Konfigurace zásad CISCO SD-WAN Okrajové směrovače
Informace o produktu
Specifikace
- Produkt: vEdge routery
- Software: Cisco SD-WAN Release 20
- Poprvé zveřejněno: 2020-03-17
- Naposledy změněno: 2022-08-26
- Výrobce: Cisco Systems, Inc.
- Sídlo: 170 West Tasman Drive San Jose, CA 95134-1706 USA
- Webmísto: http://www.cisco.com
- Kontakt: Tel: 408 526-4000, 800 553-NETS (6387), Fax: 408 527-0883
Návod k použití produktu
Kapitola 1: Přečtěte si mě jako první
Tato kapitola poskytuje důležité informace, které je třeba zvážit před použitím směrovačů vEdge s Cisco SD-WAN.
Kapitola 2: Co je nového v Cisco Catalyst SD-WAN
Tato kapitola zdůrazňuje nové funkce a aktualizace v Cisco Catalyst SD-WAN.
Kapitola 3: Centralizovaná politika skončilaview
Tato kapitola poskytuje konecview centralizovaných zásad v Cisco SD-WAN, včetně typů dostupných centralizovaných zásad.
Nakonfigurujte centralizované zásady pomocí Cisco SD-WAN Manager
Tato část vysvětluje, jak nakonfigurovat centralizované zásady pomocí Cisco SD-WAN Manager.
Kapitola 4: Průvodce konfigurací zásad pro směrovače vEdge,
Cisco SD-WAN verze 20
Tato kapitola slouží jako komplexní průvodce pro konfiguraci zásad na směrovačích vEdge pomocí Cisco SD-WAN Release 20.
Kapitola 5: Spusťte Průvodce konfigurací zásad
Tato kapitola obsahuje podrobné pokyny, jak spustit Průvodce konfigurací zásad.
Konfigurace zájmových skupin pro centralizovanou politiku
Tato část vysvětluje, jak nakonfigurovat zájmové skupiny pro centralizovanou konfiguraci zásad.
Integrace WAN Insight (WANI) do Cisco SD-WAN Manager
Tato část poskytuje informace o integraci WAN Insight (WANI) do Cisco SD-WAN Manager.
FAQ
Otázka: Jsou adresy IP a telefonní čísla uvedené v skutečný dokument?
Odpověď: Ne, adresy IP a telefonní čísla použité v dokumentu nejsou zamýšleny jako skutečné adresy a telefonní čísla. Jsou pouze ilustrativní.
Otázka: Kde najdu nejnovější verzi tohoto dokumentu?
Odpověď: Všechny tištěné kopie a duplikáty tištěných kopií tohoto dokumentu jsou považovány za nekontrolované. Nejnovější aktualizace naleznete v aktuální online verzi.
Otázka: Jak mohu kontaktovat společnost Cisco s žádostí o podporu nebo dotazy?
Odpověď: Adresy a telefonní čísla kanceláří Cisco po celém světě naleznete na Cisco webmísto na http://www.cisco.com/go/offices.
Průvodce konfigurací zásad pro směrovače vEdge, Cisco SD-WAN Release 20
Poprvé publikováno: 2020 Poslední změna: 03
Americké ústředí
Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com Tel: 408 526-4000
800 553-NETS (6387) Fax: 408 527-0883
SPECIFIKACE A INFORMACE TÝKAJÍCÍ SE VÝROBKŮ V TOMTO NÁVODU SE MOHOU BEZ UPOZORNĚNÍ ZMĚNIT. VŠECHNA PROHLÁŠENÍ, INFORMACE A DOPORUČENÍ V TÉTO PŘÍRUČCE SE POVAŽUJE ZA PŘESNÉ, ALE JSOU PŘEDKLÁDÁNY BEZ ZÁRUKY JAKÉHOKOLI DRUHU, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ. UŽIVATELÉ MUSÍ PŘEVZÍT PLNOU ODPOVĚDNOST ZA SVÉ POUŽITÍ JAKÝCHKOLI PRODUKTŮ.
LICENCE NA SOFTWAR A OMEZENÁ ZÁRUKA NA DOPROVODNÝ PRODUKT JSOU UVEDENY V INFORMAČNÍM BALÍČKU, KTERÝ JE DODÁN S PRODUKTEM, A JSOU ZAHRNUTY V TOMTO ODKAZU. POKUD NEMŮŽETE NAJÍT SOFTWAROVOU LICENCI NEBO OMEZENOU ZÁRUKU, KONTAKTUJTE VAŠEHO ZÁSTUPCE CISCO PRO KOPII.
Implementace komprese hlaviček TCP společnosti Cisco je adaptací programu vyvinutého Kalifornskou univerzitou v Berkeley (UCB) jako součást veřejné verze operačního systému UNIX společnosti UCB. Všechna práva vyhrazena. Copyright © 1981, Regents of the University of California.
BEZ OHLEDU NA JAKÉKOLI JINÉ ZÁRUKY ZDE, VŠECHNY DOKUMENTY FILES A SOFTWARE TĚCHTO DODAVATELŮ JSOU POSKYTOVÁNY „TAK JAK JSOU“ SE VŠEMI CHYBAMI. CISCO A VÝŠE JMENOVANÍ DODAVATELÉ ODMÍTÁ VŠECHNY ZÁRUKY, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ, VČETNĚ, BEZ OMEZENÍ, ZÁRUK OBCHODOVATELNOSTI, VHODNOSTI PRO KONKRÉTNÍ ÚČEL A NEPORUŠENÍ, USA NEBO VYPLÝVAJÍCÍ Z CENY OD NÁŠHO VÝROBKU.
V ŽÁDNÉM PŘÍPADĚ NEBUDE CISCO ANI JEJÍ DODAVATELÉ ODPOVĚDNÍ ZA JAKÉKOLI NEPŘÍMÉ, ZVLÁŠTNÍ, NÁSLEDNÉ NEBO NÁHODNÉ ŠKODY, VČETNĚ, BEZ OMEZENÍ, ZTRÁTY ZISKU NEBO ZTRÁTY NEBO POŠKOZENÍ DAT VZNIKLÝCH V RÁMCI EVROPSKÉHO POUŽÍVÁNÍ ENUIL MAIFOR CISCO NEBO JEJÍ DODAVATELÉ BYLI UPOZORNĚNI NA MOŽNOST TAKOVÝCH ŠKOD.
Žádné adresy a telefonní čísla internetového protokolu (IP) použité v tomto dokumentu nejsou zamýšleny jako skutečné adresy a telefonní čísla. Jakýkoli exampsoubory, výstup příkazového displeje, schémata topologie sítě a další obrázky zahrnuté v dokumentu jsou uvedeny pouze pro ilustrativní účely. Jakékoli použití skutečných IP adres nebo telefonních čísel v ilustrativním obsahu je neúmyslné a náhodné.
Všechny tištěné kopie a duplikáty tištěných kopií tohoto dokumentu jsou považovány za nekontrolované. Nejnovější verzi naleznete v aktuální online verzi.
Cisco má po celém světě více než 200 poboček. Adresy a telefonní čísla jsou uvedeny na Cisco webna adrese www.cisco.com/go/offices.
Cisco a logo Cisco jsou ochranné známky nebo registrované ochranné známky společnosti Cisco a/nebo jejích přidružených společností v USA a dalších zemích. Na view seznam ochranných známek Cisco, přejděte sem URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html. Uvedené ochranné známky třetích stran jsou majetkem příslušných vlastníků. Použití slova partner neznamená partnerský vztah mezi společností Cisco a jakoukoli jinou společností. (1721R)
© 2019 Cisco Systems, Inc. Všechna práva vyhrazena.
OBSAH
KAPITOLA 1 KAPITOLA 2 KAPITOLA 3
KAPITOLA 4
Přečtěte si mě jako první
Co je nového v Cisco Catalyst SD-WAN 3
Konec politikyview 5 Architektura zásad 7 Architektura zásad centralizovaného řízení 8 Typy tras 8 Výchozí chování bez zásad centralizovaného řízení 9 Změny chování se zásadami centralizovaného řízení 9 Př.ampúpravy toku provozu pomocí zásady centralizovaného řízení 10 Konfigurace centralizované zásady na základě předpon a hlaviček IP 12 Součásti zásad Cisco Catalyst SD-WAN Controller 13 Atributy TLOC použité v zásadách 17 Atributy Cisco Catalyst SD-WAN Route použité v zásadách 18 Návrh SD Cisco Catalyst -Zpracování zásad řadiče WAN a aplikace 19 Provoz zásad Cisco Cisco Catalyst SD-WAN řadiče 20 Zásady řízení 20 Zásady dat 23 Provoz zásad členství VPN 24 Konfigurace a provádění zásad Cisco SD-WAN řadiče 25
Centralizovaná politika 27 Overview centralizovaných zásad 27 Typy centralizovaných zásad 27 Konfigurace centralizovaných zásad pomocí Cisco SD-WAN Manager 28
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 iii
Obsah
KAPITOLA 5
Spusťte Průvodce konfigurací zásad 29 Konfigurace zájmových skupin pro centralizované zásady 29 Integrace WAN Insight (WANI) do Cisco SD-WAN Manager 34
Doporučení prediktivní cesty 35 Konfigurace topologie a členství VPN 36 Import existující topologie 38 Vytvoření zásady členství VPN 39 Konfigurace pravidel provozu 39 Parametry shody – Zásady řízení 44 Parametry shody – Zásady dat 47 Parametry akce – Zásady řízení 52 Parametry akcí – Zásady dat 54 k webům a sítím VPN 58 NAT Fallback na zařízeních Cisco IOS XE Catalyst SD-WAN 58 Aktivace centralizované zásady 60 Konfigurace centralizovaných zásad pomocí rozhraní CLI 61 Konfigurace centralizovaných zásad Př.amples 64 Ověřte konfiguraci zásad centralizovaného řízení 71
Lokalizovaná politika 73 Overview lokalizovaných zásad 73 Typy lokalizovaných zásad 74 Konfigurace lokalizovaných zásad pomocí Cisco SD-WAN Manager 75 Spusťte Průvodce konfigurací zásad 75 Konfigurace zájmových skupin pro lokalizovanou politiku 76 Konfigurace tříd předávání/QoS 78 Konfigurace ACL 80 Explicitní a implicitní konfigurace přístupových seznamů Route 81 Zásady 82 Shoda parametrů 83 Parametry akcí 85 Konfigurace nastavení zásad 86 Použití lokalizovaných zásad v šabloně zařízení 87 Aktivace lokalizovaných zásad 88
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 iv
Obsah
KAPITOLA 6
KAPITOLA 7 KAPITOLA 8
Konfigurace lokalizovaných zásad pro IPv4 pomocí rozhraní CLI 89 Konfigurace lokalizovaných zásad pro IPv6 pomocí rozhraní CLI 91 Konfigurace zásad lokalizovaných dat Př.amples 92 QoS pro routerem generovaný provoz Cisco SD-WAN Manager 93 Informace o QoS pro routerem generovaný provoz Cisco SD-WAN Manager 93 Omezení pro QoS pro routerem generovaný provoz Cisco SD-WAN Manager 94 Konfigurace QoS pro routerem generovaný Cisco SD-WAN Manager Provoz pomocí šablony CLI 94 Ověření QoS pro provoz Cisco SD-WAN Manager generovaný routerem pomocí CLI 95 Odstraňování problémů s QoS pro router generovaný provoz Cisco SD-WAN Manager 97
Výchozí zásady AAR a QoS 99 Informace o výchozích zásadách AAR a QoS 99 Výhody výchozích zásad AAR a QoS 100 Předpoklady pro výchozí zásady AAR a QoS 101 Omezení pro výchozí zásady AAR a QoS 101 Podporovaná zařízení pro výchozí zásady AAR a QoS 101 Případy použití Výchozí zásady AAR a QoS 101 Konfigurace výchozích zásad AAR a QoS pomocí Cisco SD-WAN Manager 101 Monitorování výchozích zásad AAR a QoS 106
Zásada přístupu k zařízení 107 Zásada přístupu zařízení skončilaview 108 Konfigurace zásad přístupu k zařízení pomocí Cisco SD-WAN Manager 108 Konfigurace zásad přístupu k zařízení pomocí rozhraní CLI 110 Ověření konfigurace zásad přístupu k zařízení 111
Cisco Catalyst SD-WAN Application Intelligence Engine Flow 115 Cisco Catalyst SD-WAN Application Intelligence Engine Flow Overview 115 Konfigurace Cisco Catalyst SD-WAN Application Intelligence Engine Flow pomocí Cisco SD-WAN Manager 116 Použití centralizovaných zásad pro SD-WAN Application Intelligence Engine Flow 116 Monitor spuštěných aplikací 117 View SAIE Applications 117 Akční parametry pro konfiguraci SD-WAN Application Intelligence Engine Flow 118
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 v
Obsah
KAPITOLA 9 KAPITOLA 10
Konfigurace toku enginu aplikační inteligence SD-WAN pomocí klasifikace provozu CLI 120 pomocí NBAR 122
Informace o integraci NBAR 122 s NBAR 123
Podporované platformy pro klasifikaci provozu pomocí NBAR 124 Výhody používání NBAR 125 Omezení pro klasifikaci provozu pomocí NBAR 125
Vlastní aplikace 127 Informace o vlastních aplikacích 127 Omezení pro vlastní aplikace 129 Konfigurace vlastních aplikací pomocí Cisco SD-WAN Manager 130 Ověření vlastních aplikací 131
Application-Aware Routing 133 Informace o Application-Aware Routing 133 Application-Aware Routing Support for Multicast Protocols 134 Komponenty Application-Aware Routing 134 Třídy SLA 135 Klasifikace tunelů do tříd SLA 137 Měření ztráty, latence a jitteru 137 Průměrné ztráty Latence a jitter 138 Určení klasifikace SLA 138 Směrování podle aplikací podle třídy 139 Směrování podle třídy aplikací přesview 139 Třída aplikační sondy 139 Výchozí hodnoty DSCP 140 Konfigurace směrování s ohledem na aplikaci 140 Konfigurace zásad směrování s ohledem na aplikaci pomocí Cisco SD-WAN Manager 141 Konfigurace nejlepší cesty tunelu 142 Nejlepší cesta tunelu přesview 142 Doporučení pro nejlepší cestu tunelu 143 Konfigurace odchylky pro nejlepší cestu tunelu 143 Ověřte konfiguraci odchylky pro nejlepší cestu tunelu 143
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 vi
Obsah
KAPITOLA 11
Konfigurace třídy SLA 145 Konfigurace pravidel provozu 146 Výchozí akce zásady směrování podle aplikace 149 Konfigurace třídy aplikační sondy pomocí Cisco Catalyst SD-WAN Manager 150
Přidání třídy App-Probe-Class do třídy SLA 151 Konfigurace výchozího DSCP na šabloně Cisco BFD 151 Použití zásad na weby a sítě VPN 151 Použití zásad směrování s ohledem na aplikace v kombinaci s jinými zásadami dat 153 Aktivace zásad směrování s ohledem na aplikace 154 Monitor Výkon tunelu datové roviny 154 Povolit viditelnost aplikací na zařízeních Cisco SD-WAN 156 Dampcs Tunely datové roviny 156 Omezení pro tunel Dampening 156 Informace o tunelu Damp156 Funkce tunelu Dampening 157 Výchozí třídní chování tunelu Dampening 157 Konfigurace tunelu DampPoužití CLI 157 Ověřte tunel Dampening 158 Konfigurace směrování s ohledem na aplikaci pomocí rozhraní CLI 159 Konfigurace třídy aplikační sondy pomocí rozhraní CLI 161 Konfigurace zásady směrování podle aplikace Př.ample 161
Sledování dopravního toku s Cflowd 169 Informace o sledování dopravního toku 169 Sledování dopravního toku s Cflowd Overview 169 Omezení pro povolení shromažďování zpětné smyčky ve Flow telemetrii při použití zpětných smyček jako TLOC 170 Komponenty Cflowd 170 Informační prvky IPFIX pro zařízení Cisco vEdge 171 Konfigurace Cflowd sledování toku provozu 172 Konfigurace Cflowd sledování toku provozu při sledování B176indopback Verifikace pomocí CLIify Loopback Ověření pomocí CLI konfigurace zařízení 178 Přamples pro Flexibilní NetFlow export metrik BFD 181 Použít a povolit zásadu Cflowd 182
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 vii
Obsah
KAPITOLA 12 KAPITOLA 13 KAPITOLA 14 KAPITOLA 15 KAPITOLA 16
Konfigurace monitorování toku provozu Cflowd Přamples 183
Dopředná oprava chyb 189 Podporovaná zařízení pro dopřednou opravu chyb 189 Konfigurace dopředné opravy chyb pro zásadu 190 Monitorování dopředných oprav chyb tunelu 190 Monitorování dopředné chyby Informace o rodině aplikací 191 Monitorování dopředného stavu opravy chyb pomocí CLI 192
Duplikace paketů pro hlučné kanály 193 Informace o duplikaci paketů 193 Konfigurace duplikace paketů 194 Monitorování duplikace paketů na aplikaci 194
Elephant Flow Throttling 197 Informace o Elephant Flow 197 Omezení pro Elephant Flow Throttling 198 Konfigurace omezení toku Elephant pomocí šablony CLI 198 Ověřte konfigurace Elephant Flow Throttling pomocí CLI 199
Zřetězení služeb 201 Konfigurace řetězení služeb 203 Konfigurace řetězení služeb Přamples 205 Monitorování řetězení služeb 213
Zařízení Cisco vEdge jako zařízení NAT 217 Zařízení Cisco vEdge jako zařízení NAT na transportní straně 217 Provoz NAT na transportní straně 218 Zařízení Cisco vEdge jako zařízení NAT na straně služby 220 Konfigurace místního internetu Konec 220 Konfigurace NAT na straně služby 225 Konfigurace rozdělení DNS 232 Konfigurace Transport-Side NAT 242
Průvodce konfigurací zásad pro směrovače vEdge, Cisco SD-WAN Release 20 viii
KAPITOLA 17
Konfigurace NAT na straně služby Přample 244
Zákonné zachycování 2.0 259 Informace o zákonném odposlechu 2.0 260 Předpoklady pro Cisco Catalyst SD-WAN Zákonné odposlechy 2.0 262 Výhody Cisco Catalyst SD-WAN Zákonné odposlechy 2.0 262 Konfigurace Zákonného odposlechu 2.0 Vytvořit Administrátor API 262 Vytvořit zákonný odposlech 262 Vytvořit zachycení 263 Načíst zachycení 263
Obsah
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 ix
Obsah
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 x
Přečtěte si mě jako první
1 KAPITOLA
Poznámka K dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.
