Wprowadzenie

Virtual Connect to dodatkowa opcja dla Cloud Connectivity to Dedicated Instance for Webex Calling (Dedicated Instance). Virtual Connect umożliwia Klientom bezpieczne rozszerzenie ich sieci prywatnej przez Internet za pomocą tuneli IP VPN punkt-punkt. Ta opcja łączności zapewnia szybkie nawiązanie połączenia z siecią prywatną przy użyciu istniejącego sprzętu w siedzibie klienta (CPE) i łączności z Internetem.

Firma Cisco hostuje, zarządza i zapewnia nadmiarowe tunele IP VPN oraz wymagany dostęp do Internetu w regionach centrum danych Cisco Dedicated Instance, w których wymagana jest usługa. Podobnie Administrator jest odpowiedzialny za odpowiednie usługi CPE i internetowe, które są wymagane do ustanowienia Virtual Connect.

Każde zamówienie Virtual Connect w konkretnym regionie Dedicated Instance zawierałoby dwa ogólne tunele enkapsulacji routingu (GRE) chronione przez szyfrowanie IPSec (GRE over IPSec), po jednym do każdego centrum danych Cisco w wybranym regionie.

Virtual Connect ma limit przepustowości 250 Mb/s na tunel i jest zalecany w przypadku mniejszych wdrożeń. Ponieważ używane są dwa tunele VPN typu punkt-punkt, cały ruch do chmury musi przechodzić przez CPE stacji czołowej klienta, dlatego może nie być odpowiedni w przypadku wielu zdalnych lokalizacji. Inne alternatywne opcje komunikacji równorzędnej można znaleźć w artykule Połączenie z chmurą.

Wymagania wstępne

Warunki wstępne ustanowienia Virtual Connect obejmują:

  • Klient zapewnia

    • Połączenie internetowe o przepustowości wystarczającej do obsługi wdrożenia

    • Publiczne adresy IP dla dwóch tuneli IPSec

    • Transportowe adresy IP GRE po stronie klienta dla dwóch tuneli GRE

  • Partner i Klient

    • Współpracuj, aby ocenić wymagania dotyczące przepustowości

    • Upewnij się, że urządzenia sieciowe obsługują routing Border Gateway Protocol (BGP) i projekt tunelu GRE przez IPSec

  • Partner lub Klient zapewnia

    • Zespół sieciowy ze znajomością technologii tuneli VPN typu site-to-site

    • Zespół sieciowy ze znajomością BGP, eBGP i ogólnych zasad routingu

  • Cisco

    • Cisco przydzielone prywatne numery systemów autonomicznych (ASN) i przejściowe adresowanie IP dla interfejsów tuneli GRE

    • Przydzielona przez Cisco publiczna, ale nieroutowalna sieć klasy C (/24) do adresowania w chmurze Dedicated Instance

Jeśli klient ma tylko 1 urządzenie CPE, wówczas 2 tunele w kierunku centrów danych Cisco (DC1 i DC2) w każdym regionie będą pochodzić z tego urządzenia CPE. Klient ma również opcję na 2 urządzenia CPE, wtedy każde urządzenie CPE powinno łączyć się tylko z 1 tunelem w kierunku Centrów Danych Cisco (DC1 i DC2) w każdym regionie. Dodatkową redundancję można osiągnąć poprzez zakończenie każdego tunelu w oddzielnej fizycznej lokalizacji/lokalizacji w infrastrukturze Klienta.

Szczegóły techniczne

Model wdrożenia

Virtual Connect wykorzystuje dwuwarstwową architekturę stacji czołowej, w której płaszczyzny sterowania routingiem i GRE są dostarczane przez jedno urządzenie, a płaszczyzna sterowania IPSec jest zapewniana przez inne.

Po nawiązaniu połączenia „Virtual Connect” zostaną utworzone dwa tunele GRE over IPSec między siecią korporacyjną Klienta a centrami danych Dedicated Instance Cisco. Jeden do każdego nadmiarowego centrum danych w odpowiednim regionie. Jak wspomniano w wymaganiach wstępnych, do konfiguracji Virtual Connect wymagana będzie sieć /24 od Partnera lub Klienta. Dodatkowe elementy sieciowe wymagane do peeringu są wymieniane przez Partnera lub Klienta z Cisco za pośrednictwem formularza aktywacji Control Hub Virtual Connect.

Rysunek 1 przedstawia przykład modelu wdrażania Virtual Connect dla opcji 2 koncentratorów po stronie klienta.

Połączenie wirtualne — sieć VPN to projekt koncentratora, w którym lokalizacje koncentratora Klienta są połączone z centrami danych DC1 i DC2 dedykowanego wystąpienia w określonym regionie.

