簡介

虛擬 Connect 是雲端與專用實例(專用實例)的Webex Calling附加元件選項。虛擬連接使客戶能夠使用點到點 IP VPN 隧道,在網際網路上安全地延伸其私人網路。此連接選項使用現有的客戶部署設備 (CPE) 和網際網路連接,快速建立私人網路連接。

Cisco 在需要服務的 Cisco 專用實例資料中心地區託管、管理和確保冗余 IP VPN 隧道和所需的網際網路存取權。同樣地,管理員負責建立虛擬 Connect 所需的相應 CPE 和網際網路服務。

特定專用實例區域的每個虛擬 Connect 訂單將包含兩個通用路由封裝 (GRE) 隧道,受 IPSec 加密 (GRE over IPSec) 保護,一個到所選地區中每個 Cisco 的資料中心。

虛擬 Connect 每個管道的頻寬限制為 250 Mbps,建議用於較小的部署。由於使用兩個點到點 VPN 隧道,至雲端的所有流量必須經過客戶前端 CPE,因此它不適用於存在許多遠端月臺的地方。有關其他替代對等選項,請參閱 雲端連接

在您提交 Virtual Connect 的對等互連請求之前,請確保已在相應區域中啟動「專用實例」服務。

必要條件

建立虛擬 Connect 的先決條件包括:

  • 客戶提供

    • 網際網路連接,具有足夠的可用頻寬來支援部署

    • 兩個 IPSec 隧道的公用 IP 位址

    • 兩個 GRE 隧道的用戶端 GRE 傳輸 IP 位址

  • 合作夥伴和客戶

    • 協同工作以評估頻寬需求

    • 確保網路裝置支援 邊界閘道通訊協定 (BGP) 路由和一個 GRE over IPSec 隧道設計

  • 合作夥伴或客戶提供

    • 瞭解網站至網站 VPN 隧道技術的網路團隊

    • 瞭解 BGP、eBGP 及一般路由原理的網路小組

  • Cisco

    • Cisco 為 GRE 隧道介面指派了私人自動傳訊系統號碼 (ASN) 和暫時 IP 定址

    • Cisco 為專用實例雲端定址指定公開但非網際網路路由類別 C (/24) 網路

如果客戶只有 1 個 CPE 裝置,則每個地區的 2 個到 Cisco 資料中心(DC1 和 DC2)的隧道將來自該 CPE 裝置。客戶也有 2 個 CPE 裝置的選項,則每個 CPE 裝置應該僅連接到每個地區的 Cisco 資料中心(DC1 和 DC2)的 1 個管道。可以終止客戶基礎結構內不同實體網站/位置中的每個隧道,實現附加的冗余。

技術詳細資料

部署模型

Virtual Connect 使用雙重前端架構,其中路由和 GRE 控制端由一個裝置提供,而 IPSec 控制平面由另一個裝置提供。

完成虛擬 Connect 連接後,將在客戶的商業網路和 Cisco 專用實例資料中心之間建立兩個 GRE over IPSec 隧道。一個到各自地區內的每個冗余資料中心。對等所需的其他網路元素由合作夥伴或客戶透過 Control Hub 虛擬 Connect 啟動表單交換給 Cisco。

下圖顯示了用戶端 2 集中器選項的虛擬連線部署模型的範例。

Virtual Connect - VPN 是中樞設計,客戶的中樞網站連接到特定地區內專用實例資料中心的 DC1 和 DC2。

建議使用兩個中樞網站以提供更好的冗余,但具有兩個隧道的一個中樞網站也支援部署模型。

每個隧道的頻寬限制為 250 Mbps。

客戶在同一地區的遠端網站,將需要通過客戶的 WAN 重新連接到中樞網站,而 Cisco 對於該連接不負責。

合作夥伴應與客戶密切合作,確保為客戶選擇最佳路徑。虛擬連線 服務區域。

下圖顯示了專用實例雲端連線對等互連區域。

虛擬連線區域

路由

虛擬 Connect 附加元件路由是使用專用例項與客戶內部部署設備 (CPE) 之間的外部 BGP (eBGP) 執行。Cisco 會針對一個地區的每個冗余 DC 將各自網路通告客戶的 CPE,而且需要 CPE 才能通告到 Cisco 的預設路由。

  • Cisco 維護及指定

    • 隧道介面 IP 定址(路由的暫時連結)Cisco 從指定的共用位址空間指派(無法公開路由)

    • 隧道傳輸解說位址(Cisco 端)

    • 用於客戶 BGP 路由組的私人獨立系統號碼 (ASN)