Související odkazy · Cisco Catalyst SD-WAN Control Components Compatibility Matrix a Server doporučení · Cisco Catalyst SD-WAN Device Compatibility
Uživatelská dokumentace · Uživatelská dokumentace pro Cisco SD-WAN Release 20
Komunikace, služby a další informace · Zaregistrujte se k odběru e-mailových zpravodajů Cisco a další komunikace na adrese: Cisco Profile Manažer. · Informace o nejnovějších technických, pokročilých a vzdálených službách pro zvýšení provozní spolehlivosti vaší sítě naleznete na stránkách Cisco Services. · Chcete-li procházet a objevovat bezpečné, ověřené aplikace, produkty, řešení a služby podnikové třídy, navštivte Cisco Devnet. · Chcete-li získat obecné síťové, školicí a certifikační tituly od vydavatelství Cisco Press, navštivte Cisco Press. · Chcete-li najít informace o záruce pro konkrétní produkt nebo skupinu produktů, navštivte Cisco Warranty Finder. · Komu view otevřete a vyřešili chyby pro vydání, otevřete nástroj Cisco Bug Search Tool. · Chcete-li odeslat požadavek na službu, navštivte podporu Cisco.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 1
Přečtěte si mě jako první
Zpětná vazba k dokumentaci Chcete-li poskytnout zpětnou vazbu k technické dokumentaci společnosti Cisco, použijte formulář zpětné vazby, který je k dispozici v pravém podokně každého online dokumentu.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 2
2 KAPITOLA
Co je nového v Cisco Catalyst SD-WAN
Poznámka K dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.
Poznámka Společnost Cisco neustále vylepšuje řešení Cisco Catalyst SD-WAN s každým vydáním a snažíme se udržovat obsah v souladu s nejnovějšími vylepšeními. V následující tabulce jsou uvedeny nové a upravené funkce, které jsme zdokumentovali v příručkách Konfigurace, Příkazy a Instalace hardwaru. Informace o dalších funkcích a opravách, které se týkaly řešení Cisco Catalyst SD-WAN, najdete v části Vyřešené a otevřené chyby v Poznámkách k verzi.
Co je nového ve verzi Cisco SD-WAN (vEdge) 20.x
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 3
Co je nového v Cisco Catalyst SD-WAN
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 4
Konec politikyview
3 KAPITOLA
Poznámka K dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.
Zásady ovlivňují tok datového provozu a informace o směrování mezi zařízeními Cisco vEdge Cisco IOS XE Catalyst SD-WAN zařízeními v překryvné síti.
Zásady zahrnují:
· Politika směrování – která ovlivňuje tok směrovacích informací v řídicí rovině sítě.
· Datová politika – která ovlivňuje tok datového provozu v datové rovině sítě.
Chcete-li implementovat požadavky na řízení provozu specifické pro podnik, vytvoříte základní zásady a nasadíte pokročilé funkce, které se aktivují prostřednictvím infrastruktury konfigurace zásad.
Stejně jako překryvná síťová architektura Cisco Catalyst SD-WAN jasně odděluje řídicí rovinu od datové roviny a řízení mezi centralizovanými a lokalizovanými funkcemi, je zásada Cisco Catalyst SD-WAN čistě oddělena. Zásady se vztahují na provoz v rovině nebo datové rovině a konfigurují se buď centrálně na ovladačích Cisco SD-WAN, nebo lokálně na zařízení Cisco vEdgeCisco IOS XE Catalyst SD-WAN. Následující obrázek ilustruje rozdělení mezi kontrolou a datovou politikou a mezi centralizovanou a lokální politikou.
Obrázek 1: Architektura zásad
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 5
Konec politikyview
Zásady řízení a dat Zásada řízení je ekvivalentem zásad směrovacího protokolu a zásada dat je ekvivalentní tomu, co se běžně nazývá seznamy řízení přístupu (ACL) a filtry brány firewall.
Centralizovaná a lokalizovaná politika Návrh politiky Cisco Catalyst SD-WAN poskytuje jasné oddělení mezi centralizovanou a lokalizovanou politikou. Stručně řečeno, centralizovaná politika je zajišťována na centralizovaných řadičích Cisco SD-WAN v překryvné síti a lokalizovaná politika je zajišťována na zařízeních Cisco vEdge, která jsou na okraji sítě mezi pobočkou nebo podnikovou sítí a transportní sítí, jako je např. Internet, MPLS nebo metro Ethernet.
Centralizovaná politika Centralizovaná politika odkazuje na politiku poskytovanou na Cisco SD-WAN Controllerech, což jsou centralizované řadiče v překryvné síti Cisco Catalyst SD-WAN. Centralizovaná politika se skládá ze dvou složek:
· Zásady řízení, které ovlivňují překryvné směrování provozu v celé síti · Zásady dat, které ovlivňují tok datového provozu napříč segmenty VPN v síti
Politika centralizovaného řízení se vztahuje na směrování provozu v celé síti tím, že ovlivňuje informace, které jsou uloženy v směrovací tabulce Cisco SD-WAN Controller a které jsou inzerovány do zařízení Cisco vEdge. Účinky politiky centralizovaného řízení jsou vidět v tom, jak zařízení Cisco vEdge směrují datový provoz překryvné sítě do cíle.
Poznámka Samotná konfigurace zásad centralizovaného řízení zůstává na řadiči Cisco SD-WAN Controller a nikdy není přenesena na místní zařízení.
Centralizovaná datová politika se vztahuje na tok datového provozu napříč VPN v překryvné síti. Tyto zásady mohou povolovat a omezovat přístup buď na základě 6-ti shody (zdrojové a cílové IP adresy a porty, pole DSCP a protokol) nebo na základě členství ve VPN. Tyto zásady se předají vybraným zařízením Cisco vEdge.
Lokalizovaná zásada Lokalizovaná zásada odkazuje na zásadu, která je zřízena lokálně prostřednictvím rozhraní CLI na zařízeních Cisco vEdge nebo prostřednictvím šablony zařízení Cisco SD-WAN Manager. Politika lokalizovaného řízení se také nazývá politika směrování, která ovlivňuje chování směrování (BGP a OSPF) v místní síti. Zásady lokalizovaných dat vám umožňují poskytovat přístupové seznamy a aplikovat je na konkrétní rozhraní nebo rozhraní v zařízení. Jednoduché přístupové seznamy povolují a omezují přístup na základě 6-ti násobné shody (zdrojové a cílové IP adresy a porty, pole DSCP a protokol), stejně jako u centralizovaných datových zásad. Přístupové seznamy také umožňují zajišťování třídy služeb (CoS), policejní a zrcadlení, které řídí, jak datový provoz proudí z a do rozhraní a front rozhraní zařízení. Návrh politiky Cisco Catalyst SD-WAN rozlišuje základní a pokročilé zásady. Základní politika vám umožňuje ovlivnit nebo určit základní tok provozu přes překryvnou síť. Zde provádíte standardní úlohy zásad, jako je správa cest, po kterých je provoz směrován sítí, a povolování nebo blokování provozu na základě adresy, portu a polí DSCP v hlavičce IP paketu. Můžete
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 6
Konec politikyview
Politická architektura
také řídit tok datového provozu do az rozhraní zařízení Cisco vEdge, což umožňuje funkce, jako je třída služeb a řazení do fronty, zrcadlení a kontrola.
Pokročilé funkce zásad Cisco Catalyst SD-WAN nabízejí specializované síťové aplikace založené na zásadách. Přampmezi tyto aplikace patří následující:
· Zřetězení služeb, které přesměrovává datový provoz na sdílená zařízení v síti, jako je firewall, detekce a prevence narušení (IDS), nástroj pro vyrovnávání zátěže a další zařízení, než je provoz doručen do cíle. Řetězení služeb odstraňuje nutnost mít na každé pobočce samostatné zařízení.
· Směrování s ohledem na aplikace, které vybírá nejlepší cestu pro provoz na základě charakteristik sítě a výkonu cest v reálném čase.
· Cflowd pro sledování toku provozu.
· Převedení zařízení Cisco vEdge na zařízení NAT, aby provoz určený pro internet nebo jinou veřejnou síť mohl ukončit přímo ze zařízení Cisco vEdge.
Ve výchozím nastavení nejsou na zařízeních Cisco vEdge konfigurovány žádné zásady, ať už na centralizovaných řadičích Cisco SD-WAN, ani na místních zařízeních Cisco vEdge. Když je provoz v letadle, který distribuuje informace o trase, bez dozoru:
· Veškeré informace o trase, které OMP šíří mezi zařízeními Cisco vEdge, jsou sdíleny, nemodifikovány, mezi všemi řadiči Cisco SD-WAN a všemi zařízeními Cisco vEdge v překryvné síťové doméně.
· Nejsou zavedeny žádné zásady směrování BGP nebo OSPF, které by ovlivnily informace o směrování, které zařízení Cisco vEdge šíří v rámci své místní sítě.
Když provoz datové roviny není hlídaný, veškerý datový provoz je směrován do cíle pouze na základě položek v tabulce směrování místního zařízení Cisco vEdge a všechny sítě VPN v překryvné síti si mohou vyměňovat datový provoz.
· Architektura zásad, na straně 7 · Komponenty zásad Cisco Catalyst SD-WAN Controller, na straně 13 · Návrh Zpracování a aplikace zásad Cisco Catalyst SD-WAN Controller, na straně 19 · Provoz zásad Cisco Cisco Catalyst SD-WAN Controller, na straně 20 · Konfigurace a provádění zásad Cisco SD-WAN Controller, na straně 25
Politická architektura
Toto téma nabízí orientaci o architektuře politiky Cisco Catalyst SD-WAN používané k implementaci překryvných celosíťových politik. Tyto zásady se nazývají zásady Cisco SD-WAN Validator nebo centralizované zásady, protože je konfigurujete centrálně na řadiči Cisco SD-WAN. Zásady řadiče Cisco SD-WAN ovlivňují tok provozu řídicí roviny (aktualizace směrování prováděné protokolem Overlay Management Protocol (OMP) a používané řadiči Cisco SD-WAN k určení topologie a stavu překryvné sítě) a provozu datové roviny ( datový provoz, který prochází mezi zařízeními Cisco vEdge přes překryvnou síť).
S Cisco Catalyst SD-WAN můžete také vytvářet zásady směrování na zařízeních Cisco vEdge. Tyto zásady jsou jednoduše tradičními zásadami směrování, které jsou přidruženy ke směrovacímu protokolu (BGP nebo OSPF) lokálně na zařízeních. Používáte je v tradičním smyslu pro ovládání BGP a OSPF, napřample, ovlivnit výměnu informací o trase, nastavit atributy trasy a ovlivnit výběr cesty.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 7
Architektura zásad centralizovaného řízení
Konec politikyview
Architektura zásad centralizovaného řízení
V síťové architektuře Cisco Catalyst SD-WAN se o politiku centralizovaného řízení stará Cisco SD-WAN Controller, který je v podstatě směrovacím jádrem sítě. Cisco SD-WAN Controller je centralizovaný správce celosíťových tras, který pro tyto trasy udržuje primární tabulku tras. Cisco SD-WAN Controller vytváří svou směrovací tabulku na základě informací o směrování inzerovaných zařízeními Cisco vEdge ve své doméně a pomocí těchto směrování zjišťuje topologii sítě a určuje nejlepší cesty k síťovým cílům. Cisco SD-WAN Controller distribuuje informace o směrování ze své směrovací tabulky do zařízení ve své doméně, která pak tyto cesty využívají k předávání datového provozu přes síť. Výsledkem této architektury je, že rozhodnutí o směrování a politika směrování v celé síti jsou řízeny centrální autoritou, místo aby byly implementovány skok po skoku, zařízeními v síti.
Politika centralizovaného řízení vám umožňuje ovlivňovat síťové trasy inzerované ovladači Cisco SD-WAN. Tento typ zásad, který je zajišťován centrálně na Cisco SD-WAN Controller, ovlivňuje jak informace o trase, které Cisco SD-WAN Controller ukládá ve své primární směrovací tabulce, tak informace o trase, které distribuuje do zařízení.
Politika centralizovaného řízení je zřízena a aplikována pouze na Cisco SD-WAN Controller. Samotná konfigurace zásad řízení se nikdy nepřenáší do zařízení v překryvné síti. To, co je do zařízení předáváno pomocí protokolu OMP (Overlay Management Protocol), jsou výsledky řídicí politiky, kterou pak zařízení instalují do svých místních směrovacích tabulek a používají je pro předávání datového provozu. Tento návrh znamená, že distribuce tras po celé síti je vždy spravována centrálně pomocí zásad navržených správci sítě. Tyto zásady jsou vždy implementovány centralizovanými řadiči Cisco SD-WAN, které jsou odpovědné za organizování rozhodnutí o směrování v překryvné síti Cisco Catalyst SD-WAN.
V rámci síťové domény musí být mapa topologie sítě na všech řadičích Cisco SD-WAN synchronizována. Abyste to podpořili, musíte nakonfigurovat stejné zásady na všech řadičích Cisco SD-WAN v doméně.
Obrázek 2: Politika centralizované kontroly
Typy tras
Veškerý provoz centralizované řídicí roviny, včetně informací o trase, je přenášen prostřednictvím peeringových relací OMP, které běží v rámci zabezpečeného trvalého připojení DTLS mezi zařízeními a řadiči Cisco SD-WAN v jejich doméně. Koncové body relace partnerského vztahu OMP jsou identifikovány pomocí systémových ID zařízení a relace partnerského vztahu nesou ID lokality, které identifikuje lokalitu, ve které se zařízení nachází. Připojení DTLS a relace OMP, která přes něj běží, zůstávají aktivní, dokud jsou oba partneři funkční.
Zásadu řízení lze použít jak příchozí, na směrování reklam, které Cisco SD-WAN Controller přijímá ze zařízení, tak odchozí na reklamy, které jim posílá. Příchozí zásady řídí, které trasy a informace o trasách jsou instalovány v místní databázi směrování na Cisco SD-WAN Controller, a zda jsou tyto informace instalovány tak, jak jsou, nebo jsou změněny. Zásady odchozího řízení se použijí poté, co je trasa načtena z databáze směrování, ale předtím, než ji Cisco SD-WAN Controller inzeruje, a ovlivňuje, zda jsou informace o trase inzerovány tak, jak jsou, nebo zda jsou změněny.
Cisco SD-WAN Controller se učí topologii sítě z tras OMP, což jsou trasy specifické pro Cisco Catalyst SD-WAN přenášené OMP. Existují tři typy tras OMP:
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 8
Konec politikyview
Výchozí chování bez zásad centralizovaného řízení
· Trasy Cisco Catalyst SD-WAN OMP – Tyto trasy nesou informace o předponách, které se zařízení učí ze směrovacích protokolů běžících v jejich místní síti, včetně tras získaných z BGP a OSPF, stejně jako přímých, připojených a statických tras. OMP inzeruje OMP trasy do Cisco SD-WAN Controlleru pomocí OMP trasy SAFI (Subsequent Address Family Identifier). Tyto trasy se běžně jednoduše nazývají trasy OMP.
· Trasy TLOC – Tyto trasy nesou vlastnosti spojené s transportními místy, což jsou fyzické body, ve kterých se zařízení připojují k WAN nebo transportní síti. Vlastnosti, které identifikují TLOC, zahrnují IP adresu rozhraní WAN a barvu, která identifikuje konkrétní tok provozu. OMP inzeruje trasy TLOC pomocí TLOC SAFI.
· Trasy služeb – Tyto trasy identifikují síťové služby, jako jsou firewally a IDP, které jsou dostupné v místní síti, ke které jsou zařízení připojena. OMP inzeruje tyto trasy pomocí služby SAFI.
Výchozí chování bez zásad centralizovaného řízení
Ve výchozím nastavení není na Cisco SD-WAN Controller zřízena žádná politika centralizovaného řízení. Výsledkem je následující chování inzerce směrování a redistribuce v rámci domény:
· Všechna zařízení Cisco vEdge přerozdělují všechny předpony související s trasami, které se naučí ze své místní sítě, do řadiče Cisco SD-WAN. Tyto informace o trase jsou přenášeny reklamami na trasy OMP, které se odesílají přes spojení DTLS mezi zařízeními a řadičem Cisco SD-WAN. Pokud doména obsahuje více řadičů Cisco SD-WAN, zařízení odesílají všechny reklamy na směrování OMP všem řadičům.
· Všechna zařízení odesílají všechny trasy TLOC do řadiče Cisco SD-WAN nebo řadičů v jejich doméně pomocí OMP.
· Všechna zařízení odesílají všechny trasy služeb, aby propagovaly jakékoli síťové služby, jako jsou firewally a IDP, které jsou dostupné na místním místě, kde se zařízení nachází. Opět je nese OMP.
· Cisco SD-WAN Controller přijímá všechny OMP, TLOC a servisní cesty, které přijímá ze všech zařízení ve své doméně, a ukládá informace do své směrovací tabulky. Cisco SD-WAN Controller sleduje, které trasy OMP, TLOC a služby patří ke kterým sítím VPN. Cisco SD-WAN Controller využívá všechny trasy k vytvoření mapy topologie sítě a ke stanovení směrovacích cest pro datový provoz přes překryvnou síť.
· Cisco SD-WAN Controller redistribuuje všechny informace získané z cest OMP, TLOC a služeb v konkrétní VPN do všech zařízení ve stejné VPN.
· Zařízení pravidelně odesílají aktualizace trasy do Cisco SD-WAN Controlleru.
· Cisco SD-WAN Controller přepočítává směrovací cesty, aktualizuje svou směrovací tabulku a oznamuje nové a změněné směrovací informace všem zařízením.
