Virtual Connect 選項可協助使用點對點IP VPN通道透過網際網路安全地擴展其私人網路。
簡介
Virtual Connect 是「雲端連線至Webex Calling的專用實例」(專用實例)的額外附加元件元件選項。 Virtual Connect 可讓客戶使用點對點IP VPN通道透過網際網路安全地擴展其私人網路。 此連線選項可使用現有的客戶內部裝置 (CPE) 和網際網路連線,快速建立專用網路連線。
Cisco在需要服務的 Cisco 專用實例資料中心區域中託管、管理和確保冗餘IP VPN通道及所需的網際網路存取。 同樣,管理員負責建立 Virtual Connect 所需的相應 CPE 和網際網路服務。
特定專用實例區域中的每個 Virtual Connect 訂單將包括兩個受IPSec加密( IPSec上的 GRE)保護的通用路由封裝 (GRE) 通道,一個連接至所選區域中的每個 Cisco 資料中心。
Virtual Connect 的頻寬限制為每個通道 250 Mbps,建議用於小型部署。 由於使用了兩個點對點VPN通道,所有至雲端的流量都必須經過客戶頭端 CPE,因此在有很多遠端站點的情況下,它可能不適合。 如需其他替代對等互連選項,請參閱雲端連線。
必要條件
建立 Virtual Connect 的先決條件包括:
客戶提供
具有足夠可用頻寬以支援部署的網際網路連線
兩個IPSec通道的公用IP 位址
兩個 GRE 通道的客戶端 GRE 傳輸IP位址
合作夥伴與客戶
共同評估頻寬需求
確保網路裝置支援邊界閘道通訊協定 (BGP) 路由和 GRE over IPSec通道設計
合作夥伴或客戶提供
具有站點到站點VPN通道技術知識的網路團隊
了解 BGP、eBGP 和一般路由原則的網路團隊
Cisco
Cisco為 GRE 通道介面指定了私人自發系統號碼 (ASN) 和暫時IP位址
Cisco為專用實例雲端位址指定了公共但不可網際網路可路由的 C 類 (/24) 網路
 |
如果客戶只有 1 個 CPE 裝置,則每個地區都有通往 Cisco 資料中心(DC1 和 DC2)的 2 條通道將來自該 CPE 裝置。 客戶還可以選擇 2 個 CPE 裝置,然後每個 CPE 裝置應僅連線至 1 個通道,前往每個地區的 Cisco 資料中心(DC1 和 DC2)。 可透過終止客戶基礎架構內個別實體網站/位置中的每個通道來實現額外的備援。 |
技術詳細資料
部署模型
Virtual Connect 使用雙層頭端架構,其中路由和 GRE 控制平面由一個裝置提供,而IPSec控制平面由另一個裝置提供。
完成後虛擬連線連線,將在客戶的企業網路與專用實例 Cisco 的資料中心之間建立兩個 GRE over IPSec通道。 對應區域內的每個冗餘資料中心。 合作夥伴或客戶透過 Control Hub 虛擬連線啟動表將對等所需的其他網路元素交換給Cisco 。
圖 1 顯示了用戶端的兩個集中器選項的 Virtual Connect部署模型的一個範例。
Virtual Connect - VPN是 Hub 設計,其中客戶的 Hub 網站會連線至特定地區內專用實例的資料中心的 DC1 和 DC2。
建議使用兩個 Hub 網站以獲得更好的備援,但具有兩個通道的一個 Hub 網站也是受支援的部署模型。
|
每個通道的頻寬限制為 250 Mbps。 |
 |
同一地區內的客戶的遠端網站將需要透過客戶的 WAN 回連線至 Hub 網站,Cisco 不負責該連線。 |
合作夥伴應與客戶緊密合作,確保為「Virtual Connect」服務區域選擇最佳路徑。
圖 2 顯示了專用實例雲端連線對等互連區域。
路由
