Introdução

A Conexão Virtual é uma opção adicional para conectividade de nuvem para instância dedicada para Webex Calling (Instância dedicada). A Conexão Virtual permite que os Clientes ampliem com segurança sua Rede Privada pela Internet usando Túnel VPN IP de ponto a ponto. Essa opção de conectividade proporciona uma rápida criação de conexão de rede privada usando os Equipamentos locais do cliente (CPE) existentes e a conectividade com a internet.

A Cisco organiza, gerencia e garante túneles IP VPN redundantes e o acesso necessário à Internet na(s) região(s) do centro de dados Instância Dedicada da Cisco onde o serviço é necessário. Da mesma forma, o Administrador é responsável pelo correspondente serviço CPE e Internet, que é necessário para o estabelecimento do Virtual Connect.

Cada ordem do Virtual Connect em uma região de Instância Dedicada específica inclui dois túneles de roteamento genéricos (GRE) protegidos pela criptografia IPSec (GRE sobre IPSec), um para cada centro de dados da Cisco na Região selecionada.

A Conexão Virtual tem um limite de largura de banda de 250 Mbps por túnel e é recomendada para implantações menores. Como dois túnels VPN ponto a ponto são usados, todo o tráfego na nuvem precisa passar pelo cpe do cliente e, portanto, pode não ser adequado onde há muitos sites remotos. Para outras opções alternativas de peering, consulte Conectividade em nuvem.

Pré-requisitos

Os pré-requisitos para estabelecer a Conexão Virtual incluem:

  • O cliente fornece

    • Conexão de Internet com largura de banda suficiente disponível para suportar a implantação

    • Endereço(es) de IP público para dois túneles IPSec

    • Endereços de IP de transporte GRE do lado do cliente para os dois túneles GRE

  • Parceiro e cliente

    • Trabalhe em conjunto para avaliar os requisitos de largura de banda

    • Certifique-se de que os dispositivos de rede Border Gateway Protocol ou Protocolo BGP com roteamento (BGP) e um design de túnel GRE sobre IPSec

  • O parceiro ou o cliente fornece

    • Equipe de rede com conhecimento de tecnologias de túnel VPN site a site

    • Equipe de rede com conhecimento de BGP, eBGP e princípios gerais de roteamento

  • Cisco

    • O Cisco atribuiu números de sistema autonómático (ASNs) e endereçamento IP transitório para interfaces de túnel DE GRE

    • A Cisco atribuiu à rede pública, mas não à Internet, classe C (/24) para endereçamento da Nuvem de Instância Dedicada


Se um cliente tem apenas 1 dispositivo CPE, então os 2 túnels para os centros de dados da Cisco (DC1 e DC2) em cada região serão desse dispositivo CPE. O cliente também tem uma opção para 2 dispositivos CPE, então cada dispositivo CPE deve se conectar a 1 túnel apenas para os centros de dados da Cisco (DC1 e DC2) em cada região. Redundância adicional pode ser alcançada terminando cada túnel em um local físico separado, dentro da infraestrutura do Cliente.

Detalhes técnicos

Modelo de implantação

O Virtual Connect usa uma arquitetura de encaminhamento de camada dupla, onde o controle de roteamento e o controle DE GRE são fornecidos por um dispositivo e o avião de controle IPSec é fornecido por outro.

Após a conclusão da conectividade "Virtual Connect", dois TÚNEL sobre IPSec serão criados entre a rede corporativa do Cliente e os centros de dados da Cisco de Instância Dedicada. Um para cada centro de dados redundante dentro da respectiva Região. Como notado nos pré-requisitos, uma rede /24 será necessária ao parceiro ou cliente para ser usada na configuração da conexão virtual. Os elementos de rede adicionais necessários para o peering são trocados pelo parceiro ou cliente à Cisco através do formulário de ativação da Conexão virtual do Control Hub.

A Figura 1 mostra um exemplo do modelo de implantação do Virtual Connect para a opção de 2-concentradores do lado do cliente.

Conexão virtual - O VPN é um design Hub, onde os sites do Hub do cliente estão conectados ao DC1 e DC2 dos centros de dados de instâncias dedicadas em uma região específica.