Změny chování díky zásadám centralizovaného řízení
Když nechcete redistribuovat všechny informace o trase do všech zařízení Cisco vEdge v doméně nebo když chcete upravit informace o trase, které jsou uloženy ve směrovací tabulce Cisco Catalyst SD-WAN Controller nebo které inzeruje Cisco Catalyst SD -WAN Controller, navrhnete a zajistíte politiku centralizovaného řízení. Chcete-li aktivovat zásady řízení, použijte je na konkrétní weby v překryvné síti ve směru příchozím nebo odchozím. Směr je s ohledem na Cisco Catalyst SD-WAN Controller. Veškeré zajišťování zásad centralizovaného řízení se provádí na Cisco Catalyst SD-WAN Controller.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 9
Exampúpravy toku provozu pomocí zásad centralizovaného řízení
Konec politikyview
Aplikováním zásad centralizovaného řízení ve filtrech příchozích směrů nebo úpravách tras inzerovaných zařízením Cisco vEdge před jejich umístěním do tabulky směrování na ovladači Cisco Catalyst SD-WAN. Jako první krok v procesu jsou cesty buď přijaty, nebo odmítnuty. Přijaté cesty jsou instalovány v tabulce směrování na Cisco Catalyst SD-WAN Controller buď tak, jak byly přijaty, nebo jak byly upraveny zásadou řízení. Trasy, které jsou odmítnuty zásadou řízení, jsou tiše zahozeny.
Použitím zásady řízení ve filtrech odchozího směru nebo úpravě tras, které Cisco Catalyst SD-WAN Controller přerozděluje do zařízení Cisco vEdge. Jako první krok odchozí politiky jsou cesty buď přijaty, nebo odmítnuty. U akceptovaných tras může politika centralizovaného řízení upravit trasy před jejich distribucí pomocí Cisco Catalyst SD-WAN Controller. Trasy, které jsou odmítnuty odchozí zásadou, nejsou inzerovány.
Zásady členství VPN
Druhým typem zásad centralizovaných dat je zásada členství ve VPN. Řídí, zda se zařízení Cisco vEdge může účastnit konkrétní VPN. Zásady členství VPN definují, které VPN zařízení jsou povoleny a které nemohou přijímat trasy.
Zásady členství VPN lze centralizovat, protože ovlivňují pouze hlavičky paketů a nemají žádný vliv na volbu rozhraní, které zařízení Cisco vEdge používá k přenosu provozu. Místo toho se stane, že pokud kvůli zásadám členství ve VPN zařízení nemůže přijímat trasy pro konkrétní VPN, Cisco Catalyst SD-WAN Controller tyto trasy nikdy nepřepošle tomuto ovladači.
Exampúpravy toku provozu pomocí zásad centralizovaného řízení
Tato část poskytuje některé základní příkladyampinformace o tom, jak můžete pomocí zásad centralizovaného řízení upravit tok datového provozu přes překryvnou síť.
Vytvořte libovolnou topologii
Když si mezi dvěma zařízeními Cisco vEdge vyměňujete datový provoz a nemáte zřízenou žádnou zásadu řízení, tato dvě zařízení mezi sebou vytvoří tunel IPsec a datový provoz proudí přímo z jednoho zařízení do druhého. Pro síť s pouze dvěma zařízeními nebo pouze s malým počtem zařízení obecně není navázání spojení mezi každým párem zařízení problémem. Takové řešení však neškáluje. V síti se stovkami nebo dokonce tisíci poboček zatěžuje vytvoření celé sítě IPsec tunelů CPU zdroje každého zařízení.
Obrázek 3: Libovolná topologie
Jedním ze způsobů, jak minimalizovat tuto režii, je vytvořit topologii typu hub-and-spoke, ve které jedno ze zařízení funguje jako hubová lokalita, která přijímá datový provoz ze všech paprskových nebo větvených zařízení a poté přesměrovává provoz na správné místo určení. Tento exampTento soubor ukazuje jeden ze způsobů, jak vytvořit takovou topologii hub-and-spoke, což je vytvoření řídicí politiky, která změní adresu TLOC přidruženého k cíli.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 10
Konec politikyview
Nastavte dopravní inženýrství
Obrázek ukazuje, jak by taková politika mohla fungovat. Topologie má dvě umístění větví, západní a východní. Pokud není zřízena žádná politika řízení, tato dvě zařízení si mezi sebou vyměňují datový provoz přímo vytvořením tunelu IPsec (zobrazeno červenou čárou). Zde tabulka směrování na Device West obsahuje cestu na Device East s cílovým TLOC 203.0.113.1, zlatá barva (kterou píšeme jako n-tici {192.0.2.1, zlatá}) a směrovací tabulka Device East má trasu na západní větev s cílovým TLOC {203.0.113.1, zlato}.
Chcete-li zde nastavit topologii typu hub-and-spoketype, poskytujeme politiku řízení, která způsobí, že západní a východní zařízení posílají všechny datové pakety určené pro druhé zařízení do zařízení hubu. (Nezapomeňte, že vzhledem k tomu, že zásady řízení jsou vždy centralizované, poskytujete je na řadiči Cisco Catalyst SD-WAN Controller.) Na zařízení Device West zásada jednoduše změní cílový TLOC z {203.0.113.1, zlatý} na {209.165.200.225, zlatý }, což je TLOC zařízení rozbočovače, a na východě zařízení zásada změní cílovou TLOC z {192.0.2.1, zlatá} na TLOC hubu, {209.165.200.225, zlatá}. Pokud by na západní a východní straně sítě existovaly další pobočky, které si vyměňují datový provoz, mohli byste použít stejné dvě zásady řízení, aby přesměrovaly veškerý svůj datový provoz přes rozbočovač.
Nastavte dopravní inženýrství
Zásady řízení vám umožňují navrhovat a zajišťovat dopravní inženýrství. V jednoduchém případě předpokládejme, že máte dvě zařízení fungující jako rozbočovací zařízení. Pokud chcete, aby datový provoz směřovaný do pobočkového zařízení Cisco vEdge vždy procházel jedním z hubových zařízení, nastavte hodnotu preference TLOC tak, aby upřednostňovala požadované hubové zařízení.
Obrázek 4: Topologie dopravního inženýrství
Obrázek ukazuje, že Site ID 100 má dvě rozbočovací zařízení, jedno, které obsluhuje západní stranu sítě a druhé, které obsluhuje východní stranu. Datový provoz z Device West musí být řešen hubem Device West a podobně datový provoz z pobočky Device East musí procházet přes hub Device East.
Chcete-li navrhnout tento tok provozu, zajistíte dvě zásady řízení, jednu pro Site ID 1, kde se nachází zařízení Device West, a druhou pro Site ID 2. Zásady řízení pro Site ID 1 změní TLOC pro provoz směřující do Východ zařízení na {209.165.200.225, zlatá} a zásada řízení pro Site ID 2 mění TLOC pro provoz určený pro Site ID 1 na {198.51.100.1, gold}. Jedním z dalších účinků této politiky dopravního inženýrství je to, že vyrovnává zatížení provozu procházející dvěma zařízeními uzlů.
S takovou politikou dopravního inženýrství je trasa ze zdrojového zařízení do cílového zařízení instalována v místní směrovací tabulce a provoz je odesílán do cíle bez ohledu na to, zda je k dispozici cesta mezi zdrojovým a cílovým zařízením. Povolení end-to-end sledování cesty ke konečnému cíli umožňuje Cisco Catalyst SD-WAN Controller sledovat cestu od zdroje k cíli a informovat zdrojové zařízení, když tato cesta není k dispozici. Zdrojové zařízení pak může upravit nebo odstranit cestu ze své směrovací tabulky.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 11
Konfigurace centralizovaných zásad na základě předpon a záhlaví IP Obrázek 5: Dopravní inženýrství 2
Konec politikyview
Obrázek Traffic Engineering 2 ilustruje end-to-end sledování trasy. Ukazuje, že provoz ze zařízení-A, který je určen pro zařízení-D, jde nejprve do zprostředkujícího zařízení, zařízení-B, možná proto, že toto zprostředkující zařízení poskytuje službu, jako je firewall. (Toto provozní inženýrství nakonfigurujete pomocí zásady centralizovaného řízení, která se aplikuje na zařízení-A, na místě 1.) Poté zařízení-B, které má přímou cestu ke konečnému cíli, předá provoz do zařízení-D. Takže v tomto example, end-to-end cesta mezi zařízením-A a zařízením-D obsahuje dva tunely, jeden mezi zařízením-A a zařízením-B a druhý mezi zařízením-B a zařízením-D. Cisco Catalyst SD-WAN Controller sleduje tuto cestu end-to-end a upozorní zařízení-A, pokud část cesty mezi zařízením-B a zařízením-D přestane být dostupná.
V rámci komplexního sledování cesty můžete určit, jak přesměrovat provoz ze zdroje do konečného cíle pomocí zprostředkujícího zařízení. Výchozí metodou je striktní předávání, kdy je provoz vždy odesílán ze zařízení-A do zařízení-B, bez ohledu na to, zda má zařízení-B přímou cestu k zařízení-D nebo zda je tunel mezi zařízením-B a zařízením-D aktivní. Flexibilnější metody předávají část nebo veškerý provoz přímo ze zařízení-A do zařízení-D. Můžete také nastavit druhé zprostředkující zařízení, které poskytne redundantní cestu, přičemž první zprostředkující zařízení je nedosažitelné, a použít metodu ECMP k předávání provozu mezi těmito dvěma. Obrázek Traffic Engineering3 přidává Device-C jako redundantní mezizařízení.
Obrázek 6: Dopravní inženýrství 3
Zásady centralizovaného řízení, které nakonfigurujete na řadičích Cisco Catalyst SD-WAN, ovlivňují zásady směrování založené na informacích v trasách OMP a OMP TLOC. Tento typ zásad umožňuje nastavit akce pro shodu tras a TLOC, včetně přesměrování paketů přes síťové služby, jako jsou brány firewall, což je funkce, která se nazývá řetězení služeb. V doménách s více řadiči Cisco Catalyst SD-WAN musí mít všechny řadiče stejnou konfiguraci centralizovaného řízení, aby bylo zajištěno, že směrování v překryvné síti zůstane stabilní a předvídatelné.
Nakonfigurujte centralizovanou politiku na základě předpon a záhlaví IP
Centralizovaná datová politika založená na zdrojových a cílových prefixech a na hlavičkách v IP paketech sestává ze série očíslovaných (uspořádaných) sekvencí páru shoda-akce, které jsou vyhodnocovány v pořadí, od nejnižšího pořadového čísla po nejvyšší pořadové číslo. Když paket odpovídá jedné z podmínek shody, je provedena související akce a vyhodnocování zásad pro tyto pakety se zastaví. Mějte to na paměti při navrhování zásad, abyste zajistili, že u položek podléhajících zásadám budou provedeny požadované akce.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 12
Konec politikyview
Komponenty zásad Cisco Catalyst SD-WAN Controller
Pokud paket neodpovídá žádným parametrům v žádné ze sekvencí v konfiguraci zásad, je ve výchozím nastavení zahozen a zahozen.
Konfigurační součásti Následující obrázek ilustruje konfigurační součásti pro centralizovanou datovou zásadu:
Komponenty zásad Cisco Catalyst SD-WAN Controller
Zásady Cisco SD-WAN Controller, které implementují překryvné celosíťové zásady, jsou implementovány na Cisco Catalyst SD-WAN Control Components. Vzhledem k tomu, že Cisco SD-WAN Controllers jsou centralizovaná zařízení, můžete spravovat a udržovat zásady Cisco SD-WAN Controller centrálně a můžete zajistit konzistenci při prosazování zásad v celé překryvné síti.
Implementace politiky Cisco SD-WAN Controller se provádí konfigurací celé politiky na Cisco Catalyst SD-WAN Control Components. Konfigurace zásad Cisco SD-WAN Controller se provádí pomocí tří stavebních bloků:
· Seznamy definují cíle aplikace zásad nebo párování.
· Definice zásad, neboli zásady, řídí aspekty kontroly a předávání. Existují různé typy zásad, včetně:
· app-route-policy (pro směrování s ohledem na aplikaci)
· cflowd-template (pro monitorování cflowd flow)
· control-policy (pro informace o směrování a řídicí rovině)
· datová politika (pro datový provoz)
· vpn-membership-policy (pro omezení rozsahu provozu na konkrétní VPN)
· Aplikace zásad řídí, na co se zásady vztahují. Aplikace zásad je orientovaná na web a je definována specifickým seznamem nazývaným seznam webů.
Tyto tři stavební bloky sestavíte do zásad Cisco SD-WAN Controller. Přesněji řečeno, politika je součet jednoho nebo více seznamů, jedné definice politiky a alespoň jedné aplikace politik, jak je uvedeno v tabulce níže.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 13
Komponenty zásad Cisco Catalyst SD-WAN Controller
Konec politikyview
Tabulka 1: Tři stavební bloky zásad Cisco SD-WAN Controller
Seznamy
Definice zásad
Aplikace zásad
data-prefix-list: Seznam prefixů pro použití s datovou politikou
app-route-policy: Používá se s třídami sla pro směrování s ohledem na aplikace
prefix-list: Seznam prefixů
cflowd-template: Konfiguruje
pro použití s jakoukoli jinou politikou
cflowed agenti na Cisco
site-list: Seznam site-id:s pro
zařízení vEdge
apply-policy: Používá se s a
use in policy a apply-policy + control-policy: Ovládá OMP + site-list k určení kde
tloc-list : Seznam tloc:s k použití
ovládání směrování
jsou aplikovány zásady
v politice
data-policy: Poskytuje
vpn-list : Seznam vpn:s pro použití
směrování založené na zásadách vpn
v politice
vpn-membership-policy:
Řídí členství vpn napříč
uzly
=
Kompletní definice zásad nakonfigurovaná na Cisco SD-WAN Controller a vynucená buď na Cisco SD-WAN Controller, nebo na zařízeních Cisco vEdge.
Seznamy
Seznamy umožňují seskupovat související položky, abyste na ně mohli odkazovat všechny dohromady. Přampméně položek, které vkládáte do seznamů, jsou předpony, TLOC, VPN a překryvné síťové stránky. V zásadě Cisco SD-WAN Controller vyvoláváte seznamy na dvou místech: při vytváření definice zásady a při aplikaci zásady. Oddělení definice souvisejících položek od definice politiky znamená, že když můžete přidat nebo odebrat položky ze seznamů, provedete změny pouze na jediném místě: Nemusíte provádět změny prostřednictvím definice politiky. Pokud tedy do své sítě přidáte deset webů a chcete na ně použít existující zásady, jednoduše přidáte identifikátory webů do seznamu webů. Můžete také změnit pravidla zásad, aniž byste museli ručně upravovat předpony, sítě VPN nebo jiné věci, na které se pravidla vztahují.
Tabulka 2: Seznam typů
Typ seznamu data-prefix-list
prefix-list site-list tloc-list
Používání
Používá se v zásadách dat k definování prefixů a portů horní vrstvy, buď jednotlivě nebo společně, pro přizpůsobení provozu.
Používá se v control-policy k definování prefixů pro odpovídající položky RIB.
Používá se v control-policy k přiřazení zdrojových webů a v Apply-policy k definování webů pro aplikaci zásad.
Používá se v ovládacích zásadách k definování TLOC pro odpovídající položky RIB a k použití předefinovaných TLOC na vRoutes.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 14
Konec politikyview
Komponenty zásad Cisco Catalyst SD-WAN Controller
Typ seznamu vpn-list
Používání
Používá se v control-policy k definování prefixů pro odpovídající položky RIB a v data-policy a app-route-policy k definování VPN pro aplikaci zásad.
Následující konfigurace ukazuje typy seznamů zásad Cisco SD-WAN Controller:
seznamy zásad data-prefix-list app1 ip-prefix 209.165.200.225/27 port 100 ! prefix-list pfx1 ip-prefix 209.165.200.225/27 ! site-list site1 site-id 100 ! tloc-list site1-tloc tloc 209.165.200.225 barva mpls vpn-list vpn1 vpn1 !
!
Definice zásad
Definice zásady je místo, kde vytváříte pravidla zásad. Zadáte podmínky shody (vlastnosti související s cestou pro politiku řízení a pole související s daty pro politiku dat) a akce, které se mají provést, když dojde ke shodě. Zásada obsahuje páry shodných akcí, které jsou očíslovány a prověřovány v sekvenčním pořadí. Když dojde ke shodě, akce se provede a analýza zásad na dané trase nebo paketu se ukončí. Některé typy definic zásad se vztahují pouze na konkrétní sítě VPN.
Tabulka 3: Typy zásad
Typ politiky policy-type
akce shody sekvence vpn-list
Používání
Může být control-policy, data-policy nebo vpn-menbership – určuje typ politiky. Každý typ má určitou syntaxi a konkrétní sadu podmínek shody a nastavitelných akcí.
Používá se zásadami dat a zásadami směrování aplikací k zobrazení seznamu sítí VPN, pro které se zásady vztahují.
Definuje každý sekvenční krok zásady pořadovým číslem.
Rozhoduje, s jakou entitou se má spárovat v konkrétní sekvenci zásad.
Určuje akci, která odpovídá předchozímu příkazu shody.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 15
Komponenty zásad Cisco Catalyst SD-WAN Controller
Konec politikyview
Typ zásady výchozí akce
Používání
Akce, která se má provést pro jakoukoli entitu, která se neshoduje v žádné sekvenci zásad. Ve výchozím nastavení je akce nastavena na odmítnutí.
Následující konfigurace ukazuje součásti definice zásad Cisco SD-WAN Controller. Tyto položky jsou uvedeny v logickém pořadí, které byste měli použít při navrhování zásad, a toto pořadí je také tím, jak se položky zobrazují v konfiguraci, bez ohledu na pořadí, ve kterém je do konfigurace přidáváte.
policy policy-type name vpn-list vpn-list sekvenční číslo shoda ! akce nastavit hodnotu atributu! výchozí akce !
! !
Aplikace zásad Níže jsou uvedeny konfigurační součásti: Komponenta site-list
typ politiky
Používání
Určuje weby, na které se dané zásady vztahují. Směr (in | out) platí pouze pro politiku kontroly.
Typ zásady může být control-policy, data-policy nebo vpn-membership – a název odkazuje na již nakonfigurovanou zásadu, která má být aplikována na weby uvedené v seznamu webů pro danou sekci.
Aby definice zásady vstoupila v platnost, musíte ji přidružit k webům v překryvné síti.
název-seznamu aplikační-zásady název-zásady ovládacího prvku ! site-list name data-policy name vpn-membership name ! !
