介绍

Virtual Connect 是云连接到Webex Calling (专用实例)的专用实例的额外插件选项。 Virtual Connect 使客户能够使用点对点 IP VPN 隧道在互联网上安全地扩展其专用网络。 此连接选项通过使用现有的客户端设备 (CPE) 和互联网连接,提供快速建立的专用网络连接。

Cisco在需要服务的 Cisco 专用实例数据中心区域托管、管理并确保冗余 IP VPN 隧道和所需的互联网访问。 同样,管理员负责建立 Virtual Connect 所需的相应 CPE 和互联网服务。

特定专用实例区域中的每个 Virtual Connect 订单将包括两个受 IPSec 加密(GRE over IPSec)保护的通用路由封装(GRE)隧道,一个到所选区域中的每个 Cisco 数据中心。

Virtual Connect 的每个隧道的带宽限制为 250 Mbps,建议用于小型部署。 由于使用了两个点对点 VPN 隧道,所有到云端的流量都必须通过客户头端 CPE,因此它可能不适合有很多远程站点的情况。 有关其他替代对等连接选项,请参阅云连接


在提交 Virtual Connect 的对等连接请求之前,请确保专用实例服务已在相应区域激活。

必要条件

建立 Virtual Connect 的前提条件包括:

  • 客户提供

    • 具有足够可用带宽以支持部署的互联网连接

    • 两条 IPSec 隧道的公共IP 地址

    • 两条 GRE 隧道的客户端 GRE 传输 IP 地址

  • 合作伙伴和客户

    • 协同工作以评估带宽需求

    • 确保网路设备支持边界网关协议 (BGP) 路由和 GRE over IPSec 隧道设计

  • 合作伙伴或客户提供

    • 具备站点对站点 VPN 隧道技术知识的网络团队

    • 具备 BGP、eBGP 和一般路由原则知识的网络团队

  • Cisco

    • Cisco为 GRE 隧道接口分配专用自治系统号码 (ASN) 和临时 IP 寻址

    • Cisco为专用实例云寻址分配了公共而非互联网可路由的 C 类 (/24) 类网络


如果客户只有 1 个 CPE 设备,则通往每个地区 Cisco 数据中心(DC1 和 DC2)的 2 条隧道将来自该 CPE 设备。 客户还可以选择 2 个 CPE 设备,然后每个 CPE 设备应连接到 1 个仅通往每个区域的 Cisco 数据中心(DC1 和 DC2)的隧道。 可以通过在客户基础设施内的单独物理站点/位置终止每个隧道来实现额外的冗余。

技术详情

部署模型

Virtual Connect 使用双层头端体系结构,其中路由和 GRE 控制平面由一个设备提供,IPSec 控制平面由另一个设备提供。

完成后虚拟连接连接,则将在客户的企业网络和专用实例 Cisco 的数据中心之间创建两条 GRE over IPSec 隧道。 对应区域内的每个冗余数据中心。 对等连接所需的其他网络元素由合作伙伴或客户通过 Control Hub Virtual Connect 激活表交换给Cisco 。

图 1 显示客户端上的 2 个集中器选项的 Virtual Connect部署模型示例。

Virtual Connect - VPN 是一种集线器设计,其中客户的 Hub 站点连接到特定区域内专用实例的数据中心的 DC1 和 DC2。

建议使用两个 Hub 站点以获得更好的冗余性,但一个带有两条隧道的 Hub 站点也是受支持的部署模型。


每个隧道的带宽限制为 250 Mbps。


同一区域内客户的远程站点需要通过客户的 WAN 连接回集线器站点,Cisco 不负责该连接。

合作伙伴应与客户密切合作,确保为“Virtual Connect”服务区域选择最佳路径。

图 2 显示专用实例云连接对等连接区域。

路由

Virtual Connect插件的路由是使用外部 BGP (eBGP) 在专用实例和客户端设备 (CPE) 之间实施的。 Cisco将向客户的 CPE 通告一个区域内每个冗余 DC 的各自网络,CPE 需要将默认路由通告给Cisco。

  • Cisco维护并分配

    • 隧道接口 IP 寻址(用于路由的临时链接) Cisco从指定的共享地址空间(非公开路由)分配

    • 隧道传输目标地址(Cisco 端)

    • 用于客户 BGP 路由配置的专用自治系统号码 (ASN)

