Einführung

Virtual Connect ist eine zusätzliche Add-on-Option für Cloud-Konnektivität zu dedizierter Instanz Webex Calling (dedizierte Instanz). Mit Virtual Connect können Kunden ihr privates Netzwerk mithilfe von Point-to-Point-IP-VPN-Tunneln sicher über das Internet ausdehnen. Diese Verbindungsoption ermöglicht eine schnelle Einrichtung der Verbindung zum privaten Netzwerk unter Verwendung der vorhandenen Customer Premise Equipment (CPE) und der Internetverbindung.

Cisco hostet, verwaltet und stellt redundante IP-VPN-Tunnel und den erforderlichen Internetzugriff im/den dedizierten Instanz-Rechenzentrum(en) von Cisco sicher, wo der Dienst benötigt wird. In ähnlicher Weise ist der Administrator für die entsprechenden CPE- und Internet-Dienste verantwortlich, die für die Virtual Connect-Erstellung erforderlich sind.

Jede Virtuelle Connect-Bestellung in einer bestimmten Dedicated Instance-Region umfasst zwei generische Routing-Encapsulationstunnel (SEKTE),die durch IPSec-Verschlüsselung (SEKTE über IPSec) geschützt sind; jeweils einen Tunnel zu den Cisco-Rechenzentren in der ausgewählten Region.

Virtual Connect hat ein Bandbreitenlimit von 250 MBit/s pro Tunnel und wird für kleinere Bereitstellungen empfohlen. Da zwei Point-to-Point-VPN-Tunnels für den sämtlichen Datenverkehr zur Cloud verwendet werden, muss dieser den CPE der Kunden durchgehen. Daher ist es eventuell nicht geeignet, wenn sich viele Remote-Sites befinden. Weitere Optionen für alternative Peering finden Sie unter Cloudkonnektivität.

Voraussetzungen

Voraussetzungen für die Einrichtung von Virtual Connect sind:

  • Der Kunde stellt Ihnen

    • Internetverbindung mit genügend verfügbarer Bandbreite zur Unterstützung der Bereitstellung

    • Öffentliche IP-Adresse(n) für zwei IPSec-Tunnel

    • Kundenseitige TRANSPORT-IP-Adressen für die beiden ANDERE-TUNNEL

  • Partner und Kunde

    • Arbeiten Sie zusammen, um die Bandbreitenanforderungen zu bewerten.

    • Stellen Sie sicher, dass Netzwerkgeräte die Unterstützung Border Gateway Protocol (BGP)-Routing und ein MUSS über IPSec-Tunneldesign unterstützen

  • Partner oder Kunde stellt

    • Netzwerkteam mit Kenntnissen von STANDORT-zu-Standort-VPN-Tunneltechnologien

    • Netzwerkteam mit Kenntnissen von BGP, eBGP und allgemeinen Routing-Prinzipien

  • Cisco

    • Cisco hat private autonoumous Systemnummern (ASNs) und eine vorübergehende IP-Adresse für DIE COOKIES-Tunnelschnittstellen zugewiesen.

    • Cisco weist ein öffentliches, aber nicht routingfähiges Internet-Klassennetzwerk (/24) für die Cloud-Adressierung für dedizierte Instanz zu

Wenn ein Kunde nur über ein CPE-Gerät verfügt, dann werden die 2 Tunnel zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region von diesem CPE-Gerät kommen. Der Kunde hat auch die Möglichkeit, 2 CPE-Geräte zu verwenden. Danach sollte jedes CPE-Gerät sich mit einem Tunnel nur zu den Datenzentren von Cisco (DC1 und DC2) in jeder Region verbinden. Zusätzliche Redundanz kann erreicht werden, indem jeder Tunnel an einem separaten physischen Standort/Standort innerhalb der Infrastruktur des Kunden beendet wird.

