- 主页
- /
- 文章
专用实例 -虚拟连接
在此文章中虚拟连接是云连接到Webex 专用实例的附加附加选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。这里我们将讨论虚拟连接的订购、激活和配置。
介绍
虚拟连接是云连接到专用实例(专用实例)的附加Webex Calling选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。此连接选项使用现有客户设施设备 (CPE) 和互联网连接快速加快专用网络连接。
Cisco 在需要服务的 Cisco 专用实例数据中心区域主持、管理和确保冗余 IP VPN 隧道和所需的互联网访问。同样,管理员还负责其相应的 CPE 和互联网服务(虚拟连接设置需要这些服务)。
特定专用实例区域的每一个虚拟连接订单包括两个通用路由桥 (NF) 隧道,这些隧道受 IPSec 加密(通过 IPSec 的 SSL 保护),每个 Cisco 在所选区域的数据中心各一个。
虚拟连接每个隧道的带宽限制为 250 Mbps,建议用于较小的部署。由于使用两个点对点 VPN 隧道,所有到云的流量必须经过客户前端 CPE,因此,在有许多远程站点的地方可能并不适合它。有关其他对等连接选项,请参阅 云连接。
提交虚拟连接的对等连接请求之前,请确保已在相应区域激活专用实例服务。
必要条件
建立虚拟连接的先决条件包括:
-
客户提供
-
足以支持部署的可用带宽的互联网连接
-
两个 IPSec 隧道的公共 IP 地址
-
客户一侧的 1000 个 12000 和 12000 个 12000 或 3000 个 120
-
-
合作伙伴和客户
-
通过协作评估带宽要求
-
确保网络设备支持 BGP 边界网关协议 IPSec 隧道设计
-
-
合作伙伴或客户提供
-
具备站点对站点 VPN 隧道技术知识的网络团队
-
具备 BGP、eBGP 和通用路由原理的知识的网络团队
-
-
Cisco
-
Cisco 为 VPN 隧道接口分配专用自动系统号码 (ASNS) 和瞬态 IP 地址
-
Cisco 为专用实例云地址分配了公共而非互联网可路由类 C (/24) 网络
-
如果客户只有 1 个 CPE 设备,则每个区域中的 2 条向 Cisco 数据中心(DC1 和 DC2)的隧道将来自该 CPE 设备。客户还可以选择 2 个 CPE 设备,那么每个 CPE 设备应仅连接到每个区域中的 1 个隧道,以至 Cisco 的数据中心(DC1 和 DC2)。要达到更多冗余,可以在客户的基础结构中终止各个隧道(位于单独的物理站点/位置中)。
技术详情
部署模型
虚拟连接使用双层前端体系结构,其中路由和流量控制设置由一个设备提供,IPSec 控制飞机由另一台设备提供。
在完成虚拟 连接 连接后,将在客户的企业网络和 Cisco 专用实例的数据中心之间创建两个通过 IPSec 的 4000 至 19993 年 4 月 24 日 24933 年 12 月 24 日。。每个冗余数据中心位于各“地区”内。合作伙伴或客户通过 Control Hub 虚拟连接激活表单向 Cisco 交换对等连接所需的其他联网元素。
图 1 显示了客户一侧的 2 集中器选项的虚拟连接部署模型示例。
虚拟连接 - VPN 是 Hub 设计,客户的 Hub 站点连接到特定区域内的专用实例的 DC1 和 DC2 数据中心。
建议使用两个 Hub 站点以实现更好的冗余,但是一个拥有两个隧道的 Hub 站点也是受支持的部署模型。
每个隧道的带宽限制为 250 Mbps。
在同一地区的客户远程站点,将需要通过客户的 WAN 重新连接到 Hub 站点,并且 Cisco 不负责该连接。
