簡介

虛擬 Connect 是雲端與專用實例(專用實例)的Webex Calling附加元件選項。虛擬連接使客戶能夠使用點到點 IP VPN 隧道,在網際網路上安全地延伸其私人網路。此連接選項使用現有的客戶部署設備 (CPE) 和網際網路連接,快速建立私人網路連接。

Cisco 在需要服務的 Cisco 專用實例資料中心地區託管、管理和確保冗余 IP VPN 隧道和所需的網際網路存取權。同樣地,管理員負責建立虛擬 Connect 所需的相應 CPE 和網際網路服務。

特定專用實例區域的每個虛擬 Connect 訂單將包含兩個通用路由封裝 (GRE) 隧道,受 IPSec 加密 (GRE over IPSec) 保護,一個到所選地區中每個 Cisco 的資料中心。

虛擬 Connect 每個管道的頻寬限制為 250 Mbps,建議用於較小的部署。由於使用兩個點到點 VPN 隧道,至雲端的所有流量必須經過客戶前端 CPE,因此它不適用於存在許多遠端月臺的地方。有關其他替代對等選項,請參閱 雲端連接

在您提交 Virtual Connect 的對等互連請求之前,請確保在該區域中啟動了專用實例服務。

必要條件

建立虛擬 Connect 的先決條件包括:

  • 客戶提供

    • 網際網路連接,具有足夠的可用頻寬來支援部署

    • 兩個 IPSec 隧道的公用 IP 位址

    • 兩個 GRE 隧道的用戶端 GRE 傳輸 IP 位址

  • 合作夥伴和客戶

    • 協同工作以評估頻寬需求

    • 確保網路裝置支援 邊界閘道通訊協定 (BGP) 路由和一個 GRE over IPSec 隧道設計

  • 合作夥伴或客戶提供

    • 瞭解網站至網站 VPN 隧道技術的網路團隊

    • 瞭解 BGP、eBGP 及一般路由原理的網路小組

  • Cisco

    • Cisco 為 GRE 隧道介面指派了私人自動傳訊系統號碼 (ASN) 和暫時 IP 定址

    • Cisco 為專用實例雲端定址指定公開但非網際網路路由類別 C (/24) 網路

如果客戶只有 1 個 CPE 裝置,則每個地區的 2 個到 Cisco 資料中心(DC1 和 DC2)的隧道將來自該 CPE 裝置。客戶也有 2 個 CPE 裝置的選項,則每個 CPE 裝置應該僅連接到每個地區的 Cisco 資料中心(DC1 和 DC2)的 1 個管道。可以終止客戶基礎結構內不同實體網站/位置中的每個隧道,實現附加的冗余。

技術詳細資料

部署模型

Virtual Connect 使用雙重前端架構,其中路由和 GRE 控制端由一個裝置提供,而 IPSec 控制平面由另一個裝置提供。

完成虛擬 Connect 連接後,將在客戶的商業網路和 Cisco 專用實例資料中心之間建立兩個 GRE over IPSec 隧道。一個到各自地區內的每個冗余資料中心。對等所需的其他網路元素由合作夥伴或客戶透過 Control Hub 虛擬 Connect 啟動表單交換給 Cisco。

圖 1 顯示了用戶端 2 集中器選項的虛擬 Connect 部署模型範例。

Virtual Connect - VPN 是中樞設計,客戶的中樞網站連接到特定地區內專用實例資料中心的 DC1 和 DC2。

建議使用兩個中樞網站以提供更好的冗余,但具有兩個隧道的一個中樞網站也支援部署模型。

每個隧道的頻寬限制為 250 Mbps。

客戶在同一地區的遠端網站,將需要通過客戶的 WAN 重新連接到中樞網站,而 Cisco 對於該連接不負責。

預期合作夥伴與客戶密切協作,確保為'虛擬 Connect」服務區域選擇最佳路徑。

圖 2 顯示專用實例雲端連接對等區域。

路由

虛擬 Connect 附加元件路由是使用專用例項與客戶內部部署設備 (CPE) 之間的外部 BGP (eBGP) 執行。Cisco 會針對一個地區的每個冗余 DC 將各自網路通告客戶的 CPE,而且需要 CPE 才能通告到 Cisco 的預設路由。

  • Cisco 維護及指定

    • 隧道介面 IP 定址(路由的暫時連結)Cisco 從指定的共用位址空間指派(無法公開路由)

    • 隧道傳輸解說位址(Cisco 端)

