- Inicio
- /
- Artículo
Virtual Connect es una opción adicional para la conectividad en la nube con la instancia dedicada de Webex Calling. Virtual Connect permite a los clientes extender en forma segura sus redes privadas a través de Internet mediante tuneles de VPN de IP de punto a punto. Aquí hablaremos sobre el pedido, la activación y la configuración de Virtual Connect.
Introducción
La conexión virtual es una opción adicional para la conectividad en la nube a la instancia exclusiva para Webex Calling (instancia exclusiva). Virtual Connect permite a los clientes ampliar de forma segura su red privada a través de Internet mediante túneles IP VPN punto a punto. Esta opción de conectividad proporciona un rápido establecimiento de la conexión de red privada mediante el uso del equipo local del cliente (CPE) y la conectividad a Internet existentes.
Cisco aloja, administra y garantiza túneles VPN IP redundantes y el acceso a Internet requerido en las regiones del centro de datos de Dedicated Instance de Cisco donde se requiere el servicio. Del mismo modo, el administrador es responsable de sus correspondientes servicios de CPE e Internet que se requieren para el establecimiento de Virtual Connect.
Cada orden de conexión virtual en una región de instancia exclusiva en particular incluiría dos túneles de encapsulación de enrutamiento genérico (GRE) protegidos por cifrado IPSec (GRE sobre IPSec), uno para cada centro de datos de Cisco en la región seleccionada.
Virtual Connect tiene un límite de ancho de banda de 250 Mbps por túnel y se recomienda para implementaciones más pequeñas. Dado que se utilizan dos túneles VPN punto a punto, todo el tráfico a la nube tiene que pasar por el CPE de cabecera del cliente y, por lo tanto, puede que no sea adecuado cuando hay muchos sitios remotos. Para ver otras opciones de emparejamiento alternativas, consulte Conectividad en la nube.
Antes de enviar la solicitud de emparejamiento para la conexión virtual, asegúrese de que el servicio de instancia exclusiva esté activado en esa región respectiva. |
Requisitos previos
Los requisitos previos para establecer Virtual Connect incluyen:
-
El cliente proporciona
-
Conexión a Internet con suficiente ancho de banda disponible para admitir la implementación
-
Direcciones IP públicas para dos túneles IPSec
-
Direcciones IP de transporte GRE del lado del cliente para los dos túneles GRE
-
-
Socio y cliente
-
Trabajar juntos para evaluar los requisitos de ancho de banda
-
Asegúrese de que los dispositivos de red admitan el enrutamiento del Protocolo de puerta de enlace fronteriza (BGP) y un GRE sobre el diseño del túnel IPSec
-
-
El socio o el cliente proporcionan
-
Equipo de red con conocimiento de tecnologías de túnel VPN sitio a sitio
-
Equipo de red con conocimiento de BGP, eBGP y principios generales de enrutamiento
-
-
Cisco
-
Cisco asignó números de sistemas autónomos privados (ASN) y direcciones IP transitorias para interfaces de túnel GRE
-
Cisco asignó una red pública pero no enrutable de clase C (/24) de Internet para la dirección de Dedicated Instance Cloud
-
Si un cliente tiene solo 1 dispositivo CPE, los 2 túneles hacia los centros de datos de Cisco (DC1 y DC2) en cada región serán desde ese dispositivo CPE. El cliente también tiene una opción para 2 dispositivos CPE; luego, cada dispositivo CPE debe conectarse a 1 túnel solo hacia los centros de datos de Cisco (DC1 y DC2) en cada región. Se puede lograr redundancia adicional terminando cada túnel en un sitio físico/ubicación independiente dentro de la infraestructura del Cliente. |
Detalles técnicos
Modelo de implementación
Virtual Connect utiliza una arquitectura de cabecera de doble nivel, donde un dispositivo proporciona los planos de control de enrutamiento y GRE y otro el plano de control de IPSec.
Una vez finalizada la conectividad Virtual Connect, se crearán dos túneles GRE sobre IPSec entre la red empresarial del Cliente y los centros de datos de Cisco de Dedicated Instance. Uno a cada centro de datos redundante dentro de la Región respectiva. El socio o el cliente intercambian los elementos de red adicionales necesarios para el emparejamiento con Cisco a través del formulario de activación de la conexión virtual de Control Hub.
