Введение

Virtual Connect – это дополнительная надстройка для подключения к облаку для выделенного экземпляра Webex Calling (выделенный экземпляр). Virtual Connect позволяет клиентам безопасно расширять свои частные сети через Интернет с помощью VPN-туннелей "точка-точка". Этот вариант подключения обеспечивает быстрое установление частного сетевого соединения с использованием существующего оборудования для помещений клиента (Customer Premise Equipment, CPE) и подключения к Интернету.

Компания Cisco обеспечивает, управляет и обеспечивает избыточные туннели IP VPN и необходимый доступ в Интернет в регионе центра обработки данных Выделенного экземпляра Cisco, где это необходимо. Аналогично, администратор отвечает за соответствующие cpe-услуги и службы Интернета, которые необходимы для установления виртуального соединения.

Каждый заказ на виртуальное подключение в определенном регионе выделенного экземпляра должен включать в себя два общих туннеля инкапсуляции маршрутизации (GRE), защищенных шифрованием IPSec (GRE по IPSec), по одному для каждого центра обработки данных Cisco в выбранном регионе.

Виртуальное соединение имеет ограничение пропускной способности в 250 Мбит/с для туннеля и рекомендуется для небольших развертывания. Поскольку два VPN-туннеля "точка-точка" используются в облаке, весь трафик в облако должен проходить через клиентский головной процессор CPE, что может быть непригодным при большой площади удаленных объектов. Для других альтернативных параметров пиринга обратитесь к параметру Подключение к облаку.

Предварительные условия

Предварительные условия для создания виртуального соединения:

  • Клиент предоставляет

    • Подключение к Интернету с достаточной доступной полосой пропускания для поддержки развертывания

    • Публичные IP-адреса для двух туннелей IPSec

    • Транспортные IP-адреса GRE для двух туннелей GRE на стороне клиента

  • Партнер и клиент

    • Совместное использование для оценки требований к полосе пропускания

    • Обеспечение поддержки сетевых устройств на протокол пограничного шлюза (BGP) и проектирование туннеля GRE по IPSec

  • Партнер или клиент предоставляет

    • Сетовая группа с знанием технологий туннеля между узлами

    • Сетовая группа со знанием BGP, eBGP и общих принципов маршрутов

  • Cisco

    • Cisco назначена частная автономная система номеров (ASNS) и временный IP-адрес для интерфейсов туннеля GRE

    • Компании Cisco назначена доступная, но не доступная в Интернет сеть класса C (/24) для адресов в облаке выделенных экземпляров


Если у клиента имеется только 1 устройство CPE, то 2 туннеля к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе будут от этого устройства CPE. Клиент также имеет возможность на 2 устройства CPE, поэтому каждое устройство CPE должно подключаться к 1 туннелю только к центрам обработки данных Cisco (DC1 и DC2) в каждом регионе. Можно добиться дополнительной избыточности, орвав каждый туннель в отдельном физическом объекте или местоположении в инфраструктуре клиента.

Технические сведения

Модель развертывания

Virtual Connect использует архитектуру головной системы двойного уровня, в которой плоскости маршрутов и управления GRE предоставлены одним устройством, а плоскость управления IPSec – другим.

По завершении подключения к виртуальному соединению между корпоративной сетью клиента и выделенными экземплярами центра обработки данных Cisco будут созданы два туннеля GRE по IPSec. Один на каждый избыточный центр обработки данных в соответствующем регионе. Как установлено в предварительных условия, для использования сети /24 от партнера или клиента при настройке виртуального соединения потребуется сеть /24. Дополнительные сетевые элементы, необходимые для пиринга, обмениваются партнером или клиентом на Cisco с помощью формы активации Virtual Connect Control Hub.

На рис. 1 показан пример модели развертывания Virtual Connect для варианта 2-концентратора на стороне клиента.

Виртуальное соединение– VPN – это проект концентратора, в котором веб-сайты концентраторов клиента подключены к DC1 и DC2 центров обработки данных выделенных экземпляров в определенном регионе.