    • 用於客戶 BGP 路由組的私人獨立系統號碼 (ASN)

      • Cisco 從指定的私人使用範圍指定:64512 到 65534

  • eBGP 用於交換專用例項與 CPE 之間的路由

    • Cisco 將針對各自區域的每一個 DC 將指定的 /24 網路分割為 2 /25 一個

    • 在 Virtual Connect 中,Cisco 將每個 /25 網路通告回 CPE,其方式為各點至點 VPN 隧道(暫時鏈結)

    • CPE 必須使用適當的 eBGP 多埠來組配置。如果使用一個 CPE,將會使用兩個 eBGP 專案,一個指向每個遠端隧道。如果使用兩個 CPE,則每個 CPE 都將有一個 eBGP 鄰接點到 CPE 的單一遠端隧道。

    • 每個 GRE 隧道的 Cisco 端(隧道介面 IP)在 CPE 上會當做 BGP 鄰接方

    • 需要 CPE 才能在每個隧道上通告預設路由

    • CPE 需要重新分發,在 cutomer 的商業網路中執行得知的路由。

  • 在非失敗連結失敗狀況下,單一 CPE 將具有兩個使用中/主動的隧道。對於兩個 CPE 節點,每個 CPE 將具有一個使用中的隧道,而且兩個 CPE 節點都應該在使用中且傳遞流量。在非失敗情況下,流量必須分割成兩個進入正確 /25 目的地的隧道,如果其中一個隧道關閉,則剩餘的隧道可以同時為兩者傳輸流量。在此類失敗情況下,當 /25 網路當掉時,則 /24 網路用作備份路由。Cisco 將透過內部 WAN 將客戶流量傳送給中斷連接之 DC。

連接過程

下列高層級步驟說明如何使用專用實例的虛擬 Connect 建立連接。
1

在 Cisco CCW 中下單

2

從 Control Hub 啟動虛擬 Connect

3

Cisco 會執行網路組配置

4

客戶執行網路組配置

步驟 1:CCW 訂單

Virtual Connect 是 CCW 中專用實例的附加元件。

1

導覽至 CCW 訂購網站,然後按一下登入以登入網站:

https://apps.cisco.com/Commerce/guest.
2

建立估計值。

3

新增「A-FLEX-3」SKU。

4

選取編輯選項。

5

在出現的訂閱標籤中,選取選項和附加元件。

6

在附加元件下,選取「專用實例的虛擬連接」旁的勾選方塊。SKU 名稱為「A-FLEX-DI-VC」。

7

輸入需要虛擬 Connect 的地區數量和數目。

虛擬 Connect 數量不應超過為專用實例購買的總區域數。另外,每個地區只允許一個虛擬 Connect 訂單。
8

當您滿意選擇後,按一下頁面右上角的驗證並儲存。

9

按一下「儲存並繼續」以完成您的訂單。您最終完成的訂單現在會用在訂單網格中。

步驟 2:在 Control Hub 中啟動虛擬 Connect

1

請登錄 Control Hub https://admin.webex.com/login

2

在服務 段, 導覽至 Calling >專用 Instacnce >雲端連接

3

在虛擬 Connect 卡片中,列出購買的虛擬 Connect 數量。管理員現在可以按一下啟動 啟動虛擬 Connect。

啟動過程只能由具有「客戶完全管理員」角色的管理員觸發。而具有「客戶唯讀管理員」角色的管理員只能查看狀態。
4

按一下啟動 按鈕即會顯示啟動虛擬 Connect 表單,讓管理員提供 Cisco 端對等配置所需的 Virtual Connect 技術詳細資料。

此表單也會根據選取的地區在 Cisco 端提供靜態資訊。此資訊對於客戶管理員在側邊設定 CPE 以建立連線性十分有用。

  1. GRE 通道傳輸IP 位址需要客戶提供客戶的側道傳輸 IP 位址,而 Cisco 將在啟動完成後動態配置 IP 位址。用於有趣流量的 IPSec ACL 應允許本地隧道傳輸 IP/32 至遠端隧道傳輸 IP/32。ACL 也只應該指定 GRE IP 通訊協定。

    客戶提供的 IP 位址可以是私人的或公用的。

  2. IPSec對等需要客戶提供 IPSec 隧道的來源 IP 位址,而 Cisco 會配置 IPSec 目的地 IP 位址。如果需要,也支援對內部 IPSEC 隧道位址對公用位址執行 NAT 轉換。

    客戶提供的 IP 位址應為公用。

    啟動畫面中提供的所有其它靜態資訊都是遵循 Cisco 端安全性和加密標準。此靜態組配置不可自訂或修改。對於 Cisco 端靜態配置的任何進一步協助,客戶將需要與 TAC 聯繫。
5

