介绍

虚拟连接是云连接到专用实例(专用实例)的附加Webex Calling选项。虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。此连接选项使用现有客户设施设备 (CPE) 和互联网连接快速加快专用网络连接。

Cisco 在需要服务的 Cisco 专用实例数据中心区域主持、管理和确保冗余 IP VPN 隧道和所需的互联网访问。同样,管理员还负责其相应的 CPE 和互联网服务(虚拟连接设置需要这些服务)。

特定专用实例区域的每一个虚拟连接订单包括两个通用路由桥 (NF) 隧道,这些隧道受 IPSec 加密(通过 IPSec 的 SSL 保护),每个 Cisco 在所选区域的数据中心各一个。

虚拟连接每个隧道的带宽限制为 250 Mbps,建议用于较小的部署。由于使用两个点对点 VPN 隧道,所有到云的流量必须经过客户前端 CPE,因此,在有许多远程站点的地方可能并不适合它。有关其他对等连接选项,请参阅 云连接

提交虚拟连接的对等连接请求之前,请确保已在相应区域激活专用实例服务。

必要条件

建立虚拟连接的先决条件包括:

  • 客户提供

    • 足以支持部署的可用带宽的互联网连接

    • 两个 IPSec 隧道的公共 IP 地址

    • 客户一侧的 1000 个 12000 和 12000 个 12000 或 3000 个 120

  • 合作伙伴和客户

    • 通过协作评估带宽要求

    • 确保网络设备支持 BGP 边界网关协议 IPSec 隧道设计

  • 合作伙伴或客户提供

    • 具备站点对站点 VPN 隧道技术知识的网络团队

    • 具备 BGP、eBGP 和通用路由原理的知识的网络团队

  • Cisco

    • Cisco 为 VPN 隧道接口分配专用自动系统号码 (ASNS) 和瞬态 IP 地址

    • Cisco 为专用实例云地址分配了公共而非互联网可路由类 C (/24) 网络

如果客户只有 1 个 CPE 设备,则每个区域中的 2 条向 Cisco 数据中心(DC1 和 DC2)的隧道将来自该 CPE 设备。客户还可以选择 2 个 CPE 设备,那么每个 CPE 设备应仅连接到每个区域中的 1 个隧道,以至 Cisco 的数据中心(DC1 和 DC2)。要达到更多冗余,可以在客户的基础结构中终止各个隧道(位于单独的物理站点/位置中)。

技术详情

部署模型

虚拟连接使用双层前端体系结构,其中路由和流量控制设置由一个设备提供,IPSec 控制飞机由另一台设备提供。

在完成虚拟 连接 连接后,将在客户的企业网络和 Cisco 专用实例的数据中心之间创建两个通过 IPSec 的 4000 至 19993 年 4 月 24 日 24933 年 12 月 24 日。。每个冗余数据中心位于各“地区”内。合作伙伴或客户通过 Control Hub 虚拟连接激活表单向 Cisco 交换对等连接所需的其他联网元素。

图 1 显示了客户一侧的 2 集中器选项的虚拟连接部署模型示例。

虚拟连接 - VPN 是 Hub 设计,客户的 Hub 站点连接到特定区域内的专用实例的 DC1 和 DC2 数据中心。

建议使用两个 Hub 站点以实现更好的冗余,但是一个拥有两个隧道的 Hub 站点也是受支持的部署模型。

每个隧道的带宽限制为 250 Mbps。

在同一地区的客户远程站点,将需要通过客户的 WAN 重新连接到 Hub 站点,并且 Cisco 不负责该连接。

合作伙伴应与客户紧密合作,确保为“虚拟连接”服务区域选择最佳路径。

图 2 显示了专用实例云连接对等区域。

路由

虚拟连接加载项的路由通过专用实例与客户本地设备 (CPE) 之间的外部 BGP (eBGP) 实现。Cisco 将针对一个地区的每个冗余 DC 将各自的网络播发到客户的 CPE,而 CPE 需要将缺省路由播发到 Cisco。

