Introducere

Virtual Connect este o opțiune suplimentară pentru conectivitate în cloud la o instanță dedicată pentru apelarea Webex (instanță dedicată). Virtual Connect le permite Clienților să-și extindă în siguranță rețeaua privată prin internet folosind tuneluri VPN IP punct la punct. Această opțiune de conectivitate oferă o stabilire rapidă a conexiunii la rețeaua privată prin utilizarea echipamentului clientului existent (CPE) și a conexiunii la internet.

Cisco găzduiește, gestionează și asigură tuneluri IP VPN redundante și accesul la Internet necesar în regiunile centrelor de date Cisco pentru Instanță Dedicată, unde este necesar serviciul. În mod similar, Administratorul este responsabil pentru CPE și serviciile de Internet corespunzătoare, care sunt necesare pentru stabilirea Virtual Connect.

Fiecare comandă de Virtual Connect dintr-o anumită regiune de Instanță Dedicată ar include două tuneluri de încapsulare de rutare generică (GRE) protejate prin criptare IPSec (GRE peste IPSec), câte unul către fiecare centru de date Cisco din Regiunea selectată.

Virtual Connect are o limită de lățime de bandă de 250 Mbps per tunel și este recomandată pentru implementări mai mici. Deoarece sunt utilizate două tuneluri VPN punct-la-punct, tot traficul către cloud trebuie să treacă prin CPE headend-ul clientului și, prin urmare, este posibil să nu fie potrivit acolo unde există o mulțime de site-uri la distanță. Pentru alte opțiuni alternative de peering, consultați Conectivitate în cloud.

Cerințe preliminare

Condițiile preliminare pentru stabilirea Virtual Connect includ:

  • Clientul oferă

    • Conexiune la internet cu suficientă lățime de bandă disponibilă pentru a sprijini implementarea

    • Adresă(e) IP publică pentru două tuneluri IPSec

    • Adresele IP de transport GRE din partea clientului pentru cele două tuneluri GRE

  • Partener și Client

    • Lucrați împreună pentru a evalua cerințele de lățime de bandă

    • Asigurați-vă că dispozitivele de rețea acceptă rutarea Border Gateway Protocol (BGP) și un design de tunel GRE peste IPSec

  • Partenerul sau Clientul oferă

    • Echipa de rețea cu cunoștințe despre tehnologiile de tunel VPN de la site la site

    • Echipa de rețea cu cunoștințe despre BGP, eBGP și principiile generale de rutare

  • Cisco

    • Cisco a atribuit numere private de sistem autonome (ASN) și adrese IP tranzitorii pentru interfețele tunelului GRE

    • Cisco a atribuit o rețea publică de clasă C (/24) care nu poate fi rutată pe Internet pentru adresarea în cloud de instanță dedicată


Dacă un client are doar 1 dispozitiv CPE, atunci cele 2 tuneluri către centrele de date Cisco (DC1 și DC2) din fiecare regiune vor fi de la acel dispozitiv CPE. Clientul are, de asemenea, o opțiune pentru 2 dispozitive CPE, apoi fiecare dispozitiv CPE ar trebui să se conecteze la un singur tunel către centrele de date Cisco (DC1 și DC2) din fiecare regiune. Redundanța suplimentară poate fi obținută prin terminarea fiecărui tunel într-un loc/locație fizică separată din infrastructura Clientului.

Detalii tehnice

Model de implementare

Virtual Connect utilizează o arhitectură de tip headend cu două niveluri, în care planurile de rutare și de control GRE sunt furnizate de un dispozitiv, iar planul de control IPSec este furnizat de altul.

La finalizarea conectivității „Virtual Connect”, vor fi create două tuneluri GRE peste IPSec între rețeaua de întreprindere a Clientului și centrele de date Cisco pentru Instanță Dedicată. Câte unul pentru fiecare centru de date redundant din regiunea respectivă. După cum se menționează în cerințele preliminare, va fi necesară o rețea /24 de la partener sau client pentru a fi utilizată la configurarea Virtual Connect. Elementele de rețea suplimentare necesare pentru peering sunt schimbate de partener sau client către Cisco prin intermediul formularului de activare Control Hub Virtual Connect.

Figura 1 prezintă un exemplu de model de implementare Virtual Connect pentru opțiunea cu 2 concentratoare din partea clientului.

Virtual Connect - VPN este un design Hub, în care Site-urile Hub ale Clientului sunt conectate la DC1 și DC2 ale centrelor de date ale Instanței Dedicate dintr-o anumită regiune.