填入所有 必要欄位後,按一下啟用按鈕。

6

當部分地區的虛擬 Connect 啟動表單完成之後,客戶可以從 Control Hub、呼叫 > 專用實例 > 雲端連接」標籤匯出啟動表單,然後按一下匯出設定。

由於安全原因,驗證和 BGP 密碼將在「匯出的」文件中不可用,但管理員可以在 Control Hub 中透過按一下檢視設定 在 Control Hub 下,通話 > 專用實例 > 雲端連線標籤。

步驟 3:Cisco 會執行網路組配置

1

完成虛擬 Connect 啟動表單後 ,狀態將會更新為使用雲端連接虛擬 Connect 卡片呼叫專用實例>進行>進行中。

2

Cisco將在 Cisco 端設備上完成所需的設定, 5 個工作天。成功完成後,在 Control Hub 中該特定區域的狀態將更新為「已啟動」。

步驟 4:客戶執行網路組配置

狀態變更為「已啟動」以通知客戶管理員,Cisco 端 IP VPN 連接配置已根據客戶提供的輸入完成。但是,預期客戶管理員完成其一端 CPES 上的組配置,並測試連線路由,使虛擬連線隧道連線至線上。在組配置或連接時遇到任何問題時,客戶可以聯繫 Cisco TAC 以尋求協助。

疑難排解

IPsec 第一階段(IKEv2 協商)疑難排解和驗證

IPsec 通道交涉涉及兩個階段,即 IKEv2 階段和 IPsec 階段。如果 IKEv2 階段協商未完成,則不會起始第二個 IPsec 階段。首先,在第三方裝置上發出指令「showcrypto ikev2 sa」(在Cisco裝置上)或類似的指令,以驗證 IKEv2 階段作業是否處於作用中。如果 IKEv2 階段作業處於非作用狀態,潛在原因可能是:

  • 感興趣的流量不會觸發 IPsec 通道。

  • IPsec 通道存取清單設定錯誤。

  • 客戶與專用實例 IPsec 通道端點IP之間沒有連線。

  • 專用實例端與用戶端之間的 IKEv2 階段作業參數不相符。

  • 防火牆已封鎖 IKEv2 UDP封包。

首先,檢查 IPsec 記錄中是否有顯示 IKEv2 通道交涉進度的訊息。記錄可能會指出 IKEv2 協商發生問題的位置。缺少記錄訊息也可能指出未啟動 IKEv2 階段作業。

IKEv2 協商的一些常見錯誤是:

  • CPE 端的 IKEv2 設定與Cisco端不相符,請重新檢查提及的設定:

    • 檢查 IKE 版本是否為版本 2。

    • 驗證加密和驗證參數是否符合專用實例端的預期加密。

      當使用「GCM」密碼時,GCM 通訊協定會處理驗證,並將驗證參數設定為 NULL。

    • 驗證生命週期設定。

    • 驗證 Diffie Hellman 模數群組。

    • 驗證偽隨機函數設定。

  • 加密對應的存取清單未設定為:

    • 允許 GRE(local_tunnel_transport_ip )255.255.255.255remote_tunnel_transport_ip( ) 255.255.255.255"(或等效指令)

      存取清單必須專門用於「GRE」通訊協定,而且「IP」通訊協定不起作用。

如果記錄檔訊息未顯示 IKEv2 階段的任何交涉活動,則可能需要進行封包擷取。

專用實例端可能並不總是開始 IKEv2 交換,有時可能期望客戶 CPE 端成為發起方。

檢查 CPE 端設定是否符合 IKEv2 階段作業起始的以下先決條件:

  • 檢查從 CPE 通道傳輸IP到專用實例通道傳輸IP的 GRE 流量(通訊協定 50)的 IPsec 加密存取清單。

  • 確保為 GRE 保持啟用了 GRE 通道介面,如果裝置不支援 GRE 保持不中斷,則會通知Cisco ,因為預設情況下將在專用實例端啟用 GRE 保持不中斷。

  • 確保已啟用並使用專用實例通道IP的鄰居位址來設定 BGP。

如果設定正確,則以下開始 IPsec 通道和第一階段 IKEv2 交涉:

  • 從 CPE 端 GRE 通道介面到專用實例端 GRE 通道介面的 GRE Keepalive。

  • BGP 鄰居TCP階段作業從 CPE 端 BGP 鄰居到專用實例端 BGP 鄰居。

  • 從 CPE 端通道IP 位址ping 專用實例端通道IP 位址。

    Ping 不能是通道傳輸IP至通道傳輸IP,而必須是通道IP至通道IP。

如果 IKEv2 流量需要封包追踪,請針對UDP和連接埠 500(如果沒有 NAT 裝置位於 IPsec 端點中間)或連接埠 4500(當端點)。

驗證是否有使用埠 500 或 4500 的 IKEv2 UDP封包透過 DI IPsec IP 位址傳送和接收。

專用實例資料中心可能並不總是開始第一個 IKEv2 封包。要求是 CPE 裝置能夠向專用實例端起始第一個 IKEv2 封包。

如果本機防火牆允許,則還嘗試 ping 遠端 IPsec 位址。如果從本端到遠端 IPsec 位址 ping 不成功,則執行路徑追踪以協助確定遺失封包的位置。

部分防火牆和網際網路設備可能不允許追踪路由。

IPsec 第二階段(IPsec 協商)疑難排解和驗證

在對 IPsec 第二階段進行疑難排解之前,請驗證 IPsec 第一階段(即 IKEv2 安全關聯)是否處於作用中。執行「showcrypto ikev2 sa」或等效指令來驗證 IKEv2 階段作業。在輸出中,驗證 IKEv2 階段作業是否已持續幾秒以上,並且沒有來回跳。階段作業正常運行時間在輸出中顯示為階段作業「活動時間」或相當的值。

當 IKEv2 階段作業驗證為啟動且處於活動狀態後,調查 IPsec 階段作業。與 IKEv2 階段作業一樣,請執行「showcrypto ipsec sa」或等效指令來驗證 IPsec 階段作業。IKEv2 階段作業和 IPsec 階段作業必須都處於作用中,然後才能建立 GRE 通道。如果 IPsec 階段作業未顯示為作用中,請檢查 IPsec 記錄以查看錯誤訊息或協商錯誤。

在 IPsec 協商期間可能遇到的一些較常見的問題是:

CPE 端的設定與專用實例端不相符,請重新檢查設定:

  • 驗證加密和驗證參數是否符合專用實例端的設定。

  • 驗證完美正向保密設定以及專用實例端的設定是否相符。

  • 驗證生命週期設定。

  • 驗證是否已將 IPsec 設定為通道模式。

  • 驗證來源和目標 IPsec 位址。

通道介面疑難排解和驗證

當 IPsec 和 IKEv2 階段作業驗證為正常運作且處於活動狀態時,GRE 通道保持不中斷封包能夠在專用實例與 CPE 通道端點之間流動。如果通道介面未顯示狀態,則有一些常見問題:

  • 通道介面傳輸 VRF 與回送介面的 VRF 不相符(如果在通道介面上使用 VRF 組態)。

    若通道介面未使用 VRF 組態,則可以忽略此檢查。

  • CPE 側通道介面未啟用 Keepalive

    如果 CPE 設備不支援保持不中斷,則必須通知Cisco ,以便也停用專用實例端的預設保持不中斷。

    如果支援保持不中斷,請驗證是否已啟用保持不中斷。

  • 通道介面的遮罩或IP 位址不正確,與專用實例預期的值不相符。

  • 源或目標通道傳輸位址不正確,與專用實例的預期值不相符。

  • 防火牆已封鎖 GRE 封包傳送至 IPsec 通道或從 IPsec 通道接收(GRE 通道透過 IPsec 通道傳輸)

Ping 測試應驗證本機通道介面是否正常運作,以及與遠端通道介面的連線是否良好。執行從通道IP (不是傳輸IP)到遠端通道IP的 ping 檢查。

承載 GRE 通道流量的 IPsec 通道的加密存取清單僅允許 GRE 封包交叉。因此,從通道傳輸IP到遠端通道傳輸IP的 ping 不起作用。

Ping 檢查會產生從來源通道傳輸IP到目標通道傳輸IP的 GRE 封包,而 GRE 封包的有效負載(內部IP)將是來源和目標通道IP。

如果 ping 測試不成功且驗證了上述項目,則可能需要進行封包擷取,以確保 icmp ping 產生 GRE 封包,然後將其封裝成 IPsec 封包,然後從來源 IPsec 位址傳送到目的地 IPsec 位址。GRE 通道介面的計數器和 IPsec 階段作業計數器也可以協助顯示。是否傳送及接收封包正在增加。