La Figura 1 muestra un ejemplo del modelo de implementación de Virtual Connect para la opción de 2 concentradores en el lado del cliente.
Conexión virtual - VPN es un diseño de hub, en el que los sitios de hub del cliente están conectados a DC1 y DC2 de los centros de datos de Dedicated Instance dentro de una región en particular.
Se recomiendan dos sitios Hub para mejorar la redundancia, pero el sitio One Hub con dos túneles también es un modelo de implementación compatible.
El ancho de banda por túnel está limitado a 250 Mbps. |
Los sitios remotos del Cliente dentro de la misma región tendrían que volver a conectarse a los sitios del Hub a través de la WAN del Cliente y no es responsabilidad de Cisco por esa conectividad. |
Se espera que los socios trabajen en estrecha colaboración con los Clientes, garantizando que se elija la ruta más óptima para la región de servicio «Conexión virtual».
La Figura 2 muestra las regiones de emparejamiento de conectividad en la nube de instancias dedicadas.
Enrutamiento
El enrutamiento para el complemento Virtual Connect se implementa mediante BGP externo (eBGP) entre Dedicated Instance y el equipo local del cliente (CPE). Cisco anunciará su red respectiva para cada DC redundante dentro de una región al CPE del cliente y el CPE debe anunciar una ruta predeterminada a Cisco.
-
Cisco mantiene y asigna
-
Direccionamiento IP de interfaz de túnel (enlace transitorio para enrutamiento) Cisco asigna desde un espacio de direcciones compartidas designado (no enrutable públicamente)
-
Dirección de desitinación del transporte en túnel (lado de Cisco)
-
Números de sistema autónomo privado (ASN) para la configuración de enrutamiento BGP del cliente
-
Cisco asigna del rango de uso privado designado: 64512 a 65534
-
-
-
eBGP utilizado para intercambiar rutas entre Dedicated Instance y CPE
-
Cisco dividirá la red /24 asignada en 2 /25 una para cada DC en la región respectiva
-
En la conexión virtual, Cisco vuelve a anunciar cada red /25 a CPE a través de los respectivos túneles de VPN punto a punto (enlace transitorio)
-
El CPE debe configurarse con los vecinos de eBGP apropiados. Si se utiliza un CPE, se utilizarán dos vecinos de eBGP, uno apuntando a cada túnel remoto. Si utiliza dos CPE, cada CPE tendrá un vecino de eBGP poniéndose al túnel remoto único para el CPE.
-
El lado de Cisco de cada túnel de GRE (interfaz de túnel IP) está configurado como el vecino de BGP en el CPE
-
Se requiere CPE para anunciar una ruta predeterminada en cada uno de los túneles
-
CPE es susceptible de redistribuir, según sea necesario, las rutas aprendidas dentro de la red empresarial del cliente.
-
-
En condición de fallo de enlace sin fallo, un único CPE tendrá dos túneles activos/activos. Para dos nodos de CPE, cada CPE tendrá un túnel activo y ambos nodos de CPE deben estar activos y pasar tráfico. En el escenario de no fallo, el tráfico debe dividirse en dos túneles que vayan a los destinos correctos /25; si uno de los túneles cae, el túnel restante puede transportar el tráfico para ambos. En este escenario de fallo, cuando la red /25 está inactiva, la red /24 se utiliza como ruta de respaldo. Cisco enviará el tráfico del cliente a través de su WAN interna hacia el DC, que perdió la conectividad.
Proceso de conectividad
1 | |
2 | |
3 | |
4 |
Paso 1: Pedido de CCW
Virtual Connect es un complemento para Dedicated Instance en CCW.