      • Cisco从指定的专用使用范围分配: 64512 至 65534

  • 用于在专用实例和 CPE 之间交换路由的 eBGP

    • Cisco会将分配的 /24 网络拆分为 2 个 /25 个,用于各自区域中的每个 DC

    • 在 Virtual Connect 中,每个 /25 网络都由Cisco通过各自的点对点 VPN 隧道(过渡链路)通告回 CPE

    • 必须使用相应的 eBGP 邻居配置 CPE。 如果使用一个 CPE,将使用两个 eBGP 邻居,一个指向每个远程隧道。 如果使用两个 CPE,则每个 CPE 将有一个 eBGP 邻居 poniting 到 CPE 的单个远程隧道。

    • 每个 GRE 隧道的Cisco端(隧道接口 IP)配置为 CPE 上的 BGP 邻居

    • CPE 需要在每条隧道上通告默认路由

    • CPE 负责根据需要在客户的企业网络内重新分发学习到的路由。

  • 在非故障链路故障情况下,单个 CPE 将有两个活动/活动隧道。 对于两个 CPE 节点,每个 CPE 将有一个活动隧道,并且两个 CPE 节点都应该处于活动状态并传递流量。 在非故障情况下,流量必须分成两条隧道流向正确的 /25 目标,如果其中一条隧道发生故障,剩余的隧道可以承载两者的流量。 在此类故障情况下,当 /25 网络故障时,/24 网络将用作备份路由。 Cisco将通过其内部 WAN 将客户流量发送到丢失连接的 DC。

连接过程

以下主要步骤描述了如何与专用实例的虚拟连接建立连接。

1

在 Cisco CCW 中下单

2

从 Control Hub 激活 Virtual Connect

3

Cisco执行网络配置

4

客户执行网络配置

步骤 1: CCW 订单

Virtual Connect 是 CCW 中专用实例的插件。

1

导航至 CCW 订购站点,然后单击登录以登录该站点:

2

创建估计值。

3

添加“A-FLEX-3”SKU。

4

选择编辑选项。

5

在出现的订阅标签页中,选择选项和加载项。

6

在其他加载项下,选中“专用实例的虚拟连接”旁的复选框。 SKU 名称为“A-FLEX-DI-VC”。

7

输入需要 Virtual Connect 的区域数量。


 
Virtual Connect 的数量不应超过为专用实例购买的区域总数。 此外,每个区域仅允许一个 Virtual Connect 订单。
8

如果您对所选的内容感到满意,请单击页面右上方的验证并保存。

9

单击“保存并继续”,完成您的订单。 您最终的订单现已显示在订单网格中。

步骤 2: 在 Control Hub 中激活 Virtual Connect

1

登录 Control Hubhttps://admin.webex.com/login

2

服务部分,导航到呼叫 > 专用实例 > 云连接

3

在 Virtual Connect 卡中列出已购买的 Virtual Connect 数量。 管理员现在可以单击激活以启动 Virtual Connect 激活。


 
激活过程只能由具有“客户完全权限管理员”角色的管理员触发。 而具有“客户只读管理员”角色的管理员只能查看状态。
4

单击激活按钮,激活 Virtual Connect表格是由管理员显示的,以便管理员提供 Cisco 端对等配置所需的 Virtual Connect 技术详情。


 
该表单还会根据所选的区域提供 Cisco 方面的静态信息。 此信息将有助于客户管理员在其侧配置 CPE 以建立连接。
  1. GRE 隧道传输IP 地址: 客户需要提供客户端的隧道传输 IP 地址, Cisco将在激活完成后动态分配 IP 地址。 感兴趣流量的 IPSec ACL 应允许本地隧道传输 IP/32 到远程隧道传输 IP/32。 ACL 还应仅指定 GRE IP 协议。


     
    客户提供的IP 地址可以是专用的,也可以是公共的。
  2. IPSec 对等机: 客户需要提供 IPSec 隧道的源 IP 地址,由Cisco分配 IPSec目标 IP 地址。 如果需要,还支持将内部 IPSEC 隧道地址执行到公共地址的 NAT 转换。


     

    客户提供的IP 地址应该是公开的。


     
    激活屏幕中提供的所有其他静态信息均为遵循的 Cisco 方面的安全性和加密标准。 此静态配置不可自定义或修改。 要获取有关 Cisco 方面的静态配置的任何进一步协助,客户需要联系 TAC。
5