Для улучшения избыточности рекомендуется использовать два узла Концентратора, однако поддерживаются также веб-сайты с одним концентратором с двумя туннелями.


Полоса пропускания одного туннеля ограничена до 250 Мбит/с.


Удаленные объекты клиента в том же регионе, необходимо будет подключиться обратно к концентратору через WAN клиента, и компания Cisco не несет ответственности за это подключение.

Партнеры должны тесно работать с клиентами, обеспечивая наиболее оптимальный путь для региона обслуживания "Виртуальное соединение".

На рис. 2 показаны области пиринга выделенных экземпляров cloud connectivity.

Маршрутизация

Маршрутка для виртуальной надстройки Connect реализована с использованием внешнего BGP (eBGP) между выделенным экземпляром и оборудованием в помещении клиента (CUSTOMER Premise Equipment, CPE). Компания Cisco объявит о своей сети для каждого избыточного ЦОДа в регионе для клиентского оборудования, и CPE является обязательной для объявления маршрутов по умолчанию в Cisco.

  • Cisco поддерживает и назначает

    • IP-адресвание интерфейса туннеля (временный канал для маршрутики) назначается Cisco из назначенного общего адресного пространства (не для публичной маршрутики)

    • Адрес делегации транспортного туннеля (на стороне Cisco)

    • Номера частной автономной системы (ASNS) для конфигурации маршрутов BGP клиента

      • Cisco назначает из назначенного частного диапазона использования: с 64512 по 65534

  • EBGP используется для обмена маршрутами между выделенным экземпляром и CPE

    • Cisco разделит назначенную сеть /24 на 2/25 один для каждого постоянного тока в соответствующем регионе

    • В виртуальном подключении каждая /25 сеть объявляется клиентом cisco через соответствующие VPN-туннели «точка-точка» (временные соединения)

    • Для CPE должны быть настроены соответствующие соседние ели EBGP. При использовании одного CPE будут использоваться два eBGP-соседя, которые указывают на каждый удаленный туннель. При использовании двух CPE каждый CPE будет иметь единый соседний eBGP-канал для одного удаленного туннеля для CPE.

    • Сбоку каждого туннеля GRE (IP-интерфейса туннеля) Cisco настраивается как соседний BGP на CPE

    • CPE требуется для объявления маршрута по умолчанию по каждому из туннелей

    • CPE может при необходимости перераспределить перераспределяемые маршруты в пределах корпоративной сети осязаемого предприятия.

  • В случае отказа канала без отказа один CPE будет иметь два активных и активных туннеля. Для двух узлов CPE каждый CPE будет иметь один активный туннель, и оба узла CPE должны быть активными и проходить трафик. В сценарии, не относясь к отказу, трафик должен разделяться на два туннеля, которые будут проходить к правильному пункту назначения /25. Если один из туннелей выходит из строя, оставшийся туннель может проходить трафик для обоих туннелей. В таком сценарии отказа при отбое сети /25 сеть /24 используется в качестве резервного маршрута. Cisco отправит трафик клиентов через свою внутреннюю WAN в ЦОД, в связи с которым соединение разослаться не будет.

Процесс подключения

Ниже описано, как установить соединение с виртуальным Connect для выделенного экземпляра.

1

Размещение заказа в Cisco CCW

2

Активация виртуального соединения из Control Hub

3

Cisco выполняет настройку сети

4

Клиент выполняет настройку сети

Этап 1. Заказ CCW

Virtual Connect – это надстройка для выделенного экземпляра в CCW.

1

Перейдите на веб-сайт для заказа CCW и щелкните Login (Вход), чтобы войти на веб-сайт:

2

Выберите Create Estimate (Создать предложение с расценками).

3

Добавьте SKU "A-FLEX-3".

4

Выберите Редактировать параметры.

5

На отобра похожей вкладке подписки выберите Параметры и Надстройки.

6

В области Дополнительные надстройки выберите поле "Виртуальное соединение для выделенного экземпляра". SKU – это A-FLEX-DI-VC.

7

Введите количество и количество регионов, в которых требуется virtual Connect.