1 |
Diríjase al sitio de pedidos de CCW y, a continuación, haga clic en Iniciar sesión para iniciar sesión en el sitio: | ||
2 |
Cree una estimación. | ||
3 |
Agregue "A-FLEX-3" SKU. | ||
4 |
Seleccione Editar opciones. | ||
5 |
En la ficha de suscripción que aparece, seleccione Opciones y complementos. | ||
6 |
En Additional Add-ons (Complementos adicionales), seleccione la casilla de verificación junto a "Virtual Connect for Dedicated Instance" (Conexión virtual para instancia dedicada). El nombre de la SKU es "A-FLEX-DI-VC". | ||
7 |
Introduzca la cantidad y la cantidad de regiones en las que se requiere la conexión virtual.
| ||
8 |
Cuando esté satisfecho con sus selecciones, haga clic en Verificar y Guardar en la parte superior derecha de la página. | ||
9 |
Haga clic en Guardar y Continuar para finalizar su pedido. Su pedido finalizado ahora se coloca en la cuadrícula de pedidos. |
Paso 2: Activación de la conexión virtual en Control Hub
1 |
Inicie sesión en Control Hub https://admin.webex.com/login. | ||
2 |
En la sección Servicios, vaya a Llamadas > Instalación dedicada > Conectividad en la nube. | ||
3 |
En la tarjeta de Virtual Connect, se muestra la cantidad de Virtual Connect adquirida. El administrador ahora puede hacer clic en Activar para iniciar la activación de la conexión virtual.
| ||
4 |
Al hacer clic en el botón Activate (Activar), aparece el formulario Activate Virtual Connect (Activar conexión virtual) para que el administrador proporcione los detalles técnicos de la conexión virtual necesarios para las configuraciones de emparejamiento en el lado de Cisco.
| ||
5 |
Haga clic en el botón Activate (Activar) una vez cumplimentados todos los campos obligatorios. | ||
6 |
Una vez que se complete el formulario de activación de la conexión virtual para una región de partículas, el cliente puede Exportar el formulario de activación desde Control Hub, Llamadas > Instancia exclusiva > Conectividad en la nube, ficha y hacer clic en Exportar configuración.
|
Paso 3: Cisco realiza la configuración de red
1 |
Una vez que se complete el formulario de activación de la conexión virtual, el estado se actualizará a Activación en curso en la tarjeta Llamadas > Dedicated Instance > Cloud Connectivity Virtual Connect. |
2 |
Cisco completará las configuraciones requeridas en el equipo lateral de Cisco en un plazo de 5 días hábiles. Una vez finalizada correctamente, el estado se actualizará a “Activado” para esa región en particular en Control Hub. |
Paso 4: El cliente realiza la configuración de red
El estado cambia a "Activado" para notificar al administrador del cliente que el lado de las configuraciones de conectividad VPN IP de Cisco se ha completado en función de las entradas proporcionadas por el cliente. Sin embargo, se espera que el administrador del cliente complete su lado de las configuraciones en los CPE y pruebe las rutas de conectividad para que el túnel de conexión virtual esté en línea. En caso de que surjan problemas en el momento de la configuración o la conectividad, el cliente puede comunicarse con el TAC de Cisco para obtener ayuda. |
Solución de problemas
Resolución de problemas y validación de la primera fase de IPsec (negociación de IKEv2)
La negociación del túnel IPsec consta de dos fases, la fase IKEv2 y la fase IPsec. Si la negociación de la fase IKEv2 no se completa, no se iniciará una segunda fase IPsec. En primer lugar, emita el comando "show crypto ikev2 sa" (en equipos de Cisco) o un comando similar en equipos de terceros para verificar si la sesión de IKEv2 está activa. Si la sesión de IKEv2 no está activa, las posibles razones podrían ser:
-
El tráfico interesante no activa el túnel IPsec.
-
La lista de acceso al túnel de IPsec está mal configurada.
-
No hay conectividad entre el cliente y la IP del extremo del túnel de IPsec de la instancia dedicada.
-
Los parámetros de la sesión de IKEv2 no coinciden entre el lado de Dedicated Instance y el lado del cliente.
-
Un firewall está bloqueando los paquetes UDP IKEv2.
Primero, compruebe los registros de IPsec para detectar cualquier mensaje que muestre el progreso de la negociación del túnel IKEv2. Los registros pueden indicar dónde hay un problema con la negociación de IKEv2. La falta de mensajes de registro también puede indicar que la sesión de IKEv2 no se está activando.