      • Cisco 從指定的私人使用範圍指定:64512 到 65534

  • eBGP 用於交換專用例項與 CPE 之間的路由

    • Cisco 將針對各自區域的每一個 DC 將指定的 /24 網路分割為 2 /25 一個

    • 在 Virtual Connect 中,Cisco 將每個 /25 網路通告回 CPE,其方式為各點至點 VPN 隧道(暫時鏈結)

    • CPE 必須使用適當的 eBGP 多埠來組配置。如果使用一個 CPE,將會使用兩個 eBGP 專案,一個指向每個遠端隧道。如果使用兩個 CPE,則每個 CPE 都將有一個 eBGP 鄰接點到 CPE 的單一遠端隧道。

    • 每個 GRE 隧道的 Cisco 端(隧道介面 IP)在 CPE 上會當做 BGP 鄰接方

    • 需要 CPE 才能在每個隧道上通告預設路由

    • CPE 需要重新分發,在 cutomer 的商業網路中執行得知的路由。

  • 在非失敗連結失敗狀況下,單一 CPE 將具有兩個使用中/主動的隧道。對於兩個 CPE 節點,每個 CPE 將具有一個使用中的隧道,而且兩個 CPE 節點都應該在使用中且傳遞流量。在非失敗情況下,流量必須分割成兩個進入正確 /25 目的地的隧道,如果其中一個隧道關閉,則剩餘的隧道可以同時為兩者傳輸流量。在此類失敗情況下,當 /25 網路當掉時,則 /24 網路用作備份路由。Cisco 將透過內部 WAN 將客戶流量傳送給中斷連接之 DC。

連接過程

下列高層級步驟說明如何使用專用實例的虛擬 Connect 建立連接。
1

在 Cisco CCW 中下單

2

從 Control Hub 啟動虛擬 Connect

3

Cisco 會執行網路組配置

4

客戶執行網路組配置

步驟 1:CCW 訂單

Virtual Connect 是 CCW 中專用實例的附加元件。

1

導覽至 CCW 訂購網站,然後按一下登入以登入網站:

https://apps.cisco.com/Commerce/guest.
2

建立估計值。

3

新增「A-FLEX-3」SKU。

4

選取編輯選項。

5

在出現的訂閱標籤中,選取選項和附加元件。

6

在附加元件下,選取「專用實例的虛擬連接」旁的勾選方塊。SKU 名稱為「A-FLEX-DI-VC」。

7

輸入需要虛擬 Connect 的地區數量和數目。

虛擬 Connect 數量不應超過為專用實例購買的總區域數。另外,每個地區只允許一個虛擬 Connect 訂單。
8

當您滿意選擇後,按一下頁面右上角的驗證並儲存。

9

按一下「儲存並繼續」以完成您的訂單。您最終完成的訂單現在會用在訂單網格中。

步驟 2:在 Control Hub 中啟動虛擬 Connect

1

請登錄 Control Hub https://admin.webex.com/login

2

在服務 段, 導覽至 Calling >專用 Instacnce >雲端連接

3

在虛擬 Connect 卡片中,列出購買的虛擬 Connect 數量。管理員現在可以按一下啟動 啟動虛擬 Connect。

啟動過程只能由具有「客戶完全管理員」角色的管理員觸發。而具有「客戶唯讀管理員」角色的管理員只能查看狀態。
4

按一下啟動 按鈕即會顯示啟動虛擬 Connect 表單,讓管理員提供 Cisco 端對等配置所需的 Virtual Connect 技術詳細資料。

此表單也會根據選取的地區在 Cisco 端提供靜態資訊。此資訊對於客戶管理員在側邊設定 CPE 以建立連線性十分有用。

  1. GRE 通道傳輸 IP 位址:需要客戶提供客戶的側道傳輸 IP 位址,而 Cisco 將在啟動完成後動態配置 IP 位址。用於有趣流量的 IPSec ACL 應允許本地隧道傳輸 IP/32 至遠端隧道傳輸 IP/32。ACL 也只應該指定 GRE IP 通訊協定。

    客戶提供的 IP 位址可以是私人的或公用的。

  2. IPSec 對等:需要客戶提供 IPSec 隧道的來源 IP 位址,而 Cisco 會配置 IPSec 目的地 IP 位址。如果需要,也支援對內部 IPSEC 隧道位址對公用位址執行 NAT 轉換。

    客戶提供的 IP 位址應為公用。

    啟動畫面中提供的所有其它靜態資訊都是遵循 Cisco 端安全性和加密標準。此靜態組配置不可自訂或修改。對於 Cisco 端靜態配置的任何進一步協助,客戶將需要與 TAC 聯繫。
5