Zásady Přample
Pro kompletní politiku, která se skládá ze seznamů, definice politiky a aplikace politiky. BývalýampNíže znázorněný soubor vytváří dva seznamy (seznam lokalit a seznam tloc), definuje jednu zásadu (zásadu řízení) a aplikuje tuto zásadu na seznam míst. Na obrázku jsou položky uvedeny tak, jak jsou uvedeny v konfiguraci uzlu. V normálním konfiguračním procesu nejprve vytvoříte seznamy (seskupíte všechny věci, které chcete použít), a poté definujete
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 16
Konec politikyview
Atributy TLOC používané v zásadách
samotnou zásadu (definujte, co chcete dělat), a nakonec zásadu aplikujte (určete weby, které nakonfigurovaná zásada ovlivňuje).
aplikovat-politiku
site-list site1 Aplikujte definovanou politiku vůči webům v site-list control-policy prefer_local out !
seznam zásad site-list site1 site-id 100
tloc-list prefer_site1 Definujte seznamy požadované pro použití zásady a pro použití v rámci zásady
tloc 192.0.2.1 color mols encap preference ipsec 400 control-policy prefer_local
posloupnost 10 shoda trasa site-list site ->Seznamy dříve definované používané v rámci politiky
! akce přijmout set tloc-list prefer_site ! !
!
Atributy TLOC používané v zásadách
Transportní umístění neboli TLOC definuje specifické rozhraní v překryvné síti. Každý TLOC se skládá ze sady atributů, které se vyměňují v aktualizacích OMP mezi zařízeními Cisco IOS XE Catalyst SD-WAN. Každý TLOC je jednoznačně identifikován pomocí 3 IP adres, barvy a zapouzdření. S TLOC mohou být spojeny další atributy.
Níže uvedené atributy TLOC lze porovnat nebo nastavit v zásadách Cisco SD-WAN Controller.
Tabulka 4:
Funkce atributu TLOC
Aplikační bod nastaven
Adresa (IP adresa)
system-ip adresa zdrojového zařízení, na kterém je rozhraní umístěno.
Konfigurace na zdrojovém zařízení
Dopravce
Identifikátor typu dopravce. Primárně udává, zda se jedná o veřejnou nebo soukromou dopravu.
Konfigurace na zdrojovém zařízení
Barva
Identifikátor typu TLOC.
Konfigurace na zdrojovém zařízení
ID domény
Identifikátor překryvné sítě Konfigurace na zdroji
doména.
zařízení
Encapsulation Tunel zapouzdření, buď konfigurace IPsec na zdroji
nebo GRE.
zařízení
Aplikační bod Upravit podle control-policy data-policy
kontrola-politika
control-policy data-policy control-policy
control-policy data-policy
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 17
Atributy Cisco Catalyst SD-WAN Route používané v zásadách
Konec politikyview
Funkce atributu TLOC
Aplikační bod nastaven
Původce
system-ip adresa původního uzlu.
Konfigurace na libovolném původci
Přednost
Preference výběru cesty OMP. Vyšší hodnota Konfigurace na zdroji je preferovanější cestou. zařízení
ID webu
Identifikace pro daný web. Konfigurace webu na zdroji může mít více uzlů nebo TLOC. zařízení
Tag
Identifikátor TLOC na libovolné libovolné konfiguraci na zdroji
základ.
zařízení
Aplikační bod Upravit podle control-policy
kontrola-politika
kontrola-politika
kontrola-politika
Atributy Cisco Catalyst SD-WAN Route používané v zásadách
Trasa Cisco Catalyst SD-WAN, definuje trasu v překryvné síti a je podobná standardní IP trase, má atributy TLOC a VPN. Zařízení Cisco vEdge si vyměňují trasy v aktualizacích OMP. Atributy tras uvedené níže lze porovnat nebo nastavit v zásadách Cisco SD-WAN Controller.
Tabulka 5:
Atribut trasy Předvolba původu původce
ID servisního webu Tag TLOC VPN
Funkce
Aplikační bod nastaven
Zdroj trasy, buď BGP, OSPF, připojený, statický.
Zdrojové zařízení
Zdroj aktualizace nesoucí cestu Libovolný původce.
Preference výběru cesty OMP. Vyšší hodnota Konfigurace na zdroji je preferovanějším zařízením nebo cestou zásad.
Inzerovaná služba spojená s konfigurací na zdroji
silnice.
zařízení
Identifikátor pro daný web. Web může mít Konfigurace na zdroji více uzlů nebo TLOC. zařízení
Identifikace na libovolném základě. Konfigurace na zdrojovém zařízení
TLOC použitý jako další skok na trase. Konfigurace na zdrojovém zařízení nebo zásadě
VPN, ke které trasa patří. Konfigurace na zdrojovém zařízení nebo zásadě
Aplikační bod Upravit podle control-policy
kontrola-politika
kontrola-politika
kontrola-politika
kontrola-politika
kontrola-politika
control-policy data-policy control-policy data-policy
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 18
Konec politikyview
Navrhněte zpracování a aplikaci zásad Cisco Catalyst SD-WAN Controller
Navrhněte zpracování a aplikaci zásad Cisco Catalyst SD-WAN Controller
Pochopení toho, jak jsou zásady Cisco SD-WAN Controller zpracovávány a aplikovány, umožňuje správný návrh zásad a hodnocení toho, jak jsou zásady implementovány v překryvné síti.
Zásady se zpracovávají následovně:
· Definice politiky se skládá z očíslované, uspořádané sekvence párů matchaction. V rámci každé zásady se párování zpracovává v sekvenčním pořadí, počínaje nejnižším číslem a postupně se zvyšuje.
· Jakmile dojde ke shodě, spárovaná entita podléhá nakonfigurované akci sekvence a poté již není předmětem dalšího zpracování.
· Jakákoli entita, která se v sekvenci neodpovídá, podléhá výchozí akci pro politiku. Ve výchozím nastavení je tato akce odmítnuta.
Zásady Cisco SD-WAN Controller se uplatňují na základě seznamu pro jednotlivé stránky, takže:
· Při použití zásad na seznam webů můžete použít pouze jednu z každého typu zásad. Napřample, můžete mít jednu kontrolní politiku a jednu datovou politiku nebo jednu kontrolní politiku dovnitř a jednu kontrolní politiku ven. Nemůžete mít dvě zásady dat nebo dvě zásady odchozího řízení.
· Protože seznam webů je seskupením mnoha webů, měli byste být opatrní při zařazování webu do více než jednoho seznamu webů. Pokud seznam webů obsahuje řadu identifikátorů webů, zajistěte, aby se nepřekrývaly. Pokud je stejný web součástí dvou seznamů webů a na oba seznamy webů je aplikován stejný typ zásad, chování zásad je nepředvídatelné a možná katastrofické.
· Zásady řízení jsou jednosměrné a jsou aplikovány buď příchozí do Cisco SD-WAN Controlleru, nebo z něj odchozí. Pokud je potřeba zásada řízení v obou směrech, nakonfigurujte dvě zásady řízení.
· Data-policy je obousměrná a lze ji aplikovat buď na provoz přijímaný ze strany služeb zařízení Cisco vEdge, na provoz přijímaný ze strany tunelu nebo na všechny tyto kombinace.
· Zásady členství VPN se vždy použijí na provoz odchozí z Cisco SD-WAN Controlleru.
· Zásady řízení zůstávají na řadiči Cisco SD-WAN a ovlivňují trasy, které řadič odesílá a přijímá.
· Zásady dat jsou odeslány buď do zařízení Cisco vEdge v seznamu lokalit. Zásada se odesílá v aktualizacích OMP a ovlivňuje datový provoz, který zařízení odesílají a přijímají.
· Když kterýkoli uzel v překryvné síti učiní rozhodnutí o směrování, použije všechny dostupné informace o směrování. V překryvné síti je to Cisco Catalyst SD-WAN Controller, který distribuuje informace o směrování do uzlů zařízení Cisco vEdge.
· V síťovém nasazení, které má dva nebo více řadičů Cisco Catalyst SD-WAN, každý řadič funguje nezávisle při šíření informací o směrování do jiných řadičů Cisco SD-WAN a do zařízení Cisco vEdge v překryvné síti. Aby bylo zajištěno, že politika Cisco SD-WAN Controlleru má požadovaný účinek v překryvné síti, musí být každý Cisco SD-WAN Controller nakonfigurován se stejnou politikou a tato politika musí být aplikována identicky. Pro každou danou zásadu musíte nakonfigurovat identickou zásadu a použít ji identicky na všechny řadiče Cisco SD-WAN.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 19
Provoz zásad Cisco Cisco Catalyst SD-WAN Controller
Konec politikyview
Poznámka: Při nasazení zásady se stav nasazení aktualizuje pouze po dobu 30 minut, což je časový limit pro zásady. Po uplynutí časového limitu není stav úlohy nasazení monitorován. Pokud nasazujete větší politiku s větším počtem řádků a trvá to déle než 30 minut, stav úlohy nebude monitorován.
Provoz zásad Cisco Cisco Catalyst SD-WAN Controller
Politika řízení na vysoké úrovni funguje na informacích o směrování, které jsou v síti Cisco Catalyst SD-WAN přenášeny v aktualizacích OMP. Zásady dat ovlivňují datový provoz a členství ve VPN řídí distribuci směrovacích tabulek VPN.
Základní zásady Cisco SD-WAN Controller jsou:
· Zásady kontroly
· Zásady údajů
· Členství ve VPN
Zásady kontroly
Řídicí politika, která je podobná standardní směrovací politice, funguje na trasách a směrovacích informacích v řídicí rovině překryvné sítě. Politika centralizovaného řízení, která je zřízena na Cisco SD-WAN Controller, je technika Cisco Catalyst SD-WAN pro přizpůsobení rozhodnutí o směrování v celé síti, která určují nebo ovlivňují cesty směrování přes překryvnou síť. Zásady místního řízení, které jsou poskytovány na zařízení Cisco vEdge, umožňují přizpůsobení rozhodnutí o směrování prováděných BGP a OSPF v místních pobočkových nebo podnikových sítích.
Informace o směrování, které tvoří základ politiky centralizovaného řízení, jsou přenášeny v reklamách směrování Cisco Catalyst SD-WAN, které jsou přenášeny prostřednictvím řídicích spojení DTLS nebo TLS mezi řadiči Cisco SD-WAN a zařízeními Cisco vEdge. Politika centralizovaného řízení určuje, které trasy a informace o trasách jsou umístěny do centralizované tabulky tras na Cisco SD-WAN Controller a které trasy a informace o trasách jsou inzerovány do zařízení Cisco vEdge v překryvné síti. Základní politika centralizovaného řízení stanoví dopravní inženýrství, aby se nastavila cesta, kterou provoz prochází sítí. Pokročilé zásady řízení podporují řadu funkcí, včetně řetězení služeb, které umožňuje zařízením Cisco vEdge v překryvné síti sdílet síťové služby, jako jsou brány firewall a nástroje pro vyrovnávání zatížení.
Politika centralizovaného řízení ovlivňuje trasy OMP, které jsou distribuovány řadičem Cisco SD-WAN v celé překryvné síti. Cisco SD-WAN Controller se učí topologii překryvné sítě z OMP tras, které jsou inzerovány zařízeními Cisco vEdge během OMP relací uvnitř DTLS nebo TLS připojení mezi Cisco SD-WAN Controllerem a zařízeními.
Tři typy tras OMP nesou informace, které Cisco SD-WAN Controller používá k určení topologie sítě:
Cisco Catalyst SD-WAN OMP směrování, které je podobné reklamám IP směrování, inzeruje informace o směrování, které se zařízení naučila z jejich místního umístění a místních směrovacích protokolů (BGP a OSPF) do řadiče Cisco SD-WAN. Tyto trasy se také označují jako trasy OMP nebo trasy.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 20
Konec politikyview
Zásady kontroly
· Trasy TLOC nesou překryvné vlastnosti lokátoru specifické pro síť, včetně IP adresy rozhraní, které se připojuje k transportní síti, barvy odkazu, která identifikuje tok provozu, a typu zapouzdření. (TLOC neboli transportní umístění je fyzické umístění, kde se zařízení Cisco vEdge připojuje k transportní síti. Je identifikováno primárně IP adresou, barvou odkazu a zapouzdřením, ale s TLOC je spojena řada dalších vlastností.)
· Trasy služeb inzerují síťové služby, jako jsou firewally, dostupné členům VPN na místním místě.
Obrázek 7: Topologie politiky řízení
Ve výchozím nastavení nejsou poskytovány žádné zásady centralizovaného řízení. V této holé, nehlídané síti jsou všechny trasy OMP umístěny do směrovací tabulky řadiče Cisco SD-WAN tak, jak jsou, a řadič Cisco SD-WAN propaguje všechny trasy OMP tak, jak jsou, do všech zařízení ve stejné VPN v síti. doména.
Zřízením zásady centralizovaného řízení můžete ovlivnit, které trasy OMP se umístí do směrovací tabulky Cisco SD-WAN Controller, jaké informace o trase budou zařízením inzerovány a zda budou trasy OMP upraveny před vložením do směrovací tabulky nebo před jejich umístěním. inzerované.
Zařízení Cisco vEdge umísťují všechny informace o trase získané z ovladačů Cisco SD-WAN do svých místních směrovacích tabulek pro použití při předávání datového provozu. Vzhledem k tomu, že úlohou Cisco SD-WAN Controlleru je být centralizovaným routovacím systémem v síti, Cisco vEdge nemůže nikdy upravovat informace o trase OMP, které se učí od Cisco SD-WAN Controllerů.
Cisco SD-WAN Controller pravidelně přijímá reklamy OMP směrování ze zařízení a po přepočítání a aktualizaci směrovacích cest přes překryvnou síť inzeruje zařízením nové směrovací informace.
Zásady centralizovaného ovládání, které poskytujete na Cisco SD-WAN Controller, zůstávají na Cisco SD-WAN Controller a nikdy se nestahují do zařízení. Rozhodnutí o směrování, která vyplývají z centralizované politiky řízení, jsou však předávána zařízením ve formě reklam na směrování, a tak se vliv politiky řízení odráží v tom, jak zařízení směrují datový provoz do svého cíle.
Typ politiky centralizovaného řízení nazývaný řetězení služeb umožňuje, aby byl datový provoz směrován přes jednu nebo více síťových služeb, jako je firewall, nástroj pro vyrovnávání zatížení a zařízení pro detekci a prevenci narušení (IDP), na cestě k cíli.
Politika lokalizovaného řízení, která je zajišťována lokálně na zařízeních, se nazývá politika směrování. Tato zásada je podobná zásadám směrování, které konfigurujete na běžném ovladači, a umožňuje vám upravit chování směrování BGP a OSPF v místní síti. Zatímco politika centralizovaného řízení ovlivňuje chování směrování v celé překryvné síti, politika směrování se vztahuje pouze na směrování v místní pobočce.
Zařízení Cisco Catalyst SD-WAN si pravidelně vyměňují aktualizace OMP, které přenášejí informace o směrování týkající se překryvné sítě. Dvě z věcí, které tyto aktualizace obsahují, jsou atributy Route a Transport Locations (TLOC).
Cisco SD-WAN Controller používá tyto atributy z aktualizací OMP k určení topologie a stavu překryvné sítě a instaluje směrovací informace o překryvné síti do své směrovací tabulky. Řadič poté inzeruje topologii překrytí zařízením Cisco vEdge v síti zasláním aktualizací OMP.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 21
Zásady kontroly
Konec politikyview
Řídicí politika zkoumá atributy Route a TLOC obsažené v aktualizacích OMP a může upravit atributy, které odpovídají zásadě. Jakékoli změny, které vyplývají ze zásad řízení, jsou aplikovány přímo, buď příchozí nebo odchozí.
Obrázek ukazuje zásadu ovládacího prvku s názvem prefer_local, která je nakonfigurována na řadiči Cisco SD-WAN Controller a která je aplikována na místo 1 (prostřednictvím seznamu stránek1) a na místo 2 (prostřednictvím seznamu stránek2).
Obrázek 8: Topologie politiky řízení
Device# apply-policy site-list list1 control-policy prefer_local in !
Šipka vlevo nahoře ukazuje, že zásada je aplikována na web 1 – konkrétněji na seznam webů list1, který obsahuje záznam pro web 1. Příkaz control-policy prefer_local in se používá k aplikování zásady na aktualizace OMP, které přicházejí. do Cisco SD-WAN Controlleru ze zařízení Cisco vEdge, které je příchozí z pohledu řadiče. Klíčové slovo in označuje příchozí politiku. Takže pro všechny aktualizace OMP, které zařízení Site 1 odesílají do Cisco SD-WAN Controlleru, je aplikována zásada „prefer_local“, než se aktualizace dostanou do směrovací tabulky na Cisco SD-WAN Controlleru. Pokud některé atributy Route nebo TLOC v aktualizaci OMP odpovídají zásadám, ke všem změnám, které vyplývají z akcí zásad, dojde předtím, než Cisco SD-WAN Controller nainstaluje informace o aktualizaci OMP do své směrovací tabulky.
Směrovací tabulka na Cisco SD-WAN Controller se používá k určení topologie překryvné sítě. Cisco SD-WAN Controller pak tyto informace o topologii distribuuje, opět prostřednictvím aktualizací OMP, do všech zařízení v síti. Protože použití zásad v příchozím směru ovlivňuje informace dostupné pro Cisco SD-WAN Controller. Určuje topologii sítě a dosažitelnost sítě a upravuje atributy Route a TLOC před jejich umístěním do směrovací tabulky řídicí jednotky.
apply-policy site-list list2 control-policy prefer_local out !
Na pravé straně výše uvedeného obrázku je na web 2 aplikována zásada „prefer_local“ prostřednictvím příkazu control-policy prefer_local out. Klíčové slovo out v příkazu označuje odchozí zásadu, což znamená, že tato zásada je aplikována na aktualizace OMP, které Cisco SD-WAN Controller odesílá do zařízení na Místě 2. Jakékoli změny, které vyplývají ze zásady, se projeví poté, co informace z směrovací tabulka Cisco SD-WAN Controlleru je umístěna do aktualizace OMP a předtím, než zařízení obdrží aktualizaci. Opět si všimněte, že směr je odchozí z perspektivy Cisco SD-WAN Controlleru.
Na rozdíl od příchozí politiky, která ovlivňuje centralizovanou směrovací tabulku na Cisco SD-WAN Controlleru a má široký vliv na atributy směrování inzerované všem zařízením v překryvné síti. Zásada řízení aplikovaná v odchozím směru ovlivňuje pouze směrovací tabulky na jednotlivých zařízeních zahrnutých v seznamu lokalit.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 22
Konec politikyview
Zásady údajů
Na příchozí i odchozí aktualizace OMP se použije stejná zásada řízení (zásada prefer_local). Účinky použití stejných zásad na příchozí a odchozí se však liší. Použití znázorněné na obrázku ilustruje flexibilitu architektury a konfigurace politiky řízení Cisco Catalyst SD-WAN.