Algunos errores comunes con la negociación de IKEv2 son:
-
La configuración de IKEv2 en el lado de CPE no coincide con el lado de Cisco; vuelva a comprobar la configuración mencionada:
-
Compruebe que la versión de IKE es la versión 2.
-
Verifique que los parámetros de cifrado y autenticación coincidan con el cifrado esperado en el lado de Dedicated Instance.
Cuando el cifrado "GCM" está en uso, el protocolo GCM maneja la autenticación y establece el parámetro de autenticación en NULL.
-
Verifique la configuración de vida útil.
-
Verifique el grupo del módulo Diffie Hellman.
-
Verifique la configuración de la función pseudo aleatoria.
-
-
La lista de acceso para el mapa criptográfico no está configurada en:
-
Permiso GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255" (o comando equivalente)
La lista de acceso debe ser específica para el protocolo "GRE" y el protocolo "IP" no funcionará.
-
Si los mensajes de registro no muestran ninguna actividad de negociación para la fase IKEv2, es posible que se necesite una captura de paquetes.
Es posible que el lado de Dedicated Instance no siempre inicie el intercambio de IKEv2 y, en ocasiones, espere que el lado de CPE del cliente sea el iniciador. Compruebe la configuración del lado de CPE para los siguientes requisitos previos para el inicio de sesión de IKEv2:
|
Una vez configurada correctamente, se inicia el túnel IPsec y la negociación de primera fase de IKEv2:
-
GRE pasa de la interfaz del túnel GRE lateral del CPE a la interfaz del túnel GRE lateral de la instancia dedicada.
-
Sesión TCP del vecino de BGP desde el vecino de BGP del lado de CPE al vecino de BGP del lado de instancia dedicada.
-
Ping desde la dirección IP del túnel lateral de CPE a la dirección IP del túnel lateral de la instancia exclusiva.
Ping no puede ser la IP de transporte de túnel a IP de transporte de túnel, debe ser IP de túnel a IP de túnel.
Si se necesita un seguimiento de paquetes para el tráfico IKEv2, configure el filtro para UDP y el puerto 500 (cuando no hay ningún dispositivo NAT en el medio de los extremos IPsec) o el puerto 4500 (cuando se inserta un dispositivo NAT en el medio de los extremos IPsec).
Verifique que los paquetes UDP IKEv2 con puerto 500 o 4500 se envíen y reciban desde la dirección IP de DI IPsec.
Es posible que el centro de datos de Dedicated Instance no siempre comience el primer paquete de IKEv2. El requisito es que el dispositivo CPE sea capaz de iniciar el primer paquete de IKEv2 hacia el lado de Dedicated Instance. Si el firewall local lo permite, intente también hacer ping a la dirección IPsec remota. Si el ping no tiene éxito desde una dirección IPsec local a una dirección remota, realice una ruta de seguimiento para ayudar y determine dónde se ha caído el paquete. Es posible que algunos firewalls y equipos de Internet no permitan la ruta de rastreo. |
Resolución de problemas y validación de la segunda fase de IPsec (negociación de IPsec)
Verifique que la primera fase de IPsec (es decir, asociación de seguridad IKEv2) esté activa antes de solucionar problemas en la segunda fase de IPsec. Realice un comando "show crypto ikev2 sa" o equivalente para verificar la sesión de IKEv2. En la salida, verifique que la sesión de IKEv2 haya estado encendida durante más de unos segundos y que no esté rebotando. El tiempo de actividad de la sesión se muestra como "Tiempo activo" de la sesión o equivalente en la salida.
Una vez que la sesión de IKEv2 se verifique como activada y activa, Investigue la sesión de IPsec. Al igual que con la sesión de IKEv2, realice un comando "show crypto ipsec sa" o equivalente para verificar la sesión de IPsec. Tanto la sesión IKEv2 como la sesión IPsec deben estar activas antes de establecer el túnel GRE. Si la sesión de IPsec no se muestra como activa, compruebe los registros de IPsec en busca de mensajes de error o errores de negociación.
Algunos de los problemas más comunes que se pueden encontrar durante las negociaciones del IPsec son:
La configuración del lado de CPE no coincide con la de Dedicated Instance; vuelva a comprobar la configuración:
-
Verifique que los parámetros de cifrado y autenticación coincidan con la configuración del lado de Dedicated Instance.
