Introduksjon

Virtual Connect er et tilleggsalternativ for Cloud Connectivity til dedikert forekomst for Webex-anrop (dedikert forekomst). Virtual Connect gjør det mulig for kunder å utvide sitt private nettverk på en sikker måte over internett ved hjelp av punkt-til-punkt IP VPN-tunneler. Dette tilkoblingsalternativet gir en rask etablering av privat nettverkstilkobling ved å bruke eksisterende Customer Premise Equipment (CPE) og internett-tilkobling.

Cisco er vert for, administrerer og sikrer redundante IP VPN-tunneler og nødvendig Internett-tilgang i Ciscos dedikerte forekomst-datasenterregion(er) der tjenesten er nødvendig. Tilsvarende er administrator ansvarlig for deres tilsvarende CPE og Internett-tjenester som kreves for etablering av Virtual Connect.

Hver Virtual Connect-ordre i en bestemt dedikert forekomstregion vil inkludere to generiske routing-innkapslingstunneler (GRE) beskyttet av IPSec-kryptering (GRE over IPSec), en til hvert Ciscos datasenter i den valgte regionen.

Virtual Connect har en båndbreddegrense på 250 Mbps per tunnel og anbefales for mindre distribusjoner. Siden to punkt-til-punkt VPN-tunneler brukes, må all trafikk til skyen gå gjennom kundens headend CPE, og derfor er det kanskje ikke egnet der det er mange eksterne nettsteder. For andre alternative peering-alternativer, se Cloud Connectivity.

Forutsetninger

Forutsetningene for å etablere Virtual Connect inkluderer:

  • Kunden gir

    • Internett-tilkobling med nok tilgjengelig båndbredde til å støtte utrullingen

    • Offentlig(e) IP-adresse(r) for to IPSec-tunneler

    • Kundesiden GRE transporterer IP-adresser for de to GRE-tunnelene

  • Partner og kunde

    • Arbeid sammen for å evaluere båndbreddekrav

    • Sørg for at nettverksenheten(e) støtter Border Gateway Protocol (BGP) ruting og en GRE over IPSec tunneldesign

  • Partner eller kunde gir

    • Nettverksteam med kunnskap om sted-til-sted VPN-tunnelteknologier

    • Nettverksteam med kunnskap om BGP, eBGP og generelle rutingsprinsipper

  • Cisco

    • Cisco tildelte private autonome systemnumre (ASN) og forbigående IP-adressering for GRE-tunnelgrensesnitt

    • Cisco tildelte offentlig, men ikke Internett-ruterbart klasse C (/24) nettverk for dedikert forekomst av skyadressering


Hvis en kunde bare har 1 CPE-enhet, vil de 2 tunnelene mot Ciscos datasentre (DC1 og DC2) i hver region være fra den CPE-enheten. Kunden har også mulighet for 2 CPE-enheter, da skal hver CPE-enhet kobles til 1 tunnel kun mot Ciscos datasentre (DC1 og DC2) i hver region. Ytterligere redundans kan oppnås ved å avslutte hver tunnel på et eget fysisk sted/sted innenfor Kundens infrastruktur.

Tekniske detaljer

Distribusjonsmodell

Virtual Connect bruker en dual tier headend-arkitektur, der ruting- og GRE-kontrollplanene leveres av én enhet og IPSec-kontrollplanet leveres av en annen.

Etter fullføring av 'Virtual Connect'-tilkoblingen, vil to GRE over IPSec-tunneler bli opprettet mellom kundens bedriftsnettverk og Dedicated Instance Ciscos datasentre. En til hvert redundant datasenter innenfor den respektive regionen. Som nevnt i forutsetningene, vil et /24-nettverk kreves fra partneren eller kunden som skal brukes til å konfigurere Virtual Connect. Ytterligere nettverkselementer som kreves for peering, utveksles av partneren eller kunden til Cisco via aktiveringsskjemaet for Control Hub Virtual Connect.

Figur 1 viser et eksempel på Virtual Connect-implementeringsmodellen for 2-konsentratoralternativet på kundesiden.

Virtual Connect - VPN er en Hub-design, der kundens Hub-sider er koblet til DC1 og DC2 til Dedicated Instances datasentre innenfor en bestemt region.

