Introduction

Virtual Connect est une option supplémentaire pour la connectivité du Cloud à l’instance dédiée Webex Calling (Instance dédiée). Virtual Connect permet aux clients d’étendre en toute sécurité leur réseau privé sur Internet en utilisant un VPN IP point à point. Cette option de connectivité offre une installation rapide de la connexion réseau privée en utilisant l’équipement clientèle sur site (CPE) et la connectivité Internet existante.

Cisco héberge, gère et assure le VPN IP redondant et l’accès Internet requis dans la/les région(s) des centres de données dédiés de Cisco où le service est requis. De même, les administrateurs sont responsables de leurs services CPE et Internet correspondants qui sont requis pour l’installation de Virtual Connect.

Chaque ordre Virtual Connect dans une région d’instance dédiée particulière comprend deux algorithmes de routage génériques (GRE) protégés par un chiffrement IPSec (GRE sur IPSec), un à chaque centre de données Cisco dans la région sélectionnée.

Virtual Connect a une limite de bande passante de 250 Mbps par tunnel et est recommandé pour les déploiements plus petits. Puisque deux VPN point à point sont utilisés tout le trafic vers le Cloud doit passer par l’en-tête du client CPE, et il peut donc ne pas être approprié lorsqu’il y a beaucoup de sites distants. Pour d’autres options de peering (peering), reportez-vous à connectivité sur le Cloud.

Conditions préalables

Les prérequis pour l’établissement de Virtual Connect incluent :

  • Le client fournit

    • Connexion Internet avec bande passante disponible suffisante pour prendre en charge le déploiement

    • Adresse(s) IP publique(s) pour deux IPSec

    • Adresses IP de transport GRE côté client pour les deux GRE

  • Partenaire et Client

    • Travaillez ensemble pour évaluer les besoins en bande passante

    • Assurez-vous que le(s) périphérique(s) réseau(s) Border Gateway Protocol de routage (BGP) et une conception de tunnel GRE sur IPSec

  • Le partenaire ou le client fournit

    • Équipe réseau avec connaissance des technologies de tunnel VPN de site à site

    • Une équipe réseau approfondie des principes de BGP, eBGP et de routage général

  • Cisco

    • Cisco a attribué des numéros de système auto-annonce privés (ASN) et une adresse IP transitoire pour les interfaces tunnel GRE

    • Cisco a attribué un réseau de classe C (/24) public mais pas Internet routable pour l’adresse Dedicated Instance Cloud


Si un client a uniquement 1 périphérique CPE, alors le 2 vers les centres de données Cisco (DC1 et DC2) dans chaque région, seront de ce périphérique CPE. Le client a également une option pour 2 périphériques CPE, chaque périphérique CPE doit se connecter au tunnel 1 uniquement vers les centres de données de Cisco (DC1 et DC2) dans chaque région. Une redondance supplémentaire peut être réalisée en terminant chaque tunnel dans un site physique séparé/emplacement dans l’infrastructure du client.

Détails techniques

Modèle de déploiement

Virtual Connect utilise une architecture de fin à deux niveaux, où les avions de routage et de contrôle GRE sont fournis par un périphérique et le plan de contrôle IPSec est fourni par un autre.

Une fois la connectivité « Virtual Connect » terminée, deux GRE sur IPSec seront créés entre le réseau d’entreprise du client et les centres de données de l’instance dédiée Cisco. Un à chaque centre de données redondant dans la région respective. Comme indiqué dans les conditions préalables, un réseau /24 sera requis par le partenaire ou le client pour être utilisé dans la configuration de Virtual Connect. Les éléments réseau supplémentaires requis pour l’peering sont échangés par le partenaire ou le client avec Cisco via le formulaire d’activation Control Hub Virtual Connect.

La figure 1 montre un exemple de modèle de déploiement De Virtual Connect pour l’option 2-ct à côté du client.

Virtual Connect - VPN est une conception de concentrateur, où les sites du concentrateur du client sont connectés au CD1 et au CD2 des centres de données de l’instance dédiée dans une région particulière.

Deux sites Hub sont recommandés pour une meilleure redondance, mais le site One Hub avec deux autres sites est également un modèle de déploiement pris en charge.