Technische Angaben

Bereitstellungsmodell

Virtual Connect verwendet eine Dual-Tier-Kopfend-Architektur, bei der die Routing- und VIRTUELL-Steuerungsebenen von einem Gerät bereitgestellt werden und die IPSec-Steuerungsebene von einem anderen Gerät bereitgestellt wird.

Nach Abschluss der 'Virtual Connect'-Konnektivität werden zweiSEC-Tunnel über IPSec zwischen dem Unternehmensnetzwerk des Kunden und den Cisco-Datenzentren für dedizierte Instanz erstellt. Eins zu jedem redundanten Rechenzentrum innerhalb der jeweiligen Region. Wie unter den Voraussetzungen angegeben, ist für die Konfiguration des virtuellen Connect ein /24-Netzwerk vom Partner oder Kunden erforderlich. Zusätzliche für das Peering erforderliche Netzwerkelemente werden vom Partner oder Kunden über das Aktivierungsformular für den virtuellen Control Hub Connect an Cisco ausgetauscht.

In Abbildung 1 ist ein Beispiel für das Virtual Connect-Bereitstellungsmodell für die Option 2-Geber auf Kundenseite dargestellt.

Virtual Connect – VPN ist ein Hub-Design, bei dem die Hub-Sites des Kunden mit dc1 und DC2 der Datenzentren der dedizierten Instanz innerhalb einer bestimmten Region verbunden sind.

Für eine bessere Redundanz werden zwei Hub-Sites empfohlen. Ein Hub-Standort mit zwei Tunnels wird jedoch ebenfalls als Bereitstellungsmodell unterstützt.

Die Bandbreite pro Tunnel ist auf 250 MBit/s begrenzt.

Die entfernten Sites des Kunden innerhalb derselben Region müssten über das WAN des Kunden zurück zur Hub-Site(s) verbunden werden, und die Verantwortung für diese Verbindung liegt nicht in Der Verantwortung von Cisco.

Von partnern wird erwartet, dass sie eng mit den Kunden zusammenarbeiten und sicherstellen, dass der optimale Pfad für die "Virtual Connect"-Serviceregion gewählt wird.

Abbildung 2 zeigt die Peering-Regionen für dedizierte Cloudkonnektivität.

Routing

Das Routing für das Virtual Connect-Add-on wird mithilfe einer externen BGP (eBGP) zwischen dedizierter Instanz und dem Customer Premise Equipment (CPE) implementiert. Cisco wird das entsprechende Netzwerk für jeden redundanten DC innerhalb einer Region für den CPE des Kunden ankämten, und der CPE ist erforderlich, um eine Standard-Route an Cisco zu angekündigt.

  • Cisco verwaltet und weist zu

    • Tunnel-Interface-IP-Adressierung (vorübergehende Weiterleitungsverbindung) Cisco-Zuweisungen von einem bestimmten gemeinsam genutzten Adressbereich (nicht öffentlich routingfähig)

    • Tunneltransportdeitierungsadresse (Seite von Cisco)

    • Private AsNs (Private Routing System Numbers) für BGP-Routing-Konfiguration des Kunden

      • Cisco weist aus dem angegebenen Bereich für die private Nutzung: 64512 bis 65534

  • eBGP zum Austausch von Routen zwischen dedizierter Instanz und CPE

    • Cisco teilt das zugewiesene /24-Netzwerk für jeden DC in der jeweiligen Region in 2 /25.

    • In Virtual Connect wird jedes /25-Netzwerk von Cisco über die entsprechenden Point-to-Point-VPN-Tunnel (vorübergehende Verbindung) dem CPE zurück angekündigt

    • CPE muss mit den entsprechenden eBGP-Neighbors konfiguriert werden. Wenn Sie einen CPE verwenden, werden zwei eBGP-Neighbors verwendet, die jeweils einen zu jedem Ferntunnel zeigen. Wenn sie zwei CPE verwenden, dann hat jeder CPE einen eBGP-Nachbar, der zum einzigen Remote-Tunnel der CPE wird.

    • Die Cisco-Seite jedes TUNNEL-Tunnels (Tunnel-Schnittstellen-IP) ist als BGP-Nachbar des CPE konfiguriert.

