专用实例 -虚拟连接

介绍

虚拟连接是云连接到专用实例（专用实例）的附加Webex Calling选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。此连接选项使用现有客户设施设备（CPE）和互联网连接快速加快专用网络连接。

Cisco 在需要服务的 Cisco 专用实例数据中心区域主持、管理和确保冗余 IP VPN 隧道和所需的互联网访问。同样，管理员还负责其相应的 CPE 和互联网服务（虚拟连接设置需要这些服务）。

特定专用实例区域的每一个虚拟连接订单包括两个通用路由桥（NF）隧道，这些隧道受 IPSec 加密（通过 IPSec 的 SSL 保护），每个 Cisco 在所选区域的数据中心各一个。

虚拟连接每个隧道的带宽限制为 250 Mbps，建议用于较小的部署。由于使用两个点对点 VPN 隧道，所有到云的流量必须经过客户前端 CPE，因此，在有许多远程站点的地方可能并不适合它。有关其他对等连接选项，请参阅云连接。

提交虚拟连接的对等连接请求之前，请确保已在相应区域激活专用实例服务。

必要条件

建立虚拟连接的先决条件包括：

客户提供
- 足以支持部署的可用带宽的互联网连接
- 两个 IPSec 隧道的公共 IP 地址
- 客户一侧的 1000 个 12000 和 12000 个 12000 或 3000 个 120
合作伙伴和客户
- 通过协作评估带宽要求
- 确保网络设备支持 BGP 边界网关协议 IPSec 隧道设计
合作伙伴或客户提供
- 具备站点对站点 VPN 隧道技术知识的网络团队
- 具备 BGP、eBGP 和通用路由原理的知识的网络团队
Cisco
- Cisco 为 VPN 隧道接口分配专用自动系统号码（ASNS）和瞬态 IP 地址
- Cisco 为专用实例云地址分配了公共而非互联网可路由类 C （/24）网络

如果客户只有 1 个 CPE 设备，则每个区域中的 2 条向 Cisco 数据中心（DC1 和 DC2）的隧道将来自该 CPE 设备。客户还可以选择 2 个 CPE 设备，那么每个 CPE 设备应仅连接到每个区域中的 1 个隧道，以至 Cisco 的数据中心（DC1 和 DC2）。要达到更多冗余，可以在客户的基础结构中终止各个隧道（位于单独的物理站点/位置中）。

技术详情

部署模型

虚拟连接使用双层前端体系结构，其中路由和流量控制设置由一个设备提供，IPSec 控制飞机由另一台设备提供。

在完成虚拟连接连接后，将在客户的企业网络和 Cisco 专用实例的数据中心之间创建两个通过 IPSec 的 4000 至 19993 年 4 月 24 日 24933 年 12 月 24 日。。每个冗余数据中心位于各“地区”内。合作伙伴或客户通过 Control Hub 虚拟连接激活表单向 Cisco 交换对等连接所需的其他联网元素。

图 1 显示了客户一侧的 2 集中器选项的虚拟连接部署模型示例。

虚拟连接 - VPN 是 Hub 设计，客户的 Hub 站点连接到特定区域内的专用实例的 DC1 和 DC2 数据中心。

建议使用两个 Hub 站点以实现更好的冗余，但是一个拥有两个隧道的 Hub 站点也是受支持的部署模型。

每个隧道的带宽限制为 250 Mbps。

在同一地区的客户远程站点，将需要通过客户的 WAN 重新连接到 Hub 站点，并且 Cisco 不负责该连接。

合作伙伴应与客户紧密合作，确保为“虚拟连接”服务区域选择最佳路径。

图 2 显示了专用实例云连接对等区域。

路由

虚拟连接加载项的路由通过专用实例与客户本地设备（CPE）之间的外部 BGP （eBGP）实现。Cisco 将针对一个地区的每个冗余 DC 将各自的网络播发到客户的 CPE，而 CPE 需要将缺省路由播发到 Cisco。