Virtual Connect附加元件的路由是使用外部 BGP (eBGP) 在專用實例與客戶內部裝置 (CPE) 之間實施的。 Cisco將某個地區內每個冗餘 DC 的各自網路通告客戶的 CPE,而 CPE 必須將預設路由通告給Cisco。
Cisco維護並指定
通道介面IP位址(路由的暫時鏈結) Cisco從指定的共用位址空間(非公開可路由)指派
隧道傳輸目的地位址(Cisco 端)
客戶 BGP 路由設定的私人自治系統號碼 (ASN)
Cisco從指定的私人使用範圍指派: 64512 到 65534
用於在專用實例與 CPE 之間交換路由的 eBGP
Cisco會將指定的 /24 網路分成 2 個 /25 網路,以供各自地區中的每個 DC 使用。
在 Virtual Connect 中,每個 /25 網路都由Cisco透過各自的點對點VPN通道(暫時鏈結)通告回 CPE
必須使用相應的 eBGP 鄰居來配置 CPE。 若使用一個 CPE,將使用兩個 eBGP 鄰居,一個指向每個遠端通道。 若使用兩個 CPE,則每個 CPE 將有一個 eBGP 鄰居橋接至該 CPE 的單一遠端通道。
每個 GRE 通道的Cisco端(通道介面IP)在 CPE 上設定為 BGP 鄰居
需要 CPE 透過每個通道通告預設路由
CPE 負責根據需要在客戶的企業網路中重新分發已知的路由。
在非故障鏈結的情況下,單個 CPE 將具有兩個作用中/作用中通道。 對於兩個 CPE 節點,每個 CPE 將有一個作用中的通道,且兩個 CPE 節點都應處於作用中且正在傳遞流量。 在非故障情況下,流量必須分成兩條通道,前往正確的 /25 目的地,如果其中一個通道發生故障,則另一條通道可承載兩者的流量。 在此類故障情況下,當 /25 網路關閉時,/24 網路會用作備份路由。 Cisco將透過其內部 WAN 將客戶流量傳送至失去連線的 DC。
連線過程
| 1 | |
| 2 | |
| 3 | |
| 4 |
步驟 1: CCW 訂單
Virtual Connect 是 CCW 中專用實例的附加元件元件。
| 1 | 導覽至 CCW 訂購網站,然後按一下「登入」以登入該網站: |
||
| 2 | 建立估計值。 |
||
| 3 | 新增「A-FLEX-3」SKU。 |
||
| 4 | 選取編輯選項。 |
||
| 5 | 在出現的訂閱標籤中,選取選項和附加元件。 |
||
| 6 | 在其他附加元件下,選取「專用實例的虛擬連線」旁的勾選方塊。 SKU 名稱是「A-FLEX-DI-VC」。 |
||
| 7 | 輸入需要 Virtual Connect 的地區的數量和數量。
|
||
| 8 | 如果對選擇感到滿意,請按一下頁面右上角的驗證和儲存。 |
||
| 9 | 按一下「儲存並繼續」以完成您的訂單。 您的最終訂單現在會顯示在訂單網格中。 |
步驟 2: 在 Control Hub 中啟動 Virtual Connect
| 1 | 登入 Control Hubhttps://admin.webex.com/login 。 |
||||||||
| 2 | 在服務區段,請導覽至通話 > 專用實例 > 雲端連線。 |
||||||||
| 3 | 在 Virtual Connect 卡片中,列出了購買的 Virtual Connect 數量。 管理員現在可以按一下啟動以起始 Virtual Connect 啟用。 
|
||||||||
| 4 | 當按一下啟動按鈕,啟動 Virtual Connect表格會顯示以供管理員提供在 Cisco 端進行對等互連設定所需的 Virtual Connect 技術詳細資料。
|
||||||||
| 5 | 按一下啟動填寫所有必填欄位後,按鈕。 |
||||||||
