はじめに

仮想接続は、仮想マシンの専用インスタンス(専用インスタンス)へのクラウド接続Webex Calling追加オプションです。 仮想接続により、顧客はポイント・ポイントの IP VPN トンネルを使用して、インターネット上のプライベート・ネットワークを安全に拡張することができます。 この接続オプションにより、既存の顧客設置型機器(CPE)とインターネット接続を使用することで、プライベートネットワーク接続を簡単に利用できます。

Cisco ホストは、サービスが必要な Cisco の専用インスタンスデータセンター地域で、冗長 IP VPN トンネルと必要なインターネットアクセスを管理し、保証します。 同様に、管理者は Virtual Connect に必要な CPE およびインターネットサービスに対応する責任を負います。

特定の専用インスタンス領域での各仮想接続の注文には、IPSec 暗号化(GRE over IPSec)により保護された一般的なルーティング(GRE)トンネルが含まれます。1 つは選択された地域の各 Cisco データセンターに対し 1 つです。

仮想接続の帯域幅の制限はトンネルごとに 250 Mbps です。より小さな展開を行う場合は推奨しています。 2 つのポイントツーポイント VPN トンネルが使用されるため、クラウドへのすべてのトラフィックは、顧客のヘッドエンド CPE を通過する必要があります。そのため、リモートサイトが多い場合は適切ではありません。 他の代替ピアリング オプションについては、「クラウド接続性 」を参照してください

前提条件

仮想接続を確立するための前提条件:

  • 顧客が提供する情報

    • 展開をサポートするのに十分な帯域幅でのインターネット接続

    • 2 つの IPSec トンネル用のパブリック IP アドレス

    • 2 つの GRE トンネルの顧客側の GRE トランスポート IP アドレス

  • パートナーと顧客

    • 帯域幅の要件を評価するために共に作業を行います

    • ネットワーク デバイス (BGP) ルーティングボーダー ゲートウェイ プロトコル IPSec トンネル デザイン上の GRE をサポートしていることを確認します

  • パートナーまたは顧客が提供する

    • サイト間 VPN トンネル技術の知識を持つネットワークチーム

    • BGP、eB BGP、一般的なルーティング原理の知識を持つネットワーク チーム

  • Cisco

    • Cisco により割り当てられたプライベート自動電子メールアドレス (ASN) と GRE トンネルインターフェースへの一時的 IP アドレス指定

    • Cisco は、専用インスタンス クラウド アドレス指定にパブリックただしインターネット アクセス可能なクラス C (/24) ネットワークを割り当てて済みです

顧客が 1 つの CPE デバイスのみを持っている場合、各地域の Cisco のデータセンター (DC1 および DC2) に向かう 2 つのトンネルは、その CPE デバイスから来たものとなります。 顧客はまた、2 つの CPE デバイスに対するオプションをもち、各 CPE デバイスは、各地域の Cisco のデータセンター (DC1 および DC2) にのみ対して 1 トンネルにのみ接続する必要があります。 追加の冗長性は、各トンネルを顧客のインフラストラクチャ内にある別々の物理的なサイト/ロケーションに終了することで、達成できます。

技術的な詳細

展開モデル

Virtual Connectは、デュアルティアのヘッドエンドアーキテクチャを使用し、ルーティングとGREコントロール飛行機が 1 つのデバイスによって提供され、IPSec コントロール飛行機が別のデバイスによって提供されます。

「Virtual Connect」接続が完了すると、顧客のエンタープライズネットワークと専用インスタンスのシスコのデータセンター間に 2 つの GRE over IPSec トンネルが作成されます。 各地域内の1対1の冗長データセンター。 前提条件で示されている通り、/24 ネットワークは、パートナーまたは顧客から、仮想接続の構成で使用される必要があります。 ピアリングに必要な追加のネットワーク要素は、Control Hub Virtual Connect アクティベーション フォームを通じて、パートナーまたは顧客から Cisco に交換されます。

