介绍

虚拟连接是云连接到专用实例(专用实例)的附加Webex Calling选项。 虚拟连接使客户能够使用点对点 IP VPN 隧道安全地扩展其专用网络。 此连接选项使用现有客户设施设备 (CPE) 和互联网连接快速加快专用网络连接。

Cisco 在需要服务的 Cisco 专用实例数据中心区域主持、管理和确保冗余 IP VPN 隧道和所需的互联网访问。 同样,管理员还负责其相应的 CPE 和互联网服务(虚拟连接设置需要这些服务)。

特定专用实例区域的每一个虚拟连接订单包括两个通用路由桥 (NF) 隧道,这些隧道受 IPSec 加密(通过 IPSec 的 SSL 保护),每个 Cisco 在所选区域的数据中心各一个。

虚拟连接每个隧道的带宽限制为 250 Mbps,建议用于较小的部署。 由于使用两个点对点 VPN 隧道,所有到云的流量必须经过客户前端 CPE,因此,在有许多远程站点的地方可能并不适合它。 有关其他对等连接选项,请参阅 云连接

必要条件

建立虚拟连接的先决条件包括:

  • 客户提供

    • 足以支持部署的可用带宽的互联网连接

    • 两个 IPSec 隧道的公共 IP 地址

    • 客户一侧的 1000 个 12000 和 12000 个 12000 或 3000 个 120

  • 合作伙伴和客户

    • 通过协作评估带宽要求

    • 确保网络设备支持 BGP 边界网关协议 IPSec 隧道设计

  • 合作伙伴或客户提供

    • 具备站点对站点 VPN 隧道技术知识的网络团队

    • 具备 BGP、eBGP 和通用路由原理的知识的网络团队

  • Cisco

    • Cisco 为 VPN 隧道接口分配专用自动系统号码 (ASNS) 和瞬态 IP 地址

    • Cisco 为专用实例云地址分配了公共而非互联网可路由类 C (/24) 网络


如果客户只有 1 个 CPE 设备,则每个区域中的 2 条向 Cisco 数据中心(DC1 和 DC2)的隧道将来自该 CPE 设备。 客户还可以选择 2 个 CPE 设备,那么每个 CPE 设备应仅连接到每个区域中的 1 个隧道,以至 Cisco 的数据中心(DC1 和 DC2)。 要达到更多冗余,可以在客户的基础结构中终止各个隧道(位于单独的物理站点/位置中)。

技术详情

部署模型

虚拟连接使用双层前端体系结构,其中路由和流量控制设置由一个设备提供,IPSec 控制飞机由另一台设备提供。

在完成“虚拟连接”连接后,将在客户的企业网络和 Cisco 专用实例的数据中心之间创建两个通过 IPSec 的 4000 至 19999 年 4 月 2 日 每个冗余数据中心位于各“地区”内。 如前提条件中说明的,合作伙伴或客户需要一个 /24 网络才能用于配置虚拟连接。 合作伙伴或客户通过 Control Hub 虚拟连接激活表单向 Cisco 交换对等连接所需的其他联网元素。

图 1 显示了客户一侧的 2 集中器选项的虚拟连接部署模型示例。

虚拟连接 - VPN 是 Hub 设计,客户的 Hub 站点连接到特定区域内的专用实例的 DC1 和 DC2 数据中心。

建议使用两个 Hub 站点以实现更好的冗余,但是一个拥有两个隧道的 Hub 站点也是受支持的部署模型。


每个隧道的带宽限制为 250 Mbps。


在同一地区的客户远程站点,将需要通过客户的 WAN 重新连接到 Hub 站点,并且 Cisco 不负责该连接。

合作伙伴应与客户紧密合作,确保为“虚拟连接”服务区域选择最佳路径。

图 2 显示了专用实例云连接对等区域。

路由

虚拟连接加载项的路由通过专用实例与客户本地设备 (CPE) 之间的外部 BGP (eBGP) 实现。 Cisco 将针对一个地区的每个冗余 DC 将各自的网络播发到客户的 CPE,而 CPE 需要将缺省路由播发到 Cisco。

  • Cisco 维护和分配

    • 隧道接口 IP 地址(传送的瞬态链接)Cisco 从指定的共享地址空间分配(不可公开路由)

    • 隧道传输解说地址(Cisco 一方)

    • 用于客户 BGP 路由配置的专用自治系统号码 (ASNS)

      • Cisco 从指定的专用使用范围分配: 64512 到 65534

  • eBGP 用于在专用实例和 CPE 之间交换路由

    • Cisco 将分配 /24 网络分给相应区域每个 DC 的 2 /25 一个。

    • 在虚拟连接中,Cisco 通过各自的点对点 VPN 隧道(瞬态链接)将每个 /25 网络播发回 CPE。

    • CPE 必须配置有相应的 eBGP 位位器。 如果使用 1 个 CPE,将使用两个 eBGP 高分值,一个指向每个远程隧道。 如果使用两个 CPE,那么每个 CPE 都有一个 eBGP neighbor neighborit to single remote tunnel to CPE。