Cisco 维护和分配
- 隧道接口 IP 地址（传送的瞬态链接）Cisco 从指定的共享地址空间分配（不可公开路由）
- 隧道传输解说地址（Cisco 一方）
- 用于客户 BGP 路由配置的专用自治系统号码（ASNS）
  - Cisco 从指定的专用使用范围分配：64512 到 65534

eBGP 用于在专用实例和 CPE 之间交换路由
- Cisco 将分配 /24 网络分给相应区域每个 DC 的 2 /25 一个。
- 在虚拟连接中，Cisco 通过各自的点对点 VPN 隧道（瞬态链接）将每个 /25 网络播发回 CPE。
- CPE 必须配置有相应的 eBGP 位位器。如果使用 1 个 CPE，将使用两个 eBGP 高分值，一个指向每个远程隧道。如果使用两个 CPE，那么每个 CPE 都有一个 eBGP neighbor neighborit to single remote tunnel to CPE。
- 每个 BGP 隧道（隧道接口 IP）的 Cisco 端配置为 CPE 上的 BGP 相邻
- 需要 CPE 才能在每个隧道上播发缺省路由
- CPE 可重新分发（根据要求）在客户企业网络中学习路由。
在非故障链接失败的状况下，单个 CPE 将拥有两个活动/活动隧道。对于两个 CPE 节点，每个 CPE 都有一个活动隧道，两个 CPE 节点都应活动且传递流量。在非故障情况下，流量必须分流到正确的 /25 个目的地的两个隧道，如果其中一个隧道下行，其余隧道可同时传输这两个流量。在此类故障情境下，当 /25 网络出现故障时，将 /24 网络用作备份路由。Cisco 会通过内部 WAN 将客户流量发送到丢失连接的 DC。

连接过程

以下高级步骤说明如何与专用实例的虚拟 Connect 建立连接。

1	在 Cisco CCW 中下单
2	从 Control Hub 激活虚拟连接
3	Cisco 执行网络配置
4	客户执行网络配置

步骤 1：CCW 订单

虚拟连接是 CCW 中专用实例的附加组件。

1	导航至 CCW 订购站点，然后单击登录以登录站点： https://apps.cisco.com/Commerce/guest.
2	创建估计值。
3	添加“A-FLEX-3”SKU。
4	选择编辑选项。
5	在出现的订阅标签页中，选择选项和加载项。
6	在附加附加组件下，选中“专用实例虚拟连接”旁的复选框。SKU 名称为“A-FLEX-DI-VC”。
7	输入需要虚拟连接的区域的数量和数量。虚拟连接数量不应超出为专用实例购买的区域总数。此外，每个区域只允许有一个虚拟连接订单。
8	当您对选择感到满意时，单击页面右上角的验证并保存。
9	单击“保存并继续”，完成您的订单。您最终的订单现在将在订单网格中处理。

步骤 2：在 Control Hub 中激活虚拟连接

1	登录到 Control Hub https://admin.webex.com/login。
2	在服务部分中，导航至呼叫>专用>云连接。
3	在虚拟连接卡中列出购买的虚拟连接数量。管理员现在可单击激活以启动虚拟连接激活。激活过程只能由具有“客户完全权限管理员”角色的管理员触发。但是，具有“客户只读管理员”角色的管理员只能查看状态。
4	单击“ 激活 ”按钮后，将显示“激活虚拟连接 ”表单，以便管理员提供 Cisco 一侧对等配置所需的虚拟连接技术详细信息。该表单还提供基于所选区域在 Cisco 一侧的静态信息。这些信息对于客户管理员非常有用，他们在一侧配置 CPE 以建立连接。 GRE隧道传输IP地址：客户必须提供客户的侧隧道传输 IP 地址，并且 Cisco 将在激活完成后动态分配 IP 地址。用于趣味流量的 IPSec ACL 应允许本地隧道传输 IP/32 至远程隧道传输 IP/32。ACL 还应仅指定一个只支持 1000 000 个 1000 000 1000 0 客户提供的 IP 地址可以是私有的，也可以为公用的。 IPSec对等机：客户必须提供 IPSec 隧道的源 IP 地址，Cisco 分配 IPSec 目标 IP 地址。如果需要，还可执行将内部 IPSEC 隧道地址到公用地址的 NAT 转换。客户提供的 IP 地址应该为公开地址。激活屏幕中提供的其他静态信息均符合 Cisco 的安全和加密标准。该静态配置不可自定义或修改。对于 Cisco 一方静态配置的任何进一步协助，客户将需要联系 TAC。
5	在填写所有必填字段后，单击激活按钮。
6	在部分部分区域完成虚拟连接激活表单后，客户可以从 Control Hub、呼叫 > 专用实例 > 云连接标签页导出激活表单并单击导出设置。由于安全原因，已导出文档中无法提供身份验证和BGP密码，但管理员可以通过在Control Hub中单击Control Hub下的查看设置，单击“呼叫”>“专用实例”>“云连接”选项卡来查看相同的Control Hub。