図1は、顧客側の 2 集客オプションの Virtual Connect 展開モデルの例を示しています。

仮想接続 - VPN はハブ設計であり、顧客のハブ サイトが特定の地域内の専用インスタンスのデータセンターの DC1 および DC2 に接続されます。

より良い冗長性のためには、2 つのハブ サイトが推奨されますが、2 つのトンネルを持つ One Hub サイトもサポートされている展開モデルです。

トンネルあたりの帯域幅は 250 Mbps に制限されています。

同じ地域内にある顧客のリモート サイトは、顧客の WAN 上のハブ サイトに戻る必要があります。また、その接続に対する Cisco の責任ではありません。

パートナーは顧客との密接に取り組む必要があります。「仮想接続」サービス地域に最適なパスが選択されます。

図2は、専用インスタンスクラウド接続ピアリング地域を示します。

ルーティング

Virtual Connect アドオンのルーティングは、専用インスタンスと顧客の設置型機器 (CPE) の間の外部 BGP (eB BGP) を使用して実装されます。 Cisco は顧客の CPE に地域内の各冗長 DC に対してそれぞれのネットワークをアドバタイズし、CPE は Cisco へのデフォルトルートをアドバタイズする必要があります。

  • Cisco は、

    • トンネルインターフェースIPアドレス指定(ルーティング用の一時的なリンク)Cisco は指定された共有アドレススペース(非パブリックルート)から割り当てる

    • トンネルトランスポートアドレス(シスコ側)

    • 顧客 BGP ルーティング構成用のプライベートな自律システム番号 (ASN)

      • Cisco は指定されたプライベートの使用範囲から割り当てる: 64512 ~ 65534

  • eBGP は、専用インスタンスと CPE 間のルートを交換するために使用されます。

    • Cisco は指定された /24 ネットワークを各地域の各 DC に割り当て済み /25 に分割します

    • Virtual Connect 各 /25 ネットワークは、各ポイント間 VPN トンネル(一時的リンク)で Cisco により CPE にアドバタイズされます

    • CPE は適切な eBGP 近隣で構成される必要があります。 1 つの CPE を使用する場合、2 つの eBGP 近隣が使用されます。1 つのリモートトンネルが 1 つポイントになります。 2 つの CPE を使用する場合、各 CPE は 1 つの eBGP 近隣を持ち、CPE 用の 1 つのリモート トンネルに接続します。

    • 各 GRE トンネル (トンネルインターフェイス IP) の Cisco 側は、CPE の BGP 近隣として構成されます

    • CPE は各トンネルでデフォルトのルートをアドバタイズする必要があります

    • CPE は必要に応じて、サイト管理人の企業ネットワーク内で知らされたルートを再配布する責任を持っています。

  • 非障害リンク障害状態では、単一 CPE には 2 つのアクティブ/アクティブトンネルがあります。 2 つの CPE ノードについて、各 CPE は 1 つのアクティブなトンネルを持ち、両方の CPE ノードをアクティブにし、トラフィックを渡す必要があります。 非障害シナリオの下で、トラフィックは正しい /25 宛先に進む 2 つのトンネルで分割する必要があります。トンネルの 1 つがダウンした場合、残りのトンネルは両方のトラフィックを実行できます。 このような障害シナリオの下では、/25 ネットワークがダウンすると、/24 ネットワークがバックアップルートとして使用されます。 Cisco は、接続が失われた DC に対して、内部 WAN 経由で顧客のトラフィックを送信します。