Dois sites Hub são recomendados para uma melhor redundância, mas site One Hub com dois túneles também é um modelo de implantação suportado.


A largura de banda por túnel é limitada a 250 Mbps.


Os sites remotos do Cliente dentro da mesma região, precisariam se conectar novamente ao(s) site(s) Hub na WAN do cliente e não é responsabilidade da Cisco por essa conectividade.

É preciso que os parceiros trabalhem de perto com os clientes, garantindo que o caminho mais ideal seja escolhido para a região de serviço "Virtual Connect".

A Figura 2 mostra as Regiões dedicadas de conectividade de nuvem de instância.

Roteamento

O roteamento para o complemento da Conexão Virtual é implementado usando BGP externo (eBGP) entre Instância Dedicada e o Equipamento da Instalações do Cliente (CPE). A Cisco anunciará sua respectiva rede para cada DC redundante dentro de uma região para o CPE do cliente e o CPE é necessário para anunciar uma rota padrão para a Cisco.

  • A Cisco mantém e atribui

    • Endereçamento de IP da Interface de Túnel (link transitório para roteamento) A Cisco atribui a partir de um Espaço de endereço compartilhado designado (não roteável ao público)

    • Endereço de desitinação de transporte tunnel (lado do Cisco)

    • Números do sistema autônomo privado (ASNs) para a configuração de roteamento BGP do cliente

      • A Cisco atribui a partir do intervalo de uso privado designado: 64512 até 65534

  • eBGP usado para trocar rotas entre a Ocorrência Dedicada e o CPE

    • A Cisco dividirá a rede atribuída/24 em 2/25 uma para cada DC na respectiva região

    • Em Conexão Virtual, cada rede /25 é anunciada de volta ao CPE pela Cisco sobre os respectivos túneles VPN ponto a ponto (link transitório)

    • O CPE deve ser configurado com a confirmação do eBGP apropriado. Se utilizar um CPE, dois eBGP serão usados, um apontando para cada túnel remoto. Se usar dois CPE, então cada CPE terá um túnel vizinho eBGP para o único túnel remoto para o CPE.

    • O lado da Cisco de cada túnel GRE (IP da interface de túnel) é configurado como o vizinho BGP no CPE

    • O CPE é necessário para anunciar uma rota padrão por cada um dos túnels

    • O CPE éponível para redistribuição, conforme necessário, os caminhos aprendidos dentro da rede corporativa do cutomer.

  • Sob a condição de falha do link sem falha, um único CPE terá dois túneles ativos/ativos. Para dois nós CPE, cada CPE terá um túnel ativo e ambos os nós CPE devem estar ativos e passar o tráfego. Em um cenário sem falha, o tráfego deve dividir em dois túnel indo para os destinos corretos /25, se um dos túnel cair, o túnel restante pode carregar o tráfego para ambos. Sob tal cenário de falha, quando a rede /25 está inocessada, então a rede /24 é usada como uma rota de backup. A Cisco enviará o tráfego do cliente através de sua WAN interna para o DC, que perdeu a conectividade.

Processo de conectividade

As seguintes etapas de alto nível descrevem como estabelecer conectividade com a Conexão virtual para Instância Dedicada.

1

Fazer um pedido no Cisco CCW

2

Ativar a conexão virtual a partir do Control Hub

3

A Cisco executa a Configuração de Rede

4

O cliente executa a configuração de rede

Passo 1: Pedido CCW

A Conexão Virtual é um complemento para Instância Dedicada no CCW.

1

Navegue até o site de solicitação CCW e clique em Logon para se inscrever no site:

2

Crie estimativa.

3

Adicione SKU "A-FLEX-3".

4

Selecione Editar opções.

5

Na guia de assinatura que aparece, Selecione Opções e Complementos.

6

Em Complementos Adicionais, selecione a caixa de seleção ao lado de "Conexão Virtual para Instância Dedicada". O nome SKU é "A-FLEX-DI-VC".

7

Insira a quantidade e o número de regiões nas quais é necessário o Virtual Connect.