    • 每个 BGP 隧道(隧道接口 IP)的 Cisco 端配置为 CPE 上的 BGP 相邻

    • 需要 CPE 才能在每个隧道上播发缺省路由

    • CPE 可重新分发(根据要求)在客户企业网络中学习路由。

  • 在非故障链接失败的状况下,单个 CPE 将拥有两个活动/活动隧道。 对于两个 CPE 节点,每个 CPE 都有一个活动隧道,两个 CPE 节点都应活动且传递流量。 在非故障情况下,流量必须分流到正确的 /25 个目的地的两个隧道,如果其中一个隧道下行,其余隧道可同时传输这两个流量。 在此类故障情境下,当 /25 网络出现故障时,将 /24 网络用作备份路由。 Cisco 会通过内部 WAN 将客户流量发送到丢失连接的 DC。

连接过程

以下高级步骤说明如何与专用实例的虚拟 Connect 建立连接。

1

在 Cisco CCW 中下单

2

从 Control Hub 激活虚拟连接

3

Cisco 执行网络配置

4

客户执行网络配置

步骤 1: CCW 订单

虚拟连接是 CCW 中专用实例的附加组件。

1

导航至 CCW 订购站点,然后单击登录以登录站点:

2

创建估计值。

3

添加“A-FLEX-3”SKU。

4

选择编辑选项。

5

在出现的订阅标签页中,选择选项和加载项。

6

在附加附加组件下,选中“专用实例虚拟连接”旁的复选框。 SKU 名称为“A-FLEX-DI-VC”。

7

输入需要虚拟连接的区域的数量和数量。


 
虚拟连接数量不应超出为专用实例购买的区域总数。 此外,每个区域只允许有一个虚拟连接订单。
8

当您对选择感到满意时,单击页面右上角的验证并保存。

9

单击“保存并继续”,完成您的订单。 您最终的订单现在将在订单网格中处理。

步骤 2: 在 Control Hub 中激活虚拟连接

1

登录到 Control Hub https://admin.webex.com/login

2

在服务 部分中 ,导航 至呼叫>专用>云连接

3

在虚拟连接卡中列出购买的虚拟连接数量。 管理员现在可单击 激活 以启动虚拟连接激活。


 
激活过程只能由具有“客户完全权限管理员”角色的管理员触发。 但是,具有“客户只读管理员”角色的管理员只能查看状态。
4

单击“ 激活 ”按钮后 ,将显示“激活虚拟连接 ”表单,以便管理员提供 Cisco 一侧对等配置所需的虚拟连接技术详细信息。


 
该表单还提供基于所选区域在 Cisco 一侧的静态信息。 这些信息对于客户管理员非常有用,他们在一侧配置 CPE 以建立连接。
  1. 2009 年 12 月 16 日 客户必须提供客户的侧隧道传输 IP 地址,并且 Cisco 将在激活完成后动态分配 IP 地址。 用于趣味流量的 IPSec ACL 应允许本地隧道传输 IP/32 至远程隧道传输 IP/32。 ACL 还应仅指定一个 只支持 1000 000 个 1000 000 1000 0


     
    客户提供的 IP 地址可以是私有的,也可以为公用的。
  2. IPSec 同事: 客户必须提供 IPSec 隧道的源 IP 地址,Cisco 分配 IPSec 目标 IP 地址。 如果需要,还可执行将内部 IPSEC 隧道地址到公用地址的 NAT 转换。


     

    客户提供的 IP 地址应该为公开地址。


     
    激活屏幕中提供的其他静态信息均符合 Cisco 的安全和加密标准。 该静态配置不可自定义或修改。 对于 Cisco 一方静态配置的任何进一步协助,客户将需要联系 TAC。
5

在填写 所有 必填字段后,单击激活按钮。

6

在部分部分区域完成虚拟连接激活表单后,客户可以从 Control Hub、呼叫 > 专用实例 > 云连接标签页导出激活表单并单击导出设置。


 
由于安全性原因,身份验证和 BGP 密码在导出的文档中不可用,但管理员可以在 Control Hub 中单击 Control Hub 下的查看设置,呼叫 > 专用实例 > 云连接标签页来查看相同的内容。

步骤 3: Cisco 执行网络配置

1

虚拟连接激活表单完成后,状态将更新为“呼叫云连接虚拟连接”卡中的>进行中的>操作。

2

Cisco 将在 4 个工作日内完成 Cisco 端设备所需的配置。 成功完成后,Control Hub 中该特定区域的状态将被更新为“已激活”。

步骤 4: 客户执行网络配置

状态更改为“已激活”以通知客户管理员 Cisco 一侧的 IP VPN 连接配置已根据客户提供的输入完成。 但是,客户管理员应该完成其一侧的 CPEs 配置,并测试虚拟连接隧道的连接路由为在线。 如果配置或连接时遇到任何问题,客户可以联系 Cisco TAC 寻求帮助。