Zalecane są dwie lokacje centralne w celu zapewnienia lepszej nadmiarowości, ale jedna lokacja centralna z dwoma tunelami jest również obsługiwanym modelem wdrażania.

Przepustowość na tunel jest ograniczona do 250 Mb/s.

Zdalne lokalizacje Klienta w tym samym regionie musiałyby połączyć się z powrotem z lokalizacjami centralnymi za pośrednictwem sieci WAN Klienta i firma Cisco nie ponosi odpowiedzialności za tę łączność.

Od partnerów oczekuje się ścisłej współpracy z Klientami, zapewniając wybór najbardziej optymalnej ścieżki dla regionu usługi „Virtual Connect”.

Rysunek 2 przedstawia regiony komunikacji równorzędnej Dedicated Instance Cloud Connectivity.

Przekierowanie

Routing dla dodatku Virtual Connect jest implementowany przy użyciu zewnętrznego protokołu BGP (eBGP) między wystąpieniem dedykowanym a sprzętem klienta (CPE). Cisco ogłosi odpowiednią sieć dla każdego nadmiarowego DC w regionie na CPE Klienta, a CPE musi ogłosić domyślną trasę do Cisco.

  • Cisco utrzymuje i przypisuje

    • Adresowanie IP interfejsu tunelu (przejściowe łącze do routingu) Cisco przypisuje z wyznaczonej współużytkowanej przestrzeni adresowej (niepublicznie routowalne)

    • Adres docelowy transportu tunelowego (strona Cisco)

    • Prywatne numery systemów autonomicznych (ASN) do konfiguracji routingu BGP klienta

      • Cisco przypisuje z wyznaczonego zakresu użytku prywatnego: 64512 do 65534

  • eBGP używany do wymiany tras między instancją dedykowaną a CPE

    • Cisco podzieli przypisaną sieć /24 na 2 /25 dla każdego DC w odpowiednim regionie

    • W Virtual Connect każda sieć /25 jest anonsowana z powrotem do CPE by Cisco przez odpowiednie tunele VPN punkt-punkt (łącze przejściowe)

    • CPE musi być skonfigurowane z odpowiednimi sąsiadami eBGP. Jeśli używasz jednego CPE, zostanie użytych dwóch sąsiadów eBGP, jeden wskazujący na każdy zdalny tunel. Jeśli używasz dwóch CPE, to każdy CPE będzie miał jednego sąsiada eBGP kierującego do pojedynczego zdalnego tunelu dla CPE.

    • Strona Cisco każdego tunelu GRE (IP interfejsu tunelu) jest skonfigurowana jako sąsiad BGP na CPE

    • CPE jest wymagane do rozgłaszania domyślnej trasy przez każdy z tuneli

    • CPE jest odpowiedzialne za redystrybucję, zgodnie z wymaganiami, poznanych tras w sieci firmowej klienta.

  • W warunkach bezawaryjnej awarii łącza, pojedynczy CPE będzie miał dwa aktywne/aktywne tunele. W przypadku dwóch węzłów CPE każdy CPE będzie miał jeden aktywny tunel, a oba węzły CPE powinny być aktywne i przepuszczać ruch. W scenariuszu bez awarii ruch musi dzielić się na dwa tunele prowadzące do właściwych miejsc docelowych /25, jeśli jeden z tuneli idzie w dół, pozostały tunel może przenosić ruch dla obu. W takim scenariuszu awarii, gdy sieć /25 nie działa, sieć /24 jest używana jako trasa zapasowa. Cisco będzie wysyłać ruch klientów przez wewnętrzną sieć WAN do DC, który utracił łączność.

Proces łączności

Poniższe ogólne kroki opisują sposób nawiązywania łączności za pomocą wirtualnego programu Connect for Dedicated Instance.

1

Złóż zamówienie w Cisco CCW
2

Aktywuj połączenie wirtualne z centrum sterowania
3

Cisco wykonuje konfigurację sieci
4

Klient wykonuje konfigurację sieci

Krok 1: Zamówienie CCW

Virtual Connect to dodatek do Dedicated Instance w CCW.

1

Przejdź do witryny zamawiania CCW, a następnie kliknij Zaloguj się, aby zalogować się do witryny:

https://apps.cisco.com/Commerce/guest.
2

Utwórz oszacowanie.
3

Dodaj SKU „A-FLEX-3”.
4

Wybierz Opcje edycji.
5

Na wyświetlonej karcie subskrypcji wybierz Opcje i dodatki.
6

W obszarze Dodatkowe dodatki zaznacz pole wyboru obok opcji „Połączenie wirtualne dla wystąpienia dedykowanego”. Nazwa SKU to „A-FLEX-DI-VC”.
7

Wprowadź ilość i liczbę regionów, w których wymagane jest Virtual Connect.