合作伙伴应与客户紧密合作,确保为“虚拟连接”服务区域选择最佳路径。
图 2 显示了专用实例云连接对等区域。
路由
虚拟连接加载项的路由通过专用实例与客户本地设备 (CPE) 之间的外部 BGP (eBGP) 实现。Cisco 将针对一个地区的每个冗余 DC 将各自的网络播发到客户的 CPE,而 CPE 需要将缺省路由播发到 Cisco。
-
Cisco 维护和分配
-
隧道接口 IP 地址(传送的瞬态链接)Cisco 从指定的共享地址空间分配(不可公开路由)
-
隧道传输解说地址(Cisco 一方)
-
用于客户 BGP 路由配置的专用自治系统号码 (ASNS)
-
Cisco 从指定的专用使用范围分配:64512 到 65534
-
-
-
eBGP 用于在专用实例和 CPE 之间交换路由
-
Cisco 将分配 /24 网络分给相应区域每个 DC 的 2 /25 一个。
-
在虚拟连接中,Cisco 通过各自的点对点 VPN 隧道(瞬态链接)将每个 /25 网络播发回 CPE。
-
CPE 必须配置有相应的 eBGP 位位器。如果使用 1 个 CPE,将使用两个 eBGP 高分值,一个指向每个远程隧道。如果使用两个 CPE,那么每个 CPE 都有一个 eBGP neighbor neighborit to single remote tunnel to CPE。
-
每个 BGP 隧道(隧道接口 IP)的 Cisco 端配置为 CPE 上的 BGP 相邻
-
需要 CPE 才能在每个隧道上播发缺省路由
-
CPE 可重新分发(根据要求)在客户企业网络中学习路由。
-
-
在非故障链接失败的状况下,单个 CPE 将拥有两个活动/活动隧道。对于两个 CPE 节点,每个 CPE 都有一个活动隧道,两个 CPE 节点都应活动且传递流量。在非故障情况下,流量必须分流到正确的 /25 个目的地的两个隧道,如果其中一个隧道下行,其余隧道可同时传输这两个流量。在此类故障情境下,当 /25 网络出现故障时,将 /24 网络用作备份路由。Cisco 会通过内部 WAN 将客户流量发送到丢失连接的 DC。
连接过程
| 1 | |
| 2 | |
| 3 | |
| 4 |
步骤 1:CCW 订单
虚拟连接是 CCW 中专用实例的附加组件。
| 1 |
导航至 CCW 订购站点,然后单击登录以登录站点: |
| 2 |
创建估计值。 |
| 3 |
添加“A-FLEX-3”SKU。 |
| 4 |
选择编辑选项。 |
| 5 |
在出现的订阅标签页中,选择选项和加载项。 |
| 6 |
在附加附加组件下,选中“专用实例虚拟连接”旁的复选框。SKU 名称为“A-FLEX-DI-VC”。 |
| 7 |
输入需要虚拟连接的区域的数量和数量。 虚拟连接数量不应超出为专用实例购买的区域总数。此外,每个区域只允许有一个虚拟连接订单。 |
| 8 |
当您对选择感到满意时,单击页面右上角的验证并保存。 |
| 9 |
单击“保存并继续”,完成您的订单。您最终的订单现在将在订单网格中处理。 |
步骤 2:在 Control Hub 中激活虚拟连接
| 1 |
登录到 Control Hub https://admin.webex.com/login。 |
| 2 |
在服务 部分中 ,导航 至呼叫>专用>云连接。 |
| 3 |
在虚拟连接卡中列出购买的虚拟连接数量。管理员现在可单击 激活 以启动虚拟连接激活。  激活过程只能由具有“客户完全权限管理员”角色的管理员触发。但是,具有“客户只读管理员”角色的管理员只能查看状态。 |
| 4 |