步骤 3：Cisco 执行网络配置

1	虚拟连接激活表单完成后，状态将更新为“呼叫云连接虚拟连接”卡中的>进行中的>操作。
2	Cisco将在 5个工作日内完成Cisco侧面设备上所需的配置。成功完成后，Control Hub 中该特定区域的状态将被更新为“已激活”。

步骤 4：客户执行网络配置

状态更改为“已激活”以通知客户管理员 Cisco 一侧的 IP VPN 连接配置已根据客户提供的输入完成。但是，客户管理员应该完成其一侧的 CPEs 配置，并测试虚拟连接隧道的连接路由为在线。如果配置或连接时遇到任何问题，客户可以联系 Cisco TAC 寻求帮助。

疑难解答

IPsec第一阶段（IKEv2协商）故障排除和验证

IPsec隧道协商包括两个阶段：IKEv2阶段和IPsec阶段。如果IKEv2阶段协商未完成，则不会启动第二个IPsec阶段。首先，在第三方设备上发出命令“show crypto ikev2 sa”（在Cisco设备上）或类似命令，以验证IKEv2会话是否处于活动状态。如果IKEv2会话未处于活动状态，可能的原因可能是：

有趣的流量不会触发IPsec隧道。
IPsec隧道访问列表配置错误。
客户和专用实例IPsec隧道端点IP之间没有连接。
专用实例端和客户端之间的IKEv2会话参数不匹配。
防火墙正在阻止IKEv2 UDP数据包。

首先，检查IPsec日志中是否有显示IKEv2隧道协商进度的消息。日志可能会指示IKEv2协商的问题所在。缺少记录消息也可能表示IKEv2会话未激活。

IKEv2协商的一些常见错误包括：

CPE端的IKEv2设置与Cisco端不匹配，请重新检查上述设置：
- 检查IKE版本是否为版本2。
- 验证加密和验证参数是否与专用实例端的预期加密匹配。
  
  使用"GCM"密码时，GCM协议处理验证，并将验证参数设置为NULL。
- 验证生命周期设置。
- 验证Diffie Hellman模量组。
- 验证伪随机函数设置。
加密地图的访问列表未设置为：
- Allow GRE (local_tunnel_transport_ip) 255.255.255.255 remote_tunnel_transport_ip() 255.255.255.255"（或同等命令）
  
  访问列表必须专门针对"GRE"协议，且"IP"协议无效。

如果日志消息没有显示IKEv2阶段的任何协商活动，则可能需要数据包捕获。

专用实例端可能并不总是开始IKEv2交换，有时可能期望客户CPE端作为发起方。

检查CPE端配置以了解IKEv2会话发起的以下先决条件：

检查从CPE隧道传输IP到专用实例隧道传输IP的GRE流量（协议50）的IPsec加密访问列表。
确保为GRE保持连接启用了GRE隧道接口，如果设备不支持GRE保持连接，则会通知Cisco，因为默认情况下，GRE保持连接将在专用实例端启用。
确保使用专用实例隧道IP的相邻地址启用并配置BGP。