 
Ilość Virtual Connect nie powinna przekraczać łącznej liczby regionów zakupionych dla Dedykowanej Instancji. Ponadto dozwolone jest tylko jedno zamówienie Virtual Connect na region.
8

Gdy jesteś zadowolony z dokonanych wyborów, kliknij Zweryfikuj i zapisz w prawej górnej części strony.
9

Kliknij Zapisz i kontynuuj, aby sfinalizować zamówienie. Twoje sfinalizowane zamówienie pojawia się teraz w siatce zamówień.

Krok 2: Aktywacja Virtual Connect w Control Hub

1

Zaloguj się do Centrum sterowania https://admin.webex.com/login.
2

W sekcji Usługi przejdź do opcji Połączenia > Dedykowana instancja > Łączność z chmurą.
3

Na karcie Virtual Connect wymieniona jest zakupiona ilość Virtual Connect. Administrator może teraz kliknąć opcję Aktywuj, aby zainicjować aktywację Virtual Connect.


 
Proces aktywacji może uruchomić tylko Administratorzy z rolą „Klient pełnego administratora”. Natomiast administrator z rolą „Administrator tylko do odczytu klienta” może tylko wyświetlać stan.
4

Po kliknięciu przycisku Aktywuj zostanie wyświetlony formularz Aktywuj połączenie wirtualne, w którym administrator może podać szczegóły techniczne połączenia wirtualnego wymagane do konfiguracji komunikacji równorzędnej po stronie Cisco.


 
Formularz zawiera również informacje statyczne po stronie firmy Cisco, na podstawie wybranego regionu. Informacje te będą przydatne dla administratorów Klienta w celu skonfigurowania urządzenia CPE po swojej stronie w celu ustanowienia łączności.

  1. Adres IP transportu tunelowego GRE: Klient jest zobowiązany do podania adresów IP po stronie klienta transportu tunelowego, a firma Cisco dynamicznie przydzieli adresy IP po zakończeniu aktywacji. Lista ACL IPSec dla interesującego ruchu powinna umożliwiać lokalny transport tunelowy IP/32 na zdalny transport tunelowy IP/32. Lista ACL powinna również określać tylko protokół IP GRE.


     
    Adres IP podany przez klienta może być prywatny lub publiczny.

  2. Partnerzy IPSec: Klient musi podać źródłowe adresy IP tunelu IPSec, a firma Cisco przydziela docelowy adres IP IPSec. W razie potrzeby obsługiwane jest również wykonywanie translacji NAT wewnętrznego adresu tunelu IPSEC na adres publiczny.


     

    Podany przez klienta adres IP powinien być publiczny.

     
    Wszystkie inne statyczne informacje wyświetlane na ekranie aktywacji to stosowane przez firmę Cisco standardy bezpieczeństwa i szyfrowania. Tej konfiguracji statycznej nie można dostosowywać ani modyfikować. Aby uzyskać dalszą pomoc dotyczącą konfiguracji statycznych po stronie Cisco, klient musiałby skontaktować się z TAC.
5

Kliknij przycisk Aktywuj po wypełnieniu wszystkich obowiązkowych pól.
6

Po wypełnieniu formularza aktywacji Virtual Connect dla danego regionu, klient może wyeksportować formularz aktywacji z Control Hub, zakładka Połączenia > Dedykowana instancja > Łączność z chmurą i kliknąć Ustawienia eksportu.


 
Ze względów bezpieczeństwa uwierzytelnianie i hasło BGP nie będą dostępne w wyeksportowanym dokumencie, ale administrator może je wyświetlić w Control Hub, klikając Wyświetl ustawienia w Control Hub, Połączenia > Dedykowana instancja > Łączność z chmurą patka.

Krok 3: Cisco wykonuje konfigurację sieci

1

Po wypełnieniu formularza aktywacji usługi Virtual Connect stan zmieni się na Aktywacja w toku na karcie Połączenia > Wydzielone wystąpienie > Łączność z chmurą na karcie Połączenie wirtualne.
2

Cisco ukończy wymagane konfiguracje na sprzęcie Cisco w ciągu 4 dni roboczych. Po pomyślnym zakończeniu status zostanie zaktualizowany do „Aktywowany” dla tego konkretnego regionu w Control Hub.

Krok 4: Klient wykonuje konfigurację sieci

Status zostaje zmieniony na „Aktywowany”, aby powiadomić administratora Klienta, że konfiguracja połączeń IP VPN po stronie Cisco została zakończona na podstawie danych wejściowych dostarczonych przez Klienta. Oczekuje się jednak, że administrator klienta dokończy konfiguracje urządzeń CPE i przetestuje trasy łączności, aby tunel Virtual Connect był w trybie online. W przypadku jakichkolwiek problemów napotkanych podczas konfiguracji lub łączności, klient może skontaktować się z Cisco TAC w celu uzyskania pomocy.