专用实例 -虚拟连接

介绍

虚拟连接是云连接到Webex 专用实例（专用实例）的附加附加选项。虚拟连接使客户能够使用点对点IP VPN隧道通过互联网安全地扩展其专用网络。此连接选项可通过使用现有的客户本地设备(CPE)和互联网连接快速建立专用网络连接。

Cisco在需要服务的Cisco专用实例数据中心区域中托管、管理和确保冗余IP VPN隧道和所需的互联网访问。同样，管理员负责建立虚拟连接所需的相应CPE和互联网服务。

特定专用实例区域中的每个虚拟连接订单将包含两个受IPSec加密（基于IPSec的GRE）保护的通用路由封装(GRE)隧道，一个隧道指向所选区域中的每个Cisco数据中心。

虚拟连接的带宽限制为每个隧道250 Mbps，建议用于较小的部署。由于使用了两个点对点VPN隧道，所有到云的流量都必须经过客户头端CPE，因此在有很多远程站点的地方可能不适用。有关其他对等连接选项，请参阅云连接。

提交虚拟连接的对等连接请求之前，请确保已在相应区域激活专用实例服务。

必要条件

建立虚拟连接的前提条件包括：

客户提供
- 具有足够可用带宽支持部署的互联网连接
- 两个IPSec隧道的公共IP地址
- 两个GRE隧道的客户端GRE传输IP地址
合作伙伴和客户
- 共同评估带宽要求
- 确保网络设备支持边界网关协议(BGP)路由和基于IPSec隧道的GRE设计
合作伙伴或客户提供
- 了解现场VPN隧道技术的网络团队
- 了解BGP、eBGP和一般路由原理的网络团队
Cisco
- Cisco为GRE隧道接口分配专用自动系统号(ASN)和瞬态IP地址
- Cisco为专用实例云寻址分配了公共但非互联网可路由的C类(/24)网络

如果客户只有1个CPE设备，则每个区域中通向Cisco数据中心（DC1和DC2）的2个隧道将来自该CPE设备。客户还可以选择2个CPE设备，然后每个CPE设备应仅连接到1个隧道，指向每个区域的Cisco数据中心（DC1和DC2）。通过终止客户基础设施内单独的物理站点/位置中的每个隧道，可以实现额外冗余。

技术详情

部署模型

虚拟连接使用双层前端架构，其中路由和GRE控制平面由一个设备提供，而IPSec控制平面由另一个设备提供。

虚拟连接连接完成后，将在客户的企业网络和专用实例思科的数据中心之间创建两个基于IPSec隧道的GRE。对应区域内每个冗余数据中心一个。对等连接所需的其他网络元素由合作伙伴或客户通过Control Hub虚拟连接激活表单与Cisco交换。

图1显示了一个Virtual Connect部署模型的示例，用于客户端的双集线器选项。

Virtual Connect - VPN是一种Hub设计，客户的Hub站点连接到特定区域内专用实例数据中心的DC1和DC2。

建议使用两个Hub站点以实现更好的冗余，但具有两个隧道的One Hub站点也是受支持的部署模型。

每个隧道的带宽限制为250 Mbps。

客户在同一区域内的远程站点需要通过客户的WAN重新连接到中心站点，而该连接不是Cisco的责任。

我们期望合作伙伴与客户紧密合作，确保为“虚拟连接”服务区域选择最理想的路径。

图2显示了专用实例云连接对等区域。

路由

虚拟连接附加工具的路由通过专用实例和客户本地设备(CPE)之间的外部BGP (eBGP)实现。 Cisco将向客户的CPE通告区域内每个冗余DC各自的网络，并且需要CPE通告到Cisco的默认路由。

思科维护和分配
- 隧道接口IP寻址（路由的瞬态链路） Cisco从指定的共享地址空间分配（不可公开路由）
- 隧道传输弃置地址（Cisco端）
- 客户BGP路由配置的专用自主系统号码(<UNK> )
  - Cisco从指定的专用使用范围分配： 64512至65534

eBGP用于在专用实例和CPE之间交换路由
- Cisco将为各自区域的每个DC将分配的/24网络拆分为2 /25网络
- 在虚拟连接中，每个/25网络由Cisco通过相应的点对点VPN隧道（瞬态链路）向CPE
- CPE必须使用适当的eBGP邻居进行配置。如果使用一个CPE，则将使用两个eBGP邻居，其中一个指向每个远程隧道。如果使用两个CPE，则每个CPE将有一个eBGP邻接沉入用于CPE的单个远程隧道。
- 每个GRE隧道的Cisco端（隧道接口IP）配置为CPE上的BGP邻居
- 需要CPE在每个隧道上通告默认路由
- CPE可根据需要对切割者的企业网络中的学习路由进行重新分配。
在非故障链接失败情况下，单个CPE将有两个活动/活动隧道。对于两个CPE节点，每个CPE将有一个活动隧道，并且两个CPE节点都应为活动并传递流量。在非故障情况下，流量必须分成两个隧道，前往正确/25目的地，如果其中一个隧道发生故障，则其余隧道可以承载两个隧道的流量。在这种故障情况下，当/25网络停止运行时，/24网络将被用作备份路由。 Cisco将通过其内部WAN向失去连接的DC发送客户流量。