La bande passante par tunnel est limitée à 250 Mbps.


Les sites distants du client dans la même région, auraient besoin de se connecter au(s) site(s) du concentrateur sur la réseau WAN du client et Cisco n’est pas responsable de cette connectivité.

Les partenaires sont attendus à travailler en collaboration étroite avec les clients, garantissant ainsi que la voie la plus optimale est choisie pour la région de service « Virtual Connect ».

La figure 2 montre les régions de peering d’instance dédiée de connectivité du Cloud.

Routage

Le routage pour l’add-on Virtual Connect est implémenté en utilisant le BGP (eBGP) externe entre l’instance dédiée et l’équipement du client sur site (CPE). Cisco publiera leur réseau respectif pour chaque CD redondant dans une région vers l’IE du client et celui-ci est requis pour publier un route par défaut vers Cisco.

  • Cisco conserve et attribue

    • Adresse IP de l’interface Tunnel (lien transitoire pour le routage) Cisco attribue à partir d’un espace d’adresse partagée désigné (non routable publiquement)

    • Adresse de désitination du transport tunnel (du côté de Cisco)

    • Numéros de système autonomes privés (ASN) pour la configuration de routage BGP du client

      • Cisco attribue à partir de la plage d’utilisation privée désignée : 64512 à 65534

  • EBGP utilisé pour échanger les routes entre l’instance dédiée et CPE

    • Cisco divisera le réseau attribué /24 en 2/25 un pour chaque CD dans la région respective.

    • Dans Virtual Connect, chaque /25 réseau est à nouveau annoncé sur CPE par Cisco sur le VPN de point à point respectif (lien transitoire)

    • CPE doit être configuré avec la configuration eBGP appropriée. Si vous utilisez un CPE, deux champs eBGP seront utilisés, un pointant vers chaque tunnel distant. Si vous utilisez deux CPE, alors chaque CPE aura un point de ponitage eBGP voisin au tunnel distant unique pour le CPE.

    • Le côté Cisco de chaque tunnel GRE (interface IP de tunnel) est configuré en tant que BGP voisin sur le CPE

    • CPE est obligatoire pour publier un route par défaut sur chacun des navigateurs

    • CPE ne peut pas redistribuer, si nécessaire, les routages appris dans le réseau d’entreprise du cutomer.

  • En cas de situation de d’échec de non-échec, un seul CPE aura deux CPE actifs/actifs. Pour deux nodes CPE, chaque CPE aura un tunnel actif et les deux nodes CPE doivent être actifs et passer le trafic. En cas de situation de non panne, le trafic doit être divisé par deux vers les destinations correctes /25, si l’une des destinations est en panne, le tunnel restant peut transporter le trafic des deux. Dans un tel scénario de panne, lorsque le réseau /25 est à l’arrêt alors le réseau /24 est utilisé comme route de sauvegarde. Cisco enverra le trafic client via son WAN interne vers le CD qui a perdu la connectivité.

Processus de connectivité

Les étapes de haut niveau suivantes décrivent comment établir une connectivité avec Connect virtuelle pour l’instance dédiée.

1.

Commandez dans Cisco CCW

2

Activer La connexion virtuelle à partir de Control Hub

3

Cisco effectue la configuration réseau

4

Le client effectue la configuration réseau

Étape 1 : Commande CCW

Virtual Connect est un add-on pour l’instance dédiée dans CCW.

1.

Accédez au site de commande CCW, puis cliquez sur Connexion pour vous connecter au site :

2

Création d’une estimation.

3

Ajouter un SKU « A-FLEX-3 ».

4

Sélectionnez Modifier les options.

5

Dans l’onglet Abonnement qui s’affiche, Sélectionnez Options et Add-ons.

6

Sous Add-ons supplémentaires, cochez la case à côté de « Virtual Connect for Dedicated Instance ». Le nom SKU est « A-FLEX-DI-VC ».

7

Entrez la quantité et le nombre de régions dans lesquelles Virtual Connect est nécessaire.


 
La quantité de Virtual Connect ne doit pas dépasser le nombre total de régions achetées pour l’instance dédiée. En outre, un seul ordre Virtual Connect est autorisé par région.
8

Lorsque vous êtes satisfait de vos choix, cliquez sur Vérifier et enregistrer dans la partie en haut à droite de la page.

