Virtual Connect オプションは、ポイントツーポイントIP VPNトンネルを使用して、インターネット上のプライベートネットワークを安全に拡張するのに役立ちます。
はじめに
バーチャル接続は、 Webex Callingの専用インスタンス(専用インスタンス)へのクラウド接続のための追加アドオン オプションです。 バーチャルコネクトにより、顧客はポイントツーポイントIP VPNトンネルを使ってプライベートネットワークを安全に拡張することができます。 この接続オプションは、既存の顧客の設置場所の機器 (CPE) とインターネット接続を使用して、プライベート ネットワーク接続を迅速に確立します。
Ciscoは、サービスが必要な Cisco の専用インスタンス データセンター地域内で冗長なIP VPNトンネルおよび必要なインターネット アクセスをホスト、管理、および保証します。 同様に、管理者は対応する CPE とバーチャルコネクトの確立に必要なインターネットサービスに対する責任を負います。
特定の専用インスタンス地域での各 Virtual Connect の注文には、 IPSec暗号化 (GRE over IPSec) で保護された 2 つの Generic Routing Encape (GRE) トンネルが含まれます。
Virtual Connect はトンネル毎に 250 Mbps の帯域幅制限があり、小規模な展開に推奨されます。 2 つのポイントツーポイントVPNトンネルが使用されるため、クラウドへのすべてのトラフィックは、カスタマー ヘッドエンド CPE を通過する必要があり、多くのリモート サイトがある場合には適していない場合があります。 他の代替ピアリング オプションについては、クラウドの接続性を選択します。
前提条件
バーチャルコネクトを確立するための前提条件は以下の通りです。
顧客が提供
展開をサポートするために十分な帯域幅を確保したインターネット接続
2 つのIPSecトンネルのパブリックIPアドレス
2 つのGRE トンネルのカスタマー側のGRE トランスポートIPアドレス
パートナーおよび顧客
と協力して帯域幅の要件を評価する
ネットワーク デバイスが Border Gateway Protocol(BGP)ルーティングとGRE over IPSecトンネル設計をサポートしていることを確認します
パートナーまたは顧客が
サイト間のVPNトンネル テクノロジーの知識を持つネットワーク チーム
BGP、eBGP、一般的なルーティング原則の知識を持つネットワーク チーム
Cisco
Ciscoによって割り当てられたプライベート自律システム番号(ASN)とGRE トンネル インターフェイスの一時IPアドレッシング
Ciscoは、専用インスタンス クラウドアドレッシングにパブリックが、インターネット ルーティング不能な クラス C (/24) ネットワークを割り当てていません
 |
お客様が CPE デバイスを 1 台のみ所有している場合、各地域のシスコのデータセンター(DC1 と DC2)への 2 つのトンネルは、その CPE デバイスからになります。 顧客は 2 CPE デバイスのためのオプションもあります、そして、各 CPE デバイスは各地域の Cisco のデータセンター (DC1 および DC2) に向けた 1 つのトンネルにのみ接続する必要があります。 追加の冗長性は、顧客のインフラストラクチャ内の別々の物理サイト/場所で各トンネルを終了することにより実現できます。 |
技術的な詳細
展開モデル
Virtual Connect は、デュアルティア ヘッドエンド アーキテクチャを使用します。このアーキテクチャでは、1 つのデバイスによりルーティングおよび Gmail コントロール プレーンが提供され、 IPSecコントロール プレーンが別のデバイスによって提供されます。
ミーティングが完了したら、バーチャルコネクト接続の場合、お客様の企業ネットワークと専用インスタンスである Cisco のデータセンター間に 2 つのIPSecトンネル経由の 2 つのGRE が作成されます。 各リージョン内の各冗長データセンターに 1 つ。 ピアリングに必要な追加ネットワーク要素は、コントロール ハブバーチャルコネクトアクティベーション フォームを介して、パートナーまたは顧客によりCiscoに交換されます。
図 1 は、顧客側の 2 台のコンセントレータオプションの Virtual Connect の展開モデルの例を示しています。
仮想接続 - VPNはハブ設計であり、顧客のハブサイトは特定地域内の専用インスタンスのデータセンターの DC1 および DC2 に接続されます。