连接过程

以下高级步骤介绍了如何通过专用实例的虚拟连接建立连接。

1	在 Cisco CCW 中下单
2	从Control Hub激活虚拟连接
3	Cisco执行网络配置
4	客户执行网络配置

步骤 1： CCW 订单

虚拟连接是CCW专用实例的附加工具。

导航至CCW订购站点，然后单击登录以登录站点：

https：//apps.cisco.com/Commerce/guest。

创建估计值。

添加"A-FLEX-3" SKU。

选择编辑选项。

在出现的订阅标签页中，选择选项和附加软件。

在“其他附加工具”下，选中“专用实例的虚拟连接”旁的复选框。 SKU名称为"A-FLEX-DI-VC"。

输入需要使用虚拟连接的区域数量和数量。

虚拟连接数量不应超过为专用实例购买的区域总数。此外，每个地区只允许一个虚拟连接订单。

当您对选择感到满意时，单击页面右上角的“验证并保存”。

单击“保存并继续”，完成您的订单。您的最终订单现在会在订单网格中发出请求。

步骤 2：在Control Hub中激活虚拟连接

登录Control Hub https：//admin.webex.com/login。

在服务部分，导航至呼叫>专用Instacnce >云连接。

在Virtual Connect卡中列出了购买的Virtual Connect数量。管理员现在可以单击 Activate以启动Virtual Connect激活。

激活过程只能由具有“客户完全管理员”角色的管理员触发。然而，具有“客户只读管理员”角色的管理员只能查看状态。

单击“激活”按钮时，管理员将显示“激活虚拟连接”表单，以提供思科一侧对等配置所需的虚拟连接技术详细信息。

该表格还提供思科方面基于所选区域的静态信息。此信息对于客户管理员配置其一侧的CPE以建立连接非常有用。

GRE隧道传输IP地址：客户需要提供客户端的隧道传输IP地址，并且Cisco将在激活完成后动态分配IP地址。 Fun Traffic的IPSec ACL应允许本地隧道传输IP/32至远程隧道传输IP/32。 ACL还应仅指定GRE IP协议。

客户提供的IP地址可以是私有或公共。

IPSec对等机：客户需要提供IPSec隧道的源IP地址，Cisco会分配IPSec目标IP地址。如果需要，还支持将内部IPSEC隧道地址转换为公共地址。

客户提供的IP地址应为公共。

激活屏幕中提供的所有其他静态信息都是遵循Cisco的侧安全性和加密标准。该静态配置不可自定义或修改。要获得有关Cisco方面静态配置的任何进一步协助，客户需要联系TAC。

填写完所有必填字段后，单击激活按钮。

在为分区区域完成虚拟连接激活表单后，客户可以从Control Hub、呼叫>专用实例>云连接标签页导出激活表单，然后单击导出设置。

由于安全原因，验证和BGP密码将不会在导出的文档中提供，但管理员可以通过单击Control Hub下的设置、呼叫>专用实例>云连接选项卡来在Control Hub中查看相同的密码。

步骤 3： Cisco执行网络配置

1	虚拟连接激活表单完成后，状态将更新为呼叫>专用实例>云连接虚拟连接卡中的正在进行中激活。
2	Cisco将在 5个工作日内完成Cisco侧面设备上所需的配置。成功完成后，Control Hub中该特定区域的状态将更新为“已激活”。

步骤 4：客户执行网络配置

状态更改为“已激活”，以通知客户管理员，根据客户提供的输入，Cisco端的IP VPN连接配置已完成。但是，客户管理员需要在CPE上完成其一侧的配置，并测试连接路由，使Virtual Connect隧道实现在线。如果在配置或连接时遇到任何问题，客户可以联系Cisco TAC寻求帮助。

疑难解答

IPsec第一阶段（IKEv2协商）故障排除和验证

IPsec隧道协商包括两个阶段：IKEv2阶段和IPsec阶段。如果IKEv2阶段协商未完成，则不会启动第二个IPsec阶段。首先，在第三方设备上发出命令“show crypto ikev2 sa”（在Cisco设备上）或类似命令，以验证IKEv2会话是否处于活动状态。如果IKEv2会话未处于活动状态，可能的原因可能是：

有趣的流量不会触发IPsec隧道。
IPsec隧道访问列表配置错误。
客户和专用实例IPsec隧道端点IP之间没有连接。
专用实例端和客户端之间的IKEv2会话参数不匹配。
防火墙正在阻止IKEv2 UDP数据包。