    • CPE ist erforderlich, um eine Standardroute über jeden Tunnel zu stellen

    • CPE kann, wie erforderlich, für die Neuverteilung der Lernrouten innerhalb des Unternehmensnetzwerks der Cutomer verantwortlich sein.

  • Unter der Bedingung eines Ausfallausfalls der Verbindung wird ein einzelner CPE zwei Aktive/Aktiv-Tunnel haben. Für zwei CPE-Knoten hat jeder CPE einen aktiven Tunnel, und beide CPE-Knoten sollten aktiv sein und den Datenverkehr übergeben. Unter Nicht-Ausfall-Szenarios muss sich der Verkehr in zwei Tunnels teilen, die zu den korrekten /25-Zielen gehen. Wenn einer der Tunnels abläuft, kann der verbleibende Tunnel den Verkehr für beide Personen führen. Bei einem solchen Ausfallszenario wird bei Ausfällen des /25-Netzwerks das /24-Netzwerk als Backup-Route verwendet. Cisco sendet den Kundenverkehr über sein internes WAN nach DC, wodurch die Konnektivität verloren geht.

Verbindungsprozess

In den folgenden großen Schritten wird beschrieben, wie Eine Verbindung mit virtueller Connect für dedizierte Instanz hergestellt werden kann.

1

Bestellung in Cisco CCW platzieren
2

Virtuelle Verbindung über Control Hub aktivieren
3

Cisco führt Netzwerkkonfiguration durch
4

Kunde führt Netzwerkkonfiguration durch

Schritt 1: CCW-Bestellung

Virtual Connect ist ein Add-On für dedizierte Instanz in CCW.

1

Navigieren Sie zur CCW-Bestellseite und klicken Sie dann auf Anmelden, um sich auf der Site anzumelden:

https://apps.cisco.com/Commerce/guestdefiniert.
2

Schätzung erstellen.
3

Fügen Sie "A-FLEX-3" SKU hinzu.
4

Wählen Sie Optionen bearbeiten aus.
5

Wählen Sie in der nun angezeigten Registerkarte Abonnement die Option Optionen und Add-ons.
6

Aktivieren Sie unter Zusätzliche Add-Ons das Kontrollkästchen neben "Virtual Connect for Dedicated Instance". Der Name der SKU ist "A-FLEX-DI-VC".
7

Geben Sie die Menge und Anzahl der Regionen ein, in denen Virtual Connect erforderlich ist.


 
Die Menge der virtuellen Connect darf die Gesamtzahl an Regionen, die für eine dedizierte Instanz erworben wurden, nicht überschreiten. Außerdem ist nur eine virtuelle Connect-Bestellung pro Region zulässig.
8

Wenn Sie mit Ihrer Auswahl zufrieden sind, klicken Sie oben rechts auf der Seite auf Überprüfen und speichern.
9

Klicken Sie auf Speichern und Weiter, um die Bestellung fertig zu machen. Ihre endgültige Reihenfolge wird jetzt im Reihenfolgeraster angezeigt.

Schritt 2: Aktivierung von Virtual Connect im Control Hub

1

Melden Sie sich bei Control Hub an https://admin.webex.com/login.
2

Navigieren Sie im Bereich Dienste zu Anrufdienst > Dedizierte Instacnce > Cloudkonnektivität.
3

Auf der Virtuellen Connect-Karte wird die erworbene Virtual Connect-Menge aufgeführt. Der Administrator kann nun auf Aktivieren klicken, um die Aktivierung für virtuelles Connect zu starten.


 
Der Aktivierungsprozess kann nur von Administratoren mit der Rolle "Kunden volladministrator" ausgelöst werden. Während Ein Administrator mit der Rolle "Kunde schreibgeschützt" nur den Status einlesen kann.
4

Wenn der Administrator auf die Schaltfläche Activate (Aktivieren) klickt, wird das Formular "Activate Virtual Connect" (Virtuelles Connect aktivieren) angezeigt, in dem er die für die Peering-Konfigurationen erforderlichen technischen Details für Virtual Connect an die Seite von Cisco weitersendet.