单击激活按钮,待所有必填字段均填写完毕后。

6

在特定区域的 Virtual Connect 激活表单完成后,客户可以从 Control Hub 的“呼叫”>“专用实例”>“云连接”标签页导出激活表单,然后单击导出设置。


 
出于安全原因,“导出”文档中将不提供“身份验证”和“BGP 密码”,但管理员可以在 Control Hub 中查看,方法是单击查看设置在 Control Hub 下,呼叫 > 专用实例 > 云连接标签页。

步骤 3: Cisco执行网络配置

1

完成 Virtual Connect 激活表后,状态将更新为激活正在进行中中的呼叫 > 专用实例 > 云连接 Virtual Connect 卡。

2

Cisco将在5 个工作日。 成功完成后,Control Hub 中该特定区域的状态将更新为“已激活”。

步骤 4: 客户执行网络配置

状态更改为“已激活”,以通知客户管理员已根据客户提供的输入完成 Cisco 端的 IP VPN 连接配置。 但是,客户管理员需要完成其在 CPE 上的配置,并测试连接路由,以使 Virtual Connect 隧道处于在线状态。 如果在配置或连接时遇到任何问题,客户可以联系Cisco TAC以寻求帮助。

疑难解答

IPsec 第一阶段(IKEv2 协商)故障诊断和验证

IPsec 隧道协商涉及两个阶段,即 IKEv2 阶段和 IPsec 阶段。 如果 IKEv2 阶段协商没有完成,则不会启动第二个 IPsec 阶段。 首先,在第三方设备上发出命令“show crypto ikev2 sa”(在Cisco设备上)或类似命令,以验证 IKEv2 会话是否处于活动状态。 如果 IKEv2 会话处于非活动状态,可能的原因可能是:

  • 有趣的流量不会触发 IPsec 隧道。

  • IPsec 隧道访问列表配置错误。

  • 客户与专用实例 IPsec 隧道终端节点 IP 之间没有连接。

  • 专用实例端和客户端之间的 IKEv2 会话参数不匹配。

  • 防火墙阻止了 IKEv2 UDP 数据包。

首先,检查 IPsec 日志中是否有任何显示 IKEv2 隧道协商进度的消息。 日志可能会指示 IKEv2 协商存在问题的位置。 缺少日志记录消息也可能表示 IKEv2 会话没有激活。

IKEv2 协商中的一些常见错误包括:
  • CPE 端上的 IKEv2 设置与Cisco端不匹配,请重新检查提到的设置:

    • 检查 IKE 版本是否为版本 2。

    • 验证加密和验证参数是否与专用实例端上的预期加密匹配。


      当使用“GCM”密码时,GCM 协议处理身份验证并将身份验证参数设置为空。

    • 验证生命周期设置。

    • 验证 Diffie Hellman 模数组。

    • 验证伪随机函数设置。

  • 加密映射的访问列表未设置为:

    • 允许 GRE(local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip ) 255.255.255.255" (或等效命令)


      访问列表必须专门用于“GRE”协议,“IP”协议不起作用。

如果日志消息未显示 IKEv2 阶段的任何协商活动,则可能需要数据包捕获。


专用实例端可能不会总是开始 IKEv2 交换,有时可能会期望客户 CPE 端成为发起方。

检查 CPE 端配置,了解 IKEv2 会话发起的以下先决条件:

  • 检查从 CPE 隧道传输 IP 到专用实例隧道传输 IP 的 GRE 流量(协议 50)的 IPsec 加密访问列表。

  • 确保为 GRE 保持连接启用 GRE 隧道接口,如果设备不支持 GRE 保持连接,则会通知Cisco ,因为默认情况下将在专用实例端启用 GRE 保持连接。

  • 确保 BGP 已启用并使用专用实例隧道 IP 的邻居地址配置。

如果配置正确,以下将开始 IPsec 隧道和第一阶段 IKEv2 协商:

  • 从 CPE 侧 GRE 隧道接口到专用实例侧 GRE 隧道接口的 GRE 保持连接。

  • BGP 邻居 从 CPE 侧 BGP 邻居到专用实例侧 BGP 邻居的 TCP 会话。

  • 从 CPE 侧隧道IP 地址ping 专用实例侧隧道IP 地址。


    Ping 不能是隧道传输 IP 到隧道传输 IP,它必须是隧道 IP 到隧道 IP。

如果 IKEv2 流量需要数据包跟踪,请将过滤器设置为 UDP 和端口 500(当没有 NAT 设备位于 IPsec 端点中间时)或端口 4500(当在 IPsec 端点中间插入 NAT 设备时)。端点)。

验证使用端口 500 或 4500 的 IKEv2 UDP 数据包是否发送到 DI IPsec IP 地址和从其接收。


专用实例数据中心可能并不总是开始第一个 IKEv2 数据包。 要求是 CPE 设备能够向专用实例端发起第一个 IKEv2 数据包。

如果本地防火墙允许,那么还要尝试 ping 远程 IPsec 地址。 如果从本地到远程 IPsec 地址的 ping 失败,则执行跟踪路由以帮助确定丢弃数据包的位置。

某些防火墙和互联网设备可能不允许跟踪路由。

IPsec 第二阶段(IPsec 协商)故障诊断和验证

在对 IPsec 第二阶段进行故障诊断之前,验证 IPsec 第一阶段(即 IKEv2 安全关联)是否处于活动状态。 执行“show crypto ikev2 sa”或等效命令以验证 IKEv2 会话。 在输出中,验证 IKEv2 会话已持续几秒钟以上,并且没有退回。 会话正常运行时间在输出中显示为会话“活动时间”或等效项。

在 IKEv2 会话验证为正常且处于活动状态后,调查 IPsec 会话。 与 IKEv2 会话一样,执行“show crypto ipsec sa”或等效命令来验证 IPsec 会话。 在建立 GRE 隧道之前,必须同时激活 IKEv2 会话和 IPsec 会话。 如果 IPsec 会话未显示为活动状态,请检查 IPsec 日志中是否有错误消息或协商错误。

在 IPsec 协商期间可能会遇到一些较常见的问题:

CPE 端的设置与专用实例端的设置不匹配,请重新检查设置:

  • 验证加密和验证参数是否与专用实例端的设置匹配。

  • 验证 Perfect Forward Secrecy 设置,以及专用实例端的设置是否匹配。

  • 验证生命周期设置。

  • 确认已在隧道模式下配置 IPsec。

  • 验证源和目标 IPsec 地址。

隧道接口故障诊断和验证

当 IPsec 和 IKEv2 会话被验证为正常且处于活动状态时,GRE 隧道保持连接数据包能够在专用实例和 CPE 隧道端点之间流动。 如果隧道接口未显示正常状态,则一些常见问题包括:

  • 隧道接口传输 VRF 与环回接口的 VRF 不匹配(如果在隧道接口上使用 VRF 配置)。


    如果隧道接口上未使用 VRF 配置,则可以忽略此检查。

  • 未在 CPE 侧隧道接口上启用保持连接


    如果 CPE 设备不支持保持连接,则必须通知Cisco以便也禁用专用实例端的默认保持连接。

    如果保持连接受支持,请验证保持连接已启用。

  • 隧道接口的掩码或IP 地址不正确,与专用实例的预期值不匹配。

  • 源或目标隧道传输地址不正确,与专用实例的预期值不匹配。

  • 防火墙阻止发送到 IPsec 隧道中或从 IPsec 隧道收到的 GRE 数据包(GRE 隧道通过 IPsec 隧道传输)

ping 测试应验证本地隧道接口是否正常,以及与远程隧道接口的连接是否良好。 执行从隧道 IP(而非传输 IP)到远程隧道 IP 的 ping 检查。


承载 GRE 隧道流量的 IPsec 隧道的加密访问列表仅允许 GRE 数据包通过。 因此,无法从隧道传输 IP 到远程隧道传输 IP 执行 ping 操作。

ping 检查会生成从源隧道传输 IP 到目标隧道传输 IP 的 GRE 数据包,而 GRE 数据包的负载(内部 IP)将是源和目标隧道 IP。

如果 ping 测试未成功并且上述各项均已验证,则可能需要数据包捕获以确保 icmp ping 生成 GRE 数据包,然后将其封装为 IPsec 数据包,然后从源 IPsec 地址发送到目标 IPsec 地址。 GRE 隧道接口上的计数器和 IPsec 会话计数器也可以帮助显示。发送和接收的数据包是否递增。