 
Количество виртуальных подключений не должно превышать общее количество регионов, приобретенных для выделенного экземпляра. Кроме того, в одном регионе допускается только один порядок виртуальных подключений.
8

Если вы удовлетворены выбором, щелкните Проверить и сохранить в правой верхней части страницы.

9

Щелкните Save (Сохранить), а затем Continue (Продолжить), чтобы оформить заказ. После завершения этого заказа приложение будет в сетке заказов.

Этап 2. Активация виртуального соединения в Control Hub

1

Во войти в Control Hub https://admin.webex.com/login.

2

В разделе Службы перейдите к разделу Вызовы > службу instacnce > облаке.

3

На карточке Virtual Connect указано приобретенное количество Virtual Connect. Теперь администратор может щелкнуть Активировать , чтобы инициировать активацию виртуального соединения.


 
Активация может быть инициирована только администраторами с ролью "Администратор с полными клиентами". При этом администратор с ролью "Администратор только для чтения клиента" может только просматривать состояние.
4

При нажатии кнопки "Активировать" администратор может предоставить администратору технические сведения, необходимые для пиринговых конфигураций на стороне Cisco.


 
Кроме того, в форме статическая информация на стороне компании Cisco основывается на выбранном регионе. Эта информация будет полезна администраторам клиентов для настройки клиентской сети для установления соединения.
  1. IP-адрес транспортного туннеля GRE: Клиенту необходимо предоставить IP-адреса для бокового туннеля, и компания Cisco динамически выделит IP-адреса по завершению активации. IPSec ACL для трафика с интересным трафиком должен позволять локальному транспортному туннелю IP/32 к удаленному транспортному транспортному туннелю IP/32. В ACL также должен указываться только протокол GRE IP.


     
    IP-адрес, предоставленный клиентом, может быть частным или общедоступным.
  2. Одноранговые IPSec: Клиент должен предоставить IP-адреса источника туннеля IPSec, а компания Cisco выделяет IP-адрес назначения IPSec. При необходимости также поддерживается трансляция NAT внутреннего туннеля IPSEC на публичный адрес.


     

    IP-адрес, предоставленный клиентом, должен быть общедоступным.


     
    Вся другая статическая информация, представленная на экране активации, является частью безопасности и стандартов шифрования Cisco, с которыми следует следовать. Статическая конфигурация не подстроима и не подгоняться. Для дальнейшей помощи в отношении статических конфигураций на стороне Cisco клиенту необходимо будет связаться с TAC.
5

После заполнения всех обязательных полей щелкните кнопку Активировать.

6

После завершения активации формы активации виртуального соединения для региона, который является частью, клиент может экспортировать форму активации из Control Hub, на вкладке Вызовы > Выделенная служба > Cloud Connectivity" и щелкнуть Параметры экспорта.


 
По соображениям безопасности аутентификация и пароль BGP в экспортируемом документе будут недоступны, но администратор может просмотреть то же самое в Control Hub, щелкнув Параметры просмотра в Control Hub, на вкладке Вызовы >на вкладке Подключения к облаку > службы.

Этап 3. Cisco выполняет настройку сети

1

По завершению формы активации виртуального соединения состояние будет обновлено до состояния "Активация, которая уже идет в вызове> выделенном экземпляре > карточке "Виртуальное соединение с подключением к облаку".

2

В течение 4 дней компания Cisco выполнит необходимые настройки на стороне оборудования Cisco. После успешного завершения состояние будет обновлено до "Активировано" для этого региона в Control Hub.

Этап 4. Клиент выполняет настройку сети

Состояние изменено на "Активировано", чтобы известить администратора клиента о том, что конфигурации сети IP VPN компании Cisco выполнены на основе входных данных, предоставленных клиентом. Однако ожидается, что администратор клиента завершит настройку конфигураций клиентского оборудования и протестирует маршруты подключения для туннеля виртуального соединения в режиме онлайн. В случае любых проблем, с которыми столкнулись при настройке или подое связи, клиент может за помощью связаться с Cisco TAC.