单击“ 激活 ”按钮后 ,将显示“激活虚拟连接 ”表单,以便管理员提供 Cisco 一侧对等配置所需的虚拟连接技术详细信息。 该表单还提供基于所选区域在 Cisco 一侧的静态信息。这些信息对于客户管理员非常有用,他们在一侧配置 CPE 以建立连接。 |
| 5 |
在填写 所有 必填字段后,单击激活按钮。 |
| 6 |
在部分部分区域完成虚拟连接激活表单后,客户可以从 Control Hub、呼叫 > 专用实例 > 云连接标签页导出激活表单并单击导出设置。  安全原因,验证和BGP密码将在导出文档中不可用,但管理员可以通过单击Control Hub下的 设置 、呼叫>专用实例>云连接选项卡来在Control Hub中查看相同的密码。 |
步骤 3:Cisco 执行网络配置
| 1 |
虚拟连接激活表单完成后 ,状态将更新为“呼叫云连接虚拟连接”卡中的>进行中的>操作。 |
| 2 |
Cisco 将在 5 个工作日内完成 Cisco 端设备所需的配置。成功完成后,Control Hub 中该特定区域的状态将被更新为“已激活”。 |
步骤 4:客户执行网络配置
|
状态更改为“已激活”以通知客户管理员 Cisco 一侧的 IP VPN 连接配置已根据客户提供的输入完成。但是,客户管理员应该完成其一侧的 CPEs 配置,并测试虚拟连接隧道的连接路由为在线。如果配置或连接时遇到任何问题,客户可以联系 Cisco TAC 寻求帮助。 |
疑难解答
IPsec第一阶段(IKEv2协商)故障排除和验证
IPsec隧道协商包括两个阶段:IKEv2阶段和IPsec阶段。如果IKEv2阶段协商未完成,则不会启动第二个IPsec阶段。首先,在第三方设备上发出命令“show crypto ikev2 sa”(在Cisco设备上)或类似命令,以验证IKEv2会话是否处于活动状态。如果IKEv2会话未处于活动状态,可能的原因可能是:
-
有趣的流量不会触发IPsec隧道。
-
IPsec隧道访问列表配置错误。
-
客户和专用实例IPsec隧道端点IP之间没有连接。
-
专用实例端和客户端之间的IKEv2会话参数不匹配。
-
防火墙正在阻止IKEv2 UDP数据包。
首先,检查IPsec日志中是否有显示IKEv2隧道协商进度的消息。日志可能会指示IKEv2协商的问题所在。缺少记录消息也可能表示IKEv2会话未激活。
IKEv2协商的一些常见错误包括:
-
CPE端的IKEv2设置与Cisco端不匹配,请重新检查上述设置:
-
检查IKE版本是否为版本2。
-
验证加密和验证参数是否与专用实例端的预期加密匹配。
使用"GCM"密码时,GCM协议处理验证,并将验证参数设置为NULL。
-
验证生命周期设置。
-
验证Diffie Hellman模量组。
-
验证伪随机函数设置。
-
-
加密地图的访问列表未设置为:
-
Allow GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255"(或同等命令)
访问列表必须专门用于“GRE”协议,且“IP”协议无效。
-
如果日志消息没有显示IKEv2阶段的任何协商活动,则可能需要数据包捕获。
专用实例端可能并不总是开始IKEv2交换,有时可能期望客户CPE端作为发起方。
检查CPE端配置以了解IKEv2会话发起的以下先决条件:
-
检查从CPE隧道传输IP到专用实例隧道传输IP的GRE流量(协议50)的IPsec加密访问列表。
-
确保为GRE保持连接启用了GRE隧道接口,如果设备不支持GRE保持连接,则会通知Cisco,因为默认情况下,GRE保持连接将在专用实例端启用。
-
确保使用专用实例隧道IP的相邻地址启用并配置BGP。
