- 主页
- /
- 文章
感谢您的反馈。
专用实例 -虚拟连接
在此文章中
反馈?Virtual Connect是云连接到Webex呼叫专用实例的附加选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。在这里,我们讨论了Virtual Connect的订购、激活和配置。
介绍
虚拟连接是云连接到专用实例(专用实例)的附加Webex Calling选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。此连接选项使用现有客户设施设备 (CPE) 和互联网连接快速加快专用网络连接。
Cisco 在需要服务的 Cisco 专用实例数据中心区域主持、管理和确保冗余 IP VPN 隧道和所需的互联网访问。同样,管理员还负责其相应的 CPE 和互联网服务(虚拟连接设置需要这些服务)。
特定专用实例区域的每一个虚拟连接订单包括两个通用路由桥 (NF) 隧道,这些隧道受 IPSec 加密(通过 IPSec 的 SSL 保护),每个 Cisco 在所选区域的数据中心各一个。
虚拟连接每个隧道的带宽限制为 250 Mbps,建议用于较小的部署。由于使用两个点对点 VPN 隧道,所有到云的流量必须经过客户前端 CPE,因此,在有许多远程站点的地方可能并不适合它。有关其他对等连接选项,请参阅 云连接。
在提交Virtual Connect的跟踪请求之前,请确保在该区域激活专用实例服务。
必要条件
建立虚拟连接的先决条件包括:
-
客户提供
-
足以支持部署的可用带宽的互联网连接
-
两个 IPSec 隧道的公共 IP 地址
-
客户一侧的 1000 个 12000 和 12000 个 12000 或 3000 个 120
-
-
合作伙伴和客户
-
通过协作评估带宽要求
-
确保网络设备支持 BGP 边界网关协议 IPSec 隧道设计
-
-
合作伙伴或客户提供
-
具备站点对站点 VPN 隧道技术知识的网络团队
-
具备 BGP、eBGP 和通用路由原理的知识的网络团队
-
-
Cisco
-
Cisco 为 VPN 隧道接口分配专用自动系统号码 (ASNS) 和瞬态 IP 地址
-
Cisco 为专用实例云地址分配了公共而非互联网可路由类 C (/24) 网络
-
如果客户只有 1 个 CPE 设备,则每个区域中的 2 条向 Cisco 数据中心(DC1 和 DC2)的隧道将来自该 CPE 设备。客户还可以选择 2 个 CPE 设备,那么每个 CPE 设备应仅连接到每个区域中的 1 个隧道,以至 Cisco 的数据中心(DC1 和 DC2)。要达到更多冗余,可以在客户的基础结构中终止各个隧道(位于单独的物理站点/位置中)。
技术详情
部署模型
虚拟连接使用双层前端体系结构,其中路由和流量控制设置由一个设备提供,IPSec 控制飞机由另一台设备提供。
在完成虚拟 连接 连接后,将在客户的企业网络和 Cisco 专用实例的数据中心之间创建两个通过 IPSec 的 4000 至 19993 年 4 月 24 日 24933 年 12 月 24 日。。每个冗余数据中心位于各“地区”内。合作伙伴或客户通过 Control Hub 虚拟连接激活表单向 Cisco 交换对等连接所需的其他联网元素。
下图显示了客户端2集中器选项的虚拟连接部署模型的示例。
虚拟连接 - VPN 是 Hub 设计,客户的 Hub 站点连接到特定区域内的专用实例的 DC1 和 DC2 数据中心。
建议使用两个 Hub 站点以实现更好的冗余,但是一个拥有两个隧道的 Hub 站点也是受支持的部署模型。
每个隧道的带宽限制为 250 Mbps。