Două site-uri Hub sunt recomandate pentru o mai bună redundanță, dar site-ul One Hub cu două tuneluri este, de asemenea, un model de implementare acceptat.


Lățimea de bandă per tunel este limitată la 250 Mbps.


Site-urile de la distanță ale Clientului din aceeași regiune ar trebui să se conecteze înapoi la site-urile Hub prin WAN-ul Clientului și nu este responsabilitatea Cisco pentru acea conectivitate.

Partenerii sunt așteptați să lucreze îndeaproape cu Clienții, asigurându-se că este aleasă calea cea mai optimă pentru regiunea de servicii „Virtual Connect”.

Figura 2 prezintă regiunile de peering pentru conectivitate în cloud pentru instanță dedicată.

Redirecționare

Suplimentul de rutare pentru Virtual Connect este implementat folosind BGP extern (eBGP) între Instanța Dedicată și Echipamentul Clientului (CPE). Cisco va face publicitate rețelei respective pentru fiecare DC redundant dintr-o regiune către CPE-ul Clientului, iar CPE-ul trebuie să facă publicitate unei rute implicite către Cisco.

  • Cisco întreține și atribuie

    • Adresarea IP a interfeței de tunel (legătură tranzitorie pentru rutare) Cisco alocă dintr-un spațiu de adresă partajat desemnat (nu poate fi rutat public)

    • Adresa de destinație a transportului în tunel (partea Cisco)

    • Numere private de sistem autonom (ASN) pentru configurația de rutare BGP a clientului

      • Cisco atribuie din intervalul de utilizare privat desemnat: 64512 până la 65534

  • eBGP folosit pentru a schimba rute între Instanța Dedicată și CPE

    • Cisco va împărți rețeaua /24 alocată în 2/25 una pentru fiecare DC din regiunea respectivă

    • În Virtual Connect, fiecare rețea /25 este anunțată înapoi către CPE de către Cisco prin tunelurile VPN punct la punct respective (legătură tranzitorie)

    • CPE trebuie configurat cu vecinii eBGP corespunzători. Dacă utilizați un CPE, vor fi folosiți doi vecini eBGP, unul indicând fiecare tunel la distanță. Dacă utilizați două CPE, atunci fiecare CPE va avea un vecin eBGP care se adresează unui singur tunel la distanță pentru CPE.

    • Partea Cisco a fiecărui tunel GRE (IP interfață de tunel) este configurată ca vecin BGP pe CPE

    • CPE este necesar pentru a face publicitate unei rute implicite peste fiecare dintre tuneluri

    • CPE este responsabil pentru redistribuirea, după cum este necesar, a rutelor învățate în cadrul rețelei de întreprindere a clientului.

  • În condiția de defecțiune a legăturii fără eșec, un singur CPE va avea două tuneluri active/active. Pentru două noduri CPE, fiecare CPE va avea un tunel activ și ambele noduri CPE ar trebui să fie active și să treacă trafic. În scenariul de non-eșec, traficul trebuie să fie împărțit în două tuneluri care merg către destinațiile corecte /25, dacă unul dintre tuneluri scade, tunelul rămas poate transporta traficul pentru ambele. Într-un astfel de scenariu de eșec, când rețeaua /25 este oprită, atunci rețeaua /24 este utilizată ca rută de rezervă. Cisco va trimite traficul clienților prin WAN-ul său intern către DC care și-a pierdut conectivitatea.

Procesul de conectivitate

Următorii pași de nivel înalt descriu modul de stabilire a conectivității cu Virtual Connect for Dedicated Instance.

1

Plasați o comandă în Cisco CCW

2

Activați Virtual Connect din Control Hub

3

Cisco efectuează Configurarea rețelei

4

Clientul efectuează Configurarea rețelei

Pasul 1: Ordinul CCW

Virtual Connect este un supliment pentru Instanță Dedicată în CCW.

1

Navigați la site-ul de comandă CCW și apoi faceți clic pe Conectare pentru a vă conecta la site:

2

Creați estimare.

3

Adăugați SKU „A-FLEX-3”.

4

Selectați Editați opțiuni.

5

În fila de abonament care apare, Selectați Opțiuni și Suplimente.

6

Sub Suplimente suplimentare, bifați caseta de selectare de lângă „Virtual Connect for Dedicated Instance”. Numele SKU este „A-FLEX-DI-VC”.

7

Introduceți cantitatea și numărul de regiuni în care este necesară Virtual Connect.