 
A quantidade de Conexão Virtual não deve exceder o número total de regiões compradas para Instância Dedicada. Além disso, apenas um pedido de Conexão Virtual é permitido por região.
8

Quando estiver satisfeito com as seleções, clique em Verificar e Salvar na parte superior direita da página.

9

Clique em Salvar e Continuar para finalizar seu pedido. Seu pedido finalizado agora é appers na grade de ordem.

Passo 2: Ativação da conexão virtual no Control Hub

1

Faça login no Control Hub https://admin.webex.com/login.

2

Na seção Serviços , navegue até Chamar > de Instacnce dedicada > nuvem.

3

No cartão De Conexão Virtual, a quantidade adquirida de Conexão Virtual está listada. O administrador pode agora clicar em Ativar para iniciar a ativação da Conexão Virtual.


 
O processo de ativação pode ser acionado apenas pelos administradores com a função "Administrador completo do cliente". Enquanto isso, um administrador com a função de "Administrador de somente leitura do cliente" pode apenas visualizar o status.
4

Ao clicar no botão Ativar, o formulário ativar conexão virtual é exibido para o administrador fornecer os detalhes técnicos do Virtual Connect necessários para as configurações de peering no lado da Cisco.


 
O formulário também fornece informações estáticas do lado da Cisco, com base na Região selecionada. Essas informações serão úteis para os administradores do cliente configurarem o CPE do lado deles para estabelecer a Conectividade.
  1. Endereço de IP do transporte GRE Tunnel: O cliente é necessário para fornecer o endereço de IP Tunnel Transport do lado do cliente e a Cisco alocará dinamicamente os endereços de IP assim que a ativação for concluída. O IPSec ACL para tráfego interessante deve permitir o IP/32 de transporte local Tunnel para o IP/32 de transporte remoto Tunnel. A ACL também deve especificar apenas o protocolo DE IP GRE.


     
    O endereço IP fornecido pelo cliente pode ser privado ou público.
  2. Pares IPSec: O cliente é necessário para fornecer os endereços ip de origem do IPSec e a Cisco aloca o endereço de IP de destino IPSec. Realizar a tradução NAT de um endereço de túnel IPSEC interno para um endereço público também é suportada, se necessário.


     

    O endereço IP fornecido pelo cliente deve ser público.


     
    Todas as outras informações estáticas fornecidas na tela de ativação são os padrões de segurança e criptografia do lado da Cisco seguidos. Essa configuração estática não é personalizável ou modificável. Para qualquer assistência em relação às configurações estáticas do lado da Cisco, o cliente precisará falar com o TAC.
5

Clique no botão Ativar uma vez que todos os campos obrigatórios sejam preenchidos.

6

Depois que o formulário de Ativação do Virtual Connect for concluído para uma região participantes, o cliente poderá Exportar o formulário de ativação do Control Hub, da > de Instância dedicada > Cloud Connectivity e clicar nas configurações de Exportação.


 
Por motivos de segurança, a Autenticação e a senha BGP não estarão disponíveis no documento exportado, mas o administrador poderá visualizar a mesma no Control Hub clicando em Exibir configurações no Control Hub, na guia Ocorrência > instância dedicada > Cloud Connectivity.

Passo 2: A Cisco executa a Configuração de Rede

1

Quando o formulário de Ativação do Virtual Connect for concluído, o status será atualizado para Ativação em andamento no > de instância > Cloud Connect.

2

A Cisco completará as configurações necessárias no equipamento do lado da Cisco dentro de 4 dias úteis. Após a conclusão bem-sucedida, o status será atualizado para "Ativado" para essa região específica no Control Hub.

Passo 4: O cliente executa a configuração de rede

O status é alterado para "Ativado" para notificar o administrador do Cliente que o lado das configurações da Cisco para a conectividade VPN IP foi concluído com base nas entradas fornecidas pelo Cliente. Mas é preciso que o administrador do cliente complete o lado das configurações nas CPEs e teste as rotas de conectividade para que o túnel Virtual Connect seja On-line. No caso de quaisquer problemas enfrentados no momento da configuração ou da conectividade, o cliente pode entrar em contato com o TAC da Cisco para assistência.