To Hub-steder anbefales for bedre redundans, men One Hub-nettsted med to tunneler er også en støttet distribusjonsmodell.


Båndbredden per tunnel er begrenset til 250 Mbps.


Kundens eksterne nettsteder innenfor samme region må koble seg tilbake til Hub-nettstedet(e) over kundens WAN, og det er ikke Ciscos ansvar for denne tilkoblingen.

Partnere forventes å jobbe tett med kundene for å sikre at den mest optimale veien velges for tjenesteregionen 'Virtual Connect'.

Figur 2 viser peering-regionene for dedikerte forekomster av skytilkobling.

Ruting

Ruting for Virtual Connect-tillegget implementeres ved hjelp av ekstern BGP (eBGP) mellom Dedikert Instance og Customer Premise Equipment (CPE). Cisco vil annonsere deres respektive nettverk for hver redundant DC innenfor en region til kundens CPE og CPE er pålagt å annonsere en standardrute til Cisco.

  • Cisco vedlikeholder og tildeler

    • Tunnelgrensesnitt IP-adressering (transient link for ruting) Cisco tildeler fra et angitt delt adresseområde (ikke offentlig rutebar)

    • Destinasjonsadresse for tunneltransport (Ciscos side)

    • Private autonome systemnumre (ASN) for kunde BGP-rutingskonfigurasjon

      • Cisco tildeler fra det angitte området for privat bruk: 64512 til 65534

  • eBGP brukes til å utveksle ruter mellom Dedicated Instance og CPE

    • Cisco vil dele det tilordnede /24-nettverket i 2/25 én for hver DC i den respektive regionen

    • I Virtual Connect annonseres hvert /25-nettverk tilbake til CPE av Cisco over de respektive punkt-til-punkt VPN-tunnelene (transient link)

    • CPE må konfigureres med de riktige eBGP-naboene. Hvis du bruker én CPE, vil to eBGP-naboer bli brukt, en som peker til hver ekstern tunnel. Hvis du bruker to CPE, vil hver CPE ha en eBGP-nabo som peker til den enkelt eksterne tunnelen for CPE.

    • Cisco-siden av hver GRE-tunnel (tunnelgrensesnitt IP) er konfigurert som BGP-nabo på CPE

    • CPE er påkrevd for å annonsere en standardrute over hver av tunnelene

    • CPE er ansvarlig for å omfordele, etter behov, de lærte rutene innenfor kundens bedriftsnettverk.

  • Under feiltilstand i forbindelse med feil, vil en enkelt CPE ha to aktive/aktive tunneler. For to CPE-noder vil hver CPE ha én aktiv tunnel og begge CPE-nodene skal være aktive og passerende trafikk. Under ikke-feil scenario må trafikken dele seg i to tunneler som går til riktige /25 destinasjoner, hvis en av tunnelen går ned, kan den gjenværende tunnelen bære trafikken for begge. Under et slikt feilscenario, når /25-nettverket er nede, brukes /24-nettverket som en backuprute. Cisco vil sende kundetrafikk via sitt interne WAN mot DC som mistet tilkoblingen.

Tilkoblingsprosess

De følgende trinnene på høyt nivå beskriver hvordan du oppretter tilkobling med virtuelle Connect for Dedicated Instance.

1

Legg inn en bestilling i Cisco CCW

2

Aktiver Virtual Connect fra Control Hub

3

Cisco utfører nettverkskonfigurasjon

4

Kunden utfører nettverkskonfigurasjon

Trinn 1: CCW-bestilling

Virtual Connect er et tillegg for Dedicated Instance i CCW.

1

Naviger til CCW-bestillingssiden og klikk deretter på Logg på for å logge på nettstedet:

2

Lag estimat.

3

Legg til "A-FLEX-3" SKU.

4

Velg Rediger alternativer.

5

I abonnementsfanen som vises, velg Alternativer og tillegg.

6

Under Ytterligere tillegg, merk av i boksen ved siden av "Virtual Connect for Dedicated Instance". SKU-navnet er "A-FLEX-DI-VC".

7

Angi antall og antall regioner der Virtual Connect er nødvendig.


 
Antallet Virtual Connect bør ikke overstige det totale antallet regioner som er kjøpt for dedikert forekomst. Dessuten er bare én Virtual Connect-bestilling tillatt per region.
8

Når du er fornøyd med valgene dine, klikker du på Bekreft og lagre øverst til høyre på siden.