在同一地区的客户远程站点,将需要通过客户的 WAN 重新连接到 Hub 站点,并且 Cisco 不负责该连接。
合作伙伴应与客户密切合作,确保为虚拟连接 服务区域选择最佳路径。
下图显示了专用实例云连接对焦区域。
路由
虚拟连接加载项的路由通过专用实例与客户本地设备 (CPE) 之间的外部 BGP (eBGP) 实现。Cisco 将针对一个地区的每个冗余 DC 将各自的网络播发到客户的 CPE,而 CPE 需要将缺省路由播发到 Cisco。
-
Cisco 维护和分配
-
隧道接口 IP 地址(传送的瞬态链接)Cisco 从指定的共享地址空间分配(不可公开路由)
-
隧道传输解说地址(Cisco 一方)
-
用于客户 BGP 路由配置的专用自治系统号码 (ASNS)
-
Cisco 从指定的专用使用范围分配:64512 到 65534
-
-
-
eBGP 用于在专用实例和 CPE 之间交换路由
-
Cisco 将分配 /24 网络分给相应区域每个 DC 的 2 /25 一个。
-
在虚拟连接中,Cisco 通过各自的点对点 VPN 隧道(瞬态链接)将每个 /25 网络播发回 CPE。
-
CPE 必须配置有相应的 eBGP 位位器。如果使用 1 个 CPE,将使用两个 eBGP 高分值,一个指向每个远程隧道。如果使用两个 CPE,那么每个 CPE 都有一个 eBGP neighbor neighborit to single remote tunnel to CPE。
-
每个 BGP 隧道(隧道接口 IP)的 Cisco 端配置为 CPE 上的 BGP 相邻
-
需要 CPE 才能在每个隧道上播发缺省路由
-
CPE 可重新分发(根据要求)在客户企业网络中学习路由。
-
-
在非故障链接失败的状况下,单个 CPE 将拥有两个活动/活动隧道。对于两个 CPE 节点,每个 CPE 都有一个活动隧道,两个 CPE 节点都应活动且传递流量。在非故障情况下,流量必须分流到正确的 /25 个目的地的两个隧道,如果其中一个隧道下行,其余隧道可同时传输这两个流量。在此类故障情境下,当 /25 网络出现故障时,将 /24 网络用作备份路由。Cisco 会通过内部 WAN 将客户流量发送到丢失连接的 DC。
连接过程
| 1 | |
| 2 | |
| 3 | |
| 4 |
步骤 1:CCW 订单
虚拟连接是 CCW 中专用实例的附加组件。
| 1 |
导航至 CCW 订购站点,然后单击登录以登录站点: |
| 2 |
创建估计值。 |
| 3 |
添加“A-FLEX-3”SKU。 |
| 4 |
选择编辑选项。 |
| 5 |
在出现的订阅标签页中,选择选项和加载项。 |
| 6 |
在附加附加组件下,选中“专用实例虚拟连接”旁的复选框。SKU 名称为“A-FLEX-DI-VC”。 |
| 7 |
输入需要虚拟连接的区域的数量和数量。 虚拟连接数量不应超出为专用实例购买的区域总数。此外,每个区域只允许有一个虚拟连接订单。 |
| 8 |
当您对选择感到满意时,单击页面右上角的验证并保存。 |
| 9 |
单击“保存并继续”,完成您的订单。您最终的订单现在将在订单网格中处理。 |
步骤 2:在 Control Hub 中激活虚拟连接
| 1 |
登录到 Control Hub https://admin.webex.com/login。 |
| 2 |
在服务 部分中 ,导航 至呼叫>专用>云连接。 |
| 3 |
在虚拟连接卡中列出购买的虚拟连接数量。管理员现在可单击 激活 以启动虚拟连接激活。  激活过程只能由具有“客户完全权限管理员”角色的管理员触发。但是,具有“客户只读管理员”角色的管理员只能查看状态。 |
| 4 |