9

Cliquez sur Enregistrer et Continuer pour finaliser votre commande. Votre ordre finalisé appose maintenant dans la grille d’ordre.

Étape 2 : Activation de Virtual Connect dans Control Hub

1.

Connectez-vous à Control Hub https://admin.webex.com/login.

2

Dans la section Services , accédez à la section Appel > connexion dédiée > connectivité Cloud.

3

Dans la carte Virtual Connect, la quantité de Virtual Connect achetée est répertoriée. L’administrateur peut maintenant cliquer sur Activer pour initier l’activation de Virtual Connect.


 
Le processus d’activation peut être déclenché uniquement par les administrateurs ayant le rôle « d’administrateur clientèle complet ». Cependant, un administrateur avec le rôle « Admin du client en lecture seule » ne peut voir que le statut.
4

En cliquant sur le bouton Activer, le formulaire Activer Virtual Connect s’affiche pour que l’administrateur fournisse les détails techniques de Virtual Connect nécessaires pour les configurations d’peering (peering) du côté de Cisco.


 
Le formulaire fournit également des informations statiques du côté de Cisco, en fonction de la région sélectionnée. Ces informations seront utiles pour les administrateurs clients pour configurer l’PE sur leur côté pour établir la connectivité.
  1. Adresse IP de transport GRE Tunnel : Le client est tenu de fournir les adresses IP de transport tunnel latérales du client et Cisco affectera dynamiquement les adresses IP lorsque l’activation sera terminée. L’IPSec ACL pour un trafic intéressant doit autoriser le transport local tunnel IP/32 à distance Transport IP/32. L’ACL doit également spécifier uniquement le protocole IP GRE.


     
    L’adresse IP fournie par le client peut être privée ou publique.
  2. Pairs IPSec : Le client est tenu de fournir les adresses IPSec Tunnel source et Cisco alloue l’adresse IPSec de destination. Effectuer la traduction NAT d’une adresse interne IPSEC tunnel à une adresse publique est également pris en charge si nécessaire.


     

    L’adresse IP fournie par le client doit être publique.


     
    Toutes les autres informations statiques fournies dans l’écran d’activation sont le suivi des normes de sécurité et de chiffrement de Cisco. Cette configuration statique n’est pas personnalisable ou modifiable. Pour une assistance supplémentaire concernant les configurations statiques du côté de Cisco, le client doit joindre le CAT.
5

Cliquez sur le bouton Activer lorsque tous les champs obligatoires sont remplis.

6

Une fois que le formulaire d’activation Virtual Connect est rempli pour une région particône, le client peut Exporter le formulaire d’activation à partir de Control Hub, l’onglet Appel > Instance dédiée > Connectivité sur le Cloud et cliquer sur Exporter les paramètres.


 
Pour des raisons de sécurité, l’authentification et le mot de passe BGP ne seront pas disponibles dans le document exporté, mais l’administrateur peut afficher la même chose dans Control Hub en cliquant sur Paramètres d’affichage sous Control Hub, l’onglet Appel > Instance dédiée > sur le Cloud.

Étape 3 : Cisco effectue la configuration réseau

1.

Lorsque le formulaire d’activation Virtual Connect est terminé, le statut est mis à jour sur Activation en cours dans l’appel > instance dédiée > carte Connexion virtuelle sur le Cloud.

2

Cisco effectuera les configurations requises sur l’équipement cisco dans les 4 jours ou moins. Lorsque ce sera terminé, le statut sera mis à jour sur « Activé » pour cette région particulière dans Control Hub.

Étape 4 : Le client effectue la configuration réseau

Le statut est changé en « Activé » pour avertir l’administrateur du client que le côté de la configuration de Cisco pour la connectivité VPN IP a été rempli en fonction des entrées fournies par le client. Mais, l’administrateur du client est attendu de terminer ses configurations sur les CP et de tester les chemins de connectivité pour que le tunnel Virtual Connect soit En ligne. En cas de problèmes rencontrés au moment de la configuration ou de la connectivité, le client peut joindre le CAT Cisco (Centre d’assistance technique) pour obtenir de l’aide.