| 6 | 在完成特定地區的 Virtual Connect 啟動表格後,客戶可以從 Control Hub 的通話 > 專用實例 > 雲端連線標籤中匯出啟動表格,然後按一下匯出設定。 
|
步驟 3: Cisco執行網路配置
| 1 | 當「Virtual Connect 啟動表」完成後,狀態將更新為正在進行啟動在通話 > 專用實例 > Cloud Connect 虛擬連線卡片中。 |
| 2 | Cisco將在 Cisco 端設備上完成所需的設定, 5 個工作天。 成功完成後,該特定地區的狀態將在 Control Hub 中更新為「已啟用」。 |
步驟 4: 客戶執行網路設定
狀態變更為「已啟動」,以通知客戶管理員已根據客戶提供的輸入完成 Cisco 端的IP VPN連線設定。 但是,客戶管理員應在 CPE 上完成其側的設定並測試使 Virtual Connect 通道處於線上狀態的連線路由。 如果在設定或連線時遇到任何問題,客戶可以聯絡Cisco TAC以尋求協助。 |
疑難排解
IPsec 第一階段(IKEv2 協商)疑難排解和驗證
IPsec 通道交涉涉及兩個階段,即 IKEv2 階段和 IPsec 階段。 如果 IKEv2 階段協商未完成,則不會起始第二個 IPsec 階段。 首先,在第三方裝置上發出指令「showcrypto ikev2 sa」(在Cisco裝置上)或類似的指令,以驗證 IKEv2 階段作業是否處於作用中。 如果 IKEv2 階段作業處於非作用狀態,潛在原因可能是:
感興趣的流量不會觸發 IPsec 通道。
IPsec 通道存取清單設定錯誤。
客戶與專用實例 IPsec 通道端點IP之間沒有連線。
專用實例端與用戶端之間的 IKEv2 階段作業參數不相符。
防火牆已封鎖 IKEv2 UDP封包。
首先,檢查 IPsec 記錄中是否有顯示 IKEv2 通道交涉進度的訊息。 記錄可能會指出 IKEv2 協商發生問題的位置。 缺少記錄訊息也可能指出未啟動 IKEv2 階段作業。
CPE 端的 IKEv2 設定與Cisco端不相符,請重新檢查提及的設定:
檢查 IKE 版本是否為版本 2。
驗證加密和驗證參數是否符合專用實例端的預期加密。
當使用「GCM」密碼時,GCM 通訊協定會處理驗證,並將驗證參數設定為 NULL。
驗證生命週期設定。
驗證 Diffie Hellman 模數群組。
驗證偽隨機函數設定。
加密對應的存取清單未設定為:
允許 GRE(local_tunnel_transport_ip )255.255.255.255(remote_tunnel_transport_ip ) 255.255.255.255"(或等效指令)
存取清單必須專門用於「GRE」通訊協定,而且「IP」通訊協定不起作用。
如果記錄檔訊息未顯示 IKEv2 階段的任何交涉活動,則可能需要進行封包擷取。
|
專用實例端可能並不總是開始 IKEv2 交換,有時可能期望客戶 CPE 端成為發起方。 檢查 CPE 端設定是否符合 IKEv2 階段作業起始的以下先決條件:
|
如果設定正確,則以下開始 IPsec 通道和第一階段 IKEv2 交涉:
從 CPE 端 GRE 通道介面到專用實例端 GRE 通道介面的 GRE Keepalive。
BGP 鄰居TCP階段作業從 CPE 端 BGP 鄰居到專用實例端 BGP 鄰居。
從 CPE 端通道IP 位址ping 專用實例端通道IP 位址。
Ping 不能是通道傳輸IP至通道傳輸IP,而必須是通道IP至通道IP。
如果 IKEv2 流量需要封包追踪,請針對UDP和連接埠 500(當沒有 NAT 裝置位於 IPsec 端點中間時)或連接埠 4500(當端點)。