9

Klikk Lagre og fortsett for å fullføre bestillingen. Den ferdige bestillingen din vises nå i bestillingsrutenettet.

Trinn 2: Aktivering av Virtual Connect i Control Hub

1

Logg på Control Hub https://admin.webex.com/login.

2

I delen Tjenester, naviger til Ring > Dedikert instacnce > Cloud Connectivity.

3

I Virtual Connect-kortet er det kjøpte Virtual Connect-antallet oppført. Administratoren kan nå klikke på Aktiver for å starte Virtual Connect-aktiveringen.


 
Aktiveringsprosessen kan bare utløses av administratorer med rollen "Customer Full admin". Mens en administrator med "Kunde-skrivebeskyttet admin"-rolle bare kan se statusen.
4

Når du klikker på Aktiver-knappen, vises Aktiver Virtual Connect-skjemaet slik at administratoren kan oppgi de tekniske detaljene for Virtual Connect som kreves for peering-konfigurasjonene på Ciscos side.


 
Skjemaet gir også statisk informasjon på Ciscos side, basert på den valgte regionen. Denne informasjonen vil være nyttig for kundeadministratorer å konfigurere CPE på sin side for å etablere tilkoblingen.
  1. GRE Tunnel Transport IP-adresse: Kunden er pålagt å oppgi IP-adresser for Tunnel Transport på kundens side, og Cisco vil dynamisk tildele IP-adressene når aktiveringen er fullført. IPSec ACL for Interesting Traffic bør tillate lokal tunneltransport IP/32 til ekstern tunneltransport IP/32. ACL bør også spesifisere bare GRE IP-protokollen.


     
    IP-adressen oppgitt av kunden kan være privat eller offentlig.
  2. IPSec-kolleger: Kunden er pålagt å oppgi IPSec-tunnelens kilde-IP-adresser, og Cisco tildeler IPSec-destinasjons-IP-adressen. Utføring av NAT-oversettelse av en intern IPSEC-tunneladresse til en offentlig adresse støttes også om nødvendig.


     

    IP-adressen oppgitt av kunden skal være offentlig.


     
    All annen statisk informasjon på aktiveringsskjermen er Ciscos sidesikkerhets- og krypteringsstandarder som følges. Denne statiske konfigurasjonen kan ikke tilpasses eller endres. For ytterligere hjelp angående de statiske konfigurasjonene på Ciscos side, må kunden kontakte TAC.
5

Klikk på Aktiver-knappen når alle de obligatoriske feltene er fylt ut.

6

Etter at Virtual Connect Activation-skjemaet er utfylt for en bestemt region, kan kunden eksportere aktiveringsskjemaet fra Control Hub, Calling > Dedicated Instance > Cloud Connectivity-fanen og klikke på Eksporter innstillinger.


 
Av sikkerhetsmessige årsaker vil ikke autentiseringen og BGP-passordet være tilgjengelig i det eksporterte dokumentet, men administratoren kan se det samme i Control Hub ved å klikke på Vis innstillinger under Control Hub, Calling > Dedicated Instance > Cloud Connectivity fanen.

Trinn 3: Cisco utfører nettverkskonfigurasjon

1

Når skjemaet for aktivering av virtuell tilkobling er fullført, vil statusen oppdateres til Aktivering pågår i Calling > Dedikert forekomst > Cloud Connectivity Virtual Connect-kortet.

2

Cisco vil fullføre de nødvendige konfigurasjonene på Ciscos sideutstyr innen 4 virkedager. Ved vellykket gjennomføring vil statusen oppdateres til "Aktivert" for den aktuelle regionen i Control Hub.

Trinn 4: Kunden utfører nettverkskonfigurasjon

Statusen endres til "Aktivert" for å varsle kundeadministratoren om at Ciscos side av konfigurasjoner for IP VPN-tilkoblingen er fullført basert på inndataene gitt av kunden. Men det forventes at kundeadministratoren fullfører sin side av konfigurasjonene på CPE-ene og teste tilkoblingsrutene for at Virtual Connect-tunnelen skal være online. I tilfelle problemer oppstår på tidspunktet for konfigurasjon eller tilkobling, kan kunden kontakte Cisco TAC for å få hjelp.