正确配置后，以下内容将启动IPsec隧道和第一阶段IKEv2协商：

GRE连接从CPE侧GRE隧道接口到专用实例侧GRE隧道接口。
BGP邻居TCP会话从CPE侧BGP邻居至专用实例侧BGP邻居。
从CPE侧隧道IP地址到专用实例侧隧道IP地址的Ping。

Ping不能是隧道传输IP到隧道传输IP，必须是隧道IP到隧道IP。

如果IKEv2流量需要数据包跟踪，请设置UDP和端口500的过滤器（当没有NAT设备位于IPsec终端的中间时）或端口4500（当NAT设备插入IPsec终端的中间时）。

验证是否向DI IPsec IP地址发送和接收端口为500或4500的IKEv2 UDP数据包。

专用实例数据中心可能不总是开始第一个IKEv2数据包。要求是CPE设备能够向专用实例端发起第一个IKEv2数据包。

如果本地防火墙允许，则还会尝试ping到远程IPsec地址。如果从本地到远程IPsec地址的ping不成功，请执行跟踪路由以提供帮助，并确定数据包丢弃的位置。

某些防火墙和互联网设备可能不允许跟踪路由。

IPsec第二阶段（IPsec协商）故障排除和验证

在对IPsec第二阶段进行故障诊断之前，验证IPsec第一阶段（即IKEv2安全关联）是否处于活动状态。执行“show crypto ikev2 sa”或同等命令以验证IKEv2会话。在输出中，验证IKEv2会话已启动超过几秒，并且没有弹出。会话正常运行时间在输出中显示为会话“活动时间”或等效时间。

当IKEv2会话验证为已启动并处于活动状态后，调查IPsec会话。与IKEv2会话一样，执行“show crypto ipsec sa”或同等命令以验证IPsec会话。在建立GRE隧道之前，IKEv2会话和IPsec会话都必须处于活动状态。如果IPsec会话未显示为活动状态，请检查IPsec日志中是否有错误消息或协商错误。

在IPsec谈判期间可能遇到的一些较为常见的问题是：

CPE端的设置与专用实例端不匹配，请重新检查设置：

验证加密和验证参数是否与专用实例端的设置匹配。
验证完美前转保密设置以及是否与专用实例端的设置匹配。
验证生命周期设置。
验证IPsec已配置为隧道模式。
验证源和目标IPsec地址。

隧道接口故障排除和验证

当IPsec和IKEv2会话被验证为启动和活动时，GRE隧道保持连接的数据包能够在专用实例和CPE隧道端点之间流动。如果隧道接口没有显示状态，一些常见问题包括：

隧道接口传输VRF与环回接口的VRF不匹配（如果隧道接口上使用了VRF配置）。

如果隧道接口未使用VRF配置，则可忽略该检查。
CPE侧隧道接口上未启用Keepalives

如果CPE设备上不支持KEEPALIVES，则必须通知Cisco，以禁用专用实例端的默认keepalives。

如果支持保持连接，验证是否已启用保持连接。
隧道接口的掩码或IP地址不正确，与专用实例的预期值不匹配。
源或目标隧道传输地址不正确，与专用实例的预期值不匹配。
防火墙阻止GRE数据包发送到IPsec隧道或从IPsec隧道接收（GRE隧道通过IPsec隧道传输）

ping测试应验证本地隧道接口是否正常，远程隧道接口的连接是否良好。从隧道IP（不是传输IP）到远程隧道IP执行ping检查。

携带GRE隧道流量的IPsec隧道的加密访问列表只允许GRE数据包穿越。因此，从隧道传输IP到远程隧道传输IP，ping消息将不起作用。

ping检查将导致GRE数据包从源隧道传输IP到目标隧道传输IP生成，而GRE数据包的有效载荷（内部IP）将是源隧道和目标隧道IP。

如果ping测试不成功并且验证了前面的项，则可能需要数据包捕获，以确保icmp ping生成GRE数据包，然后将其封装到IPsec数据包中，然后从源IPsec地址发送到目标IPsec地址。GRE隧道接口上的计数器和IPsec会话计数器也可以帮助显示。如果发送和接收数据包正在递增。