Zásady údajů
Datová politika ovlivňuje tok datového provozu procházející sítí buď na základě polí v hlavičce IP paketů nebo rozhraní routeru, na kterém je provoz přenášen nebo přijímán. Datový provoz se mezi zařízeními Cisco vEdge šíří přes připojení IPsec, která jsou na sousedním obrázku znázorněna fialovou barvou.
Architektura Cisco Catalyst SD-WAN implementuje dva typy datových zásad:
· Centralizovaná datová politika řídí tok datového provozu na základě zdrojových a cílových adres a portů a polí DSCP v IP hlavičce paketu (označované jako 5-tiple) a na základě segmentace sítě a členství ve VPN. Tyto typy datových zásad jsou poskytovány centrálně na řadiči Cisco SD-WAN Controller a ovlivňují tok provozu v celé síti.
· Politika lokalizovaných dat řídí tok datového provozu do az rozhraní a front rozhraní na zařízení Cisco vEdge. Tento typ datových zásad je zajišťován lokálně pomocí přístupových seznamů. Umožňuje klasifikovat provoz a mapovat různé třídy do různých front. Umožňuje také zrcadlit provoz a kontrolovat rychlost přenosu a příjmu dat.
Ve výchozím nastavení nejsou poskytovány žádné zásady centralizovaných dat. Výsledkem je, že všechny předpony v rámci VPN jsou dostupné odkudkoli ve VPN. Zásady zajišťování centralizovaných dat vám umožňují použít 6násobný filtr, který řídí přístup mezi zdroji a cíli.
Stejně jako u zásad centralizovaného řízení poskytujete centralizované zásady pro data na řadiči Cisco SD-WAN a tato konfigurace zůstává na řadiči Cisco SD-WAN. Účinky datové politiky se odrážejí v tom, jak zařízení Cisco vEdge směrují datový provoz do cíle. Na rozdíl od kontrolních zásad jsou však centralizované datové politiky vkládány do zařízení způsobem pouze pro čtení. Nejsou přidány do konfigurace routeru file, ale můžete view z CLI na routeru.
Bez poskytování přístupových seznamů na zařízení Cisco vEdge je veškerý datový provoz přenášen rychlostí linky a se stejnou důležitostí pomocí jedné z front rozhraní. Pomocí přístupových seznamů můžete zřídit třídu služeb, která vám umožní klasifikovat datový provoz podle důležitosti, rozložit jej do různých front rozhraní a řídit rychlost přenosu různých tříd provozu. Můžete zajistit policejní činnost. Můžete také zajistit zrcadlení paketů.
Datová politika zkoumá pole v hlavičkách datových paketů, dívá se na zdrojové a cílové adresy a porty a na hodnoty protokolu a DSCP, a pro shodu paketů může různými způsoby modifikovat další skok nebo na něj použít policistu. pakety. Zásady dat jsou nakonfigurovány a aplikovány na řadiči Cisco SD-WAN Controller a poté jsou přenášeny v aktualizacích OMP na zařízení Cisco vEdge v seznamu webů, pro které je zásada
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 23
Provoz zásad členství VPN
Konec politikyview
aplikováno na. Operace shody a všechny výsledné akce se provádějí na zařízeních, když vysílá nebo přijímá datový provoz.
Na obrázku Topologie datových zásad je datová zásada s názvem „change_next_hop“ aplikována na seznam webů, které zahrnují Site 3. Aktualizace OMP, kterou Cisco SD-WAN Controller posílá do zařízení na Site 3, zahrnuje tuto definici zásady. Když zařízení odešle nebo přijme datový provoz, který odpovídá zásadě, změní další skok na zadaný TLOC. Neodpovídající provoz je přesměrován do původního dalšího skoku TLOC.
Obrázek 9: Topologie datové politiky
V příkazu apply-policy pro zásadu dat zadejte směr z pohledu zařízení. Směr „vše“ na obrázku aplikuje politiku na příchozí a odchozí datový provoz procházející rozhraním tunelu. Rozsah zásady můžete omezit pouze na příchozí provoz pomocí příkazu data-policy change_next_hop from-tunnel nebo pouze na odchozí provoz pomocí příkazu data-policy change_next_hop from-service.
Provoz zásad členství VPN
Zásady členství VPN, jak název napovídá, ovlivňují směrovací tabulky VPN, které jsou distribuovány do konkrétních zařízení Cisco vEdge. V překryvné síti bez zásad členství ve VPN přenáší Cisco Catalyst SD-WAN Controller trasy pro všechny VPN do všech zařízení. Pokud váš model obchodního využití omezuje účast konkrétních zařízení v konkrétních sítích VPN, k vynucení tohoto omezení se použije zásada členství ve VPN. Obrázek Topologie členství VPN ukazuje, jak zásady členství VPN fungují. Tato topologie má tři zařízení Cisco vEdge:
· Zařízení Cisco vEdge na lokalitách 1 a 2 obsluhují pouze VPN 2. · Zařízení Cisco vEdge na webu 3 obsluhují VPN 1 i VPN 2.
Na obrázku zařízení na místě 3 přijímá všechny aktualizace trasy z Cisco SD-WAN Controller, protože tyto aktualizace jsou pro VPN 1 i VPN 2. Protože však ostatní zařízení Cisco vEdge obsluhují pouze VPN
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 24
Konec politikyview
Konfigurace a provádění zásad Cisco SD-WAN Controller
2, může filtrovat aktualizace tras, které jim byly zaslány, odstranit trasy spojené s VPN 1 a odeslat pouze ty, které se týkají VPN 2.
Obrázek 10: Topologie členství VPN
Všimněte si, že zde není nastaven směr při použití zásad členství VPN. Řadič Cisco SD-WAN vždy aplikuje tento typ zásad na aktualizace OMP, které odesílá mimo zařízení Cisco vEdge.
Konfigurace a provádění zásad Cisco SD-WAN Controller
Všechny zásady Cisco SD-WAN Controller se konfigurují na zařízeních Cisco vEdge pomocí kombinace definice zásad a seznamů. Všechny zásady Cisco SD-WAN Controller jsou také aplikovány na zařízení Cisco vEdge, s kombinací aplikovatelných zásad a seznamů. Kde se však skutečná zásada Cisco SD-WAN Controller spustí, závisí na typu zásady, jak ukazuje tento obrázek:
Obrázek 11: Zásady řadiče Cisco SD-WAN
U zásad řízení a zásad členství VPN zůstává celá konfigurace zásad na řadiči Cisco SD-WAN a akce provedené v důsledku tras nebo sítí VPN, které odpovídají zásadám, se provádějí na řadiči Cisco SD-WAN. U ostatních tří typů zásad – směrování s ohledem na aplikace, šablony cflowd a zásady dat – se zásady přenášejí v aktualizacích OMP do zařízení Cisco vEdge a veškeré akce provedené v důsledku zásad se provádějí na zařízeních.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 25
Konfigurace a provádění zásad Cisco SD-WAN Controller
Konec politikyview
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 26
Centralizovaná politika
4 KAPITOLA
Poznámka K dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.
Témata v této části poskytují více informacíview informace o různých typech centralizovaných zásad, součástech centralizovaných zásad a o tom, jak nakonfigurovat centralizované zásady pomocí Cisco SD-WAN Manager nebo CLI.
· Přesview centralizovaných zásad, na straně 27 · Konfigurace centralizovaných zásad pomocí Cisco SD-WAN Manager, na straně 28 · Konfigurace centralizovaných zásad pomocí rozhraní CLI, na straně 61 · Konfigurace centralizovaných zásad Př.amples, na straně 64 · Ověřte konfiguraci zásad centralizovaného řízení, na straně 71
Nadview centralizovaných politik
Centralizované zásady označují zásady, které jsou poskytovány na ovladačích Cisco SD-WAN, což jsou centralizované ovladače v překryvné síti Cisco Catalyst SD-WAN.
Typy centralizovaných politik
Politika centralizované kontroly
Politika centralizovaného řízení se vztahuje na směrování provozu v celé síti tím, že ovlivňuje informace, které jsou uloženy ve směrovací tabulce Cisco Catalyst SD-WAN Controller a které jsou inzerovány do zařízení Cisco vEdge. Účinky politiky centralizovaného řízení jsou vidět v tom, jak zařízení Cisco vEdge směrují datový provoz překryvné sítě do cíle.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 27
Nakonfigurujte centralizované zásady pomocí Cisco SD-WAN Manager
Centralizovaná politika
Poznámka Samotná konfigurace zásad centralizovaného řízení zůstává na řadiči Cisco Catalyst SD-WAN Controller a nikdy není přenesena na místní zařízení.
Zásady centralizovaných dat Zásady centralizovaných dat se vztahují na tok datového provozu napříč sítěmi VPN v překryvné síti. Tyto zásady mohou povolovat a omezovat přístup buď na základě 6-ti shody (zdrojové a cílové IP adresy a porty, pole DSCP a protokol) nebo na základě členství ve VPN. Tyto zásady se předají vybraným zařízením Cisco vEdge.
Centralizovaná datová politika založená na polích záhlaví paketů Rozhodnutí o politice ovlivňující datový provoz mohou být založena na polích záhlaví paketů, konkrétně na zdrojových a cílových IP prefixech, zdrojových a cílových IP portech, protokolu a DSCP. Tento typ zásad se často používá k úpravě toku provozu v síti. Zde jsou některé exampněkolik typů kontroly, které lze provést pomocí centralizované datové politiky:
· Která sada zdrojů může posílat provoz do libovolného cíle mimo místní web. Napřample, místní zdroje, které jsou odmítnuty takovou datovou politikou, mohou komunikovat pouze s hostiteli v místní síti.
· Která sada zdrojů může posílat provoz do konkrétní sady cílů mimo místní lokalitu. NapřampMístní zdroje, které odpovídají tomuto typu datové politiky, mohou posílat hlasový provoz jednou cestou a datový provoz druhou.
· Které zdrojové adresy a zdrojové porty mohou posílat provoz do libovolného cíle mimo místní lokalitu nebo na konkrétní port v konkrétním cíli.
Nakonfigurujte centralizované zásady pomocí Cisco SD-WAN Manager
Chcete-li nakonfigurovat centralizovanou zásadu, použijte průvodce konfigurací zásad Cisco SD-WAN Manager. Průvodce se skládá z následujících operací, které vás provedou procesem vytváření a úprav součástí zásad:
· Vytvářejte skupiny zájmů: Vytvářejte seznamy, které seskupují související položky a které vyvoláváte v komponentách shody nebo akce zásady.
· Konfigurace topologie a členství VPN: Vytvořte strukturu sítě, na kterou se zásady vztahují.
· Konfigurace pravidel provozu: Vytvořte podmínky shody a akce zásady.
· Použít zásady na weby a sítě VPN: Přiřaďte zásady k webům a sítím VPN v překryvné síti.
· Aktivujte centralizovanou politiku. Aby se centralizovaná zásada projevila, musíte ji aktivovat.
Chcete-li nakonfigurovat centralizované zásady pomocí Cisco SD-WAN Manager, použijte kroky uvedené v postupech, které následují po této části.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 28
Centralizovaná politika
Spusťte Průvodce konfigurací zásad
Spusťte Průvodce konfigurací zásad
Spuštění průvodce konfigurací zásad: 1. Z nabídky Cisco SD-WAN Manager zvolte Konfigurace > Zásady. 2. Klepněte na Centralizované zásady. 3. Klepněte na Přidat zásady.
Zobrazí se průvodce konfigurací zásady a zobrazí se okno Vytvořit skupiny zájmů.
Konfigurace zájmových skupin pro centralizovanou politiku
V části Vytvořit zájmové skupiny vytvořte nové skupiny typů seznamů, jak je popsáno v následujících částech, a použijte je v centralizovaných zásadách:
Konfigurace aplikace 1. V seznamu skupin zájmů klikněte na Typ seznamu aplikací. 2. Klepněte na Nový seznam aplikací. 3. Zadejte název seznamu. 4. Vyberte buď Application nebo Application Family.
Aplikace mohou být názvy jedné nebo více aplikací, jako je Third Party Control, ABC News, Mircosoft Teams a tak dále. Zařízení Cisco vEdge podporují asi 2300 různých aplikací. Chcete-li zobrazit seznam podporovaných aplikací, použijte ? v CLI. Rodina aplikací může být jedna nebo více z následujících: antivirus, aplikační služba, audio_video, autentizace, chování, komprese, databáze, šifrované, erp, file-server, file-přenos, fórum, hra, rychlé zasílání zpráv, pošta, microsoft-office, middleware, správa sítě, síťová služba, peer-to-peer, tiskárna, směrování, bezpečnostní služba, standardní, telefonování, terminál, tenký klient , tunelování, wap, weba webpošta. 5. V rozevíracím seznamu Vybrat ve filtru „Hledat“ vyberte požadované aplikace nebo rodiny aplikací. 6. Klepněte na Přidat.
Několik seznamů aplikací je předkonfigurováno. Tyto seznamy nemůžete upravovat ani mazat. Microsoft_Apps – Zahrnuje aplikace společnosti Microsoft, jako je Excel, Skype a Xbox. Chcete-li zobrazit úplný seznam aplikací společnosti Microsoft, klikněte na seznam ve sloupci Záznamy. Google_Apps – zahrnuje aplikace Google, jako je gmail, mapy Google a YouTube. Chcete-li zobrazit úplný seznam aplikací Google, klikněte na seznam ve sloupci Záznamy.
Konfigurace barev 1. V seznamu skupin zájmů klikněte na Barva. 2. Klepněte na Nový seznam barev. 3. Zadejte název seznamu. 4. V rozevíracím seznamu Vybrat barvu ve filtru „Hledat“ vyberte požadované barvy.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 29
Konfigurace zájmových skupin pro centralizovanou politiku
Centralizovaná politika
Barvy mohou být: 3g, biz-internet, modrá, bronzová, custom1 až custom3, default, zlatá, zelená, lte, metro-ethernet, mpls, private1 až private6, public-internet, červená a stříbrná. 5. Klepněte na tlačítko Přidat.
Chcete-li nakonfigurovat více barev v jednom seznamu, můžete vybrat více barev z rozevíracího seznamu.
Nakonfigurujte komunitu
Tabulka 6: Historie funkcí
Název funkce
Informace o vydání
Popis
Schopnost spárovat a nastavit komunity
Cisco SD-WAN Release Tato funkce vám umožňuje spárovat a nastavit používání komunit
20.5.1
kontrolní politiku. Jsou definovány zásady kontroly a
Cisco IOS XE Catalyst aplikovaný na zařízení k manipulaci s komunitami.
SD-WAN Release 17.5.1a Pomocí této funkce můžete spárovat a přiřadit jednotlivé nebo
Cisco vManage Release 20.5.1
více komunit BGP tags na vaše předpony, na základě kterých lze manipulovat se zásadami směrování.
Seznam komunit se používá k vytvoření skupin komunit, které se použijí ve srovnávací klauzuli mapy trasy. Seznam komunity lze použít ke kontrole, které trasy jsou přijímány, preferovány, distribuovány nebo inzerovány. Můžete také použít seznam komunit k nastavení, připojení nebo úpravě komunit na trase. 1. V seznamu zájmových skupin klikněte na Komunita.
2. Klikněte na Nový seznam komunit.
3. Zadejte název seznamu komunit.
4. Vyberte buď Standardní, nebo Rozšířené. · Pro specifikaci komunit a čísel komunit se používají standardní seznamy komunit.
· Rozšířené seznamy komunit se používají k filtrování komunit pomocí regulárního výrazu. Regulární výrazy se používají k určení vzorů, které odpovídají atributům komunity.
5. Do pole Přidat komunitu zadejte jednu nebo více předpon dat oddělených čárkami v kterémkoli z následujících formátů:
· aa:nn: Číslo autonomního systému (AS) a číslo sítě. Každé číslo je 2bajtová hodnota s rozsahem od 1 do 65535.
· internet: Trasy v této komunitě jsou inzerovány internetové komunitě. Tato komunita zahrnuje všechna síťová zařízení hovořící BGP.
· local-as: Trasy v této komunitě nejsou inzerovány mimo místní číslo AS.
· no-advertise: Připojuje komunitu NO_ADVERTISE k trasám. Trasy v této komunitě nejsou inzerovány jiným BGP kolegům.
· no-export: Připojuje komunitu NO_EXPORT k trasám. Trasy v této komunitě nejsou inzerovány mimo místní AS nebo mimo hranice konfederace BGP. Chcete-li nakonfigurovat více komunit BGP v jednom seznamu, zahrňte více možností komunity a v každé možnosti uveďte jednu komunitu.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 30
Centralizovaná politika
Konfigurace zájmových skupin pro centralizovanou politiku
6. Klepněte na Přidat.
Konfigurace předpony dat 1. V seznamu Zájmové skupiny klikněte na Předpona dat. 2. Klepněte na Nový seznam datových prefixů. 3. Zadejte název seznamu. 4. Vyberte buď IPv4 nebo IPv6. 5. Do pole Přidat předponu dat zadejte jednu nebo více předpon dat oddělených čárkami. 6. Klepněte na Přidat.
Konfigurace Policisty 1. V seznamu zájmových skupin klikněte na Policista. 2. Klikněte na Nový seznam policistů. 3. Zadejte název seznamu. 4. Definujte parametry kontroly:
A. Do pole Burst zadejte maximální velikost shluku provozu, hodnotu od 15,000 10,000,000 do XNUMX XNUMX XNUMX bajtů. b. V poli Exceed vyberte akci, která se má provést, když je překročena velikost série nebo rychlost provozu. Může být
drop, který nastaví prioritu ztráty paketů (PLP) na nízkou. Pomocí akce poznámky můžete nastavit prioritu ztráty paketů (PLP) na vysokou. C. Do pole Rychlost zadejte maximální přenosovou rychlost, hodnotu od 0 do 264 1 bitů za sekundu (bps).
5. Klepněte na Přidat.
Konfigurace předpony 1. V seznamu zájmových skupin klikněte na Předponu. 2. Klepněte na Nový seznam prefixů. 3. Zadejte název seznamu. 4. Do pole Přidat předponu zadejte jednu nebo více předpon dat oddělených čárkami. 5. Klepněte na Přidat.
