Inledning

Virtual Connect är ett ytterligare tilläggsalternativ för molnanslutning till dedikerad instans för Webex Calling (dedikerad instans). Med Virtual Connect kan kunder på ett säkert sätt utöka sitt privata nätverk över internet med hjälp av IP VPN-tunneler från punkt till punkt. Det här anslutningsalternativet visar att privat nätverksanslutning snabbt används med hjälp av cpe (Customer Premise Equipment) och internetanslutning.

Cisco är värdar, hanterar och säkerställer redundanta IP VPN-tunneler och nödvändig Internetåtkomst i den(a) datacenterregion (Dedikerade instanser) i Cisco där tjänsten krävs. På samma sätt ansvarar administratören för motsvarande CPE- och Internet-tjänster som krävs för Virtual Connect.

Varje virtual Connect-beställning i en viss dedikerad instans-region skulle inkludera två generisk dirigerings encapsulering (GRE) tunneler som skyddas av IPSec-kryptering (GRE over IPSec), en till varje Ciscos datacenter i den valda regionen.

Virtuell Connect har en bandbreddsgräns på 250 Mbit/s per tunnel och rekommenderas för mindre distribuering. Eftersom vpn-tunneler med två punkt-till-punkt används all trafik till molnet måste gå genom kundens huvudpunkt CPE, och det kanske inte är lämpligt där det finns många fjärrwebbplatser. För andra alternativa peering-alternativ, se Molnanslutning.

Förutsättningar

För att upprätta virtual Connect krävs bland annat:

  • Kunden tillhandahåller

    • Internetanslutning med tillräckligt med bandbredd för att stödja distribueringen

    • Offentlig(a) IP-adress(er) för två IPSec-tunnel

    • KUNDsidans GRE-transport-IP-adresser för de två GRE-tunnelerna

  • Partner och kund

    • Samarbeta för att utvärdera bandbreddskraven

    • Säkerställ att nätverksenheten har stöd för Border Gateway Protocol (BGP) dirigering och en GRE over IPSec-tunneldesign

  • Partner eller kund tillhandahåller

    • Nätverk med kunskaper om VPN-tunneltekniker på plats-till-plats

    • Nätverk med kunskaper om BGP, eBGP och allmänna dirigeringsprinciper

  • Cisco

    • Cisco tilldelade privata autonoumous systemnummer (ASN:er) och tillfällig IP-adressering för GRE-tunnelgränssnitt

    • Cisco har tilldelat ett allmänt men inte internet dirigerbart C-nätverk (/24) för dedikerade instans cloud-adressering

Om en kund bara har 1 CPE-enhet kommer de 2 tunnelerna mot Ciscos datacenter (DC1 och DC2) i varje region att från den CPE-enheten. Kunden har också ett alternativ för 2 CPE-enheter. Sedan ska varje CPE-enhet ansluta till 1 tunnel endast mot Ciscos datacenter (DC1 och DC2) i varje region. Ytterligare redundans kan avbrytas genom att avsluta varje tunnel på en separat fysisk plats/plats i kundens infrastruktur.

Teknisk information

Distributionsmodell

Virtual Connect använder en arkitektur med dubbla nivåer där dirigerings- och GRE-kontrollplan tillhandahålls av en enhet och IPSec-kontrollplan tillhandahålls av en annan.

När "Virtual Connect"-anslutningen är klar kommer två GRE över IPSec-tunneler att skapas mellan kundens företagsnätverk och Dedikerade instans av Ciscos datacenter. En till varje redundant datacenter inom respektive region. Som nämnts i förutsättningarna kommer ett /24-nätverk att krävas av partnern eller kunden för att kunna konfigurera den virtuella Connect-anslutningen. Ytterligare nätverkselement som krävs för peering utbyts av partnern eller kunden till Cisco via aktiveringsformuläret för Virtual Connect-kontrollhubb.

Figur 1 visar ett exempel på distribueringsmodellen för Virtual Connect för alternativet 2-koncentrator på kundsidan.

Virtuell anslutning – VPN är en hubbdesign där kundens hubbwebbplatser är anslutna till DC1 och DC2 av dedikerade instansens datacenter inom en viss region.