正确配置后,以下内容将启动IPsec隧道和第一阶段IKEv2协商:
-
GRE连接从CPE侧GRE隧道接口到专用实例侧GRE隧道接口。
-
BGP邻居TCP会话从CPE侧BGP邻居至专用实例侧BGP邻居。
-
从CPE侧隧道IP地址到专用实例侧隧道IP地址的Ping。
Ping不能是隧道传输IP到隧道传输IP,必须是隧道IP到隧道IP。
如果IKEv2流量需要数据包跟踪,请设置UDP和端口500的过滤器(当没有NAT设备位于IPsec终端的中间时)或端口4500(当NAT设备插入IPsec终端的中间时)。
验证是否向DI IPsec IP地址发送和接收端口为500或4500的IKEv2 UDP数据包。
专用实例数据中心可能不总是开始第一个IKEv2数据包。要求是CPE设备能够向专用实例端发起第一个IKEv2数据包。
如果本地防火墙允许,则还会尝试ping到远程IPsec地址。如果从本地到远程IPsec地址的ping不成功,请执行跟踪路由以提供帮助,并确定数据包被丢弃的位置。
某些防火墙和互联网设备可能不允许跟踪路由。
IPsec第二阶段(IPsec协商)故障排除和验证
在对IPsec第二阶段进行故障诊断之前,验证IPsec第一阶段(即IKEv2安全关联)是否处于活动状态。执行“show crypto ikev2 sa”或同等命令以验证IKEv2会话。在输出中,验证IKEv2会话已启动超过几秒,并且没有弹出。会话正常运行时间在输出中显示为会话“活动时间”或等效时间。
当IKEv2会话验证为已启动并处于活动状态后,调查IPsec会话。与IKEv2会话一样,执行“show crypto ipsec sa”或同等命令以验证IPsec会话。在建立GRE隧道之前,IKEv2会话和IPsec会话都必须处于活动状态。如果IPsec会话未显示为活动状态,请检查IPsec日志中是否有错误消息或协商错误。
在IPsec谈判期间可能遇到的一些较为常见的问题是:
CPE端的设置与专用实例端不匹配,请重新检查设置:
-
验证加密和验证参数是否与专用实例端的设置匹配。
-
验证完美前转保密设置以及是否与专用实例端的设置匹配。
-
验证生命周期设置。
-
验证IPsec已配置为隧道模式。
-
验证源和目标IPsec地址。
隧道接口故障排除和验证
当IPsec和IKEv2会话被验证为启动和活动时,GRE隧道保持连接的数据包能够在专用实例和CPE隧道端点之间流动。如果隧道接口没有显示状态,一些常见问题包括:
-
隧道接口传输VRF与环回接口的VRF不匹配(如果隧道接口上使用了VRF配置)。
如果隧道接口未使用VRF配置,则可忽略该检查。
-
CPE侧隧道接口上未启用Keepalives
如果CPE设备上不支持KEEPALIVES,则必须通知Cisco,以禁用专用实例端的默认keepalives。
如果支持保持连接,请确认已启用保持连接。
-
隧道接口的掩码或IP地址不正确,与专用实例的预期值不匹配。
-
源或目标隧道传输地址不正确,与专用实例的预期值不匹配。
-
防火墙阻止GRE数据包发送到IPsec隧道或从IPsec隧道接收(GRE隧道通过IPsec隧道传输)
ping测试应验证本地隧道接口是否正常,远程隧道接口的连接是否良好。从隧道IP(不是传输IP)到远程隧道IP执行ping检查。
携带GRE隧道流量的IPsec隧道的加密访问列表只允许GRE数据包穿越。因此,从隧道传输IP到远程隧道传输IP,ping消息将不起作用。
ping检查将产生一个GRE数据包,该数据包是从源隧道传输IP到目标隧道传输IP生成的,而GRE数据包的有效载荷(内部IP)将是源隧道和目标隧道IP。
