Introducción

Virtual Connect es una opción adicional del complemento para la conectividad en la nube a la instancia de uso exclusivo Webex Calling (instancia de uso exclusivo). Virtual Connect permite a los clientes extender en forma segura sus redes privadas a través de Internet mediante tuneles de VPN de IP de punto a punto. Esta opción de conectividad ofrece una imagen rápida de la conexión de red privada mediante el uso del equipo local del cliente (CPE) existente y la conectividad a Internet.

Los hosts de Cisco, administran y asegura túneles de VPN de IP redundantes y el acceso a Internet requerido en la región(s) de centro de datos de la Instancia de uso exclusivo de Cisco en donde se requiere el servicio. Del mismo modo, Administrator es responsable de sus CPE y los servicios de Internet correspondientes, que se requieren para Virtual Connect.

Cada pedido de Virtual Connect en una región de Instancia de uso exclusivo en particular incluiría dos tunelarios de enrutamiento genéricos (RSA) protegidos por cifrado IPSec (RSA sobre IPSec), uno con el algoritmo de datos de Cisco en la región seleccionada.

Virtual Connect tiene un límite de ancho de banda de 250 Mbps por túnel y se recomienda para implementaciones más pequeñas. Debido a que se utilizan dos túneles de VPN de punto a punto todo el tráfico hacia la nube tiene que pasar por el CPE de cabecera del cliente, y por lo tanto, es posible que no sea adecuado donde hay gran cantidad de sitios remotos. Para otras opciones alternativas de emparejamiento, consulte Conectividad a la nube.

Requisitos previos

Los requisitos previos para establecer Virtual Connect incluyen:

  • El cliente proporciona

    • Conexión a Internet con suficiente ancho de banda disponible para admitir la implementación

    • Dirección IP pública para dos túneles IPSec

    • Direcciones IP de transporte MÁS QUE EL cliente para los dos túnelesGRAO

  • Socio y cliente

    • Trabaje juntos para evaluar los requisitos de ancho de banda

    • Garantice el soporte para dispositivos de red Protocolo de puerta de enlace perimetral enrutamiento (BGP) y un diseño de túnel SSH sobre IPSec

  • El socio o el cliente proporciona

    • Equipo de red con conocimiento de las tecnologías de túnel de VPN de un sitio a otro

    • Equipo de red con conocimientos de BGP, eBGP y principios de enrutamiento generales

  • Cisco

    • Cisco asignó números de sistema privados autonoumos (ASN) y direcciones IP transitorias para las interfaces del túnel VPN

    • Cisco asignó una red pública, pero no enrutable a Internet clase C (/24) para la asignación de direcciones de la nube de la instancia dedicada

Si un cliente tiene solo 1 dispositivo CPE, los 2 túneles hacia los centros de datos de Cisco (DC1 y DC2) en cada región, serán de ese dispositivo CPE. El cliente también tiene una opción para 2 dispositivos CPE; luego, cada dispositivo CPE debe conectarse al tunel 1 solo hacia los centros de datos de Cisco (DC1 y DC2) de cada región. Se puede lograr redundancia adicional terminando cada túnel en un sitio físico/ubicación separado dentro de la infraestructura del cliente.

Detalles técnicos

Modelo de implementación

Virtual Connect utiliza una arquitectura de cabecera de doble nivel, donde un dispositivo proporciona los planes de control DE direccionamiento y SION Y el plano de control IPSec es provisto por otro.

Al completar la conectividad 'Virtual Connect', se crearán dos tuneles DOMAINI sobre IPSec entre la red empresarial del cliente y los centros de datos de Cisco de la instancia de uso exclusivo. Uno a cada centro de datos redundante dentro de la Región respectiva. Como se mencionó en los requisitos previos, se requiere una red /24 del socio o cliente para que se utilice en la configuración de la Conexión virtual. El socio o cliente de Cisco intercambia los elementos de red adicionales requeridos para el emparejamiento a través del formulario de activación de la Conexión virtual del concentrador de control.

La Figura 1 muestra un ejemplo del modelo de implementación de Virtual Connect para la opción de 2 concentradores en el lado del cliente.

Conexión virtual : vpn es un diseño de concentrador, donde los sitios del concentrador del cliente están conectados a DC1 y DC2 de los centros de datos de la instancia dedicada dentro de una región en particular.