驗證是否有使用埠 500 或 4500 的 IKEv2 UDP封包透過 DI IPsec IP 位址傳送和接收。
|
專用實例資料中心可能並不總是開始第一個 IKEv2 封包。 要求是 CPE 裝置能夠向專用實例端起始第一個 IKEv2 封包。 如果本機防火牆允許,則還嘗試 ping 遠端 IPsec 位址。 如果從本端到遠端 IPsec 位址 ping 不成功,則執行路徑追踪以協助確定遺失封包的位置。 部分防火牆和網際網路設備可能不允許追踪路由。 |
IPsec 第二階段(IPsec 協商)疑難排解和驗證
在對 IPsec 第二階段進行疑難排解之前,請驗證 IPsec 第一階段(即 IKEv2 安全關聯)是否處於作用中。 執行「showcrypto ikev2 sa」或等效指令來驗證 IKEv2 階段作業。 在輸出中,驗證 IKEv2 階段作業是否已持續幾秒以上,並且沒有來回跳。 階段作業正常運行時間在輸出中顯示為階段作業「活動時間」或相當的值。
當 IKEv2 階段作業驗證為啟動且處於活動狀態後,調查 IPsec 階段作業。 與 IKEv2 階段作業一樣,請執行「showcrypto ipsec sa」或等效指令來驗證 IPsec 階段作業。 IKEv2 階段作業和 IPsec 階段作業必須都處於作用中,然後才能建立 GRE 通道。 如果 IPsec 階段作業未顯示為作用中,請檢查 IPsec 記錄以查看錯誤訊息或協商錯誤。
在 IPsec 協商期間可能遇到的一些較常見的問題是:
CPE 端的設定與專用實例端不相符,請重新檢查設定:
驗證加密和驗證參數是否符合專用實例端的設定。
驗證完美正向保密設定以及專用實例端的設定是否相符。
驗證生命週期設定。
驗證是否已將 IPsec 設定為通道模式。
驗證來源和目標 IPsec 位址。
通道介面疑難排解和驗證
當 IPsec 和 IKEv2 階段作業驗證為正常運作且處於活動狀態時,GRE 通道保持不中斷封包能夠在專用實例與 CPE 通道端點之間流動。 如果通道介面未顯示狀態,則有一些常見問題:
通道介面傳輸 VRF 與回送介面的 VRF 不相符(如果在通道介面上使用 VRF 組態)。
若通道介面未使用 VRF 組態,則可以忽略此檢查。
CPE 側通道介面未啟用 Keepalive
如果 CPE 設備不支援保持不中斷,則必須通知Cisco ,以便也停用專用實例端的預設保持不中斷。
如果支援保持不中斷,請驗證是否已啟用保持不中斷。
通道介面的遮罩或IP 位址不正確,與專用實例預期的值不相符。
源或目標通道傳輸位址不正確,與專用實例的預期值不相符。
防火牆已封鎖 GRE 封包傳送至 IPsec 通道或從 IPsec 通道接收(GRE 通道透過 IPsec 通道傳輸)
Ping 測試應驗證本機通道介面是否正常運作,以及與遠端通道介面的連線是否良好。 執行從通道IP (不是傳輸IP)到遠端通道IP的 ping 檢查。
|
承載 GRE 通道流量的 IPsec 通道的加密存取清單僅允許 GRE 封包交叉。 因此,從通道傳輸IP到遠端通道傳輸IP的 ping 不起作用。 |
Ping 檢查會產生從來源通道傳輸IP到目標通道傳輸IP的 GRE 封包,而 GRE 封包的有效負載(內部IP)將是來源和目標通道IP。
如果 ping 測試不成功且驗證了上述項目,則可能需要進行封包擷取,以確保 icmp ping 產生 GRE 封包,然後將其封裝成 IPsec 封包,然後從來源 IPsec 位址傳送到目的地 IPsec 位址。 GRE 通道介面的計數器和 IPsec 階段作業計數器也可以協助顯示。是否傳送及接收封包正在增加。
除了 ping 流量之外,擷取還應該顯示保持不中斷 GRE 封包,即使在流量閒置期間也是如此。 最後,如果設定了 BGP,則 BGP 保持不中斷封包也應作為封裝在 IPSEC 封包中的 GRE 封包以及透過VPN傳送。