如果ping测试不成功并且验证了前面的项,则可能需要数据包捕获,以确保icmp ping生成GRE数据包,然后将其封装到IPsec数据包中,然后从源IPsec地址发送到目标IPsec地址。GRE隧道接口上的计数器和IPsec会话计数器也可以帮助显示。如果发送和接收数据包正在递增。
除了ping流量,捕获还应该显示保持连接的GRE数据包,即使在空闲流量。最后,如果配置了BGP,BGP保持连接数据包还应该作为封装在IPSEC数据包中的GRE数据包以及通过VPN发送。
BGP故障排除和验证
BGP会话
BGP是VPN IPsec隧道上的路由协议所必需的。本地BGP邻居应与专用实例BGP邻居建立eBGP会话。eBGP相邻IP地址与本地和远程隧道IP地址相同。首先确保BGP会话已启动,然后验证是否从专用实例接收了正确的路由,并且已将正确的缺省路由发送到专用实例。
如果GRE隧道已连接,请验证本地和远程GRE隧道IP之间的ping是否成功。如果ping成功但BGP会话未开始,则调查BGP日志中是否存在BGP建立错误。
一些比较常见的BGP协商问题包括:
-
远程AS号码与专用实例端配置的AS号码不匹配,请重新检查相邻AS配置。
-
本地AS编号与专用实例端的预期不匹配,请验证本地AS编号是否与预期的专用实例参数匹配。
-
防火墙阻止GRE数据包中封装的BGP TCP数据包发送到IPsec隧道或从IPSEC隧道接收
-
远程BGP相邻IP与远程GRE隧道IP不匹配。
BGP路由交换
验证两个隧道的BGP会话后,请确保从专用实例端发送和接收正确的路由。
专用实例VPN解决方案期望从客户/合作伙伴端建立两个隧道。第一个隧道指向专用实例数据中心A,第二个隧道指向专用实例数据中心B。两个隧道必须处于活动状态,并且解决方案需要主动/主动部署。每个专用实例数据中心将通告其本地/25路由以及/24备份路由。检查来自专用实例的传入BGP路由时,确保与指向专用实例数据中心A的隧道关联的BGP会话接收专用实例数据中心A /25本地路由以及/24备份路由。此外,确保指向专用实例数据中心B的隧道接收专用实例数据中心B /25本地路由以及/24备份路由。请注意,/24备份路由将与专用实例数据中心A和专用实例数据中心B通告的路由相同。
如果专用实例数据中心的隧道接口发生故障,该数据中心将提供冗余。如果与专用实例数据中心A的连接丢失,则流量将从专用实例数据中心B前转到数据中心A。在这种情况下,数据中心B的隧道将使用数据中心B /25路由发送流量到数据中心B,而数据中心B的隧道将使用备份/24路由通过数据中心B发送流量到数据中心A。
重要的是,当两个隧道都处于活动状态时,不使用数据中心A隧道向数据中心B发送流量,反之亦然。在这种情况下,如果流量被发送至目标为数据中心B的数据中心A,数据中心A将把流量转发至数据中心B,然后数据中心B将尝试通过数据中心B隧道将流量发回源。这将导致路由不理想,还可能破坏流量穿越防火墙。因此,正常运行期间,两个隧道都必须处于有源/有源配置。
0.0.0.0/0路由必须从客户端通告到专用实例数据中心端。专用实例端将不接受更具体的路由。确保从专用实例数据中心A隧道和专用实例数据中心B隧道中通告0。0。0。0/0路由。
MTU配置
在专用实例端,启用了两个功能来动态调整MTU以适应较大的数据包大小。GRE隧道向流经VPN会话的IP数据包添加更多报头。IPsec隧道在GRE标头之上添加额外标头,将进一步减少隧道上允许的最大MTU。
GRE隧道调整MSS功能,在专用实例端启用MTU发现功能中的GRE隧道路径。在客户端配置“ip tcp adjust-mss 1350”或同等命令以及“tunnel path\u0002mtu-discovery”或同等命令,以帮助通过VPN隧道动态调整流量的MTU。