 
Das Formular enthält auch statische Informationen auf Cisco-Seite basierend auf der ausgewählten Region. Diese Informationen sind für Kundenadministratoren nützlich, um das CPE auf ihrer Seite zu konfigurieren, um die Konnektivität zu herstellen.

  1. TUNNEL TRANSPORT IP-Adresse: Der Kunde muss die Seit-Tunnel-Transport-IP-Adressen des Kunden bereitstellen. Nach der Aktivierung verteilt Cisco die IP-Adressen dynamisch. IpSec ACL für interessanten Datenverkehr sollte den lokalen Tunneltransport IP/32 zum Ferntunneltransport IP/32 erlauben. Die ACL sollte außerdem nur das IP-Protokoll DESTE-Protokolls angeben.


     
    Die vom Kunden angegebene IP-Adresse kann privat oder öffentlich sein.

  2. IPSec-Peers: Der Kunde muss die Quell-IP-Adressen des IPSec-Tunnels angeben, und Cisco verteilt die IPSec-Ziel-IP-Adresse. Die NAT-Übersetzung einer internen IPSEC-Tunneladresse in eine öffentliche Adresse wird bei Bedarf ebenfalls unterstützt.


     

    Die vom Kunden angegebene IP-Adresse muss öffentlich sein.

     
    Alle anderen statischen Informationen, die im Aktivierungsbildschirm angegeben sind, sind die Sicherheits- und Verschlüsselungsstandards von Cisco. Diese statische Konfiguration ist nicht anpassbar oder modifizierbar. Für weitere Unterstützung bezüglich der statischen Konfigurationen auf Ciscos Seite, muss sich der Kunde an TAC wenden.
5

Klicken Sie auf die Schaltfläche Aktivieren , sobald alle Pflichtfelder ausgefüllt sind.
6

Nachdem das Aktivierungsformular für virtuelles Connect für eine teilscheinende Region abgeschlossen wurde, kann der Kunde das Aktivierungsformular aus Control Hub exportieren, > Dedizierte Instanz > Cloudkonnektivität exportieren und auf Exporteinstellungen klicken.


 
Aus Sicherheitsgründen sind die Authentifizierung und das BGP-Passwort im exportierten Dokument nicht verfügbar, aber der Administrator kann dies im Control Hub anzeigen, indem er unter Control Hub auf View Settings (Einstellungen anzeigen) klickt, Calling > Dedicated Instance > Cloud Connectivity (Dedizierte Instanz > Cloudkonnektivität).

Schritt 3: Cisco führt Netzwerkkonfiguration durch

1

Nach Abschluss des Aktivierungsformulars für virtuelles Connect wird der Status auf die Karte Activation In Progress in Calling > Dedicated Instance > Cloud Connectivity Virtual Connect (Aktivierung in Gang) aktualisiert.
2

Cisco wird die erforderlichen Konfigurationen der neben Cisco-Geräte innerhalb von vier Werktagen abschließen. Nach der erfolgreichen Fertigstellung wird der Status für diese spezielle Region im Control Hub in "Aktiviert" aktualisiert.

Schritt 4: Kunde führt Netzwerkkonfiguration durch

Der Status wird in "Aktiviert" geändert, um den Kundenadministrator darüber zu informieren, dass die Konfigurationen der IP-VPN-Verbindung von Cisco auf Grundlage der vom Kunden bereitgestellten Eingänge abgeschlossen wurden. Von den Kundenadministratoren wird jedoch erwartet, dass sie die Konfiguration der CPEs abschließen und die Verbindungsrouten für den Virtual Connect-Tunnel testen, der online sein soll. Im Fall von Problemen, die während der Konfiguration oder der Verbindung verbunden sind, kann sich der Kunde an Cisco TAC wenden, um Unterstützung zu erhalten.