除了 ping 流量之外,擷取還應顯示保持不中斷 GRE 封包,即使在流量閒置期間也是如此。最後,如果設定了 BGP,則 BGP 保持不中斷封包也應作為封裝在 IPSEC 封包中的 GRE 封包以及透過VPN傳送。

BGP 疑難排解和驗證

BGP 階段作業

需要 BGP 作為VPN IPsec 通道上的路由通訊協定。本機 BGP 鄰居應與專用實例 BGP 鄰居建立 eBGP 階段作業。eBGP 鄰居IP位址與本機和遠端通道IP位址相同。首先確保 BGP 階段作業已啟動,然後驗證是否從專用實例接收正確的路由以及是否將正確的預設路由傳送至專用實例。

如果 GRE 通道正常運作,請驗證本機與遠端 GRE 通道IP之間的 ping 是否成功。如果 ping 成功但 BGP 階段作業未開始,則調查 BGP 記錄以查看 BGP 建立錯誤。

部分較常見的 BGP 協商問題包括:

  • 遠端 AS 號碼與在專用實例端設定的 AS 號碼不相符,請重新檢查鄰居 AS 組態。

  • 本機 AS 號碼與專用實例端預期的不相符,請驗證本機 AS 號碼是否符合預期的專用實例參數。

  • 防火牆正在封鎖 GRE 封包中封裝的 BGP TCP封包傳送到 IPsec 通道或從 IPSEC 通道接收

  • 遠端 BGP 鄰居IP與遠端 GRE 通道IP不相符。

BGP 路由交換

當兩個通道都驗證了 BGP 階段作業後,請確保從專用實例端傳送和接收正確的路由。

專用實例VPN解決方案預期從客戶/合作夥伴端建立兩個通道。第一個通道指向專用實例資料中心 A,第二個通道指向專用實例資料中心 B。兩個通道必須處於作用中狀態,且解決方案需要作用中/作用中部署。每個專用實例資料中心都將公佈其本機 /25 路由以及 /24 備份路由。當檢查來自專用實例的傳入 BGP 路由時,請確保與指向專用實例資料中心 A 的通道關聯的 BGP 階段作業接收專用實例資料中心 A /25本地路由以及 /24 備份路由。此外,請確保指向專用實例資料中心 B 的通道收到專用實例資料中心 B /25本地路由以及 /24 備份路由。請注意,/24 備份路由將與專用實例資料中心 A 和專用實例資料中心 B 之間通告的路由相同。

如果與專用實例資料中心的通道介面故障,則會向該資料中心提供備援。如果與專用實例資料中心 A 的連線中斷,則流量將從專用實例資料中心 B 轉寄至資料中心 A。 在此情境下,通往資料中心 B 的通道將使用資料中心 B /25 路由將流量傳送至資料中心 B 和通道至資料中心 B 將使用備份 /24 路由透過資料中心 B 將流量傳送至資料中心 A。

重要的是,當兩個通道都處於活動狀態時,不要使用資料中心 A 通道將流量傳送到資料中心 B ,反之亦然。在這種情況下,如果流量傳送到資料中心 A 的目的地為資料中心 B,則資料中心 A 會將流量轉寄到資料中心 B,然後資料中心 B 將嘗試透過資料中心 B 的通道將流量傳送回來源。這將導致次最佳路由,並可能中斷透過防火牆的流量。因此,在正常操作期間,兩個通道都必須處於作用中/作用中組態。

0.0.0.0/0 路由必須從客戶端通告到專用實例資料中心端。專用實例端將不接受更具體的路由。確保將 0.0.0.0/0 路由通告專用實例資料中心 A 通道和專用實例資料中心 B 通道。

MTU 設定

在專用實例端,會啟用兩個功能,針對較大的封包大小動態調整 MTU。GRE 通道會為流經VPN階段作業的IP封包新增更多標頭。IPsec 通道在 GRE 標頭之上新增其他標頭將進一步降低通道允許的最大 MTU。

GRE 通道調整 MSS 功能,而 MTU 探索功能中的 GRE 通道路徑已在專用實例端啟用。在用戶端設定「ip tcpadjust-mss 1350」或等效指令以及「通道路徑\u0002mtu-探索」或等效指令,以協助動態調整透過VPN通道的流量的 MTU。