Se recomienda utilizar dos sitios de concentradores para una mejor redundancia, pero el sitio de Un concentrador con dos túneles también es un modelo de implementación compatible.

El ancho de banda por túnel está limitado a 250 Mbps.

Los sitios remotos del cliente dentro de la misma región, tendrían que conectarse de nuevo a los sitios concentradores a través de la WAN del cliente y no es responsable de Cisco por esa conectividad.

Se espera que los socios trabajen estrechamente con los clientes, lo que garantiza que se elija la ruta más óptima para la región de servicio "Virtual Connect".

En la Figura 2 se muestran las regiones peering de conectividad a la nube de la instancia de dedicada.

Enrutamiento

El enrutamiento para el complemento de Virtual Connect se implementa mediante BGP (eBGP) externo entre la instancia de uso exclusivo y el equipo local del cliente (CPE). Cisco anunciará sus redes respectivas para cada DC redundante dentro de una región al CPE del cliente y el CPE debe anunciar una ruta predeterminada a Cisco.

  • Cisco mantiene y asigna

    • Dirección IP de la interfaz de túnel (enlace transitorio para el enrutamiento) Cisco asigna desde un Espacio de dirección compartido designado (no enrutado públicamente)

    • Dirección desitinación del transporte del túnel (del lado de Cisco)

    • Números de sistema autónomos (ASN) privados para la configuración de enrutamiento BGP del cliente

      • Cisco asigna desde el rango de uso privado designado: 64512 a 65534

  • eBGP se utiliza para intercambiar rutas entre la Instancia de uso exclusivo y el CPE

    • Cisco dividirá la red /24 asignada en una red 2/25 para cada DC en la región respectiva

    • En Virtual Connect, Cisco anuncia cada /25 red de nuevo a CPE en los túneles de VPN punto a punto (enlace transitorio) respectivos

    • El CPE debe configurarse con el eBGP correcto. Si se utiliza un CPE, se utilizarán dos eBGP ssh, uno apuntando a cada túnel remoto. Si está utilizando dos CPE, cada CPE tendrá un elemento vecino de eBGP que aparecerá en el túnel remoto único para el CPE.

    • Se configura el lado de Cisco de cada túnel BGP (IP de la interfaz de túnel) como el vecino de BGP en el CPE

    • CPE debe anunciar una ruta predeterminada en cada uno de los túneles

    • CPE es responsable de redistribuir, según sea necesario, las rutas aprendidas dentro de la red empresarial del administrador.

  • En condición de falla de enlace de no falla, un solo CPE tendrá dos tuneles activos/activos. Para dos nodos de CPE, cada CPE tendrá un túnel activo y ambos nodos CPE deberían estar activos y su tráfico de paso. En una situación de no falla, el tráfico debe dividirse en dos túneles que van a los /25 destinos correctos; si uno de los túneles queda fuera de servicio, el túnel restante puede llevar el tráfico para ambos. En dicha situación de falla, cuando la red /25 está abajo, la red /24 se utiliza como ruta de copia de seguridad. Cisco enviará el tráfico del cliente a través de su WAN interna hacia el CENTRO de datos que perdió la conectividad.

Proceso de conectividad

Los siguientes pasos de alto nivel describen cómo establecer la conectividad con la Conexión virtual para la instancia de uso exclusivo.

1

Realizar un pedido en Cisco CCW
2

Activar conexión virtual desde el Control Hub
3

Cisco realiza la configuración de red
4

El cliente realiza la configuración de red

Paso 1: Pedido de CCW

Virtual Connect es un complemento para la instancia de uso exclusivo de CCW.

1

Navegue hasta el sitio del pedido de CCW y, a continuación, haga clic en Conectar para iniciar sesión en el sitio de :

https://apps.cisco.com/Commerce/guest.
2

Crear estimación.
3

Agregue el SKU de "A-FLEX-3".
4

Seleccione Editar opciones.
5

En la ficha de suscripción que aparece, seleccione Opciones y complementos.
6

En Complementos adicionales, seleccione la casilla de verificación al lado de "Conexión virtual para la instancia de uso exclusivo". El nombre SKU es "A-FLEX-DI-VC".
7

Introduzca la cantidad y la cantidad de regiones en las que se requiere Virtual Connect.