除了ping流量，捕获还应该显示保持连接的GRE数据包，即使在空闲流量。最后，如果配置了BGP，BGP保持连接数据包还应该作为封装在IPSEC数据包中的GRE数据包以及通过VPN发送。

BGP故障排除和验证

BGP会话

BGP是VPN IPsec隧道上的路由协议的必填项。本地BGP邻居应与专用实例BGP邻居建立eBGP会话。eBGP相邻IP地址与本地和远程隧道IP地址相同。首先确保BGP会话已启动，然后验证是否从专用实例接收了正确的路由，并且已将正确的缺省路由发送到专用实例。

如果GRE隧道已启动，请验证本地和远程GRE隧道IP之间的ping是否成功。如果ping成功但BGP会话未开始，则调查BGP日志中的BGP建立错误。

一些比较常见的BGP协商问题包括：

远程AS号码与专用实例端配置的AS号码不匹配，请重新检查相邻AS配置。
本地AS编号与专用实例端的预期不匹配，请验证本地AS编号是否与预期的专用实例参数匹配。
防火墙阻止GRE数据包中封装的BGP TCP数据包发送到IPsec隧道或从IPSEC隧道接收
远程BGP相邻IP与远程GRE隧道IP不匹配。

BGP路由交换

验证两个隧道的BGP会话后，请确保从专用实例端发送和接收正确的路由。

专用实例VPN解决方案期望从客户/合作伙伴端建立两个隧道。第一个隧道指向专用实例数据中心A，第二个隧道指向专用实例数据中心B。两个隧道必须处于活动状态，并且解决方案需要主动/主动部署。每个专用实例数据中心将宣传其本地/25路由以及/24备份路由的广告。检查来自专用实例的传入BGP路由时，确保与指向专用实例数据中心A的隧道关联的BGP会话接收专用实例数据中心A /25本地路由以及/24备份路由。此外，确保指向专用实例数据中心B的隧道接收专用实例数据中心B /25本地路由以及/24备份路由。请注意，/24备份路由将与专用实例数据中心A和专用实例数据中心B通告的路由相同。

如果专用实例数据中心的隧道接口发生故障，该数据中心将提供冗余。如果与专用实例数据中心A的连接丢失，则流量将从专用实例数据中心B前转到数据中心A。在这种情况下，数据中心B的隧道将使用数据中心B /25路由发送流量到数据中心B，而数据中心B的隧道将使用备份/24路由通过数据中心B发送流量到数据中心A。

重要的是，当两个隧道都处于活动状态时，不使用数据中心A隧道向数据中心B发送流量，反之亦然。在这种情况下，如果流量被发送至目标为数据中心B的数据中心A，数据中心A将把流量转发至数据中心B，然后数据中心B将尝试通过数据中心B隧道将流量发回源。这将导致路由不理想，还可能破坏流量穿越防火墙。因此，正常运行期间，两个隧道都必须处于有源/有源配置。

0.0.0.0/0路由必须从客户端通告到专用实例数据中心端。专用实例端将不接受更具体的路由。确保从专用实例数据中心A隧道和专用实例数据中心B隧道中通告0。0。0。0/0路由。

MTU配置

在专用实例端，启用了两个功能，可针对较大的数据包大小动态调整MTU。GRE隧道向流经VPN会话的IP数据包添加更多报头。IPsec隧道在GRE标头之上添加额外标头，将进一步减少隧道上允许的最大MTU。

GRE隧道调整MSS功能，在专用实例端启用MTU发现功能中的GRE隧道路径。在客户端配置“ip tcp adjust-mss 1350”或同等命令以及“tunnel path\u0002mtu-discovery”或同等命令，以帮助通过VPN隧道动态调整流量的MTU。

感谢您的反馈。