Konfigurace webu 1. V seznamu skupin zájmů klikněte na položku Místo. 2. Klikněte na Nový seznam stránek. 3. Zadejte název seznamu. 4. Do pole Přidat web zadejte jedno nebo více ID webu oddělených čárkami.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 31
Konfigurace zájmových skupin pro centralizovanou politiku
Centralizovaná politika
Napřample, 100 nebo 200 oddělené čárkami nebo v rozsahu 1- 4294967295. 5. Klepněte na Přidat.
Konfigurace třídy sondy aplikace 1. V seznamu zájmových skupin klikněte na Třída sondy aplikace. 2. Klikněte na Nová třída sondy aplikace. 3. Zadejte název třídy sondy do pole Název třídy sondy. 4. Vyberte požadovanou třídu předávání z rozevíracího seznamu Třída předávání. 5. V podokně Záznamy vyberte příslušnou barvu z rozevíracího seznamu Barva a zadejte hodnotu DSCP.
V případě potřeby můžete přidat další položky kliknutím na symbol +. 6. Klikněte na Uložit.
Konfigurace třídy SLA 1. V seznamu zájmových skupin klikněte na Třída SLA. 2. Klepněte na Nový seznam tříd SLA. 3. Zadejte název seznamu. 4. Definujte parametry třídy SLA:
A. Do pole Ztráta zadejte maximální ztrátu paketů na připojení, hodnotu od 0 do 100 procent.
b. Do pole Latency zadejte maximální latenci paketu na připojení, hodnotu od 0 do 1,000 XNUMX milisekund.
C. Do pole Jitter zadejte maximální jitter na připojení, hodnotu od 1 do 1,000 XNUMX milisekund.
d. Z rozevíracího seznamu App Probe Class vyberte požadovanou třídu sondy aplikace.
5. (Volitelné) Zaškrtnutím políčka Fallback Best Tunnel povolíte nejlepší kritéria tunelu. Tato volitelná filed je k dispozici od Cisco SD-WAN Release 20.5.1 pro výběr nejlepší cesty nebo barvy z dostupných barev, když není splněna SLA. Když je vybrána tato možnost, můžete si z rozevírací nabídky vybrat požadovaná kritéria. Kritéria jsou kombinací jedné nebo více hodnot ztráty, latence a jitteru.
6. Vyberte Kritéria z rozevíracího seznamu. Dostupná kritéria jsou: · Latence · Ztráta · Jitter · Latence, Ztráta · Latence, Jitter
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 32
Centralizovaná politika
Konfigurace zájmových skupin pro centralizovanou politiku
· Ztráta, Latence · Ztráta, Jitter · Jitter, Latence · Jitter, Ztráta · Latence, Ztráta, Jitter · Latence, Jitter, Ztráta · Ztráta, Latence, Jitter · Ztráta, Jitter, Latence · Jitter, Latence, Ztráta · Jitter, Ztráta , Latence
7. Zadejte odchylku ztráty (%), odchylku latence (ms) a odchylku jitteru (ms) pro vybraná kritéria.
8. Klepněte na Přidat.
Konfigurace TLOC 1. V seznamu zájmových skupin klikněte na TLOC. 2. Klepněte na Nový seznam TLOC. Zobrazí se vyskakovací okno TLOC List. 3. Zadejte název seznamu. 4. Do pole TLOC IP zadejte systémovou IP adresu pro TLOC. 5. V poli Barva vyberte barvu TLOC. 6. V poli Encap vyberte typ zapouzdření. 7. V poli Preference volitelně vyberte předvolbu, kterou chcete přiřadit k TLOC.
Rozsah je 0 až 4294967295. 8. Klepnutím na Přidat TLOC přidáte do seznamu další TLOC. 9. Klepněte na Uložit.
Poznámka Chcete-li použít příkazy set tloc a set tloc-list, musíte použít příkaz set-vpn.
Pro každý TLOC zadejte jeho adresu, barvu a zapouzdření. Volitelně nastavte hodnotu preference (od 0 do 232 1), která se má přiřadit k adrese TLOC. Když použijete seznam TLOC v podmínce přijetí akce, když je k dispozici více TLOC a splňují podmínky shody, použije se TLOC s nejvyšší hodnotou preference. Pokud mají dva nebo více TLOC nejvyšší preferenční hodnotu, je mezi nimi provoz posílán způsobem ECMP.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 33
Integrace WAN Insight (WANI) do Cisco SD-WAN Manager
Centralizovaná politika
Konfigurace VPN 1. V seznamu zájmových skupin klikněte na VPN. 2. Klepněte na Nový seznam VPN. 3. Zadejte název seznamu. 4. Do pole Přidat VPN zadejte jedno nebo více ID VPN oddělených čárkami.
Napřample, 100 nebo 200 oddělené čárkami nebo v rozsahu 1- 65530. 5. Klepněte na Přidat.
Konfigurace minimálního vydání regionu: Cisco vManage Release 20.7.1 Chcete-li nakonfigurovat seznam regionů pro Multi-Region Fabric (dříve Hierarchical SD-WAN), ujistěte se, že je Multi-Region Fabric povoleno v Administrace > Nastavení. 1. V seznamu skupin zájmů klikněte na Region. 2. Klepněte na Nový seznam regionů. 3. Do pole Název seznamu regionů zadejte název seznamu regionů. 4. Do pole Přidat oblast zadejte jednu nebo více oblastí oddělených čárkami nebo zadejte rozsah.
Napřample, určete oblasti 1, 3 čárkami nebo rozsahem 1-4. 5. Klepněte na tlačítko Přidat.
Klepnutím na tlačítko Další přejděte v průvodci na položku Konfigurace topologie a členství VPN.
Integrace WAN Insight (WANI) do Cisco SD-WAN Manager
Tabulka 7: Historie funkcí
Název funkce
Informace o vydání
Popis
Automatizace zásad WAN Insight
Cisco IOS XE Catalyst SD-WAN Pomocí této funkce můžete použít
Vydání 17.12.1a
doporučení, která jsou k dispozici
Vydání Cisco Catalyst SD-WAN Manager 20.12.1
na Cisco SD-WAN Analytics na zásady AAR Cisco SD-WAN Manager a view aplikované
doporučení na Cisco
Správce SD-WAN.
Cisco SD-WAN Analytics je cloudová analytická služba pro Cisco Catalyst SD-WAN, která nabízí komplexní pohled na výkon aplikací a sítě. Analytická služba je dostupná s Cisco DNA Advantage a předplatné softwaru Cisco DNA Premier. Cisco SD-WAN Analytics shromažďuje a ukládá metadata o dopravních tocích ve svém cloudovém úložišti a na základě těchto shromážděných dat vytváří analýzy. Predictive Path Analytics generuje doporučení pro cestu na základě dlouhodobých statistik. Tato doporučení je třeba převést na zásady vytvořené ručně v aplikaci Cisco SD-WAN Manager a poté je aplikovat na síť.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 34
Centralizovaná politika
Doporučení prediktivní cesty
Funkce Predictive Path Recommendations vám umožňuje aplikovat aktivní doporučení na použitelnou centralizovanou politiku AAR a ovlivnit tak rozhodnutí o předávání v síti Cisco Catalyst SD-WAN. Doporučení jsou aplikována jako součást zásad AAR a poté odeslána do Cisco SD-WAN Controlleru. Doporučení prediktivní cesty jsou aplikována na síť SD-WAN jako preference TLOC v zásadách AAR.
Další informace o používání doporučení prediktivních cest naleznete v části Doporučení prediktivních cest.
Použijte doporučení prediktivní cesty
Pokud jsou v Cisco SD-WAN Analytics k dispozici doporučení prediktivní cesty, proveďte následující kroky, abyste tato doporučení aplikovali na zásady směrování Application-Aware:
1. V nabídce Cisco SD-WAN Manager klikněte na ikonu zvonku v pravém horním rohu. Zobrazí se panel Oznámení s aktivními alarmy.
2. Pokud jsou v podokně Oznámení nějaká aktivní doporučení, klikněte na web view doporučení. Případně můžete view v nabídce Cisco SD-WAN Manager klikněte na Analytics > Prediktivní sítě.
3. Klepněte na Aktivní doporučení a poté klepněte na Použít.
4. V okně Apply Predictive Path Recommendations (Použít doporučení prediktivní cesty) klepněte na tlačítko Proceed to Apply (Pokračovat k použití), abyste použili nová doporučení.
Můžete znovuview aplikovaná doporučení v Cisco SD-WAN Manager vygenerovala konfigurace a předala doporučení Cisco SD-WAN Controlleru.
Body ke zvážení
· Cisco SD-WAN Manager stahuje doporučení, když se přihlásíte. Pokud chcete doporučení aktualizovat, obnovte stránku nebo se znovu přihlaste.
· Cisco SD-WAN Manager podporuje doporučení pro seznamy aplikací, které jsou spojeny pouze s některými zásadami AAR. Pokud pro daný seznam aplikací neexistuje zásada AAR, doporučení nejsou platná a zpracování zásad se neprovádí.
· WAN Insights generuje doporučení pro standardní skupiny aplikací, i když nejsou definovány zásady AAR. Automatizace zásad se však neprovádí, protože zásada AAR není definována.
· Pokud pro stejný web a seznam aplikací WANI vygeneruje ukončení pro doporučení, které se použije, a také vygeneruje další doporučení, doporučení se použijí na základě preferencí.
· Aplikace doporučení WANI pro Cloud OnRamp pro SaaS není podporováno.
Doporučení prediktivní cesty
WAN Insights (WANI) vám umožňuje sledovat výkon vašeho aktuálního nastavení sítě a vyladit vaše zásady a cesty, abyste dosáhli co nejlepší uživatelské zkušenosti. Doporučení prediktivní cesty ovlivňují preference TLOC politiky AAR.
WAN Insights je prediktivní nástroj pro optimalizaci sítě, který využívá statistický model ke zkoumání historických dat z Cisco Catalyst SD-WAN, aby našel nejlepší cesty pro provoz aplikací. WANI analyzuje telemetrická data exportovaná během aplikačních toků provozu a poté generuje dlouhodobá doporučení pro cesty, které by snížily pravděpodobnost porušení SLA (např.ample, nekvalitní výkon).
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 35
Konfigurace topologie a členství ve VPN
Centralizovaná politika
Prediktivní síť přidruží určitou smlouvu SLA ke každému seznamu aplikací, který je definován v zásadě AAR, za účelem zjištění porušení smlouvy SLA pro aplikace. To se používá k výpočtu pravděpodobnosti porušení SLA na daném místě a TLOC a generuje doporučení. Další informace o konfiguraci zájmových skupin pro zásady dat najdete v tématu Konfigurace zájmových skupin pro centralizované zásady.
Konfigurace topologie a členství ve VPN
Když poprvé otevřete okno Konfigurace topologie a členství VPN, ve výchozím nastavení se zobrazí okno Topologie. Konfigurace topologie a členství VPN: Hub-and-Spoke 1. V rozevíracím seznamu Přidat topologii vyberte Hub-and-Spoke. 2. Zadejte název zásady hub-and-spoke. 3. Zadejte popis zásady. 4. V poli Seznam VPN vyberte seznam VPN pro zásadu. 5. V levém podokně klikněte na Add Hub-and-Spoke. Komponenta zásady hub-and-spoke obsahující text
řetězec My Hub-and-Spoke je přidán do levého panelu. 6. Poklepejte na textový řetězec My Hub-and-Spoke a zadejte název součásti zásad. 7. V pravém podokně přidejte do topologie sítě lokality hub:
A. Klikněte na Přidat stránky centra. b. V poli Seznam webů vyberte seznam webů pro komponentu zásad. C. Klepněte na tlačítko Přidat. d. Opakujte tyto kroky, chcete-li přidat další lokality rozbočovače do součásti zásad.
8. V pravém podokně přidejte paprsková místa do topologie sítě: a. Klikněte na Přidat mluvené weby. b. V poli Seznam webů vyberte seznam webů pro komponentu zásad. C. Klepněte na tlačítko Přidat. d. Opakujte tyto kroky, chcete-li přidat další mluvené weby do součásti zásad.
9. Opakujte kroky podle potřeby pro přidání dalších komponent do zásady hub-and-spoke. 10. Klikněte na Save Hub-and-Spoke Policy.
Síť 1. V rozevíracím seznamu Přidat topologii vyberte Síť. 2. Zadejte název pro komponentu politiky síťové oblasti. 3. Zadejte popis komponenty politiky síťové oblasti.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 36
Centralizovaná politika
Konfigurace topologie a členství ve VPN
4. V poli Seznam VPN vyberte seznam VPN pro zásadu. 5. Klepněte na Nová síťová oblast. 6. Do pole Název oblasti sítě zadejte název jednotlivé oblasti sítě. 7. V poli Seznam webů vyberte jedno nebo více webů, které chcete zahrnout do oblasti sítě. 8. Klepněte na Přidat. 9. Opakováním těchto kroků přidejte do zásady další oblasti sítě. 10. Klepněte na Uložit topologii sítě.
Custom Control (Route & TLOC): Centralizovaná politika řízení trasy (pro odpovídající trasy OMP) 1. V rozevíracím seznamu Přidat topologii vyberte Custom Control (Route & TLOC). 2. Zadejte název zásady řízení. 3. Zadejte popis zásady. 4. V levém podokně klikněte na Typ sekvence. Zobrazí se vyskakovací okno Add Custom Control Policy. 5. Vyberte možnost Trasa. V levém podokně je přidána komponenta zásad obsahující textový řetězec Route. 6. Poklepejte na textový řetězec Route a zadejte název součásti zásady. 7. V pravém podokně klikněte na Pravidlo sekvence. Otevře se pole Shoda/Akce a ve výchozím nastavení je vybrána Shoda. 8. Z polí pod polem Shoda vyberte požadovaný typ shody zásad. Poté vyberte nebo zadejte
hodnotu pro danou podmínku shody. Podle potřeby nakonfigurujte další podmínky shody pro pravidlo sekvence. 9. Klepněte na Akce. Ve výchozím nastavení je vybrána možnost Odmítnout. Chcete-li nakonfigurovat akce, které mají být provedeny při přijetí
pakety, klepněte na možnost Přijmout. Poté vyberte akci nebo zadejte hodnotu akce. 10. Klikněte na Uložit shodu a akce. 11. Kliknutím na Pravidlo sekvence nakonfigurujete podle potřeby další pravidla sekvence. Přetažením změníte jejich pořadí. 12. Klepněte na Typ sekvence pro konfiguraci dalších sekvencí podle potřeby. Přetažením změníte jejich pořadí. 13. Klepněte na Uložit zásady řízení.
Custom Control (Route & TLOC): Centralizovaná politika řízení TLOC (pro shodu tras TLOC) 1. V rozevíracím seznamu Přidat topologii vyberte Custom Control (Route & TLOC). 2. Zadejte název zásady řízení. 3. Zadejte popis zásady. 4. V levém podokně klikněte na Typ sekvence. Zobrazí se vyskakovací okno Add Custom Control Policy. 5. Vyberte TLOC. V levém podokně je přidána komponenta zásad obsahující textový řetězec TLOC. 6. Poklepejte na textový řetězec TLOC a zadejte název komponenty politiky. 7. V pravém podokně klikněte na Pravidlo sekvence. Otevře se pole Shoda/Akce a ve výchozím nastavení je vybrána Shoda. 8. Z polí pod polem Shoda vyberte požadovaný typ shody zásad. Poté vyberte nebo zadejte
hodnotu pro danou podmínku shody. Podle potřeby nakonfigurujte další podmínky shody pro pravidlo sekvence.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 37
Import existující topologie
Centralizovaná politika
9. Klepněte na Akce. Ve výchozím nastavení je vybrána možnost Odmítnout. Chcete-li nakonfigurovat akce, které se mají provádět s přijatými pakety, klepněte na možnost Přijmout. Poté vyberte akci nebo zadejte hodnotu akce.
10. Klikněte na Uložit shodu a akce. 11. Kliknutím na Pravidlo sekvence nakonfigurujete podle potřeby další pravidla sekvence. Přetažením změníte jejich pořadí. 12. Klepněte na Typ sekvence pro konfiguraci dalších sekvencí podle potřeby. Přetažením změníte jejich pořadí. 13. Klepněte na Uložit zásady řízení.
Politika centralizovaného řízení obsahuje sekvence párů matchaction. Sekvence jsou číslovány, aby se nastavilo pořadí, ve kterém je trasa nebo TLOC analyzována páry shod v zásadě.
Poznámka Sekvence může mít pro zásadu nakonfigurovánu shodu app-list nebo dns-app-list, ale ne obojí. Konfigurace shody seznamu aplikací i seznamu dns-app-pro zásadu není podporována. Záloha NAT DIA a přesměrování DNS nejsou v zásadách dat podporovány současně.
Každá sekvence v politice centralizovaného řízení může obsahovat jednu podmínku shody (buď pro trasu nebo pro TLOC) a jednu podmínku akce.
Výchozí akce Pokud vybraná trasa nebo TLOC neodpovídá žádné z podmínek shody v zásadách centralizovaného řízení, použije se na ni výchozí akce. Ve výchozím nastavení je směrování nebo TLOC odmítnuto. Pokud vybraný datový paket neodpovídá žádné z podmínek shody v zásadách dat, použije se na paket výchozí akce. Ve výchozím nastavení je datový paket zrušen.
Import existující topologie
1. V rozevíracím seznamu Přidat topologii klikněte na Importovat existující topologii. Zobrazí se vyskakovací okno Import existující topologie.
2. Vyberte typ topologie. 3. Pro Typ politiky vyberte název topologie, kterou chcete importovat. 4. V rozevíracím seznamu Zásady vyberte zásadu, kterou chcete importovat.
Poznámka Průvodce konfigurací zásady vám neumožňuje importovat již nakonfigurovanou zásadu jako v jiných instancích centralizovaných zásad (směrování dat, řízení nebo směrování s ohledem na aplikace). Zásada musí být nakonfigurována jako celek.
5. Klepněte na Import.
Klepnutím na tlačítko Další přejděte v průvodci na položku Konfigurace pravidel provozu.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 38
Centralizovaná politika
Vytvořte zásady členství VPN
Vytvořte zásady členství VPN
1. V oblasti Určete topologii sítě klepněte na položku VPN Membership. 2. Klepněte na Přidat zásady členství VPN.
Poznámka Najednou můžete přidat pouze jedno členství VPN, proto musí být všechny seznamy webů a seznamy VPN zahrnuty do jedné zásady.