  • Cisco 维护和分配

    • 隧道接口 IP 地址(传送的瞬态链接)Cisco 从指定的共享地址空间分配(不可公开路由)

    • 隧道传输解说地址(Cisco 一方)

    • 用于客户 BGP 路由配置的专用自治系统号码 (ASNS)

      • Cisco 从指定的专用使用范围分配:64512 到 65534

  • eBGP 用于在专用实例和 CPE 之间交换路由

    • Cisco 将分配 /24 网络分给相应区域每个 DC 的 2 /25 一个。

    • 在虚拟连接中,Cisco 通过各自的点对点 VPN 隧道(瞬态链接)将每个 /25 网络播发回 CPE。

    • CPE 必须配置有相应的 eBGP 位位器。如果使用 1 个 CPE,将使用两个 eBGP 高分值,一个指向每个远程隧道。如果使用两个 CPE,那么每个 CPE 都有一个 eBGP neighbor neighborit to single remote tunnel to CPE。

    • 每个 BGP 隧道(隧道接口 IP)的 Cisco 端配置为 CPE 上的 BGP 相邻

    • 需要 CPE 才能在每个隧道上播发缺省路由

    • CPE 可重新分发(根据要求)在客户企业网络中学习路由。

  • 在非故障链接失败的状况下,单个 CPE 将拥有两个活动/活动隧道。对于两个 CPE 节点,每个 CPE 都有一个活动隧道,两个 CPE 节点都应活动且传递流量。在非故障情况下,流量必须分流到正确的 /25 个目的地的两个隧道,如果其中一个隧道下行,其余隧道可同时传输这两个流量。在此类故障情境下,当 /25 网络出现故障时,将 /24 网络用作备份路由。Cisco 会通过内部 WAN 将客户流量发送到丢失连接的 DC。

连接过程

以下高级步骤说明如何与专用实例的虚拟 Connect 建立连接。
1

在 Cisco CCW 中下单

2

从 Control Hub 激活虚拟连接

3

Cisco 执行网络配置

4

客户执行网络配置

步骤 1:CCW 订单

虚拟连接是 CCW 中专用实例的附加组件。

1

导航至 CCW 订购站点,然后单击登录以登录站点:

2

创建估计值。

3

添加“A-FLEX-3”SKU。

4

选择编辑选项。

5

在出现的订阅标签页中,选择选项和加载项。

6

在附加附加组件下,选中“专用实例虚拟连接”旁的复选框。SKU 名称为“A-FLEX-DI-VC”。

7

输入需要虚拟连接的区域的数量和数量。

虚拟连接数量不应超出为专用实例购买的区域总数。此外,每个区域只允许有一个虚拟连接订单。
8

当您对选择感到满意时,单击页面右上角的验证并保存。

9

单击“保存并继续”,完成您的订单。您最终的订单现在将在订单网格中处理。

步骤 2:在 Control Hub 中激活虚拟连接

1

登录到 Control Hub https://admin.webex.com/login

2

在服务 部分中 ,导航 至呼叫>专用>云连接

3

在虚拟连接卡中列出购买的虚拟连接数量。管理员现在可单击 激活 以启动虚拟连接激活。

激活过程只能由具有“客户完全权限管理员”角色的管理员触发。但是,具有“客户只读管理员”角色的管理员只能查看状态。
4

单击“ 激活 ”按钮后 ,将显示“激活虚拟连接 ”表单,以便管理员提供 Cisco 一侧对等配置所需的虚拟连接技术详细信息。

该表单还提供基于所选区域在 Cisco 一侧的静态信息。这些信息对于客户管理员非常有用,他们在一侧配置 CPE 以建立连接。
  1. GRE隧道传输IP地址:客户必须提供客户的侧隧道传输 IP 地址,并且 Cisco 将在激活完成后动态分配 IP 地址。用于趣味流量的 IPSec ACL 应允许本地隧道传输 IP/32 至远程隧道传输 IP/32。ACL 还应仅指定一个 只支持 1000 000 个 1000 000 1000 0