より良い冗長性のためには 2 つのハブ サイトが推奨されますが、2 つのトンネルを持つ 1 つのハブ サイトもサポートされている展開モデルです。
|
トンネルごとの帯域幅は 250 Mbps に制限されています。 |
 |
同じ地域内の顧客のリモート サイトは、顧客の WAN を経由して Hub サイトに接続する必要がありますが、その接続に対する Cisco の責任はありません。 |
パートナーは顧客と緊密に連携し、「バーチャル コネクト」サービス地域に最も適したパスが選択されるようにすることが求められます。
図 2 は、専用インスタンス のクラウド接続ピアリング地域を示しています。
ルーティング
Virtual Connect アドオンのルーティングは、専用インスタンスと顧客のオンプレミス機器 (CPE) の間で外部 BGP (eBGP) を使用して実装されます。 Ciscoは、領域内の各冗長 DC のそれぞれのネットワークを顧客の CPE に通知し、CPE はデフォルト ルートをCiscoに通知する必要があります。
Ciscoは、
トンネル インターフェイスのIPCisco(ルーティング用の一時的なリンク)で、指定された共有アドレススペースから(パブリックにルーティングされない)
トンネルトランスポート宛先アドレス(シスコ側)
顧客 BGP ルーティング構成のプライベート自律システム番号 (ASN)
Ciscoは指定された私使用範囲から次を割り当てます。 64512 ~ 65534
専用インスタンスと CPE 間のルート交換に使用される eBGP
Ciscoは、割り当てられた /24 ネットワークを、それぞれの地域の DC ごとに 2 /25 に分割します
Virtual Connectでは、各 /25 ネットワークは、それぞれのポイント間VPNトンネル(一時的リンク)経由でCiscoによって CPE に戻されます。
CPE は適切な eBGP ネイバーで設定されている必要があります。 CPE を 1 つ使用する場合、2 つの eBGP ネイバーが使用され、1 つは各リモート トンネルをポイントします。 2 つの CPE を使用している場合、各 CPE には、その CPE の単一のリモート トンネルに接続する 1 つの eBGP ネイバーがあります。
各GREトンネルのCisco側(トンネルインターフェイスIP)は、CPEでBGPネイバーとして設定されます
CPEは、各トンネル上のデフォルトルートを通知するために必要です
CPE は、必要に応じて、顧客の企業ネットワーク内で学習したルートを再配布する責任を負います。
非障害リンク障害状態では、単一の CPE に 2 つのアクティブ/アクティブトンネルがあります。 2 つの CPE ノードの場合、各 CPE には 1 つのアクティブなトンネルがあり、両方の CPE ノードがアクティブでトラフィックを渡す必要があります。 障害が発生しない場合のシナリオでは、トラフィックは正しい /25 の宛先に送られる 2 つのトンネルで分割される必要があり、トンネルの 1 つがダウンした場合でも、残りのトンネルが両方のトラフィックを伝送することができます。 このような障害シナリオでは、/25 ネットワークがダウンすると、/24 ネットワークがバックアップルートとして使用されます。 Ciscoは、内部 WAN を介して、接続を失った DC に向けて顧客トラフィックを送信します。
接続プロセス
| 1 | |
| 2 | |
| 3 | |
| 4 |
ステップ1: CCW での注文
Virtual Connect は、CCW の専用インスタンスのためのアドオンです。
| 1 | CCW 注文サイトに移動して、[ログイン] をクリックしてサイトにサインオンします。 |
||
| 2 | 見積もりを作成します。 |
||
| 3 | 「A-FLEX-3」SKU を追加します。 |
||
| 4 | [オプションの編集] を選択します。 |
||
| 5 | 表示される [サブスクリプション] タブで、[オプションとアドオン] を選択します。 |
||
| 6 | [追加のアドオン] の下で、[専用インスタンスのバーチャル接続] の隣のチェック ボックスを選択します。 SKU 名は「A-FLEX-DI-VC」です。 |
||
| 7 | Virtual Connect が必要な数量と地域の数を入力します。
|
||
| 8 | 選択内容が完了したら、ページ右上の [確認と保存] をクリックします。 |
||
| 9 | [保存して続行] をクリックして注文を確定します。 確定した注文が注文画面に表示されます。 |