Zobrazí se vyskakovací okno Přidat zásady členství VPN. 3. Zadejte název a popis zásady členství VPN. 4. V poli Seznam webů vyberte seznam webů. 5. V poli Seznamy VPN vyberte seznam VPN. 6. Klepnutím na Přidat seznam přidáte do členství VPN další VPN. 7. Klepněte na tlačítko Uložit. 8. Klepnutím na tlačítko Další přejděte v průvodci na položku Konfigurovat pravidla provozu.
Konfigurace pravidel provozu
Tabulka 8: Historie funkcí
Název funkce
Popis informací o vydání
Přizpůsobení zásad s Cisco SD-WAN
Zpráva ICMP
Vydání 20.4.1
Cisco vManage Release 20.4.1
Tato funkce poskytuje podporu pro novou podmínku shody, kterou můžete použít k určení seznamu zpráv ICMP pro zásady centralizovaných dat, zásady lokalizovaných dat a zásady směrování podle aplikací.
Když poprvé otevřete okno Konfigurovat pravidla provozu, je ve výchozím nastavení vybráno směrování podle aplikace.
Můžete také view již vytvořené zásady směrování AAR uvedené na stránce. Poskytuje různé informace související se zásadami, jako je název zásady, typ, režim, popis, aktualizace podle a podrobnosti o poslední aktualizaci.
Poznámka Podrobnosti o stavu zabezpečení zásady naleznete ve sloupci Režim. Stav pomáhá rozlišit, zda je politika používána v jednotném zabezpečení nebo ne. Stav režimu platí pouze pro zásady zabezpečení a není relevantní pro žádné centralizované nebo lokalizované zásady.
Další informace o konfiguraci pravidel provozu pro tok Cisco Catalyst SD-WAN Application Intelligence Engine (SAIE) najdete v tématu Cisco Catalyst SD-WAN Application Intelligence Engine Flow.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 39
Konfigurace pravidel provozu
Centralizovaná politika
Poznámka V Cisco vManage Release 20.7.1 a dřívějších verzích se tok SAIE nazývá tok hluboké kontroly paketů (DPI).
Konfigurace pravidel provozu pro centralizovanou datovou politiku: 1. Klepněte na Traffic Data. 2. Klikněte na rozevírací seznam Přidat zásady. 3. Klepněte na Vytvořit nový. Zobrazí se okno Add Data Policy. 4. Zadejte název a popis zásady dat. 5. V pravém podokně klepněte na položku Typ sekvence. Otevře se vyskakovací okno Přidat zásady dat. 6. Vyberte typ datové zásady, kterou chcete vytvořit, Application Firewall, QoS, Service Chaining, Traffic
Engineering, nebo Custom.
Poznámka Pokud chcete konfigurovat více typů zásad dat pro stejnou podmínku shody, musíte nakonfigurovat vlastní zásady.
7. Do levého podokna je přidána sekvence zásad obsahující textový řetězec Aplikace, Brána firewall, QoS, Zřetězení služeb, Dopravní inženýrství nebo Vlastní.
8. Poklepejte na textový řetězec a zadejte název sekvence zásad. Název, který zadáte, se zobrazí jak v seznamu Typ sekvence v levém, tak v pravém podokně.
9. V pravém podokně klikněte na Pravidlo sekvence. Otevře se pole Shoda/Akce a ve výchozím nastavení je vybrána Shoda. Dostupné podmínky shody se zásadami jsou uvedeny pod rámečkem.
Podmínka shody
Postup
Žádné (odpovídají všechny pakety)
Neuvádějte žádné podmínky shody.
Aplikace / Rodina aplikací a. V části Podmínky shody klikněte na Seznam aplikací/skupiny aplikací.
Seznam
b. V rozevíracím seznamu vyberte rodinu aplikací.
C. Chcete-li vytvořit seznam aplikací:
1. Klepněte na Nový seznam aplikací.
2. Zadejte název seznamu.
3. Klepnutím na Aplikace vytvoříte seznam jednotlivých aplikací. Klepnutím na položku Rodina aplikací vytvořte seznam souvisejících aplikací.
4. V rozevíracím seznamu Vybrat aplikaci vyberte požadované aplikace nebo rodiny aplikací.
5. Klikněte na Uložit.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 40
Centralizovaná politika
Konfigurace pravidel provozu
Shoda s předponou cílových dat cíle
Cílový přístav
Seznam aplikací DNS DNS
Délka paketu DSCP Protokol PLP Zpráva ICMP
Postup a. V Podmínkách shody klikněte na Předponu dat cíle.
b. Chcete-li odpovídat seznamu předvoleb cílů, vyberte seznam z rozevírací nabídky.
C. Chcete-li odpovídat jednotlivému předčíslí cíle, zadejte předčíslí do pole Cíl: Předpona IP.
A. V podmínkách shody klikněte na Cílový port.
b. Do pole Cílový port zadejte číslo portu. Zadejte jedno číslo portu, seznam čísel portů (s čísly oddělenými mezerou) nebo rozsah čísel portů (se dvěma čísly oddělenými pomlčkou [-]).
Chcete-li povolit rozdělení DNS, přidejte seznam aplikací. A. V části Podmínky shody klikněte na Seznam aplikací DNS. b. V rozevíracím seznamu vyberte rodinu aplikací.
Přidejte seznam aplikací pro zpracování rozdělených DNS.
A. V části Podmínky shody klikněte na DNS.
b. V rozevíracím seznamu vyberte Požadavek na zpracování požadavků DNS pro aplikace DNS a vyberte Odezva pro zpracování odpovědí DNS pro aplikace.
A. V podmínkách shody klikněte na DSCP. b. Do pole DSCP zadejte hodnotu DSCP, číslo od 0 do 63.
A. V části Podmínky shody klikněte na možnost Délka paketu. b. Do pole Délka paketu zadejte délku, hodnotu od 0 do 65535.
A. V podmínkách Match klepněte na PLP pro nastavení priority ztráty paketů.
b. V rozevíracím seznamu PLP vyberte možnost Nízká nebo Vysoká. Chcete-li nastavit PLP na vysokou, použijte kontrolu, která zahrnuje možnost překročení poznámky.
A. V Podmínkách shody klikněte na Protokol. b. Do pole Protokol zadejte číslo internetového protokolu, číslo od 0 do 255.
Chcete-li odpovídat zprávám ICMP, nastavte v poli Protokol číslo internetového protokolu na 1 nebo 58 nebo na obě.
Poznámka
Toto pole je dostupné z , Cisco SD-WAN Release 20.4.1 Cisco vManage
Vydání 20.4.1.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 41
Konfigurace pravidel provozu
Centralizovaná politika
Shodovat se s předponou zdrojových dat podmínky
Zdrojový port
TCP
Postup a. V části Podmínky shody klikněte na Předpona zdrojových dat. b. Chcete-li odpovídat seznamu zdrojových předpon, vyberte seznam z rozevíracího seznamu. C. Chcete-li odpovídat jednotlivé zdrojové předponě, zadejte předponu do pole Zdroj.
A. V podmínkách shody klikněte na Zdrojový port. b. Do pole Zdroj zadejte číslo portu. Zadejte jedno číslo portu, seznam portů
čísla (s čísly oddělenými mezerou) nebo rozsah čísel portů (se dvěma čísly oddělenými pomlčkou [-]).
A. V části Podmínky shody klikněte na TCP. b. V poli TCP je jedinou dostupnou možností syn.
10. Pro zásady QoS a Traffic Engineering data: Z rozevíracího seznamu Protokol vyberte IPv4, chcete-li použít politiku pouze na rodiny adres IPv4, IPv6, chcete-li použít politiku pouze na rodiny adres IPv6, nebo Obě, chcete-li použít zásady na IPv4 a Rodiny adres IPv6.
11. Chcete-li vybrat jednu nebo více podmínek shody, klikněte na její políčko a nastavte hodnoty podle popisu.
Poznámka Ne všechny podmínky shody jsou dostupné pro všechny typy sekvencí zásad.
12. Chcete-li vybrat akce, které se mají provést s odpovídajícím datovým provozem, klepněte na pole Akce. 13. Chcete-li vypustit odpovídající provoz, klepněte na tlačítko Zahodit. Dostupné akce zásad jsou uvedeny na pravé straně. 14. Chcete-li přijmout odpovídající provoz, klepněte na tlačítko Přijmout. Dostupné akce zásad jsou uvedeny na pravé straně. 15. Nastavte akci zásady podle popisu.
Poznámka Ne všechny akce jsou dostupné pro všechny podmínky shody.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 42
Centralizovaná politika
Konfigurace pravidel provozu
Poznámka Pokud paket IPv4 obsahuje neiniciální fragment UDP nebo TCP datagram, nemá k dispozici žádné informace o portech L4, protože neexistuje hlavička UDP nebo TCP. U takových fragmentů je shoda cílového portu nebo zdrojového portu ignorována.
V následujícím example, všechny pakety UDP do cílového portu 161 a jakékoli další pakety IPv4, které mají pole ID protokolu v hlavičce IPv4 nastavené na 17 s hlavičkou IPv4 s nastavenou odchylkou fragmentu, budou zrušeny.
politika
viditelnost aplikace
přístupový seznam SDWAN_101
sekvence 100
zápas
cílový port 161
protokol
17
!
akční pokles
!
!
Akční stav
Čelit
Popis Počet odpovídajících datových paketů.
Postup
A. V podmínkách akce klikněte na Počítadlo. b. Do pole Counter Name zadejte
jméno toho file do kterého se ukládají počítadla paketů.
DSCP
Přiřaďte hodnotu DSCP odpovídajícím datovým paketům.
A. V podmínkách akce klikněte na DSCP.
b. Do pole DSCP zadejte hodnotu DSCP, číslo od 0 do 63.
Předávání Přiřaďte třídu předávání odpovídajícím datovým paketům. Třída
A. V podmínkách shody klikněte na Třída předávání.
b. Do pole Forwarding Class zadejte hodnotu třídy, která může mít až 32 znaků.
Log policista
Minimální verze: Cisco vManage Release 20.11.1 a Cisco IOS a. V podmínkách akce klikněte na možnost Přihlásit se
Vydání XE 17.11.1a
povolit protokolování.
Kliknutím na Log povolíte protokolování.
Když jsou pakety zásad dat (DP, AAR nebo ACL) nakonfigurovány s akcí protokolu, protokoly se vygenerují a zaprotokolují do syslog. Kvůli globálnímu omezení rychlosti protokolování nejsou protokolovány všechny protokoly. Zpráva syslog je generována při prvním zaprotokolování hlavičky paketu a poté každých 5 minut, pokud je tok aktivní.
Použijte policistu na odpovídající datové pakety.
A. V podmínkách shody klikněte na Policista.
b. V rozevíracím poli Policista vyberte jméno policisty.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 43
Shoda parametrů – Zásady řízení
Centralizovaná politika
Akční stav
Korekce ztráty
Popis
Postup
Použijte korekci ztrát na odpovídající datové pakety.
A. V podmínkách shody klikněte na Prohra
Forward Error Correction (FEC) obnovuje ztracené pakety na spoji
Oprava.
odesílání redundantních dat, což umožňuje přijímači opravit chyby bez b. V poli Oprava ztráty vyberte FEC
nutnost požádat o opětovné předání dat.
Adaptivní, FEC Always nebo Packet
FEC je podporován pouze pro IPSEC tunely, není podporován pro GRE Duplication.
tunely.
· Odpovídající pakety FEC Adaptive jsou podrobeny FEC pouze v případě, že tunely, kterými procházejí, byly na základě naměřené ztráty považovány za nespolehlivé. Adaptivní FEC začne pracovat při 2% ztrátě paketů; tato hodnota je pevně zakódována a nelze ji konfigurovat.
Pokud zvolíte FEC Adaptive, zobrazí se další pole Loss Threshold, které vám umožní zadat práh ztráty paketů pro automatické povolení FEC.
Adaptivní FEC začne pracovat při 2% ztrátě paketů; tato hodnota je konfigurovatelná.
Můžete zadat práh ztráty 1 až 5 %. Výchozí práh ztráty paketů je 2 %.
· Vždy odpovídající pakety FEC vždy podléhají FEC.
· Duplikace paketů Odesílá duplicitní pakety přes jediný tunel. Pokud je k dispozici více než jeden tunel, budou duplicitní pakety odesílány přes tunel s nejlepšími parametry.
Klikněte na Uložit shodu a akce. 16. Podle potřeby vytvořte další sekvenční pravidla. Přetažením je znovu uspořádejte. 17. Klepněte na Save Data Policy. 18. Klepnutím na tlačítko Další přejděte v průvodci na položku Použít zásady na stránky a sítě VPN.
Shoda parametrů – Zásady řízení
U tras OMP a TLOC můžete přiřadit následující atributy:
Podmínka shody
Popis
Seznam barev
Jedna nebo více barev. Dostupné barvy jsou: 3g, biz-internet, modrá, bronzová, custom1,custom2, custom3, default, zlatá, zelená, lte, metro-ethernet, mpls, private1 až private6, public-internet, červená a stříbrná.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 44
Centralizovaná politika
Seznam komunity odpovídající podmínky
Typy OMP Tag Origin Původce
Shoda parametrů – Zásady řízení
Popis
Seznam jedné nebo více BGP komunit. V poli Seznam komunit můžete zadat: · aa:nn: číslo AS a číslo sítě. Každé číslo je 2bajtová hodnota s rozsahem od 1 do 65535. · internet: Trasy v této komunitě jsou inzerovány internetové komunitě. Tato komunita zahrnuje všechna síťová zařízení hovořící BGP. · local-as: Trasy v této komunitě nejsou inzerovány mimo místní AS. · no-advertise: Připojte komunitu NO_ADVERTISE k trasám. Trasy v této komunitě nejsou inzerovány jiným BGP kolegům. · no-export: Připojte komunitu NO_EXPORT k trasám. Trasy v této komunitě nejsou inzerovány mimo místní AS nebo mimo hranice konfederace BGP. Chcete-li nakonfigurovat více komunit BGP v jednom seznamu, zahrňte více možností komunity a v každé možnosti uveďte jednu komunitu.
Určuje typ komunity. Zvolte Standardní, chcete-li určit komunity a čísla komunit, nebo Rozbaleno pro filtrování komunit pomocí regulárního výrazu. Regulární výrazy se používají k určení vzorů, které odpovídají atributům komunity.
Tag hodnota spojená s trasou nebo prefixem v databázi routování v zařízení. Rozsah je 0 až 4294967295.
Protokol, ze kterého byla trasa naučena.
IP adresa, ze které byla trasa naučena.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 45
Shoda parametrů – Zásady řízení
Centralizovaná politika
Shodujte se s typem cesty podmínky
Seznam předvoleb Není k dispozici v Cisco SD-WAN Manager. Místo Region Role TLOC
Popis
V hierarchické architektuře SD-WAN přiřaďte trasu podle jejího typu cesty, což může být jeden z následujících:
· Hierarchická cesta: Trasa, která zahrnuje skoky z přístupové oblasti k hraničnímu směrovači, přes oblast 0, k jinému hraničnímu směrovači a poté k okrajovému směrovači v jiné přístupové oblasti
· Přímá cesta: Přímá cesta od jednoho okrajového routeru k druhému okrajovému routeru.
· Cesta transportní brány: Trasa, která je znovu vytvořena směrovačem, který má povolenou funkci transportní brány.
Poznámka
Tato možnost je k dispozici počínaje
Cisco vManage Release 20.8.1.
Jak preferovaná je předpona. Toto je hodnota preference, kterou má trasa nebo předpona v místní lokalitě, to znamená v databázi směrování v zařízení. Vyšší preferenční hodnota je výhodnější. Rozsah je 0 až 255.
Jedna nebo více předpon. Určuje název seznamu prefixů.
Individuální identifikátor webu. Rozsah je 0 až 4294967295.
Jeden nebo více překryvných identifikátorů síťového webu.
Oblast definovaná pro hierarchickou SD-WAN.
Rozsah je 1 až 63.
Poznámka
Tato možnost je k dispozici počínaje
Cisco vManage Release 20.7.1.
V hierarchické architektuře SD-WAN se shodují podle typu zařízení, což může být Border Router nebo Edge Router.
Poznámka
Tato možnost je k dispozici počínaje
Cisco vManage Release 20.8.1.
Individuální adresa TLOC.
Poznámka
Chcete-li použít set tloc a set tloc-list
příkazy, musíte použít set-vpn
příkaz.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 46
Centralizovaná politika
Parametry shody – Zásady dat
Shodovat se s podmínkou VPN Carrier ID domény OMP Tag
místo
Popis
Individuální identifikátor VPN. Rozsah je 0 až 65535.
Nosič pro řízení provozu. Hodnoty jsou: výchozí, dopravce1 až dopravce8.
Identifikátor domény spojený s TLOC. Rozsah je 0 až 4294967295.
Tag hodnotu přidruženou k trase TLOC v tabulce směrování na zařízení. Rozsah je 0 až 4294967295.
Individuální přispěvatel webu nebo více překryvných síťových identifikátorů webu. Rozsah je 0 až 4294967295.
V rozhraní příkazového řádku nakonfigurujete atributy trasy OMP tak, aby odpovídaly příkazu trasování posloupnosti řízení-zásady, a nakonfigurujete atributy TLOC tak, aby odpovídaly příkazu tloc shody posloupnosti řízení-zásady.
Parametry shody – Zásady dat
Centralizovaná datová politika může odpovídat IP prefixům a polím v IP hlavičkách, stejně jako aplikacím. Můžete také povolit rozdělené DNS. Každá sekvence v zásadě může obsahovat jednu nebo více podmínek shody.
Tabulka 9:
Podmínka shody Vynechat
Aplikace/Seznam rodiny aplikací
Předpona dat cíle
Popis Porovnat všechny pakety. Aplikace nebo rodiny aplikací.
Skupina cílových prefixů, IP prefix a délka prefixu. Rozsah je 0 až 65535; zadejte jedno číslo portu, seznam čísel portů (s čísly oddělenými mezerou) nebo rozsah čísel portů (se dvěma čísly oddělenými pomlčkou [-]).
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 47
Parametry shody – Zásady dat
Centralizovaná politika
Shoda podmínka Cílová oblast
Popis
Vyberte jednu z následujících možností:
· Primární: Porovná provoz, pokud je cílové zařízení ve stejné primární oblasti (nazývané také přístupová oblast) jako zdroj. Tento provoz dorazí do cíle pomocí víceskokové cesty přes hlavní region.
