Uživatelská příručka CISCO SD-WAN Service Chaining

Obsah skrýt
1 Řetězení služeb
2 Služby v síti
3 Servisní cesta SAFI
4 Zásady řetězení služeb
5 Sledování stavu servisního řetězce
6 Omezení
7 Konfigurace řetězení služeb
7.1 Nakonfigurujte řetězení služeb pomocí Cisco SD-WAN Manager
7.2 Ekvivalent CLI pro zařízení Cisco IOS XE Catalyst SD-WAN
8 Konfigurace řetězení služeb Přamples
8.1 Směrujte provoz mezi lokalitami prostřednictvím služby
9 Monitorování řetězení služeb
9.1 Dokumenty / zdroje
9.1.1 Reference
9.2 Související příspěvky

Řetězení služeb


Poznámka

Pro dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst
SD-WAN. Kromě toho z Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release
20.12.1 se vztahují následující změny součástí: Cisco vManage to Cisco Catalyst SD-WAN
Manager, Cisco vAnalyticsto Cisco CatalystSD-WAN Analytics, Cisco vBondto Cisco CatalystSD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.

Služby v síti

Služby jako firewall, load balancer a detekce a prevence narušení (IDP) jsou často provozovány ve virtualizovaném prostředí a mohou
být fyzicky centralizován na jednom místě nebo na několika místech z důvodu redundance. Služby mohou být interní, cloudové nebo externí předplatné. Sítě musí být schopny přesměrovat provoz z jakéhokoli místa v síti prostřednictvím takových služeb.
Zákazníci chtějí mít možnost interně vytvářet nebo externě odebírat nové služby na vyžádání – kvůli kapacitě, redundanci nebo jednoduše k výběru nejlepších technologií. NapřampPokud web firewallu překročí svou kapacitu, může zákazník vytvořit novou službu firewallu na novém místě. Podpora tohoto nového firewallu by vyžadovala konfiguraci váženého rozložení zátěže na více firewallů založené na zásadách. Níže jsou uvedeny některé z důvodů, proč přesměrovat tok provozu přes službu nebo řetězec služeb:

  • Provoz z méně zabezpečené oblasti sítě musí procházet službou, jako je firewall, nebo řetězcem služeb, aby bylo zajištěno, že nedošlo kampered s.
  • U sítě, která se skládá z více VPN, z nichž každá představuje funkci nebo organizaci, musí provoz mezi VPN procházet přes službu, jako je firewall, nebo přes řetězec služeb. Napřample, v akampmeziodborový provoz může procházet firewallem, zatímco vnitroodborový provoz může být směrován přímo.

Určité toky provozu musí procházet službou, jako je nástroj pro vyrovnávání zatížení.

Dnes je jediným způsobem, jak přesměrovat tok provozu, zřízení každého směrovacího uzlu – od zdroje přes servisní uzel až po systémy za servisním uzlem – s trasou zásad. Toho lze dosáhnout buď tím, že operátor ručně nakonfiguruje každý uzel, nebo pomocí zřizovacího nástroje, který provede konfiguraci pro každý uzel jménem operátora. V každém případě je proces provozně složitý z hlediska zajištění, údržby a odstraňování problémů.

Poskytování služeb v překryvné síti Cisco Catalyst SD-WAN

V řešení Cisco Catalyst SD-WAN může síťový operátor povolit a řídit veškeré řetězení služeb z centrálního řadiče, tedy z Cisco SD-WAN řadiče. Na žádném ze zařízení není vyžadována žádná konfigurace ani zajišťování.

Obecný tok řetězení služeb v síti Cisco Catalyst SD-WAN je následující:

  • Zařízení inzerují služby dostupné v jejich pobočce nebo campnás – jako je firewall, IDS a IDP – na řadiče Cisco SD-WAN v jejich doméně. Stejné služby může inzerovat více zařízení.
  • Zařízení také inzerují své OMP trasy a TLOC do řadičů Cisco SD-WAN.
  • Pro provoz, který vyžaduje služby, změní zásady na Cisco SD-WAN řadiči další skok pro OMProutesto na cílový bod služby. Tímto způsobem je provoz nejprve zpracován službou, než je směrován do konečného cíle.