ステップ 2: Control Hub でのバーチャルコネクトのアクティベーション
| 1 | Control Hub にサインインhttps://admin.webex.com/loginを選択します。 |
||||||||
| 2 | [サービスセクション、次に移動します[通話] / [専用インスタント] / [クラウドの接続]を選択します。 |
||||||||
| 3 | Virtual Connect カードで、購入した Virtual Connect の数量がリストされます。 管理者は次をクリックしてアカウントの有効化バーチャルコネクトの有効化を開始します。 
|
||||||||
| 4 | クリックするとアカウントの有効化ボタン、 Virtual Connect を有効にするフォームが表示され、管理者はシスコ側のピアリング構成に必要な Virtual Connect の技術的な詳細を提供できます。
|
||||||||
| 5 | 設定を変更するために、アカウントの有効化ボタンをクリックします。 |
||||||||
| 6 | 特定の地域に対して Virtual Connect のアクティベーション フォームが完了した後、顧客は Control Hub からアクティベーション フォームをエクスポートできます。[通話] - [専用インスタンス] - [クラウド接続] タブを選択し、[設定のエクスポート] をクリックします。 
|
ステップ 3: Ciscoがネットワークの構成を実行
| 1 | Virtual Connect アクティベーション フォームの入力が完了すると、ステータスは以下のように更新されます。アクティベーション進行中[通話] の [専用インスタンス] に移動し、[クラウド接続バーチャル コネクト カード] を選択します。 |
| 2 | Ciscoは、社内のシスコ側の機器で必要な設定を完了します。 5 営業日を選択します。 正常に完了すると、Control Hub の特定の地域のステータスが「アクティベート済み」に更新されます。 |
ステップ 4: お客様はネットワークの構成を行います
状態は「アクティベート済み」に変更され、顧客の管理者に顧客の入力に基づいて Cisco 側のIP VPN接続の構成が完了したことが通知されます。 ただし、顧客管理者は、CPE で彼ら側の構成を完了し、バーチャルコネクトトンネルがオンラインになるための接続ルートをテストする必要があります。 構成時または接続時に問題が発生した場合は、 Cisco TACにごアシスタンスください。 |
トラブルシューティング
IPsec のファーストフェーズ(IKEv2 ネゴシエーション)のトラブルシューティングと検証
IPsec トンネル ネゴシエーションには、IKEv2 フェーズと IPsec フェーズの 2 つのフェーズがあります。 IKEv2 フェーズのネゴシエーションが完了しない場合、2 番目の IPsec フェーズは開始されません。 最初に、コマンド「show crypto IKEv2 sa」( Ciscoの装置) またはサードパーティの装置で同様のコマンドを発行して、IKEv2 セッションがアクティブであるかどうかを確認します。 IKEv2 セッションがアクティブでない場合、次の理由が考えられます。
対象トラフィックが IPsec トンネルをトリガーしません。
IPsec トンネル アクセス リストの設定に誤りがあります。
顧客と専用インスタンス IPsec トンネル エンドポイントIPの間に接続がありません。
IKEv2 セッション パラメータが、専用インスタンス側と顧客側で一致していません。
ファイアウォールが IKEv2 UDPパケットをブロックしている。
最初に、IKEv2 トンネル ネゴシエーションの進行状況を示すメッセージの IPsec ログを確認します。 このログは、IKEv2 ネゴシエーションに問題がある場所を示す場合があります。 また、ロギング メッセージがない場合は、IKEv2 セッションがアクティブになっていないことを示す場合もあります。
CPE 側の IKEv2 の設定がCisco側と一致しません。記載されている設定を再確認してください。
IKE バージョンがバージョン 2 であることを確認します。
暗号化および認証パラメータが専用インスタンス側で予想される暗号化と一致することを確認します。
「GCM」暗号が使用されている場合、GCM プロトコルは認証を処理し、認証パラメータを NULL に設定します。
ライフタイム設定を確認します。