首先，检查IPsec日志中是否有显示IKEv2隧道协商进度的消息。日志可能会指示IKEv2协商的问题所在。缺少记录消息也可能表示IKEv2会话未激活。

IKEv2协商的一些常见错误包括：

CPE端的IKEv2设置与Cisco端不匹配，请重新检查上述设置：
- 检查IKE版本是否为版本2。
- 验证加密和验证参数是否与专用实例端的预期加密匹配。
  
  使用"GCM"密码时，GCM协议处理验证，并将验证参数设置为NULL。
- 验证生命周期设置。
- 验证Diffie Hellman模量组。
- 验证伪随机函数设置。
加密地图的访问列表未设置为：
- Allow GRE (local_tunnel_transport_ip) 255.255.255.255 (remote_tunnel_transport_ip) 255.255.255.255"（或同等命令）
  
  访问列表必须专门针对"GRE"协议，且"IP"协议无效。

如果日志消息没有显示IKEv2阶段的任何协商活动，则可能需要数据包捕获。

专用实例端可能并不总是开始IKEv2交换，有时可能期望客户CPE端作为发起方。

检查CPE端配置以了解IKEv2会话发起的以下先决条件：

检查从CPE隧道传输IP到专用实例隧道传输IP的GRE流量（协议50）的IPsec加密访问列表。
确保为GRE保持连接启用了GRE隧道接口，如果设备不支持GRE保持连接，则Cisco会收到通知，因为默认情况下，GRE保持连接将在专用实例端启用。
确保使用专用实例隧道IP的相邻地址启用并配置BGP。

正确配置后，以下内容将启动IPsec隧道和第一阶段IKEv2协商：

GRE连接从CPE侧GRE隧道接口到专用实例侧GRE隧道接口。
BGP邻居TCP会话从CPE侧BGP邻居至专用实例侧BGP邻居。
从CPE侧隧道IP地址到专用实例侧隧道IP地址的Ping。

Ping不能是隧道传输IP到隧道传输IP，必须是隧道IP到隧道IP。

如果IKEv2流量需要数据包跟踪，请设置UDP和端口500的过滤器（当没有NAT设备位于IPsec终端的中间时）或端口4500（当NAT设备插入IPsec终端的中间时）。

验证是否向DI IPsec IP地址发送和接收端口为500或4500的IKEv2 UDP数据包。

专用实例数据中心可能不总是开始第一个IKEv2数据包。要求是CPE设备能够向专用实例端发起第一个IKEv2数据包。

如果本地防火墙允许，则还会尝试ping到远程IPsec地址。如果从本地到远程IPsec地址的ping不成功，请执行跟踪路由以提供帮助，并确定数据包丢弃的位置。

某些防火墙和互联网设备可能不允许跟踪路由。

IPsec第二阶段（IPsec协商）故障排除和验证

在对IPsec第二阶段进行故障诊断之前，验证IPsec第一阶段（即IKEv2安全关联）是否处于活动状态。执行“show crypto ikev2 sa”或同等命令以验证IKEv2会话。在输出中，验证IKEv2会话已启动超过几秒，并且没有弹出。会话正常运行时间在输出中显示为会话“活动时间”或等效时间。

当IKEv2会话验证为已启动并处于活动状态后，调查IPsec会话。与IKEv2会话一样，执行“show crypto ipsec sa”或同等命令以验证IPsec会话。在建立GRE隧道之前，IKEv2会话和IPsec会话都必须处于活动状态。如果IPsec会话未显示为活动状态，请检查IPsec日志中是否有错误消息或协商错误。

在IPsec谈判期间可能遇到的一些较为常见的问题是：

CPE端的设置与专用实例端不匹配，请重新检查设置：

验证加密和验证参数是否与专用实例端的设置匹配。
验证完美前转保密设置以及是否与专用实例端的设置匹配。
验证生命周期设置。
验证IPsec已配置为隧道模式。
验证源和目标IPsec地址。

隧道接口故障排除和验证

当IPsec和IKEv2会话被验证为启动和活动时，GRE隧道保持连接的数据包能够在专用实例和CPE隧道端点之间流动。如果隧道接口没有显示状态，一些常见问题包括：

隧道接口传输VRF与环回接口的VRF不匹配（如果隧道接口上使用了VRF配置）。

如果隧道接口未使用VRF配置，则可忽略该检查。

CPE侧隧道接口上未启用Keepalives

如果CPE设备上不支持KEEPALIVES，则必须通知Cisco，以禁用专用实例端的默认keepalives。

如果支持保持连接，验证是否已启用保持连接。

隧道接口的掩码或IP地址不正确，与专用实例的预期值不匹配。
源或目标隧道传输地址不正确，与专用实例的预期值不匹配。
防火墙阻止GRE数据包发送到IPsec隧道或从IPsec隧道接收（GRE隧道通过IPsec隧道传输）