-
Verifique la configuración de Perfect Forward Secrecy (Secreto de reenvío perfecto) y que la configuración coincida en el lado de Dedicated Instance.
-
Verifique la configuración de vida útil.
-
Verifique que el IPsec se haya configurado en modo túnel.
-
Verifique las direcciones IPsec de origen y destino.
Resolución de problemas y validación de la interfaz del túnel
Cuando se verifica que las sesiones IPsec e IKEv2 están activadas y activas, los paquetes keepalive del túnel de GRE pueden fluir entre los extremos del túnel de Dedicated Instance y CPE. Si la interfaz del túnel no muestra el estado, algunos problemas comunes son:
-
El VRF de transporte de interfaz de túnel no coincide con el VRF de la interfaz de bucle invertido (si se utiliza la configuración VRF en la interfaz de túnel).
Si la configuración del VRF no se utiliza en la interfaz del túnel, se puede ignorar esta comprobación.
-
Los keepalives no están habilitados en la interfaz del túnel lateral del CPE
Si los keepalives no son compatibles con el equipo CPE, se debe notificar a Cisco para que los keepalives predeterminados en el lado de Dedicated Instance también estén deshabilitados.
Si los keepalives son compatibles, verifique que estén habilitados.
-
La máscara o la dirección IP de la interfaz del túnel no son correctas y no coinciden con los valores esperados de la instancia dedicada.
-
La dirección de transporte del túnel de origen o destino no es correcta y no coincide con los valores esperados de la instancia dedicada.
-
Un firewall impide que los paquetes GRE se envíen al túnel de IPsec o se reciban desde el túnel de IPsec (el túnel de GRE se transporta a través del túnel de IPsec).
Una prueba de ping debe verificar que la interfaz del túnel local está encendida y que la conectividad es buena con la interfaz del túnel remoto. Realice la comprobación de ping desde la IP del túnel (no la IP de transporte) hasta la IP del túnel remoto.
La lista de acceso criptográfico para el túnel IPsec que lleva el tráfico del túnel GRE solo permite que los paquetes GRE se crucen. Como resultado, los pings no funcionarán desde la IP de transporte por túnel hasta la IP de transporte por túnel remoto. |
La comprobación ping da como resultado un paquete GRE que se genera desde la IP de transporte del túnel de origen hasta la IP de transporte del túnel de destino, mientras que la carga útil del paquete GRE (la IP interior) será la IP del túnel de origen y destino.
Si la prueba de ping no tiene éxito y se verifican los elementos anteriores, es posible que se requiera una captura de paquetes para garantizar que el ping icmp está dando lugar a un paquete GRE que luego se encapsula en un paquete IPsec y luego se envía desde la dirección IPsec de origen a la dirección IPsec de destino. Los contadores en la interfaz del túnel de GRE y los contadores de sesiones de IPsec también pueden ayudar a mostrar si los paquetes de envío y recepción están aumentando.
Además del tráfico de ping, la captura también debe mostrar paquetes GRE keepalive incluso durante el tráfico inactivo. Por último, si se configura BGP, los paquetes keepalive de BGP también deben enviarse como paquetes GRE encapsulados en paquetes IPSEC y a través de la VPN.
Resolución de problemas y validación de BGP
Sesiones de BGP
Se requiere BGP como protocolo de enrutamiento a través del túnel VPN IPsec. El vecino local de BGP debe establecer una sesión de eBGP con el vecino de BGP de instancia exclusiva. Las direcciones IP vecinas de eBGP son las mismas que las direcciones IP locales y remotas del túnel. En primer lugar, asegúrese de que la sesión de BGP esté activa y, a continuación, verifique que se reciban las rutas correctas de Dedicated Instance y que se envíe la ruta predeterminada correcta a Dedicated Instance.
Si el túnel GRE está activado, verifique que haya un ping correcto entre la IP local y la remota del túnel GRE. Si el ping tiene éxito pero la sesión de BGP no está llegando, investigue el registro de BGP para detectar errores de establecimiento de BGP.