Diffie Hellman モジュールグループを確認します。
仮想ランダム機能の設定を確認します。
暗号マップ用のアクセス リストに、次のように設定されていない。
[GRE 許可(Permit Gmail)](local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip ) 255.255.255.255" (または同等のコマンド)
アクセス リストは「GRE」プロトコル専用である必要があります。「IP」プロトコルは機能しません。
ログ メッセージに IKEv2 フェーズのネゴシエーション アクティビティが表示されていない場合は、パケット キャプチャが必要になることがあります。
|
専用インスタンス側は常に IKEv2 交換を開始するとは限らず、顧客の CPE 側がイニシエーターになることを期待する場合があります。 IKEv2 セッション開始に向けて以下の前提条件について CPE 側の設定を確認します。
|
正しく設定すると、IPsec トンネルと第 1 フェーズの IKEv2 ネゴシエーションが開始されます。
CPE 側のGRE トンネル インターフェイスから専用インスタンス側のGRE トンネル インターフェイスへのGRE キープアライブ。
CPE 側 BGP 近隣から専用インスタンス側 BGP 近隣への BGP 近隣TCPセッション。
CPE 側のトンネルIPアドレスから、専用インスタンス側のトンネルIPアドレスへの ping 。
Ping はトンネルトランスポートIPからトンネルトランスポート IP へはできず、トンネル IP からトンネルIPへのトンネルIPである必要がありIP。
IKEv2 トラフィックにパケット トレースが必要な場合は、 UDPに対して、ポート 500(IPsec エンドポイントの中央にある NAT デバイスがない場合)またはポート 4500(NAT デバイスが IPsec の中央に挿入されている場合)のいずれかのフィルタを設定します。エンドポイント)。
ポート 500 または 4500 の IKEv2 UDPパケットが DI IPsec IPアドレスとの間で送受信されることを確認します。
|
専用インスタンスのデータセンターは、常に最初の IKEv2 パケットを開始するとは限りません。 要件は、CPE デバイスが専用インスタンス側への最初の IKEv2 パケットを開始できることです。 ローカル ファイアウォールが許可している場合は、リモート IPsec アドレスへの ping も試行します。 ローカルからリモートの IPsec アドレスへの ping が成功しなかった場合は、ルートのトレースを実行し、パケットがドロップされた場所を特定します。 一部のファイアウォールとインターネット機器は、トレースルートを許可しない場合があります。 |
IPsec のセカンド フェーズ(IPsec ネゴシエーション)のトラブルシューティングと検証
IPsec の第 2 フェーズのトラブルシューティングを行う前に、IPsec の第 1 フェーズ(つまり、IKEv2セキュリティアソシエーション)がアクティブであることを確認します。 「show crypto IKEv2 sa」または同等のコマンドを実行して、IKEv2 セッションを確認します。 出力で、IKEv2 セッションがアップ状態になってから数秒以上経過していること、およびバウンスされていないことを確認します。 セッションの稼働時間は、セッションの「アクティブ時間」または出力に同等に表示されます。
IKEv2 セッションがアップし、アクティブであることを確認したら、IPsec セッションを調査します。 IKEv2 セッションの場合と同様に、「show crypto ipsec sa」または同等のコマンドを実行して IPsec セッションを確認します。 IKEv2 セッションと IPsec セッションの両方が、GRE トンネルの確立前にアクティブになっている必要があります。 IPsec セッションがアクティブとして表示されていない場合は、IPsec ログでエラー メッセージやネゴシエーション エラーを確認してください。
IPsec ネゴシエーション中に発生する可能性がある、より一般的な問題には、次のようなものがあります。
CPE 側の設定が専用インスタンス側と一致しません。設定を再確認してください:
[暗号化] および [認証] パラメータが専用インスタンス側の設定と一致することを確認します。
Personal Forward Secrecy 設定を確認し、専用インスタンス側の設定と一致することを確認します。
ライフタイム設定を確認します。