除了 ping 流量之外,即使在空闲流量期间,捕获也应显示保持连接 GRE 数据包。 最后,如果配置了 BGP,BGP 保持连接数据包也应作为封装在 IPSEC 数据包中的 GRE 数据包以及通过 VPN 发送。

BGP 故障诊断和验证

BGP 会话

需要 BGP 作为 VPN IPsec 隧道上的路由协议。 本地 BGP 邻居应与专用实例 BGP 邻居建立 eBGP 会话。 eBGP 邻居 IP 地址与本地和远程隧道 IP 地址相同。 首先确保 BGP 会话正常,然后验证从专用实例收到正确的路由,以及是否将正确的默认路由发送到专用实例。

如果 GRE 隧道正常,请验证本地和远程 GRE 隧道 IP 之间的 ping 是否成功。 如果 ping 成功,但没有建立 BGP 会话,则检查 BGP 日志中是否有 BGP 建立错误。

一些较常见的 BGP 协商问题包括:

  • 远程 AS 编号与专用实例端配置的 AS 编号不匹配,请重新检查邻居 AS 配置。

  • 本地 AS 编号与专用实例端预期的值不匹配,请验证本地 AS 编号是否与预期的专用实例参数匹配。

  • 防火墙阻止使用 GRE 数据包封装的 BGP TCP 数据包发送到 IPsec 隧道或从 IPSEC 隧道接收

  • 远程 BGP 邻居 IP 与远程 GRE 隧道 IP 不匹配。

BGP 路由交换

在为两条隧道验证 BGP 会话后,确保从专用实例端发送和接收正确的路由。

专用实例 VPN 解决方案需要从客户/合作伙伴端建立两条隧道。 第一条隧道指向专用实例数据中心 A,第二条隧道指向专用实例数据中心 B。两条隧道都必须处于活动状态,并且解决方案需要主动/主动部署。 每个专用实例数据中心将通告其本地 /25 路由以及 /24 备份路由。 检查来自专用实例的传入 BGP 路由时,确保与指向专用实例数据中心 A 的隧道关联的 BGP 会话接收专用实例数据中心 A /25本地路由以及 /24 备份路由。 此外,确保指向专用实例数据中心 B 的隧道接收专用实例数据中心 B /25本地路由和 /24 备份路由。 请注意,/24 备份路由与从专用实例数据中心 A 和专用实例数据中心 B 通告的路由相同。

如果专用实例数据中心的隧道接口出现故障,则会向专用实例数据中心提供冗余。 如果与专用实例数据中心 A 的连接丢失,流量将从专用实例数据中心 B 转发到数据中心 A。在这种情况下,到数据中心 B 的隧道将使用数据中心 B /25 路由将流量发送到数据中心 B 和隧道到数据中心 B 将使用备份 /24 路由将流量通过数据中心 B 发送到数据中心 A。

重要的是,当两条隧道都处于活动状态时,数据中心 A 隧道不能用于向数据中心 B 发送流量,反之亦然。 在此情况下,如果流量发送到目标为数据中心 B 的数据中心 A,数据中心 A 会将流量转发到数据中心 B,然后数据中心 B 将尝试通过数据中心 B 隧道将流量发回源。 这将导致路由不理想,还可能破坏穿过防火墙的流量。 因此,在正常操作期间,两条隧道处于活动/活动配置非常重要。

必须将 0.0.0.0/0 路由从客户端通告到专用实例数据中心端。 专用实例端不接受更具体的路由。 确保从专用实例数据中心 A 隧道和专用实例数据中心 B 隧道通告 0.0.0.0/0 路由。

MTU 配置

在专用实例端,启用了两个功能来动态调整大数据包的 MTU。 GRE 隧道向流经 VPN 会话的 IP 数据包添加更多标头。 IPsec 隧道在 GRE 标头之上添加额外的标头将进一步减少隧道上允许的最大 MTU。

GRE 隧道调整 MSS 功能,并且 MTU 发现功能中的 GRE 隧道路径在专用实例侧启用。 在客户端配置“ip tcpadjust-mss 1350”或等效命令以及“隧道路径\u0002mtu-discovery”或等效命令,以帮助动态调整通过 VPN 隧道的流量的 MTU。