 
Cantitatea Virtual Connect nu trebuie să depășească numărul total de regiuni achiziționate pentru Instanță Dedicată. De asemenea, este permisă o singură comandă Virtual Connect per regiune.
8

Când sunteți mulțumit de selecțiile dvs., faceți clic pe Verificați și Salvați în partea din dreapta sus a paginii.

9

Faceți clic pe Salvați și continuați pentru a finaliza comanda. Comanda dvs. finalizată apare acum în grila de comenzi.

Pasul 2: Activarea Virtual Connect în Control Hub

1

Conectați-vă la Control Hub https://admin.webex.com/login.

2

În secțiunea Servicii, navigați la Apelare > Instanță dedicată > Conectivitate în cloud.

3

În cardul Virtual Connect, este listată cantitatea achiziționată pentru Virtual Connect. Administratorul poate acum să facă clic pe Activare pentru a iniția activarea Virtual Connect.


 
Procesul de activare poate fi declanșat numai de Administratorii cu Rol „Customer Full Admin”. Întrucât, un administrator cu rolul „Administrator numai în citire pentru client” poate vedea doar starea.
4

Făcând clic pe butonul Activare, se afișează formularul Activare Virtual Connect pentru ca administratorul să furnizeze detaliile tehnice Virtual Connect necesare pentru configurațiile de peering pe partea Cisco.


 
Formularul oferă, de asemenea, informații statice din partea Cisco, în funcție de Regiunea selectată. Aceste informații vor fi utile pentru administratorii clienților pentru a configura CPE-ul de partea lor pentru a stabili conexiunea.
  1. Adresă IP pentru transportul tunelului GRE: Clientului i se cere să furnizeze adresele IP din partea clientului Tunnel Transport, iar Cisco va aloca în mod dinamic adresele IP odată ce activarea este finalizată. ACL-ul IPSec pentru trafic interesant ar trebui să permită IP/32 de transport local în tunel la IP/32 de transport la distanță. ACL ar trebui, de asemenea, să specifice doar protocolul GRE IP.


     
    Adresa IP furnizată de client poate fi privată sau publică.
  2. Peers IPSec: Clientului i se cere să furnizeze adresele IP sursă ale tunelului IPSec, iar Cisco alocă adresa IP de destinație IPSec. Efectuarea traducerii NAT a unei adrese interne de tunel IPSEC la o adresă publică este, de asemenea, acceptată dacă este necesar.


     

    Adresa IP furnizată de client ar trebui să fie publică.


     
    Toate celelalte informații statice furnizate în ecranul de activare sunt standardele de securitate și criptare Cisco respectate. Această configurație statică nu este personalizabilă sau modificabilă. Pentru orice asistență suplimentară cu privire la configurațiile statice din partea Cisco, clientul ar trebui să contacteze TAC.
5

Faceţi clic pe butonul Activaţi după ce toate câmpurile obligatorii sunt completate.

6

După ce formularul de activare Virtual Connect este completat pentru o anumită regiune, clientul poate exporta formularul de activare din Control Hub, Apelare > Instanță dedicată > fila Conectivitate în cloud și face clic pe Export setări.


 
Din motive de securitate, autentificarea și parola BGP nu vor fi disponibile în documentul exportat, dar administratorul le poate vizualiza în Control Hub făcând clic pe Vizualizare setări sub Control Hub, Apelare > Instanță dedicată > Conectivitate în cloud fila.

Pasul 3: Cisco efectuează Configurarea rețelei

1

Odată ce formularul de activare Virtual Connect este completat, starea va fi actualizată la Activare în curs în Apel > Instanță dedicată > Card Conectare virtuală Cloud Connectivity.

2

Cisco va finaliza configurațiile necesare pentru echipamentele laterale Cisco în termen de 4 zile lucrătoare. La finalizarea cu succes, starea va fi actualizată la „Activat” pentru regiunea respectivă în Control Hub.

Pasul 4: Clientul efectuează Configurarea rețelei

Starea este schimbată în „Activat” pentru a notifica administratorul Clientului că partea Cisco a configurațiilor pentru conectivitate IP VPN a fost finalizată pe baza intrărilor furnizate de Client. Dar, se așteaptă ca administratorul clientului să finalizeze partea sa a configurațiilor pe CPE-uri și să testeze rutele de conectivitate pentru ca tunelul Virtual Connect să fie Online. În cazul oricăror probleme cu care se confruntă la momentul configurării sau conectării, clientul poate contacta Cisco TAC pentru asistență.