单击“ 激活 ”按钮后 ,将显示“激活虚拟连接 ”表单,以便管理员提供 Cisco 一侧对等配置所需的虚拟连接技术详细信息。 该表单还提供基于所选区域在 Cisco 一侧的静态信息。这些信息对于客户管理员非常有用,他们在一侧配置 CPE 以建立连接。 |
| 5 |
在填写 所有 必填字段后,单击激活按钮。 |
| 6 |
在部分部分区域完成虚拟连接激活表单后,客户可以从 Control Hub、呼叫 > 专用实例 > 云连接标签页导出激活表单并单击导出设置。  由于安全原因,已导出文档中无法提供身份验证和BGP密码,但管理员可以通过在Control Hub中单击Control Hub下的查看设置 ,单击“呼叫”>“专用实例”>“云连接”选项卡来查看相同的密码。 |
步骤 3:Cisco 执行网络配置
| 1 |
虚拟连接激活表单完成后 ,状态将更新为“呼叫云连接虚拟连接”卡中的>进行中的>操作。 |
| 2 |
Cisco将在 5个工作日内完成Cisco侧设备所需的配置。成功完成后,Control Hub 中该特定区域的状态将被更新为“已激活”。 |
步骤 4:客户执行网络配置
|
状态更改为“已激活”以通知客户管理员 Cisco 一侧的 IP VPN 连接配置已根据客户提供的输入完成。但是,客户管理员应该完成其一侧的 CPEs 配置,并测试虚拟连接隧道的连接路由为在线。如果配置或连接时遇到任何问题,客户可以联系 Cisco TAC 寻求帮助。 |
疑难解答
IPsec第一阶段(IKEv2谈判)故障排除和验证
IPsec隧道谈判包括两个阶段,IKEv2阶段和IPsec阶段。如果IKEv2阶段协商未完成,则不会启动第二个IPsec阶段。首先,发出“显示加密ikev2 sa”(在Cisco设备上)命令或第三方设备上的类似命令,以验证IKEv2会话是否处于活动状态。如果IKEv2会话未激活,潜在的原因可能是:
-
有趣的流量不会触发IPsec隧道。
-
IPsec隧道访问列表配置错误。
-
客户端与Dedicated Instance IPsec隧道端点IP之间没有连接。
-
IKEv2会话参数在专用实例侧和客户侧之间不匹配。
-
防火墙正在阻止IKEv2 UDP数据包。
首先,检查IPsec日志中是否存在任何显示IKEv2隧道谈判进展的消息。日志可能显示IKEv2谈判存在问题。缺少日志消息也可能表明IKEv2会话未激活。
IKEv2谈判中的一些常见错误包括:
-
CPE侧的IKEv2设置与Cisco侧不匹配,请重新检查所提到的设置:
-
检查IKE版本是否为版本2。
-
验证加密和身份验证参数是否与专用实例侧的预期加密一致。
当使用“GCM”密码时,GCM协议处理身份验证并将身份验证参数设置为NULL。
-
验证生命周期设置。
-
验证Diffie Hellman模量组。
-
验证伪随机函数设置。
-
-
加密映射的访问列表不设为:
-
允许GRE (local_tunnel_transport_ip) 255.255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255"(或同等命令)
访问列表必须专门针对“GRE”协议,而“IP”协议将不起作用。
-
如果日志消息未显示IKEv2阶段的任何协商活动,则可能需要数据包捕捉。
专用实例侧可能并不总是开始IKEv2交换,有时可能期望客户CPE侧是发起者。
检查CPE侧配置用于IKEv2会话启动的以下先决条件:
-
检查GRE流量(协议50)的IPsec加密访问列表,从CPE隧道传输IP到专用实例隧道传输IP。
-
确保GRE keepalives启用GRE隧道接口,如果设备不支持GRE keepalives,则通知Cisco,因为默认情况下将在专用实例侧启用GRE keepalives。
-