填入所有 必要欄位後,按一下啟用按鈕。

6

當部分地區的虛擬 Connect 啟動表單完成之後,客戶可以從 Control Hub、呼叫 > 專用實例 > 雲端連接」標籤匯出啟動表單,然後按一下匯出設定。

由於安全性原因,驗證和 BGP 密碼在匯出的文件中將不可用,但管理員可以在 Control Hub 中按一下檢視設定 在 Control Hub 下,呼叫 > 專用實例 > 雲端連線標籤。

步驟 3:Cisco 會執行網路組配置

1

完成虛擬 Connect 啟動表單後 ,狀態將會更新為使用雲端連接虛擬 Connect 卡片呼叫專用實例>進行>進行中。

2

Cisco 將在 Cisco 端設備上完成所需的設定5 個工作日。成功完成後,在 Control Hub 中該特定區域的狀態將更新為「已啟動」。

步驟 4:客戶執行網路組配置

狀態變更為「已啟動」以通知客戶管理員,Cisco 端 IP VPN 連接配置已根據客戶提供的輸入完成。但是,預期客戶管理員完成其一端 CPES 上的組配置,並測試連線路由,使虛擬連線隧道連線至線上。在組配置或連接時遇到任何問題時,客戶可以聯繫 Cisco TAC 以尋求協助。

疑難排解

IPsec 第一階段(IKEv2 協商)疑難排解和驗證

IPsec 通道協商涉及兩個階段,即 IKEv2 階段和 IPsec 階段。如果 IKEv2 階段協商未完成,則不會啟動第二個 IPsec 階段。首先,在第三方設備上發出指令「show crypto ikev2 sa」(在 Cisco 設備上)或類似指令,以驗證 IKEv2 階段作業是否處於作用中狀態。如果 IKEv2 階段作業處於非作用中狀態,可能的原因可能是:

  • 有趣的流量不會觸發 IPsec 通道。

  • IPsec 通道存取清單設定錯誤。

  • 客戶與專用實例 IPsec 通道端點 IP 之間沒有連線。

  • 專用實例端與客戶端之間的 IKEv2 階段作業參數不相符。

  • 防火牆正在封鎖 IKEv2 UDP 封包。

首先,檢查 IPsec 日誌中是否有任何顯示 IKEv2 通道交涉進度的訊息。記錄可能指出 IKEv2 協商發生問題的位置。缺少記錄訊息也可能表示 IKEv2 階段作業未啟動。

IKEv2 交涉的一些常見錯誤如下:

  • CPE 端的 IKEv2 設定與 Cisco 端不相符,請重新檢查提及的設定:

    • 檢查 IKE 版本是否為版本 2。

    • 驗證「加密」和「驗證」參數是否符合「專用實例」端的預期加密。

      當使用「GCM」密碼時,GCM 通訊協定會處理驗證並將驗證參數設定為 NULL。

    • 驗證生命週期設定。

    • 驗證 Diffie Hellman 模數群組。

    • 驗證「偽隨機函數」設定。

  • 加密對映的存取清單未設定為:

    • 允許 GRE(local_tunnel_transport_ip ) 255.255.255.255 (remote_tunnel_transport_ip )255.255.255.255"(或等效指令)

      存取清單必須專用於「GRE」通訊協定,而「IP」通訊協定將不起作用。

如果日誌訊息未顯示 IKEv2 階段的任何協商活動,則可能需要封包擷取。

專用實例端可能並不總是開始 IKEv2 交換,有時可能期望客戶 CPE 端成為發起方。

檢查 CPE 端組態以了解 IKEv2 階段作業起始的下列先決條件:

  • 檢查從 CPE 通道傳輸 IP 到專用實例通道傳輸 IP 的 GRE 流量(通訊協定 50)的 IPsec 加密存取清單。

  • 確保已為 GRE 保持連線啟用 GRE 通道介面,如果裝置不支援 GRE 保持連線,則會通知 Cisco,因為預設情況下將在專用實例端啟用 GRE 保持連線。

  • 確保 BGP 已啟用並設定了專用實例通道 IP 的鄰接位址。

正確設定後,將開始 IPsec 通道和第一階段 IKEv2 交涉:

  • 從 CPE 端 GRE 通道介面到專用實例端 GRE 通道介面的 GRE keepalive。

  • 從 CPE 端 BGP 鄰居到專用實例端 BGP 鄰居的 BGP 鄰居 TCP 作業階段。

  • 從 CPE 端通道 IP 位址 Ping 至專用實例端通道 IP 位址。

    Ping 不能是通道傳輸 IP 到通道傳輸 IP,它必須是通道 IP 到通道 IP。

如果 IKEv2 流量需要封包追踪,請為 UDP 和埠 500(當 IPsec 端點中間沒有 NAT 裝置時)或埠 4500(當 IPsec 中間插入 NAT 裝置時)設定過濾器。端點)。

驗證使用連接埠 500 或 4500 的 IKEv2 UDP 封包是否已傳送至 DI IPsec IP 位址以及從 DI IPsec IP 位址接收。

專用實例資料中心可能並不總是開始第一個 IKEv2 封包。要求是 CPE 裝置能夠向專用實例端起始第一個 IKEv2 封包。

如果本機防火牆允許,則也嘗試對遠端 IPsec 位址執行 ping。如果從本端 IPsec 位址到遠端 IPsec 位址的 ping 不成功,則執行追踪路由以協助確定丟棄封包的位置。

某些防火牆和網際網路設備可能不允許追踪路由。

IPsec 第二階段(IPsec 協商)疑難排解和驗證

在對 IPsec 第二階段進行疑難排解之前,請驗證 IPsec 第一階段(即 IKEv2 安全性關聯)是否處於作用中狀態。執行「show crypto ikev2 sa」或等效指令以驗證 IKEv2 作業階段。在輸出中,驗證 IKEv2 階段作業已啟動超過幾秒鐘,並且它沒有退回。階段作業正常運行時間在輸出中顯示為階段作業「使用中時間」或同等時間。

一旦 IKEv2 階段作業驗證為啟動且處於作用中狀態,請調查 IPsec 階段作業。與 IKEv2 作業階段一樣,請執行「show crypto ipsec sa」或等效命令來驗證 IPsec 作業階段。在建立 GRE 通道之前,IKEv2 作業階段和 IPsec 作業階段必須處於作用中狀態。如果 IPSec 階段作業未顯示為作用中,請檢查 IPSec 記錄中是否有錯誤訊息或協商錯誤。

在 IPsec 交涉期間可能遇到的一些較常見問題包括:

CPE 端的設定與專用實例端不相符,請重新檢查設定:

  • 驗證「加密」和「驗證」參數是否符合「專用實例」端的設定。

  • 驗證「完全正向保密」設定,以及「專用實例」端的設定是否相符。

  • 驗證存留期設定。

  • 驗證是否已在通道模式下設定 IPsec。

  • 驗證來源和目的地 IPsec 位址。

通道介面疑難排解和驗證

當 IPsec 和 IKEv2 作業階段驗證為啟動且處於作用中狀態時,GRE 通道保持運作封包能夠在專用實例和 CPE 通道端點之間流動。如果通道介面未顯示狀態,則一些常見問題包括:

  • 通道介面傳輸 VRF 不符合迴圈介面的 VRF(如果在通道介面上使用 VRF 組態)。

    如果未在通道介面上使用 VRF 組態,則可以忽略此檢查。

  • 未在 CPE 側通道介面上啟用保持連線

    如果 CPE 設備不支援保持連線,則必須通知 Cisco,以便也會停用專用實例端的預設保持連線。

    如果支援保持連線,請驗證是否已啟用保持連線。

  • 通道介面的遮罩或 IP 位址不正確,且不符合「專用實例」預期值。

  • 來源或目的地通道傳輸位址不正確,且不符合「專用實例」預期值。

  • 防火牆正在阻止 GRE 封包傳送至 IPsec 通道或從 IPsec 通道接收(GRE 通道透過 IPsec 通道傳輸)

ping 測試應驗證本地通道介面是否已啟動,以及與遠端通道介面的連線是否良好。執行從通道 IP(而不是傳輸 IP)到遠端通道 IP 的 ping 檢查。

承載 GRE 通道流量的 IPsec 通道的加密存取清單僅允許 GRE 封包穿越。因此,從隧道傳輸 IP 到遠端隧道傳輸 IP 的 ping 將不起作用。

ping 檢查會產生從來源通道傳輸 IP 到目標通道傳輸 IP 的 GRE 封包,而 GRE 封包的負載(內部 IP)將是來源和目標通道 IP。

如果 ping 測試不成功且驗證了上述項目,則可能需要進行封包擷取,以確保 icmp ping 產生 GRE 封包,然後將其封裝到 IPsec 封包中,然後從來源 IPsec 位址傳送至目標 IPsec 位址。GRE 通道介面上的計數器和 IPsec 作業階段計數器也有助於顯示。傳送和接收封包是否遞增。