Två Hub-webbplatser rekommenderas för bättre redundans, men One Hub-webbplatser med två tunneler är också en distributionsmodell som stöds.

Bandbredden per tunnel är begränsad till 250 Mbit/s.

Kundens fjärrwebbplatser inom samma region måste ansluta tillbaka till Hub-webbplatsen/-webbplatserna via kundens WAN och det är inte Ciscos ansvar för anslutningen.

Partner förväntas jobba i nära samarbete med kunderna, vilket säkerställer att den mest optimala sökvägen väljs för tjänsteregionen "Virtual Connect".

Figur 2 visar de dedikerade peeringområdena för molnanslutning.

Dirigering

Dirigering för tillägget Virtual Connect implementeras med hjälp av extern BGP (eBGP) mellan dedikerad instans och CPE (Customer Premise Equipment). Cisco annonserar om sitt respektive nätverk för varje redundant DC inom en region till kundens CPE och CPE krävs för att annonsera en standardväg till Cisco.

  • Cisco underhåller och tilldelar

    • IP-adressering av tunnelgränssnitt (övergående länk för dirigering) tilldelar Cisco från ett anvisat delat adressutrymme (icke-offentligt dirigerbart)

    • Adressen för tunneltransporten (Ciscos sida)

    • Privata autonoma systemnummer för kundens BGP-dirigeringskonfiguration

      • Cisco tilldelar från det avsedda privata användningsintervallet: 64512 till 65534

  • eBGP som används för utbyte av vägar mellan dedikerad instans och CPE

    • Cisco kommer att dela det tilldelade/24-nätverket till 2/25 ett för varje dc i respektive region

    • I Virtual Connect annonseras varje /25-nätverk tillbaka till CPE av Cisco under respektive VPN-tunnel (tillfällig länk)

    • CPE måste konfigureras med lämpliga eBGP-grann. Om du använder en CPE kommer två eBGP-angränsande personer att användas, en pekar på varje fjärr tunnel. Om du använder två CPE kommer varje CPE att ha en eBGP-angränsande person som leder till den enda fjärr tunneln för CPE.

    • Cisco-sidan för varje GRE-tunnel (TUNNEL-gränssnitts-IP) är konfigurerad som BGP-grannen på CPE

    • CPE krävs för att annonsera om en standardväg över var och en av tunnelerna

    • CPE kan omdestribueras vid behov via de nyrädda vägar inom företagsnätverket.

  • Om länken inte felar kommer en CPE att ha två aktiva/aktiva tunnel. För två CPE-noder kommer varje CPE att ha en aktiv tunnel och båda CPE-noderna bör vara aktiva och skicka trafik. Om inte fel uppstår måste trafiken delas i två tunneler som går till rätt /25 destinationer om en av tunneln går ner kan den återstående tunneln leda trafiken för båda. Under ett sådant felscenario används nätverket som reservväg när /25-nätverket är nere. Cisco kommer att skicka kundtrafik via sin interna WAN till DC som förlorade anslutningen.

Anslutningsprocess

Följande steg på hög nivå beskriver hur du etablerar anslutning med virtuell Connect för dedikerad instans.

1

Gör en beställning i Cisco CCW
2

Aktivera virtuell Connect från Control Hub
3

Cisco utför nätverkskonfiguration
4

Kunden utför nätverkskonfiguration

Steg 1: CCW-beställning

Virtual Connect är ett tillägg för dedikerad instans i CCW.

1

Gå till ccw-beställningssidan och klicka sedan på Logga in för att logga in på webbplatsen:

https://apps.cisco.com/Commerce/guest.
2

Skapa uppskattning.
3

Lägg till "A-FLEX-3" SKU.
4

Välj Redigera alternativ.
5

Välj Alternativ och Tillägg på fliken prenumeration som visas.
6

Under Ytterligare tillägg markerar du kryssrutan bredvid "Virtuell anslutning för dedikerad instans". SKU-namnet är "A-FLEX-DI-VC".
7

Ange antalet och antalet regioner som virtuell connect krävs i.