ping测试应验证本地隧道接口是否正常，远程隧道接口的连接是否良好。从隧道IP（不是传输IP）到远程隧道IP执行ping检查。

携带GRE隧道流量的IPsec隧道的加密访问列表只允许GRE数据包穿越。因此，从隧道传输IP到远程隧道传输IP，ping消息将不起作用。

ping检查将导致GRE数据包从源隧道传输IP到目标隧道传输IP生成，而GRE数据包的有效载荷（内部IP）将是源隧道和目标隧道IP。

如果ping测试不成功并且验证了前面的项，则可能需要数据包捕获，以确保icmp ping生成GRE数据包，然后将其封装到IPsec数据包中，然后从源IPsec地址发送到目标IPsec地址。 GRE隧道接口上的计数器和IPsec会话计数器也可以帮助显示。如果发送和接收数据包正在递增。

除了ping流量，捕获还应该显示保持连接的GRE数据包，即使在空闲流量。最后，如果配置了BGP，BGP保持连接数据包还应该作为封装在IPSEC数据包中的GRE数据包以及通过VPN发送。

BGP故障排除和验证

BGP会话

BGP是VPN IPsec隧道上的路由协议的必填项。本地BGP邻居应与专用实例BGP邻居建立eBGP会话。 eBGP相邻IP地址与本地和远程隧道IP地址相同。首先确保BGP会话已启动，然后验证是否从专用实例接收了正确的路由，并且已将正确的缺省路由发送到专用实例。

如果GRE隧道已启动，请验证本地和远程GRE隧道IP之间的ping是否成功。如果ping成功但BGP会话未开始，则调查BGP日志中的BGP建立错误。

一些比较常见的BGP协商问题包括：

远程AS号码与专用实例端配置的AS号码不匹配，请重新检查相邻AS配置。
本地AS编号与专用实例端的预期不匹配，请验证本地AS编号是否与预期的专用实例参数匹配。
防火墙阻止GRE数据包中封装的BGP TCP数据包发送到IPsec隧道或从IPSEC隧道接收
远程BGP相邻IP与远程GRE隧道IP不匹配。

BGP路由交换

验证两个隧道的BGP会话后，请确保从专用实例端发送和接收正确的路由。

专用实例VPN解决方案期望从客户/合作伙伴端建立两个隧道。第一个隧道指向专用实例数据中心A，第二个隧道指向专用实例数据中心B。两个隧道必须处于活动状态，并且解决方案需要主动/主动部署。每个专用实例数据中心将通告其本地/25路由以及/24备份路由。检查来自专用实例的传入BGP路由时，确保与指向专用实例数据中心A的隧道关联的BGP会话接收专用实例数据中心A /25本地路由以及/24备份路由。此外，确保指向专用实例数据中心B的隧道接收专用实例数据中心B /25本地路由以及/24备份路由。请注意，/24备份路由将与专用实例数据中心A和专用实例数据中心B通告的路由相同。

如果专用实例数据中心的隧道接口发生故障，该数据中心将提供冗余。如果与专用实例数据中心A的连接丢失，则流量将从专用实例数据中心B前转到数据中心A。在这种情况下，数据中心B的隧道将使用数据中心B /25路由发送流量到数据中心B，而数据中心B的隧道将使用备份/24路由通过数据中心B发送流量到数据中心A。

重要的是，当两个隧道都处于活动状态时，不使用数据中心A隧道向数据中心B发送流量，反之亦然。在这种情况下，如果流量被发送至目标为数据中心B的数据中心A，数据中心A将把流量转发至数据中心B，然后数据中心B将尝试通过数据中心B隧道将流量发回源。这将导致路由不理想，还可能破坏流量穿越防火墙。因此，正常运行期间，两个隧道都必须处于有源/有源配置。

0.0.0.0/0路由必须从客户端通告到专用实例数据中心端。专用实例端将不接受更具体的路由。确保从专用实例数据中心A隧道和专用实例数据中心B隧道中通告0。0。0。0/0路由。

MTU配置

在专用实例端，启用了两个功能，可针对较大的数据包大小动态调整MTU。 GRE隧道向流经VPN会话的IP数据包添加更多报头。 IPsec隧道在GRE标头之上添加额外标头，将进一步减少隧道上允许的最大MTU。

GRE隧道调整MSS功能，在专用实例端启用MTU发现功能中的GRE隧道路径。在客户端配置“ip tcp adjust-mss 1350”或同等命令以及“tunnel path\u0002mtu-discovery”或同等命令，以帮助通过VPN隧道动态调整流量的MTU。

介绍

必要条件

技术详情

部署模型

路由