    客户提供的 IP 地址可以是私有的,也可以为公用的。
  2. IPSec对等成员:客户必须提供 IPSec 隧道的源 IP 地址,Cisco 分配 IPSec 目标 IP 地址。如果需要,还可执行将内部 IPSEC 隧道地址到公用地址的 NAT 转换。

    客户提供的 IP 地址应该为公开地址。

    激活屏幕中提供的其他静态信息均符合 Cisco 的安全和加密标准。该静态配置不可自定义或修改。对于 Cisco 一方静态配置的任何进一步协助,客户将需要联系 TAC。
5

在填写 所有 必填字段后,单击激活按钮。

6

在部分部分区域完成虚拟连接激活表单后,客户可以从 Control Hub、呼叫 > 专用实例 > 云连接标签页导出激活表单并单击导出设置。

安全原因,验证和BGP密码将在导出文档中不可用,但管理员可以通过单击Control Hub下的 设置 、呼叫>专用实例>云连接选项卡来在Control Hub中查看相同的密码。

步骤 3:Cisco 执行网络配置

1

虚拟连接激活表单完成后 ,状态将更新为“呼叫云连接虚拟连接”卡中的>进行中的>操作。

2

Cisco 将在 5 个工作日内完成 Cisco 端设备所需的配置。成功完成后,Control Hub 中该特定区域的状态将被更新为“已激活”。

步骤 4:客户执行网络配置

状态更改为“已激活”以通知客户管理员 Cisco 一侧的 IP VPN 连接配置已根据客户提供的输入完成。但是,客户管理员应该完成其一侧的 CPEs 配置,并测试虚拟连接隧道的连接路由为在线。如果配置或连接时遇到任何问题,客户可以联系 Cisco TAC 寻求帮助。

疑难解答

IPsec第一阶段(IKEv2协商)故障排除和验证

IPsec隧道协商包括两个阶段:IKEv2阶段和IPsec阶段。如果IKEv2阶段协商未完成,则不会启动第二个IPsec阶段。首先,在第三方设备上发出命令“show crypto ikev2 sa”(在Cisco设备上)或类似命令,以验证IKEv2会话是否处于活动状态。如果IKEv2会话未处于活动状态,可能的原因可能是:

  • 有趣的流量不会触发IPsec隧道。

  • IPsec隧道访问列表配置错误。

  • 客户和专用实例IPsec隧道端点IP之间没有连接。

  • 专用实例端和客户端之间的IKEv2会话参数不匹配。

  • 防火墙正在阻止IKEv2 UDP数据包。

首先,检查IPsec日志中是否有显示IKEv2隧道协商进度的消息。日志可能会指示IKEv2协商的问题所在。缺少记录消息也可能表示IKEv2会话未激活。

IKEv2协商的一些常见错误包括:

  • CPE端的IKEv2设置与Cisco端不匹配,请重新检查上述设置:

    • 检查IKE版本是否为版本2。

    • 验证加密和验证参数是否与专用实例端的预期加密匹配。

      使用"GCM"密码时,GCM协议处理验证,并将验证参数设置为NULL。

    • 验证生命周期设置。

    • 验证Diffie Hellman模量组。

    • 验证伪随机函数设置。

  • 加密地图的访问列表未设置为:

    • Allow GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255"(或同等命令)

      访问列表必须专门用于“GRE”协议,且“IP”协议无效。

如果日志消息没有显示IKEv2阶段的任何协商活动,则可能需要数据包捕获。

专用实例端可能并不总是开始IKEv2交换,有时可能期望客户CPE端作为发起方。

检查CPE端配置以了解IKEv2会话发起的以下先决条件:

  • 检查从CPE隧道传输IP到专用实例隧道传输IP的GRE流量(协议50)的IPsec加密访问列表。

  • 确保为GRE保持连接启用了GRE隧道接口,如果设备不支持GRE保持连接,则会通知Cisco,因为默认情况下,GRE保持连接将在专用实例端启用。

  • 确保使用专用实例隧道IP的相邻地址启用并配置BGP。

正确配置后,以下内容将启动IPsec隧道和第一阶段IKEv2协商:

  • GRE连接从CPE侧GRE隧道接口到专用实例侧GRE隧道接口。

  • BGP邻居TCP会话从CPE侧BGP邻居至专用实例侧BGP邻居。

  • 从CPE侧隧道IP地址到专用实例侧隧道IP地址的Ping。

    Ping不能是隧道传输IP到隧道传输IP,必须是隧道IP到隧道IP。

如果IKEv2流量需要数据包跟踪,请设置UDP和端口500的过滤器(当没有NAT设备位于IPsec终端的中间时)或端口4500(当NAT设备插入IPsec终端的中间时)。

验证是否向DI IPsec IP地址发送和接收端口为500或4500的IKEv2 UDP数据包。

专用实例数据中心可能不总是开始第一个IKEv2数据包。要求是CPE设备能够向专用实例端发起第一个IKEv2数据包。

如果本地防火墙允许,则还会尝试ping到远程IPsec地址。如果从本地到远程IPsec地址的ping不成功,请执行跟踪路由以提供帮助,并确定数据包被丢弃的位置。

某些防火墙和互联网设备可能不允许跟踪路由。

IPsec第二阶段(IPsec协商)故障排除和验证

在对IPsec第二阶段进行故障诊断之前,验证IPsec第一阶段(即IKEv2安全关联)是否处于活动状态。执行“show crypto ikev2 sa”或同等命令以验证IKEv2会话。在输出中,验证IKEv2会话已启动超过几秒,并且没有弹出。会话正常运行时间在输出中显示为会话“活动时间”或等效时间。

当IKEv2会话验证为已启动并处于活动状态后,调查IPsec会话。与IKEv2会话一样,执行“show crypto ipsec sa”或同等命令以验证IPsec会话。在建立GRE隧道之前,IKEv2会话和IPsec会话都必须处于活动状态。如果IPsec会话未显示为活动状态,请检查IPsec日志中是否有错误消息或协商错误。

在IPsec谈判期间可能遇到的一些较为常见的问题是:

CPE端的设置与专用实例端不匹配,请重新检查设置:

  • 验证加密和验证参数是否与专用实例端的设置匹配。

  • 验证完美前转保密设置以及是否与专用实例端的设置匹配。

  • 验证生命周期设置。

  • 验证IPsec已配置为隧道模式。

  • 验证源和目标IPsec地址。

隧道接口故障排除和验证

当IPsec和IKEv2会话被验证为启动和活动时,GRE隧道保持连接的数据包能够在专用实例和CPE隧道端点之间流动。如果隧道接口没有显示状态,一些常见问题包括:

  • 隧道接口传输VRF与环回接口的VRF不匹配(如果隧道接口上使用了VRF配置)。

    如果隧道接口未使用VRF配置,则可忽略该检查。

  • CPE侧隧道接口上未启用Keepalives

    如果CPE设备上不支持KEEPALIVES,则必须通知Cisco,以禁用专用实例端的默认keepalives。

    如果支持保持连接,请确认已启用保持连接。

  • 隧道接口的掩码或IP地址不正确,与专用实例的预期值不匹配。

  • 源或目标隧道传输地址不正确,与专用实例的预期值不匹配。

  • 防火墙阻止GRE数据包发送到IPsec隧道或从IPsec隧道接收(GRE隧道通过IPsec隧道传输)

ping测试应验证本地隧道接口是否正常,远程隧道接口的连接是否良好。从隧道IP(不是传输IP)到远程隧道IP执行ping检查。

携带GRE隧道流量的IPsec隧道的加密访问列表只允许GRE数据包穿越。因此,从隧道传输IP到远程隧道传输IP,ping消息将不起作用。

ping检查将产生一个GRE数据包,该数据包是从源隧道传输IP到目标隧道传输IP生成的,而GRE数据包的有效载荷(内部IP)将是源隧道和目标隧道IP。

如果ping测试不成功并且验证了前面的项,则可能需要数据包捕获,以确保icmp ping生成GRE数据包,然后将其封装到IPsec数据包中,然后从源IPsec地址发送到目标IPsec地址。GRE隧道接口上的计数器和IPsec会话计数器也可以帮助显示。如果发送和接收数据包正在递增。