 
Antalet virtuella Connect-enheter får inte överskrida det totala antalet regioner som köpts för dedikerad instans. Dessutom tillåts endast en beställning av Virtual Connect per region.
8

När du är nöjd med dina val klickar du på Verifiera och Spara i den övre högra delen av sidan.
9

Klicka på Spara och fortsätt för att slutföra beställningen. Din slutliga ordning är nu appers i ordningens rutnät.

Steg 2: Aktivering av virtuell Connect i Control Hub

1

Logga in på Control Hub https://admin.webex.com/login.
2

Gå till avsnittet Tjänster och gå till > Dedikerad instacnce > molnanslutning.
3

På kortet Virtual Connect listas det köpta antalet virtuella Connect. Administratören kan nu klicka på Aktivera för att initiera aktiveringen av Virtual Connect.


 
Aktiveringsprocessen kan endast utlösas av administratörer med rollen "Fullständig kundadministratör". En administratör med rollen "Kund skrivskyddad administratör" kan endast se statusen.
4

När administratören klickar aktiveringsknappen visas formuläret Aktivera virtuell anslutning för att ge den tekniska information som krävs för Virtual Connect för peering-konfigurationer på Ciscos sida.


 
Formuläret tillhandahåller också statisk information på Ciscos sida baserat på vilken region som har valts. Den här informationen är användbar för kundadministratörer för att konfigurera CPE på deras sida för att etablera anslutningen.

  1. GRE Tunnel Transport IP-adress: Kunden måste tillhandahålla kundens ip-adresser för tunneltransport och Cisco kommer att tilldela IP-adresserna dynamiskt när aktiveringen är slutförd. IPSec ACL för spännande trafik ska tillåta lokal tunneltransport IP/32 till fjärrtransportENS IP/32. ACL:en ska också ange endast GRE IP-protokollet.


     
    IP-adressen som tillhandahålls av kunden kan vara privat eller offentlig.

  2. IPSec-peers: Kunden måste tillhandahålla IPSec Tunnels käll-IP-adresser och Cisco allokerar IP-adressen för ip-adressen för IP-adressen för IP-adressen. Utförande av NAT-översättning av en intern IPSEC-tunneladress till en offentlig adress stöds också vid behov.


     

    IP-adressen som tillhandahålls av kunden ska vara offentlig.

     
    All annan statisk information som tillhandahålls på aktiveringsskärmen är säkerhets- och krypteringsstandarder för Cisco följt av Ciscos sida. Denna statiska konfiguration är inte anpassningsbar eller anpassningsbar. För ytterligare hjälp med statiska konfigurationer på Ciscos sida bör kunden kontakta TAC.
5

Klicka på knappen Aktivera när alla obligatoriska fält är ifyllda.
6

När aktiveringsformuläret för virtuell anslutning är klart för en deltagarregion kan kunden exportera aktiveringsformuläret från Control Hub, samtal > dedikerad instans > molnanslutningsfliken och klicka på Exportera inställningar.


 
På grund av säkerhetsskäl kommer autentiseringen och BGP-lösenordet inte att vara tillgängligt i det exporterade dokumentet, men administratören kan se samma i Control Hub genom att klicka på Visa inställningar under Kontrollhubben, samtal > dedikerad instans > molnanslutningsfliken.

Steg 3: Cisco utför nätverkskonfiguration

1

När aktiveringsformuläret för virtuell anslutning är slutfört kommer status att uppdateras till aktivering av pågående samtal > dedikerad instans > för molnanslutning med virtuellt Connect-kort .
2

Cisco kommer att utföra de nödvändiga konfigurationerna på Ciscos sidoutrustning inom 4 arbetsdagar. När slutförandet är slutförd kommer statusen att uppdateras till "Aktiverad" för den specifika regionen i Control Hub.

Steg 4: Kunden utför nätverkskonfiguration

Statusen ändras till "Aktiverad" för att meddela kundadministratören att Ciscos sida av konfigurationer för IP VPN-anslutningen har slutförts baserat på kundens inmatningar. Men kundadministratören förväntas slutföra sin sida av konfigurationerna på CP:erna och testa anslutningsvägarna för den virtuella Connect-tunneln för att vara online. Om problem är aktuella då konfiguration eller anslutning är över kan kunden kontakta Cisco TAC (teknisk support) för hjälp.