Вступ

Віртуальне з 'єднання - це додаткова опція для підключення хмари до виділеного екземпляра для виклику Webex (виділений екземпляр). Virtual Connect дозволяє клієнтам безпечно розширювати свою приватну мережу через Інтернет, використовуючи тунелі IP VPN. Цей варіант підключення забезпечує швидке встановлення приватного мережевого з 'єднання за допомогою існуючого обладнання для приміщення клієнта (CPE) та підключення до Інтернету.

Cisco розміщує, керує та забезпечує резервні тунелі IP VPN та необхідний доступ до Інтернету в регіоні(-ах) виділеного центру (-ів) даних Cisco, де потрібна послуга. Подібним чином, адміністратор несе відповідальність за свої відповідні послуги CPE та Інтернету, які необхідні для створення Virtual Connect.

Кожне замовлення на віртуальне з 'єднання в певній області виділеного екземпляра включатиме два загальні тунелі інкапсуляції маршрутизації (GRE), захищені шифруванням IPSec (GRE по IPSec), по одному для кожного центру даних Cisco в обраному регіоні.

Virtual Connect має обмеження пропускної здатності 250 Мбіт/с на тунель і рекомендується для меншого розгортання. Оскільки використовуються два VPN-тунелі «точка-точка», весь трафік до хмари повинен проходити через головний CPE клієнта, і тому він може не підходити там, де є багато віддалених сайтів. Інші альтернативні варіанти пірингу див. у розділі Хмарне з 'єднання.

Передумови

Передумови для створення Virtual Connect включають:

  • Замовник надає

    • Інтернет-з 'єднання з достатньою доступною пропускною здатністю для підтримки розгортання

    • Публічні IP-адреси для двох тунелів IPSec

    • Транспортні IP-адреси GRE на стороні клієнта для двох тунелів GRE

  • Партнер і Замовник

    • Спільна робота для оцінки вимог до пропускної здатності

    • Забезпечити підтримку мережевими пристроями маршрутизації протоколу прикордонних шлюзів (BGP) та проектування тунелю GRE через IPSec

  • Партнер або Замовник надає

    • Мережева команда, яка знає технології VPN-тунелю від місця до місця

    • Мережева команда зі знанням BGP, eBGP та загальних принципів маршрутизації

  • Cisco

    • Cisco присвоїла приватні номери автонумусних систем (ASN) і тимчасову IP-адресу для інтерфейсів тунелю GRE

    • Cisco призначила загальнодоступну, але не маршрутизовану мережу класу C (/24) для виділеної хмарної адреси екземпляра

Якщо клієнт має лише 1 пристрій CPE, то 2 тунелі до дата-центрів Cisco (DC1 і DC2) у кожному регіоні будуть з цього пристрою CPE. Клієнт також має опцію для 2 пристроїв CPE, тоді кожен пристрій CPE повинен підключатися до 1 тунелю тільки в напрямку до дата-центрів Cisco (DC1 і DC2) в кожному регіоні. Додаткове резервування може бути досягнуто шляхом закінчення кожного тунелю в окремому фізичному місці/місці в межах інфраструктури Замовника.

Технічні деталі

Модель розгортання

Virtual Connect використовує дворівневу архітектуру головного пристрою, де площини маршрутизації та управління GRE забезпечуються одним пристроєм, а площина управління IPSec - іншим.

Після завершення підключення до Virtual Connect буде створено два тунелі GRE через IPSec між корпоративною мережею Клієнта та центрами обробки даних Cisco Dedicated Instance. По одному до кожного резервного центру даних у відповідному регіоні. Додаткові елементи мережі, необхідні для пірингу, обмінюються Партнером або Клієнтом з Cisco через форму активації Control Hub Virtual Connect.

Малюнок 1 показує приклад моделі розгортання Virtual Connect для опції 2-концентратора на стороні клієнта.

Virtual Connect - VPN - це дизайн концентратора, де сайти концентратора клієнта підключаються до DC1 і DC2 центрів обробки даних Dedicated Instance у певному регіоні.

Для кращого резервування рекомендується два вузли, але також підтримується модель розгортання One Hub з двома тунелями.

Пропускна здатність на тунель обмежена 250 Мбіт/с.