除了ping流量,捕获还应该显示保持连接的GRE数据包,即使在空闲流量。最后,如果配置了BGP,BGP保持连接数据包还应该作为封装在IPSEC数据包中的GRE数据包以及通过VPN发送。

BGP故障排除和验证

BGP会话

BGP是VPN IPsec隧道上的路由协议所必需的。本地BGP邻居应与专用实例BGP邻居建立eBGP会话。eBGP相邻IP地址与本地和远程隧道IP地址相同。首先确保BGP会话已启动,然后验证是否从专用实例接收了正确的路由,并且已将正确的缺省路由发送到专用实例。

如果GRE隧道已连接,请验证本地和远程GRE隧道IP之间的ping是否成功。如果ping成功但BGP会话未开始,则调查BGP日志中是否存在BGP建立错误。

一些比较常见的BGP协商问题包括:

  • 远程AS号码与专用实例端配置的AS号码不匹配,请重新检查相邻AS配置。

  • 本地AS编号与专用实例端的预期不匹配,请验证本地AS编号是否与预期的专用实例参数匹配。

  • 防火墙阻止GRE数据包中封装的BGP TCP数据包发送到IPsec隧道或从IPSEC隧道接收

  • 远程BGP相邻IP与远程GRE隧道IP不匹配。

BGP路由交换

验证两个隧道的BGP会话后,请确保从专用实例端发送和接收正确的路由。

专用实例VPN解决方案期望从客户/合作伙伴端建立两个隧道。第一个隧道指向专用实例数据中心A,第二个隧道指向专用实例数据中心B。两个隧道必须处于活动状态,并且解决方案需要主动/主动部署。每个专用实例数据中心将通告其本地/25路由以及/24备份路由。检查来自专用实例的传入BGP路由时,确保与指向专用实例数据中心A的隧道关联的BGP会话接收专用实例数据中心A /25本地路由以及/24备份路由。此外,确保指向专用实例数据中心B的隧道接收专用实例数据中心B /25本地路由以及/24备份路由。请注意,/24备份路由将与专用实例数据中心A和专用实例数据中心B通告的路由相同。

如果专用实例数据中心的隧道接口发生故障,该数据中心将提供冗余。如果与专用实例数据中心A的连接丢失,则流量将从专用实例数据中心B前转到数据中心A。在这种情况下,数据中心B的隧道将使用数据中心B /25路由发送流量到数据中心B,而数据中心B的隧道将使用备份/24路由通过数据中心B发送流量到数据中心A。

重要的是,当两个隧道都处于活动状态时,不使用数据中心A隧道向数据中心B发送流量,反之亦然。在这种情况下,如果流量被发送至目标为数据中心B的数据中心A,数据中心A将把流量转发至数据中心B,然后数据中心B将尝试通过数据中心B隧道将流量发回源。这将导致路由不理想,还可能破坏流量穿越防火墙。因此,正常运行期间,两个隧道都必须处于有源/有源配置。

0.0.0.0/0路由必须从客户端通告到专用实例数据中心端。专用实例端将不接受更具体的路由。确保从专用实例数据中心A隧道和专用实例数据中心B隧道中通告0。0。0。0/0路由。

MTU配置

在专用实例端,启用了两个功能来动态调整MTU以适应较大的数据包大小。GRE隧道向流经VPN会话的IP数据包添加更多报头。IPsec隧道在GRE标头之上添加额外标头,将进一步减少隧道上允许的最大MTU。

GRE隧道调整MSS功能,在专用实例端启用MTU发现功能中的GRE隧道路径。在客户端配置“ip tcp adjust-mss 1350”或同等命令以及“tunnel path\u0002mtu-discovery”或同等命令,以帮助通过VPN隧道动态调整流量的MTU。