Algunas de las cuestiones más comunes de negociación de BGP son:
-
El número de AS remoto no coincide con el número de AS configurado en el lado de Dedicated Instance; vuelva a verificar la configuración del AS vecino.
-
El número de AS local no coincide con lo que espera el lado de la instancia dedictada; verifique que el número de AS local coincida con los parámetros de la instancia dedicada esperados.
-
Un firewall impide que los paquetes BGP TCP encapsulados en paquetes GRE se envíen al túnel de IPsec o se reciban desde el túnel de IPSEC
-
La IP remota del vecino de BGP no coincide con la IP remota del túnel de GRE.
Intercambio de rutas BGP
Una vez verificada la sesión de BGP para ambos túneles, asegúrese de que se envían y reciben las rutas correctas desde el lado de Dedicated Instance.
La solución VPN de Dedicated Instance espera que se establezcan dos túneles desde el lado cliente/socio. El primer túnel apunta al datacenter A de instancia dedicada y el segundo túnel apunta al datacenter B de instancia dedicada. Ambos túneles deben estar en estado activo y la solución requiere un despliegue activo/activo. Cada centro de datos de Dedicated Instance anunciará su ruta local /25, así como una ruta de respaldo /24. Al comprobar las rutas BGP entrantes desde la instancia dedicada, asegúrese de que la sesión BGP asociada con el túnel que apunta al datacenter A de la instancia dedicada reciba la ruta local del datacenter A /25 de la instancia dedicada, así como la ruta de copia de seguridad /24. Además, asegúrese de que el túnel que apunta al datacenter B de Dedicated Instance reciba la ruta local de Dedicated Instance B /25, así como la ruta de copia de seguridad /24. Tenga en cuenta que la ruta de copia de seguridad /24 será la misma ruta anunciada desde el datacenter A de instancia dedicada y el datacenter B de instancia dedicada.
Se proporciona redundancia a un centro de datos de instancia exclusiva si la interfaz del túnel con ese centro de datos se interrumpe. Si se pierde la conectividad con el datacenter A de instancia exclusiva, el tráfico se reenviará desde el datacenter B de instancia exclusiva al datacenter A. En esta situación, el túnel al datacenter B utilizará la ruta de datacenter B /25 para enviar tráfico al datacenter B y el túnel al datacenter B utilizará la ruta de copia de seguridad /24 para enviar tráfico al datacenter A a través del datacenter B.
Es importante que, cuando ambos túneles estén activos, el datacenter A no se utilice para enviar tráfico al datacenter B y viceversa. En esta situación, si el tráfico se envía al centro de datos A con un destino del centro de datos B, el centro de datos A reenviará el tráfico al centro de datos B y, a continuación, el centro de datos B intentará enviar el tráfico de vuelta al origen a través del túnel del centro de datos B. Esto dará lugar a un enrutamiento insuficiente y también puede romper los firewalls que atraviesan el tráfico. Por lo tanto, es importante que ambos túneles estén en una configuración activa/activa durante el funcionamiento normal.
La ruta 0.0.0.0/0 debe anunciarse desde el lado del cliente al lado del centro de datos de Dedicated Instance. El lado de Dedicated Instance no aceptará rutas más específicas. Asegúrese de que la ruta 0.0.0.0/0 se anuncie desde el túnel A del centro de datos de la instancia dedicada y el túnel B del centro de datos de la instancia dedicada.
Configuración de MTU
En el lado de Dedicated Instance, se habilitan dos funciones para ajustar dinámicamente la MTU para paquetes de gran tamaño. El túnel GRE agrega más encabezados a los paquetes IP que fluyen a través de la sesión VPN. El túnel IPsec agrega los encabezados adicionales encima de los encabezados GRE reducirá aún más la mayor MTU permitida sobre el túnel.
El túnel GRE ajusta la función MSS y la ruta del túnel GRE en la función de descubrimiento de MTU está habilitada en el lado de Dedicated Instance. Configure el comando "ip tcp adjust-mss 1350" o equivalente, así como el comando "tunnel path\u0002mtu-discovery" o equivalente en el lado del cliente para ayudar con el ajuste dinámico de MTU del tráfico a través del túnel VPN.