除了 ping 流量之外,即使在閒置流量期間,擷取也應該顯示 keepalive GRE 封包。最後,如果設定了 BGP,BGP keepalive 封包也應該透過 VPN 以封裝在 IPSEC 封包中的 GRE 封包傳送。

BGP 疑難排解和驗證

BGP 作業階段

需要 BGP 作為 VPN IPsec 通道上的路由通訊協定。本地 BGP 鄰居應該與專用實例 BGP 鄰居建立 eBGP 作業階段。eBGP 鄰接 IP 位址與本端和遠端通道 IP 位址相同。首先確保 BGP 作業階段已啟動,然後驗證是否從專用實例接收到正確的路由,以及是否將正確的預設路由傳送至專用實例。

如果 GRE 通道已啟動,請驗證本地和遠端 GRE 通道 IP 之間的 ping 是否成功。如果 ping 成功,但 BGP 作業階段未啟動,則調查 BGP 日誌以尋找 BGP 建立錯誤。

一些較常見的 BGP 協商問題包括:

  • 遠端 AS 號碼與「專用實例」端所設定的 AS 號碼不相符,請重新檢查鄰接 AS 組態。

  • 本機 AS 號碼與專用實例端預期的不符,請驗證本機 AS 號碼是否符合預期的專用實例參數。

  • 防火牆正在阻止封裝在 GRE 封包中的 BGP TCP 封包傳送至 IPsec 通道或從 IPSEC 通道接收

  • 遠端 BGP 鄰接 IP 與遠端 GRE 通道 IP 不相符。

BGP 路由交換

驗證兩個通道的 BGP 作業階段後,請確保從專用實例端傳送和接收正確的路由。

專用實例 VPN 解決方案預期從客戶/合作夥伴端建立兩個通道。第一個通道指向專用實例資料中心 A,第二個通道指向專用實例資料中心 B。兩個通道都必須處於作用中狀態,且解決方案需要作用中/作用中部署。每個「專用實例」資料中心將通告其本地 /25 路由以及 /24 備份路由。檢查來自專用實例的傳入 BGP 路由時,請確保與指向專用實例資料中心 A 的通道關聯的 BGP 作業階段接收專用實例資料中心 A /25 本地路由以及 /24 備份路由。此外,請確保指向專用實例資料中心 B 的通道接收專用實例資料中心 B /25 本地路由以及 /24 備份路由。請注意,/24 備份路由將與從專用實例資料中心 A 和專用實例資料中心 B 通告的路由相同。

如果專用實例資料中心的通道介面關閉,則會向該資料中心提供備援。如果與專用實例資料中心 A 的連線中斷,則流量將從專用實例資料中心 B 轉寄至資料中心 A。在此情況下,通往資料中心 B 的通道將使用資料中心 B /25 路由將流量傳送至資料中心 B 和通道至資料中心 B 將使用備份 /24 路由透過資料中心 B 將流量傳送至資料中心 A。

重要的是,當兩個通道都處於作用狀態時,資料中心 A 通道不會用於將流量傳送至資料中心 B,反之亦然。在此情況下,如果流量傳送至資料中心 A 的目的地為資料中心 B,則資料中心 A 會將流量轉寄至資料中心 B,然後資料中心 B 將嘗試透過資料中心 B 通道將流量傳送回來源。這將導致路由欠佳,也可能會中斷穿越防火牆的流量。因此,在正常操作期間,兩條通道都必須處於主動/主動組態。

0.0.0.0/0 路由必須從客戶端通告至專用實例資料中心端。專用實例端將不接受更具體的路由。確保從專用實例資料中心 A 通道和專用實例資料中心 B 通道同時通告 0.0.0.0/0 路由。

MTU 設定

在「專用實例」端,啟用了兩個功能來針對大型封包大小動態調整 MTU。GRE 通道會在流經 VPN 作業階段的 IP 封包中新增更多標頭。IPsec 通道會在 GRE 標頭之上新增其他標頭,這將進一步減少通道上允許的最大 MTU。

GRE 通道調整 MSS 功能,且 MTU 探索功能中的 GRE 通道路徑已在專用實例端啟用。在客戶端設定「ip tcpadjust-mss 1350」或等效指令以及「隧道路徑\u0002mtu-discovery」或等效指令,以協助動態調整透過 VPN 通道的流量的 MTU。