 
La cantidad de Virtual Connect no debe exceder la cantidad total de regiones adquiridas para la instancia de uso exclusivo. Además, solo se permite un pedido de Conexión virtual por región.
8

Cuando esté satisfecho con sus selecciones, haga clic en Verificar y guardar en la parte superior derecha de la página.
9

Haga clic en Guardar y continuar para finalizar su pedido. Ahora, su pedido finalizado se aplica en la cuadrícula de pedidos.

Paso 2: Activación de conexión virtual en el Control Hub

1

Inicie sesión en Control Hub https://admin.webex.com/login.
2

En la sección Servicios , diríjase a Llamadas > Instacnce > conectividad a la nube.
3

En la tarjeta Virtual Connect, aparecerá la cantidad de Virtual Connect comprada. El administrador ahora puede hacer clic en Activar para iniciar la activación de la Conexión virtual.


 
El proceso de activación solo pueden ser desencadenados por administradores con el rol de "Administrador completo del cliente". Mientras que un administrador con el rol de "Administrador de solo lectura del cliente" solo puede ver el estado.
4

Al hacer clic en el botón Activar, se muestra el formulario Activar conexión virtual para que el administrador proporcione los detalles técnicos de Virtual Connect requeridos para las configuraciones de emparejamiento del lado de Cisco.


 
El formulario también proporciona información estática del lado de Cisco, en función de la región seleccionada. Esta información será útil para que los administradores de clientes configuren el CPE en su lado para establecer la conectividad.

  1. Dirección IP de transporte del túnel MÁSOdo: El cliente debe proporcionar las direcciones IP de transporte del túnel del lado del cliente y Cisco asignará dinámicamente las direcciones IP una vez que se complete la activación. La lista IPSec ACL para tráfico importante debe permitir el IP/32 de transporte de tunel local al transporte de tunel remoto IP/32. La ACL también debe especificar solamente el protocolo IP DE MÁSO.


     
    La dirección IP proporcionada por el cliente puede ser privada o pública.

  2. Pares de IPSec: El cliente debe proporcionar las direcciones IP de origen del IPSec Tunnel y Cisco asigna la dirección IP de destino IPSec. Si se requiere, también se admite la traducción de NAT de una dirección de túnel ICARP interna a una dirección pública.


     

    La dirección IP proporcionada por el cliente debe ser pública.

     
    Toda la otra información estática provista en la pantalla de activación es la seguridad del lado de Cisco y los estándares de cifrado seguidos. Esta configuración estática no es personalizable ni modificable. Para obtener más ayuda con respecto a las configuraciones estáticas del lado de Cisco, el cliente tendrá que comunicarse con el TAC.
5

Haga clic en el botón Activar una vez que se completaron todos los campos obligatorios.
6

Una vez completado el formulario de activación de Virtual Connect para una región parcial, el cliente puede exportar el formulario de activación desde Control Hub, la ficha conectividad > la nube de la instancia de > de Calling > y hacer clic en Exportar ajustes.


 
Debido a motivos de seguridad, la autenticación y la contraseña de BGP no estarán disponibles en el documento exportado, pero el administrador puede ver lo mismo en Control Hub si hace clic en Ver configuración en Control Hub, en la ficha Conectividad en la nube de > Instancia de uso exclusivo >.

Paso 3: Cisco realiza la configuración de red

1

Una vez que se complete el formulario de activación de Virtual Connect, se actualizará el estado a Activación en curso en llamadas de una instancia de > dedicada > de la Conexión virtual de conectividad a la nube.
2

Cisco completará las configuraciones necesarias en el equipo lateral de Cisco en un plazo de 4 días hábiles. Al completarse correctamente, el estado se actualizará a "Activado" para esa región en particular en Control Hub.

Paso 4: El cliente realiza la configuración de red

El estado se cambia a "Activado" para notificar al administrador del cliente que la parte de las configuraciones de Cisco para la conectividad de IP de VPN se ha completado según las entradas proporcionadas por el cliente. Pero se espera que el administrador del cliente complete su lado de las configuraciones en las CPEs y pruebe las rutas de conectividad para que el túnel de Virtual Connect esté en línea. En caso de cualquier problema enfrentado al momento de la configuración o la conectividad, el cliente puede comunicarse con el TAC de Cisco para obtener ayuda.