· Sekundární: Porovná provoz, pokud cílové zařízení není ve stejné primární oblasti jako zdroj, ale je ve stejné sekundární oblasti jako zdroj. Tento provoz může dosáhnout cíle pomocí přímého tunelu, jak je popsáno pro sekundární regiony.
· Jiné: Porovná provoz, pokud cílové zařízení není ve stejné primární oblasti nebo sekundární oblasti jako zdroj. Tento provoz vyžaduje víceskokovou cestu ze zdroje do cíle.
Poznámka
Minimální verze: Cisco vManage Release 20.9.1, Cisco IOS XE Catalyst SD-WAN
Vydání 17.9.1a
Seznam aplikací DNS DNS DSCP
Umožňuje rozdělení DNS pro řešení a zpracování požadavků a odpovědí DNS na bázi aplikace od aplikace. Název seznamu seznamu aplikací . Tento seznam uvádí aplikace, jejichž požadavky DNS jsou zpracovávány.
Zadejte směr, kterým se mají zpracovávat pakety DNS. Chcete-li zpracovat požadavky DNS odeslané aplikacemi (pro odchozí dotazy DNS), zadejte požadavek DNS. Chcete-li zpracovat odpovědi DNS vrácené ze serverů DNS aplikacím, zadejte odpověď DNS.
Určuje hodnotu DSCP.
Délka balíčku
Určuje délku paketu. Rozsah je 0 až 65535; zadejte jednu délku, seznam délek (s čísly oddělenými mezerou) nebo rozsah délek (se dvěma čísly oddělenými pomlčkou [-]).
Priorita ztráty paketů (PLP) Určuje prioritu ztráty paketů. Standardně mají pakety hodnotu PLP nízkou. Chcete-li nastavit hodnotu PLP na vysokou, použijte kontrolu, která zahrnuje volbu překračování poznámky.
Protokol
Určuje číslo internetového protokolu. Rozsah je 0 až 255.
Zpráva ICMP
Pokud pro protokol IPv4 zadáte hodnotu protokolu jako 1, zobrazí se pole Zpráva ICMP, kde můžete vybrat zprávu ICMP, která se použije na zásady dat. Podobně se pole Zpráva ICMP zobrazí pro protokol IPv6, když zadáte hodnotu protokolu jako 58.
Když vyberete Protokol jako Oba, zobrazí se pole Zpráva ICMP nebo Zpráva ICMPv6.
Poznámka
Toto pole je dostupné z , Cisco SD-WAN Release 20.4.1 Cisco vManage Release
20.4.1.
Předpona zdrojových dat Zdrojový port
Příznak TCP Provoz do
Určuje skupinu zdrojových předpon nebo jednotlivou zdrojovou předponu.
Určuje číslo zdrojového portu. Rozsah je 0 až 65535; zadejte jedno číslo portu, seznam čísel portů (s čísly oddělenými mezerou) nebo rozsah čísel portů (se dvěma čísly oddělenými pomlčkou [-]).
Určuje příznak TCP, syn.
V architektuře Multi-Region Fabric přiřaďte tok provozu hraničního směrovače k oblasti přístupu, kterou hraniční směrovač obsluhuje, k hlavní oblasti nebo k servisní VPN.
Poznámka
Minimální verze: Cisco vManage Release 20.8.1
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 48
Centralizovaná politika
Parametry shody – Zásady dat
Poznámka Pokud paket IPv4 obsahuje neiniciální fragment UDP nebo TCP datagram, nemá k dispozici žádné informace o portech L4, protože neexistuje hlavička UDP nebo TCP. U takových fragmentů je shoda cílového portu nebo zdrojového portu ignorována.
V následujícím example, všechny pakety UDP do cílového portu 161 a jakékoli další pakety IPv4, které mají pole ID protokolu v hlavičce IPv4 nastavené na 17 s hlavičkou IPv4 s nastavenou odchylkou fragmentu, budou zrušeny.
politika
viditelnost aplikace
přístupový seznam SDWAN_101
sekvence 100
zápas
cílový port 161
protokol
17
!
akční pokles
!
!
Tabulka 10: Typy/kódy zpráv ICMP a odpovídající hodnoty výčtu
Zadejte Výčet kódu
0 0 echo-odpověď
3
nedosažitelný
0 net-nedosažitelný
1 hostitel je nedosažitelný
2 protokol-nedosažitelný
3 port-nedosažitelný
4 balíčky - příliš velké
5 zdrojová trasa selhala
6 síť-neznámá
7 hostitel-neznámý
8 izolovaný hostitel
9 dod-net-zakázáno
10 dod-host-zakázáno
11 net-tos-nedosažitelných
12 hostitelů je nedosažitelných
13 administrativně zakázáno
14 hostitel-precedence-nedosažitelný
15 přednost-nedosažitelný
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 49
Parametry shody – Zásady dat
5 0 1 2 3
80 90 10 0 11
0 1 12 0 1 2 13 0 14 0 40 0 42 0 43 0 1 2 3 4 XNUMX XNUMX XNUMX
přesměrování net-redirect host-redirect net-tos-redirect host-tos-redirect echo router-inzerce router-solicitation time-exceeded ttl-exceeded reassembly-timeout parameter-problém obecný-parametr-problem option-missing no-room-for- opční časamp-čas požadavkuamp-reply photuris extended-echo extended-echo-reply echo-reply-no-error malformed-query interface-error table-entry-error multiple-interface-match
Tabulka 11: Typy/kódy zpráv ICMPv6 a odpovídající hodnoty výčtu
Zadejte Výčet kódu
Centralizovaná politika
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 50
Centralizovaná politika
1 0 1 2 3 4 5 6 7
20
0 1 4 0 1 2 128 0 129 0 130 0 131 0 132 0 133 0 134 0 XNUMX XNUMX XNUMX
nedosažitelný bez cesty žádný správce mimo rozsah cíl-nedosažitelný port-nedosažitelný zdroj-politika odmítnutí-cesta zdrojová-cesta-záhlaví paketu-příliš-velký čas-překročen limit skoku znovusestavení-parametr-časový limit-problém Záhlaví parametr dalšího-hlavičky- možnost echo-požadavek echo-odpověď mld-dotaz mld-report mld-reduction router-žádost router-inzerce
135 0 nd-ns
136 0 nd-na
137 0 přesměrování
138
přečíslování routeru
0 příkaz renum
1 výsledek sečtení
255 renum-seq-číslo
Parametry shody – Zásady dat
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 51
Parametry akcí – Zásady řízení
Centralizovaná politika
139 0 1 2
140 0 1 2
141 0 142 0
143 144 0 145 0 146 0 147 0
148 0 149 0
151
152 0 153 0 155 0
ni-query ni-query-v6-address ni-query-name ni-query-v4-address ni-response ni-response-success ni-response-refuse ni-response-qtype-unknown
ind-solicitation ind-advertisement
mldv2-report dhaad-request dhaad-reply mpd-solicitation mpd-advertisement
cp-obtěžování cp-reklama
mr-reklama
mr-obvolání mr-termination rpl-control
Parametry akcí – Zásady řízení
Pro každou podmínku shody nakonfigurujete odpovídající akci, která se má provést, pokud se trasa nebo TLOC shoduje se zásadou řízení. V CLI konfigurujete akce pomocí příkazu policy control-policy action. Každá sekvence v politice centralizovaného řízení může obsahovat jednu podmínku akce. V akci nejprve určíte, zda chcete přijmout nebo odmítnout odpovídající trasu nebo TLOC:
Tabulka 12:
Popis
Správce Cisco SD-WAN
Přijměte trasu. Přijatou trasu lze upravit pomocí dalších parametrů Klikněte na Přijmout. nakonfigurované v části akce konfigurace zásad.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 52
Centralizovaná politika
Parametry akcí – Zásady řízení
Popis Paket zlikvidujte.
Cisco SD-WAN Manager Klikněte na Odmítnout.
Poté můžete pro přijatou trasu nebo TLOC nakonfigurovat následující akce:
Akce Popis podmínky
Exportovat do
Exportujte trasu do zadané sítě VPN nebo seznamu sítí VPN (pouze pro podmínky shody trasy). Rozsah je 0 až 65535 nebo název seznamu.
OMP Tag
Změňte tag řetězec v trase, prefixu nebo TLOC. Rozsah je 0 až 4294967295.
Přednost
Změňte hodnotu preference v trase, prefixu nebo TLOC na zadanou hodnotu. Vyšší preferenční hodnota je výhodnější. Rozsah je 0 až 255.
Servis
Určete službu, na kterou chcete přesměrovat provoz před doručením provozu do cíle.
TLOC adresa nebo seznam TLOC identifikuje TLOC, na které by měl být provoz přesměrován, aby dosáhl služby. V případě více TLOC je provoz mezi nimi vyrovnán.
Identifikátor VPN je místo, kde se služba nachází.
Standardní služby: FW, IDS, IDP Vlastní služby: netsvc1, netsvc2, netsvc3, netsvc4
Nakonfigurujte samotné služby na zařízeních Cisco SD-WAN, která jsou umístěna se servisními zařízeními, pomocí příkazu konfigurace služby vpn.
TLOC TLOC Akce
Změňte adresu TLOC, barvu a zapouzdření na zadanou adresu a barvu.
Pro každý TLOC zadejte jeho adresu, barvu a zapouzdření. adresa je IP adresa systému. barva může být jedna z 3g, biz-internet, modrá, bronzová, custom1, custom2, custom3, výchozí, zlatá, zelená, lte, metro-ethernet, mpls, private1 až private6, public-internet, červená a stříbrná. zapouzdření může být gre nebo ipsec. Volitelně nastavte hodnotu preference (od 0 do 232 1), která se má přiřadit k adrese TLOC. Když použijete seznam TLOC v podmínce přijetí akce, když je k dispozici více TLOC a splňují podmínky shody, použije se TLOC s nejvyšší hodnotou preference. Pokud mají dva nebo více TLOC nejvyšší preferenční hodnotu, je mezi nimi provoz posílán způsobem ECMP.
Přímé párování tras nebo TLOC pomocí mechanismu určeného akcí a umožňuje end-to-end sledování, zda je konečný cíl dosažitelný.
Nastavení možnosti akce TLOC umožňuje řadiči Cisco Catalyst SD-WAN provádět úplné sledování cesty ke konečnému cílovému zařízení.
Poznámka Příkaz preference řídí preference pro směrování příchozího a odchozího provozu do tunelu. Preference může být hodnota od 0 do 4294967295 (232 1) a výchozí hodnota je 0. Vyšší hodnota je upřednostňována před nižší hodnotou.
Pokud má zařízení Cisco vEdge dva nebo více tunelů a všechny TLOC mají stejnou preferenci a není aplikována žádná politika, která ovlivňuje tok provozu, všechny TLOC jsou inzerovány do OMP. Když router vysílá nebo přijímá provoz, rozděluje toky provozu rovnoměrně mezi tunely pomocí ECMP.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 53
Parametry akce – Zásady dat
Centralizovaná politika
Parametry akce – Zásady dat
Tabulka 13: Historie funkcí
Název funkce
Popis informací o vydání
Path Preference Podpora pro zařízení Cisco IOS XE Catalyst SD-WAN
Cisco IOS XE Catalyst SD-WAN Release 17.2.1r
Tato funkce se rozšiřuje na zařízení Cisco IOS XE Catalyst SD-WAN, podpora pro výběr jednoho nebo více místních transportních lokátorů (TLOC) pro akci politiky.
Přesměrování provozu na SIG pomocí zásad dat
Cisco SD-WAN verze 20.4.1
Cisco vManage Release 20.4.1
Pomocí této funkce můžete při vytváření zásad dat definovat seznam aplikací spolu s dalšími kritérii shody a přesměrovat provoz aplikací na zabezpečenou internetovou bránu (SIG).
Další vylepšení akce přeskočení v zásadách dat
Cisco SD-WAN verze 20.5.1
Cisco vManage Release 20.5.1
Tato funkce vylepšuje podmínky akce shody v centralizovaných zásadách dat pro zajištění parity s funkcemi nakonfigurovanými na zařízeních Cisco vEdge. Když nastavujete akci next-hop-loose, tato funkce pomáhá přesměrovat provoz aplikace na dostupnou trasu, když adresa dalšího skoku není k dispozici.
Akce Podmínka Klepněte na tlačítko Přijmout
Cflowd Counter
Klepněte na tlačítko Upustit
Když datový provoz odpovídá podmínkám v části pro shodu centralizovaných datových zásad, paket lze přijmout nebo zahodit. Poté můžete přiřadit parametry k přijatým paketům. V rozhraní příkazového řádku konfigurujete parametry akce pomocí příkazu akce vpn-list sekvence zásad dat. Každá sekvence v centralizované datové politice může obsahovat jednu podmínku akce. V akci nejprve určíte, zda chcete přijmout nebo zahodit odpovídající datový paket a zda se má počítat:
Popis
Přijímá paket. Přijatý paket lze upravit pomocí dalších parametrů nakonfigurovaných v části akce konfigurace zásad.
Umožňuje sledování plynulého provozu.
Počítá přijaté nebo zahozené pakety. Určuje název čítače. Použijte příkaz show policy access-lists counters na zařízení Cisco vEdge.
Zahodí paket. Toto je výchozí akce.
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 54
Centralizovaná politika
Parametry akce – Zásady dat
Protokol stavu akce
Přesměrování DNS
TCP Optimization Zabezpečená internetová brána
Popis
Minimální vydání: Cisco IOS XE Catalyst SD-WAN Release 17.11.1a a Cisco vManage Release 20.11.1
Kliknutím na Log povolíte protokolování.
Když jsou pakety zásad dat (DP, AAR nebo ACL) nakonfigurovány s akcí protokolu, protokoly se vygenerují a zaprotokolují do syslog. Kvůli globálnímu omezení rychlosti protokolování nejsou protokolovány všechny protokoly. Zpráva syslog je generována při prvním zaprotokolování hlavičky paketu a poté každých 5 minut, pokud je tok aktivní.
Informace o zásadě log-rate-limit CLI viz příkaz policy log-rate-limit v Cisco Catalyst SD-WAN Qualified Command Reference Guide.
Přesměruje požadavky DNS na konkrétní server DNS. Přesměrování požadavků je volitelné, ale pokud tak učiníte, musíte zadat obě akce.
V případě zásady příchozích zpráv hostitel redirect-dns umožňuje správné předání odpovědi DNS zpět do požadující služby VPN.
Pro odchozí zásady zadejte adresu IP serveru DNS.
Poznámka
Když upgradujete na novější verze než Cisco IOS XE
Catalyst SD-WAN Release 17.7.1a, musíte nakonfigurovat
přesměrovat DNS přes nat use-vpn 0 pro přesměrování DNS na
Přímé internetové rozhraní (DIA).
Poznámka
Pomocí redirect-dns můžete nastavit pouze místní předvolby TLOC
jako akce ve stejné sekvenci, ale ne vzdálené TLOC.
Poznámka
Nemůžete konfigurovat přesměrování DNS a SIG současně
čas.
Záloha NAT DIA a přesměrování DNS nejsou v zásadách dat podporovány současně.
Jemně vylaďte TCP, abyste snížili latenci zpětného přenosu a zlepšili se, aby odpovídal provozu TCP.
Přesměrujte provoz aplikace na SIG.
Poznámka
Než použijete datové zásady pro přesměrování aplikace
provozu na SIG, musíte mít nakonfigurované tunely SIG.
Další informace o konfiguraci automatických tunelů SIG naleznete v tématu Automatické tunely. Další informace o konfiguraci ručních tunelů SIG naleznete v části Ruční tunely.
Poté lze pro paket, který je přijat, nakonfigurovat následující parametry:
Konfigurační příručka zásad pro směrovače vEdge, Cisco SD-WAN Release 20 55
Parametry akce – Zásady dat
Akce Podmínka Cflowd NAT Pool nebo NAT VPN DSCP Forwarding Class Local TLOC
Další Hop
Policejní služba
Centralizovaná politika
Popis
Umožňuje sledování plynulého provozu.
Umožňuje funkci NAT, takže provoz může být přesměrován přímo na internet nebo jiný externí cíl.
Hodnota DSCP. Rozsah je 0 až 63.
Název spediční třídy.
Umožňuje odesílání paketů do jednoho z TLOC, který odpovídá barvě a zapouzdření. Dostupné barvy jsou: 3g, biz-internet, modrá, bronzová, custom1,custom2, custom3, default, zlatá, zelená, lte, metro-ethernet, mpls, private1 až private6, public-internet, červená a stříbrná.
Možnosti zapouzdření jsou: ipsec a gre.
Ve výchozím nastavení, pokud TLOC není k dispozici, je provoz přesměrován pomocí alternativního TLOC. Chcete-li snížit provoz, pokud TLOC není k dispozici, zahrňte možnost omezení.
Ve výchozím nastavení je zapouzdření ipsec.
Nastaví další IP adresu přeskočení, na kterou má být paket předán.
Poznámka
Počínaje verzí Cisco SD-WAN 20.5.1 a Cisco
vManage Release 20.5.1, Použít výchozí trasu, když
Vedle pole Další skok není k dispozici
Další parametr akce Hop. Tato možnost je k dispozici pouze
když je typ sekvence Dopravní inženýrství nebo
Vlastní a protokol je buď IPv4 nebo IPv6, ale ne
obě.
Platí policista. Určuje jméno policisty nakonfigurovaného pomocí příkazu policy policer.
Určuje službu, na kterou se má přesměrovat provoz před doručením provozu do cíle.
Adresa TLOC nebo seznam TLOC identifikuje vzdálené TLOC, na které by měl být provoz přesměrován, aby dosáhl služby. V případě více TLOC je provoz mezi nimi vyrovnán.
Identifikátor VPN je místo, kde se služba nachází.
Standardní služby: FW, IDS, IDP
Zakázkové služby: netsvc1, netsvc2, netsvc3, netsvc4
Seznam TLOC je konfigurován pomocí seznamu zásad tloc-list.
Nakonfigurujte služby samotné na zařízení Cisco vEdge
Dokumenty / zdroje
 |
Konfigurace zásad CISCO SD-WAN Okrajové směrovače [pdf] Instalační průvodce Konfigurace zásad SD-WAN Okrajové směrovače, SD-WAN, Okrajové směrovače konfigurace zásad, Okrajové směrovače konfigurace, Okrajové směrovače, Směrovače |