Віддалені сайти Клієнта в межах одного регіону повинні будуть з 'єднуватися з місцем(ами) концентратора через WAN Клієнта, і Cisco не несе відповідальності за це з' єднання.

Очікується, що партнери будуть тісно співпрацювати з Клієнтами, забезпечуючи вибір найбільш оптимального шляху для регіону обслуговування «Virtual Connect».

Малюнок 2 показує виділені області підключення до хмари виділених екземплярів.

Маршрутизація

Маршрутизація для доповнення Virtual Connect здійснюється за допомогою зовнішнього BGP (eBGP) між виділеним екземпляром та обладнанням приміщення клієнта (CPE). Cisco буде рекламувати свою відповідну мережу для кожного надлишкового постійного струму в межах регіону CPE Клієнта, і CPE зобов 'язаний рекламувати маршрут за замовчуванням до Cisco.

  • Cisco підтримує та призначає

    • IP-адреса інтерфейсу тунелю (перехідний зв 'язок для маршрутизації) Cisco призначає з визначеного спільного адресного простору (непублічно маршрутизується)

    • Адреса дезінфекції тунельного транспорту (сторона Cisco)

    • Приватні автономні номери систем (ASN) для конфігурації маршрутизації BGP клієнта

      • Cisco призначає з визначеного діапазону приватного використання: 64512 - 65534

  • eBGP використовується для обміну маршрутами між виділеним екземпляром та CPE

    • Cisco розділить призначену /24 мережу на 2 /25 по одному для кожного постійного струму у відповідному регіоні

    • У Virtual Connect кожна /25 мережа рекламується Cisco CPE через відповідні тунелі VPN з точкою до точки (перехідний зв 'язок)

    • CPE повинен бути налаштований з відповідними сусідами eBGP. Якщо використовується один CPE, будуть використовуватися два сусіди eBGP, один з яких вказує на кожен віддалений тунель. Якщо використовується два CPE, то кожен CPE матиме одного сусіда eBGP, що понізує до єдиного віддаленого тунелю для CPE.

    • Сторона Cisco кожного тунелю GRE (IP інтерфейсу тунелю) налаштована як сусід BGP на CPE

    • CPE зобов 'язаний рекламувати маршрут за замовчуванням по кожному з тунелів

    • CPE відповідає за перерозподіл, за необхідності, вивчених маршрутів в межах мережі підприємства Cutomer.

  • За умови невідмовності зв 'язку, один CPE буде мати два активних/активних тунелі. Для двох вузлів CPE кожен CPE матиме один активний тунель, і обидва вузли CPE повинні бути активними та передавати трафік. За сценарієм невідмовності, трафік повинен розділятися на два тунелі, що йдуть до правильних /25 пунктів призначення, якщо один з тунелів рухається вниз, решта тунелів може нести трафік для обох. За такого сценарію відмови, коли мережа/25 вимкнена, тоді мережа/24 використовується як резервний маршрут. Cisco надсилатиме трафік клієнтів через свою внутрішню глобальну мережу до DC, який втратив зв 'язок.

Процес підключення

Наступні кроки на високому рівні описують, як встановити з 'єднання з віртуальним підключенням для виділеного екземпляра.

1.

Зробити замовлення в Cisco CCW
2.

Активувати віртуальне з 'єднання з центру керування
3.

Cisco виконує налаштування мережі
4.

Клієнт виконує налаштування мережі

Крок 1: Замовлення CCW

Virtual Connect - це доповнення для виділеного екземпляра в CCW.

1.

Перейдіть на сайт замовлення CCW, а потім натисніть Увійти, щоб увійти на сайт:

https://apps.cisco.com/Commerce/guest.
2.

Створити кошторис.
3.

Додайте артикул "A-FLEX-3".
4.

Виберіть Edit options (Редагувати параметри).
5.

На вкладці підписки, що з 'явиться, виберіть Параметри та надбудови.
6

У розділі Додаткові доповнення встановіть прапорець поруч із пунктом "Віртуальне з 'єднання для виділеного екземпляра". Назва артикулу - "A-FLEX-DI-VC".
7

Введіть кількість і кількість регіонів, у яких необхідне віртуальне з 'єднання.