トンネル モードで IPsec が設定されていることを確認してください。
送信元と宛先の IPSec アドレスを確認します。
トンネル インターフェイスのトラブルシューティングと検証
IPsec および IKEv2 セッションが動作していてアクティブであることが確認されると、GRE トンネル キープアライブ パケットは、専用インスタンスと CPE トンネル エンドポイント間でフローすることができます。 トンネル インターフェイスがアップ ステータスで表示されない場合、いくつかの一般的な問題があります。
トンネル インターフェイス転送 VRF は、ループバック インターフェイスの VRF と一致しません(VRF 設定がトンネル インターフェイスで使用されている場合)。
VRF 設定がトンネル インターフェイスで使用されていない場合は、このチェックを無視することができます。
CPE側のトンネル インターフェイスでキープアライブが有効になっていない
キープアライブが CPE 機器でサポートされていない場合、専用インスタンス側のデフォルト キープアライブが無効になるようにCiscoに通知する必要があります。
キープアライブがサポートされている場合、キープアライブが有効であることを確認します。
トンネル インターフェイスのマスクまたはIPアドレスが正しくなく、専用インスタンスで想定される値と一致しません。
送信元または接続先のトンネル転送アドレスが正しくなく、専用インスタンスの必要値と一致しません。
ファイアウォールが、GRE パケットを IPsec トンネルへの送信、または IPsec トンネルからの受信からブロックしている(GRE トンネルは IPsec トンネル経由でトランスポートされます)
Ping テストでは, ローカル トンネル インターフェースが起動していること, およびリモート トンネル インターフェースへの接続が良好であることを確認する必要があります。 トンネルIP (トランスポートIPではなく) からリモートトンネルIPに対して ping チェックを実行します。
|
Gmail のトンネル トラフィックを伝送する IPsec トンネルの暗号アクセス リストでは、GRE パケットだけが許可されます。 その結果、トンネル転送IPからリモートのトンネル転送IPへの ping が機能しなくなります。 |
ping チェックの結果、ソース トンネルトランスポートIPから宛先トンネルトランスポートIPまで生成されたGRE パケットになり、GRE パケットのペイロード(内部IP)は送信元と宛先のトンネルIPになります。
ping テストに成功せずに、上記の項目が検証された場合は、icmp ping の結果として REST パケットに化された上で、GRE パケットを確認するためにパケット キャプチャが必要になることがあります。このパケットは、IPsec パケットにカプセル化されて、送信元 IPsec アドレスから次のアドレスに送信されます。接続先 IPSec アドレス。 Gmail トンネル インターフェイスと IPsec セッション カウンタのカウンタも、表示に役立ちます。送信パケットと受信パケットが増加している場合。
ping トラフィックに加えて、キャプチャではトラフィックがアイドル状態の場合でもキープアライブ Gmail のパケットが表示される必要があります。 最後に、BGP が設定されている場合、BGP キープアライブ パケットは、 VPN経由でも IPSEC パケットにカプセル化された Gmail として送信する必要があります。
BGP のトラブルシューティングと検証
BGP セッション
BGP は、 VPN IPsec トンネル経由でルーティング プロトコルとして必要です。 ローカル BGP 近隣は、専用インスタンス BGP 近隣との eBGP セッションを確立する必要があります。 eBGP ネイバーIPアドレスは、ローカルおよびリモート トンネルIPアドレスと同じです。 まず BGP セッションが起動していることを確認してから、専用インスタンスから正しいルートを受信し、正しいデフォルト ルートが専用インスタンスに送信されていることを確認します。
GRE トンネルがアップしている場合、ローカルとリモートの Gmail トンネルIP間で ping が成功することを確認します。 ping が成功したが、BGP セッションが起動しない場合は、BGP ログで BGP 確立エラーを調査します。
より一般的な BGP ネゴシエーションの問題の一部を以下に示します。
リモート AS 番号が、専用インスタンス側で設定されている AS 番号と一致しません。近隣の AS 設定を再確認してください。