确保BGP已启用并配置专用实例隧道IP的邻近地址。
如果配置正确,以下步骤将开始IPsec隧道和第一阶段IKEv2协商:
-
从CPE侧GRE隧道接口到GRE隧道接口的GRE keepalives。
-
BGP邻居TCP会话从CPE侧BGP邻居,到BGP邻居。
-
从CPE侧隧道IP地址到专用实例侧隧道IP地址。
Ping不能是隧道传输IP到隧道传输IP,它必须是隧道IP到隧道IP。
如果IKEv2流量需要数据包跟踪,请为UDP和端口500(当没有NAT设备处于IPsec端点中间时)或端口4500(当将NAT设备插入到IPsec端点中间时)设置过滤器。
验证带有端口500或4500的IKEv2 UDP数据包是否发送和接收到DI IPsec IP地址。
专用实例数据中心可能并不总是开始第一个IKEv2数据包。要求是CPE设备能够将第一个IKEv2数据包引导至专用实例端。
如果本地防火墙允许,则还尝试对远程IPsec地址进行ping。如果ping从本地地址到远程IPsec地址不成功,则执行跟踪路由以提供帮助,并确定数据包的下落位置。
某些防火墙和互联网设备可能不允许跟踪路径。
IPsec第二阶段(IPsec谈判)故障排除和验证
在故障排除IPsec第二阶段之前,验证IPsec第一阶段(即IKEv2安全关联)是否处于活动状态。执行“显示加密的ikev2 sa”或同等命令以验证IKEv2会话。在输出中,请验证IKEv2会话是否已打开了超过几秒钟,并且没有跳转。会话正常时间显示为会话“活动时间”或等效输出。
一旦IKEv2会话验证为启动并处于活动状态,请调查IPsec会话。与IKEv2会话一样,执行“显示加密的ipsec sa”或同等命令来验证IPsec会话。在建立GRE隧道之前,IKEv2会话和IPsec会话都必须处于活动状态。如果IPsec会话未显示为活动状态,请检查IPsec日志是否存在错误消息或谈判错误。
在IPsec谈判中可能遇到的一些更常见的问题包括:
CPE侧的设置与专用实例侧不匹配,请重新检查设置:
-
验证加密和身份验证参数是否与专用实例侧的设置一致。
-
验证完美的前向保密设置以及专用实例侧的匹配设置。
-
验证生命周期设置。
-
验证IPsec已配置为隧道模式。
-
验证源和目标IPsec地址。
隧道接口故障排除和验证
当IPsec和IKEv2会话验证为启动和活动时,GRE隧道keepalive数据包可以在专用实例和CPE隧道端点之间流动。如果隧道接口未显示状态,一些常见问题包括:
-
隧道接口传输VRF与回路接口的VRF不匹配(如果隧道接口使用VRF配置)。
如果隧道接口未使用VRF配置,则可忽略此检查。
-
CPE侧隧道接口上未启用Keepalives
如果CPE设备不支持keepalives,则必须通知Cisco,这样才能禁用专用实例侧的默认keepalives。
如果支持keepalives,请验证是否已启用。
-
隧道接口的掩码或IP地址不正确,且与专用实例期望值不匹配。
-
源或目标隧道传输地址不正确,且与专用实例期望值不匹配。
-
防火墙正在阻止GRE数据包发送到IPsec隧道或从IPsec隧道接收的(GRE隧道通过IPsec隧道传输)
ping测试应验证本地隧道接口是否处于打开状态,并且连接对远程隧道接口是否良好。执行从隧道IP(而不是传输IP)到远程隧道IP的ping检查。
携带GRE隧道流量的IPsec隧道的加密访问列表仅允许GRE数据包跨过。因此,pings无法从隧道传输IP到远程隧道传输IP。
ping检查的结果是GRE数据包从源隧道传输IP生成,而GRE数据包的有效负载(内部IP)将是源隧道传输IP和目的地隧道传输。