 
Кількість віртуального з 'єднання не повинна перевищувати загальну кількість регіонів, придбаних для виділеного екземпляра. Крім того, для кожного регіону дозволено лише одне замовлення Virtual Connect.
8

Коли ви задоволені вибором, натисніть Перевірити та Зберегти у верхній правій частині сторінки.
9

Натисніть Зберегти та продовжити, щоб завершити замовлення. Ваше остаточне замовлення тепер відображається в сітці замовлень.

Крок 2: Активація віртуального з 'єднання в концентраторі керування

1.

Увійдіть до Центру керуванняhttps://admin.webex.com/login.
2.

У розділі "Послуги" перейдіть до розділу "Виклик" > "Виділений інсталяція" > "Хмарне з 'єднання".
3.

На картці Virtual Connect відображається придбана кількість Virtual Connect. Тепер адміністратор може натиснути кнопку Активація, щоб ініціювати активацію віртуального з 'єднання.


 
Процес активації може бути запущений лише адміністраторами з роллю "Клієнт повний адміністратор". Тоді як адміністратор з роллю "Адміністратор тільки для читання клієнтом" може лише переглядати статус.
4.

При натисканні кнопки Activate (Активувати) відображається форма Activate Virtual Connect (Активувати віртуальне з 'єднання), за допомогою якої адміністратор може надати технічні дані про віртуальне з' єднання, необхідні для налаштувань пірингу на стороні Cisco.


 
Форма також надає статичну інформацію на стороні Cisco на основі обраного Регіону. Ця інформація буде корисною для адміністраторів Клієнта, щоб налаштувати CPE на їхній стороні для встановлення підключення.

  1. IP-адреса тунельного транспорту GRE: Клієнт зобов 'язаний надати IP-адреси тунельного транспорту на стороні клієнта, і Cisco буде динамічно розподіляти IP-адреси після завершення активації. IPSec ACL для цікавого трафіку повинен дозволяти локальному транспорту тунелю IP/32 до віддаленого транспорту тунелю IP/32. ACL також повинен вказувати лише протокол GRE IP.


     
    IP-адреса, надана клієнтом, може бути приватною або загальнодоступною.

  2. Однолітки IPSec: Клієнт зобов 'язаний надати вихідні IP-адреси тунелю IPSec, а Cisco виділяє IP-адресу призначення IPSec. Виконання NAT-трансляції внутрішньої адреси тунелю IPSEC до загальної адреси також підтримується, якщо це необхідно.


     

    IP-адреса, надана замовником, повинна бути загальнодоступною.

     
    Вся інша статична інформація, надана на екрані активації, є стандартом безпеки та шифрування сторони Cisco. Цю статичну конфігурацію не можна налаштувати або змінити. Для отримання будь-якої подальшої допомоги щодо статичних конфігурацій на стороні Cisco клієнту потрібно звернутися до TAC.
5.

Натисніть кнопку «Активувати» після заповнення всіх обов 'язкових полів.
6

Після заповнення форми активації віртуального з 'єднання для певної області клієнт може експортувати форму активації з Control Hub, Calling > Dedicated Instance > Cloud Connectivity tab і натиснути Export settings (Експортувати налаштування).


 
З міркувань безпеки автентифікація та пароль BGP не будуть доступні в експортованому документі, але адміністратор може переглянути їх у Control Hub, натиснувши Переглянути налаштування в Control Hub, Виклик > Виділений екземпляр > Вкладка Cloud Connectivity.

Крок 3: Cisco виконує налаштування мережі

1.

Після заповнення форми активації віртуального з 'єднання статус буде оновлено до статусу Активація виконується в меню Виклик > Виділений екземпляр > Карта віртуального з' єднання Cloud Connect.
2.

Cisco виконає необхідні конфігурації на боковому обладнанні Cisco протягом 4 робочих днів. Після успішного завершення статус буде оновлено до "Активовано" для цього конкретного регіону в Центрі управління.

Крок 4: Клієнт виконує налаштування мережі

Статус змінюється на "Активовано", щоб повідомити адміністратора Клієнта про те, що сторона конфігурацій Cisco для з 'єднання IP VPN була завершена на основі вхідних даних, наданих Клієнтом. Але очікується, що адміністратор клієнта завершить свою сторону конфігурацій на CPE і перевірить маршрути з 'єднання для тунелю Virtual Connect, який буде онлайн. У разі виникнення будь-яких проблем під час налаштування або підключення, клієнт може звернутися за допомогою до Cisco TAC.