Stav se změní na „Aktivováno“, aby byl Správce zákazníka informován, že na základě vstupů poskytnutých Zákazníkem byla dokončena strana konfigurace Cisco pro připojení IP VPN. Očekává se však, že administrátor zákazníka dokončí svou stranu konfigurací na CPE a otestuje trasy konektivity, aby tunel Virtual Connect mohl být online. V případě jakýchkoli problémů v době konfigurace nebo připojení může zákazník požádat o pomoc společnost Cisco TAC.