接続プロセス

次の高レベル手順では、専用インスタンスで仮想 Connect を接続する方法を説明します。

1

Cisco CCW で注文を行う
2

コントロール ハブから仮想接続をアクティベートする
3

Cisco はネットワーク構成を実行します
4

顧客はネットワーク構成を実行します

ステップ1: CCW での注文

Virtual Connect は、CCW の専用インスタンスのアドオンです。

1

CCW 注文サイトに移動し、[ログイン] をクリックして、サイトにサインオンします。

https://apps.cisco.com/Commerce/guest.
2

見積もりを作成します。
3

「A-FLEX-3」SKU を追加します。
4

[オプションの編集] を選択します。
5

表示される [サブスクリプション] タブで、[オプション] と [アドオン] を選択します。
6

[アドオンの追加] から [専用インスタンスの仮想接続] の隣にあるチェックボックスを選択します。 SKU 名は「A-FLEX-DI-VC」です。
7

仮想接続が必要な地域の数と数を入力します。


 
仮想接続の数量が、専用インスタンスのために購入した地域の総数を超えるべきではありません。 また、地域ごとに 1 つの仮想接続オーダーのみ許可されます。
8

選択に満足したら、ページ右上の [確認して保存] をクリックします。
9

[保存して続行] をクリックして注文を確定します。 確定した注文が注文グリッドに入る。

ステップ 2: Control Hub での Virtual Connect のアクティベーション

1

Control Hub にサインインします https://admin.webex.com/login
2

[サービス] セクション で、[クラウド接続 の>で [通話>] に移動します
3

仮想接続カードで、購入した仮想接続の数量が一覧表示されます。 管理者は [アクティベート] を クリックして 、仮想接続のアクティベーションを開始できます。


 
アクティベーション プロセスは、「カスタマー フル管理者」ロールを持つ管理者によってのみトリガされます。 一方、「顧客読み取り専用管理者」ロールを持つ管理者はステータスのみ表示できます。
4

アクティベート ボタンをクリックすると、管理者に仮想接続のアクティベーション フォームが表示され、Cisco 側のピア設定で必要な Virtual Connect の技術的詳細を提供します。


 
このフォームは、選択された地域に基づいて、Cisco の側に静的情報も提供します。 この情報は、顧客側の CPE が接続を確立するために構成する場合に役立ちます。

  1. GRE トンネルトランスポート IP アドレス: 顧客は顧客の横向きトンネル トランスポート IP アドレスを提供する必要があります。アクティベーションが完了すると、Cisco は動的に IP アドレスを割り当てる必要があります。 興味深いトラフィックに対する IPSec ACL は、ローカル トンネル トランスポート IP/32 からリモート トンネル トランスポート IP/32 を許可する必要があります。 ACL は GRE IP プロトコルのみを指定する必要があります。


     
    顧客が提供する IP アドレスは、プライベートまたはパブリックすることができます。

  2. IPSec ピア: 顧客は IPSec Tunnel のソース IP アドレスを提供する必要があります。Cisco は IPSec 宛先 IP アドレスを割り当てる必要があります。 内部 INAT トンネルアドレスの NAT 翻訳をパブリックアドレスに実行するのも、必要に応じてサポートされます。


     

    顧客が提供する IP アドレスは公開されている必要があります。

     
    アクティベーション画面に表示されるその他すべての静的情報は、Cisco 側のセキュリティと暗号化標準が続きます。 この静的構成はカスタマイズまたは変更できません。 Cisco 側の静的設定に関するそれ以上の支援を得る場合、顧客は TAC に連絡する必要があります。
5

すべての必須フィールドの 入力が 完了したら、[アクティブにする] ボタンをクリックします。
6

一部の地域に対して仮想接続アクティベーション フォームが完了した後で、顧客は Control Hub、Calling > [専用インスタンス] > [クラウド接続] タブからアクティベーション フォームをエクスポートし、[エクスポート設定] をクリックできます。


 
セキュリティ上の理由により、認証と BGP パスワードがエクスポートされたドキュメントで使用できませんが、管理者は Control Hub の下の [設定の表示] をクリックすることで、Control Hub でも同じことを表示できます。[コール > 専用インスタンス > クラウド接続] タブ。

ステップ 3: Cisco はネットワーク構成を実行します

1

仮想接続アクティベーション フォームが完了すると、ステータスが [アクティベーション中] に更新されます。 > 専用インスタンス > Cloud Connectivity Virtual Connect カードで進行中です。
2

Cisco は、4 営業日以内に Cisco の サイド機器に必要な設定を完了します。 正常に完了すると、Control Hub の特定の地域に対してステータスが「アクティベート済み」に更新されます。

ステップ 4: 顧客はネットワーク構成を実行します

状態が「アクティベート済み」に変更され、顧客管理者に、IP VPN 接続に対する Cisco 側の構成が、顧客から提供された入力に基づいて完了したと通知します。 しかし、顧客管理者は CCPEs 上の設定の横にある完了を済み、仮想接続トンネルをオンラインにするための接続ルートをテストする必要があります。 設定または接続の時に直面した問題が発生した場合、顧客は Cisco TAC に支援を求めてもらいます。