BGP 疑難排解和驗證
BGP 階段作業
需要 BGP 作為VPN IPsec 通道上的路由通訊協定。 本機 BGP 鄰居應與專用實例 BGP 鄰居建立 eBGP 階段作業。 eBGP 鄰居IP位址與本機和遠端通道IP位址相同。 首先確保 BGP 階段作業已啟動,然後驗證是否從專用實例接收正確的路由以及是否將正確的預設路由傳送至專用實例。
如果 GRE 通道正常運作,請驗證本機與遠端 GRE 通道IP之間的 ping 是否成功。 如果 ping 成功但 BGP 階段作業未開始,則調查 BGP 記錄以查看 BGP 建立錯誤。
部分較常見的 BGP 協商問題包括:
遠端 AS 號碼與在專用實例端設定的 AS 號碼不相符,請重新檢查鄰居 AS 組態。
本機 AS 號碼與專用實例端預期的不相符,請驗證本機 AS 號碼是否符合預期的專用實例參數。
防火牆正在封鎖 GRE 封包中封裝的 BGP TCP封包傳送到 IPsec 通道或從 IPSEC 通道接收
遠端 BGP 鄰居IP與遠端 GRE 通道IP不相符。
BGP 路由交換
當兩個通道都驗證了 BGP 階段作業後,請確保從專用實例端傳送和接收正確的路由。
專用實例VPN解決方案預期從客戶/合作夥伴端建立兩個通道。 第一個通道指向專用實例資料中心 A,第二個通道指向專用實例資料中心 B。兩個通道必須處於作用中狀態,且解決方案需要作用中/作用中部署。 每個專用實例資料中心都將公佈其本機 /25 路由以及 /24 備份路由。 當檢查來自專用實例的傳入 BGP 路由時,請確保與指向專用實例資料中心 A 的通道關聯的 BGP 階段作業接收專用實例資料中心 A /25本地路由以及 /24 備份路由。 此外,請確保指向專用實例資料中心 B 的通道收到專用實例資料中心 B /25本地路由以及 /24 備份路由。 請注意,/24 備份路由將與專用實例資料中心 A 和專用實例資料中心 B 之間通告的路由相同。
如果到專用實例資料中心的通道介面故障,則可向專用實例資料中心提供備援。 如果與專用實例資料中心 A 的連線中斷,則流量將從專用實例資料中心 B 轉寄至資料中心 A。 在此情境下,通往資料中心 B 的通道將使用資料中心 B /25 路由將流量傳送至資料中心 B 和通道至資料中心 B 將使用備份 /24 路由透過資料中心 B 將流量傳送至資料中心 A。
重要的是,當兩個通道都處於活動狀態時,不要使用資料中心 A 通道將流量傳送到資料中心 B ,反之亦然。 在這種情況下,如果流量傳送到資料中心 A 的目的地為資料中心 B,則資料中心 A 會將流量轉寄到資料中心 B,然後資料中心 B 將嘗試透過資料中心 B 的通道將流量傳送回來源。 這將導致路由次最佳化,並可能中斷透過防火牆的流量。 因此,在正常操作期間,兩個通道都必須處於作用中/作用中組態。
0.0.0.0/0 路由必須從客戶端通告到專用實例資料中心端。 專用實例端將不接受更具體的路由。 確保將 0.0.0.0/0 路由通告專用實例資料中心 A 通道和專用實例資料中心 B 通道。
MTU 設定
在專用實例端,會啟用兩個功能,針對較大的封包大小動態調整 MTU。 GRE 通道會為流經VPN階段作業的IP封包新增更多標頭。 IPsec 通道在 GRE 標頭之上新增其他標頭將進一步降低通道允許的最大 MTU。
GRE 通道調整 MSS 功能,而 MTU 探索功能中的 GRE 通道路徑已在專用實例端啟用。 在用戶端設定「ip tcpadjust-mss 1350」或等效指令以及「通道路徑\u0002mtu-探索」或等效指令,以協助動態調整透過VPN通道的流量的 MTU。