ローカル AS 番号が指定のインスタンス側が期待したものと一致しません。ローカル AS 番号が予期された専用インスタンスのパラメータに一致していることを確認してください。
ファイアウォールが、GRE パケットにカプセル化された BGP TCPパケットの IPsec トンネルへの送信または IPSEC トンネルからの受信をブロックしている
リモート BGP ネイバーIPがリモート Gmail トンネルIPと一致しません。
BGP ルート交換
BGP セッションが両方のトンネルに対して検証されたら、専用インスタンス側から正しいルートが送受信されていることを確認します。
専用インスタンスVPNソリューションは、顧客/パートナー側から 2 つのトンネルを確立する必要があります。 最初のトンネルは専用インスタンスのデータセンター A を指し、2 番目のトンネルは専用インスタンスのデータセンター B を指します。両方のトンネルはアクティブ状態である必要があり、ソリューションにはアクティブ/アクティブ展開が必要です。 各専用インスタンスのデータセンターは、/24バックアップルートと同様に、ローカルの /25 ルートをアドバタイズします。 専用インスタンスからの着信 BGP ルートを確認するとき、専用インスタンスのデータセンター A を指すトンネルに関連付けられた BGP セッションが、専用インスタンス データセンター A の/25 ローカル ルート、および /24バックアップルートを受信することを確認してください。 加えて、専用インスタンスのデータセンター B を指すトンネルが、専用インスタンスのデータセンター B の/25 ローカルルートと/24バックアップルートを受け取るようにしてください。 /24バックアップルートは、専用インスタンスのデータセンター A と専用インスタンスのデータセンター B からアドバタイズされるルートと同じになります。
データセンターへのトンネル インターフェースがダウンした場合、専用インスタンスのデータセンターへ冗長性が確保されます。 専用インスタンスのデータセンター A への接続が失われた場合、トラフィックは専用インスタンスのデータセンター B からデータセンター A に転送されます。このシナリオでは、データセンター B へのトンネルはデータセンター B /25 ルートを使用して、データセンター B とトンネルにトラフィックを送信しますをデータセンター B に送信する場合、バックアップ/24 ルートを使用して、トラフィックをデータセンター B を経由してデータセンター A に送信します。
両方のトンネルがアクティブな場合、データセンター A のトンネルはデータセンター B にトラフィックを送信するために使用されず、その逆も同様です。 このシナリオでは、トラフィックがデータセンター B の宛先としてデータセンター A に送信される場合、データセンター A はトラフィックをデータセンター B に転送し、データセンター B はデータセンター B のトンネル経由でトラフィックを送信元に戻そうとします。 これにより、ルーティングが最適化されなかったり、ファイアウォールを通過するトラフィックが中断されたりする可能性があります。 したがって、通常運用時には両方のトンネルがアクティブ/アクティブ設定であることが重要です。
0.0.0.0/0 ルートは顧客側から専用インスタンス データセンター側にアドバタイズされなければなりません。 より具体的なルートは、専用インスタンス側では受け入れられません。 0.0.0.0/0 ルートが、専用インスタンスのデータセンター A のトンネルと、専用インスタンスのデータセンター B のトンネルの両方からアドバタイズされていることを確認します。
MTU 設定
専用インスタンス側では、大きなパケットの MTU サイズを動的に調整するための 2 つの機能が有効になっています。 Gmail トンネルは、 VPNセッションを通過するIPパケットにさらにヘッダーを追加します。 IPsec トンネルは、GRE ヘッダーの上に追加のヘッダーを追加し、トンネル経由で許可される最大 MTU をさらに減らします。
GRE トンネルは MSS 機能を調整し、MTU 検出機能の Gmail トンネル パスは、専用インスタンス側で有効になっています。 カスタマー側で「ip tcp準備-mss 1350」または同等のコマンドを設定し、カスタマー側で「トンネルパス\u0002mtu-discovery」または同等のコマンドを設定すると、 VPNトンネル経由のトラフィックの MTU を動的に調整できます。