如果ping测试不成功,并且前面的项目已验证,则可能需要数据包捕捉,以确保icmp ping生成一个GRE数据包,该数据包被封装到IPsec数据包中,然后从源IPsec地址发送到目标IPsec地址。GRE隧道接口上的计数器和IPsec会话计数器也可以帮助显示。如果发送和接收数据包正在增加。
除了ping流量外,捕获还应该显示keepalive GRE数据包,即使是在闲置流量期间。最后,如果配置BGP,BGP keepalive数据包也应作为GRE数据包封在IPSEC数据包中以及通过VPN发送。
BGP故障诊断和验证
BGP会话
作为VPN IPsec隧道上的路由协议需要BGP。本地BGP邻居应与Dedicated Instance BGP邻居建立eBGP会话。eBGP邻居IP地址与本地和远程隧道IP地址相同。首先确保BGP会话已启动,然后验证是否从专用实例接收了正确的路由并且将正确的默认路由发送到专用实例。
如果GRE隧道开通,请验证本地和远程GRE隧道IP之间是否成功进行ping。如果ping成功但BGP会话未出现,则调查BGP日志以获取BGP设置错误。
一些更常见的BGP谈判问题包括:
-
远程AS号码与专用实例侧配置的AS号码不匹配,请重新检查邻里AS配置。
-
本地AS号码与专用实例侧的期望不匹配,请验证本地AS号码与预期专用实例参数相匹配。
-
防火墙正在阻止GRE包中的BGP TCP包发送到IPsec隧道或从IPSEC隧道接收
-
远程BGP邻居IP与远程GRE隧道IP不匹配。
BGP路由交换
验证了两个隧道的BGP会话后,请确保从专用实例侧发送和接收正确的路径。
专用实例VPN解决方案期望从客户/合作伙伴方面建立两个隧道。第一个隧道指向专用实例数据中心A,第二个隧道指向专用实例数据中心B。两个隧道必须处于活动状态,且解决方案需要处于活动部署。每个专用实例数据中心将宣传其本地/25路由以及/24备份路由的广告。检查来自专用实例的传入的BGP路由时,请确保与指向专用实例数据中心A的隧道关联的BGP会话接收专用实例数据中心A /25本地路由以及/24备份路。此外,确保指向专用实例数据中心B的隧道接收专用实例数据中心B /25本地路由以及/24备份路由。注意: /24备份路由将与专用实例数据中心A和专用实例数据中心B中广告的路由相同。
如果专用实例数据中心的隧道接口断开,则冗余将提供给专用实例数据中心。如果连接至专用实例数据中心A丢失,则流量将从专用实例数据中心B转发至数据中心A。在此情况下,连接至数据中心B的隧道将使用数据中心B/25路由将流量发送至数据中心B,而连接至数据中心B的隧道将使用备份/24路由将流量发送至数据中心B。
重要的是,当两个隧道都处于活动状态时,数据中心A隧道不用于向数据中心B发送流量,反之亦然。在这种情况下,如果流量被发送到具有数据中心B的目的地的数据中心A,数据中心A会将流量转发到数据中心B,然后数据中心B将尝试通过数据中心B隧道将流量发送回源。这将导致次优路由并可能破坏流量通过防火墙。因此,在正常操作期间,两个隧道均处于活动配置/活动配置非常重要。
0.0.0.0/0路由必须从客户端到专用实例数据中心端进行广告。专用实例侧不会接受更具体的路径。确保0.0.0.0.0/0路由从专用实例数据中心A隧道和专用实例数据中心B隧道中标出。
MTU配置
在“专用实例”方面,启用两个功能,可针对大数据包大小动态调整MTU。GRE隧道为通过VPN会话流式传输的IP数据包添加更多标题。IPsec隧道在GRE标题上添加额外的标题,将进一步减少隧道允许的最大的MTU。
GRE隧道调整MSS功能,MTU发现功能中的GRE隧道路径在专用实例侧启用。配置“ip tcp adjust-mss 1350”或等效命令以及客户端的“tunnel path\u0002mtu-discovery”或等效命令,以帮助通过VPN隧道动态调整流量MTU。