Následující obrázek ilustruje, jak funguje řetězení služeb v řešení Cisco Catalyst SD-WAN. Zobrazená síť má centralizovaný rozbočovač, který je připojen ke dvěma větvím, každá se zařízením. Standardní návrh sítě implementuje politiku řízení tak, že veškerý provoz z pobočky 1 do pobočky 2 prochází přes rozbočovací směrovač. Za hubovým routerem je umístěno firewallové zařízení. Předpokládejme tedy, že chceme, aby veškerý provoz z webu 1 na web 2 nejprve zpracoval firewall. Provoz ze zařízení v lokalitě 1 stále proudí do směrovače rozbočovače, ale místo aby jej posílal přímo na lokalitu 2, směrovač rozbočovače přesměruje provoz na zařízení brány firewall. Když firewall dokončí zpracování, vrátí veškerý vyčištěný provoz do rozbočovače, který jej poté předá do zařízení v lokalitě 2.

Servisní cesta SAFI

Hub a zařízení místní pobočky inzerují služby dostupné ve svých sítích pro Cisco SD-WAN Controllers ve své doméně pomocí servisních tras, které jsou odesílány prostřednictvím OMPusing the service routeSubsequent
Bity AddressFamily Identifier (SAFI) OMP NLRI. Řadiče CiscoSD-WAN udržují servisní trasy ve svém RIB a nešíří tyto trasy do zařízení.

Každá servisní trasa SAFI má následující atributy:

  • VPN ID (vpn-id) – identifikuje VPN, ke které služba patří.
  • ID služby (svc-id) – identifikuje službu inzerovanou servisním uzlem. Cisco Catalyst
    Software SD-WAN má následující předdefinované služby:
  • FW, pro firewall (mapy na svc-id 1)
  • IDS, pro systémy detekce narušení (mapy na svc-id 2)
  • IDP, pro poskytovatele identity (mapy na svc-id 3)
  • netsvc1, netsvc2, netsvc3 a netsvc4, které jsou vyhrazeny pro vlastní služby (mapují se na svc-id 4, 5, 6 a 7)
  • Štítek – pro provoz, který musí procházet službou, nahradí řadič Cisco SD-WAN štítek v
    Trasa OMP se štítkem služby za účelem přesměrování provozu na tuto službu.
  • ID původce (originator-id) – IP adresa uzlu služby, který službu inzeruje.
  • TLOC – adresa transportního umístění zařízení, které „hostuje“ službu.
  • Path ID (path-id) – Identifikátor cesty OMP.

Zásady řetězení služeb

Chcete-li směrovat provoz přes službu, zajistíte buď politiku řízení, nebo datovou politiku na řadiči CiscoSD-WAN. Zásadu řízení použijete, pokud jsou kritéria shody založena na předponě cíle nebo některém z jejích atributů.
Zásadu dat použijete, pokud kritéria shody zahrnují zdrojovou adresu, zdrojový port, hodnotu DSCP nebo cílový port paketu nebo toku provozu. Zásadu můžete zřídit přímo pomocí CLI nebo ji lze odeslat z Cisco SD-WAN Manager.
Řadič Cisco SD-WAN udržuje ve své směrovací tabulce trasy OMP, trasy TLOC a trasy služeb. Daná trasa OMP nese TLOC a štítek s ním spojený. Na řadiči Cisco SD-WAN Controller lze použít zásadu, která změní TLOC a související štítek na štítek služby.

Sledování stavu servisního řetězce

Počínaje verzí CiscoSD-WAN 20.3.1 Cisco CatalystSD-WAN pravidelně testuje zařízení poskytující síťové služby a testuje, zda jsou funkční. Sledování dostupnosti zařízení v řetězci služeb pomáhá předcházet nulové trase, ke které může dojít, pokud politika směruje na servisní zařízení, které není dostupné. Ve výchozím nastavení zapisuje Cisco Catalyst SD-WAN výsledky sledování do protokolu služby, ale to lze zakázat.

Omezení

  • Vkládání služby přes tunelové rozhraní není podporováno na zařízeních Cisco IOS XE Catalyst SD-WAN.
  • Akce řetězce služeb založená na zásadách řízení na místně hostovaném řetězci služeb není podporována.
  • Konfigurace servisního řetězce a AppQoE na stejném zařízení není podporována bez ohledu na akce založené na zásadách dat nebo zásadách řízení.
  • Sledování vkládání služeb přes tunelové rozhraní není podporováno na zařízeních Cisco vEdge.
  • Konfigurace řetězení služeb, na straně 3
  • Konfigurace řetězení služeb Přamples, na straně 5
  • Monitorování řetězení služeb, na straně 13

Konfigurace řetězení služeb

Zde je pracovní postup pro konfiguraci řetězení služeb pro zařízení spravované Cisco Catalyst SD-WAN:

  1. Servisní zařízení jsou přístupná prostřednictvím specifického VRF. V šabloně VPN, která odpovídá VRF pro servisní zařízení, nakonfigurujte zřetězení služeb, určete typ služby a adresy zařízení. Ve výchozím nastavení funkce sledování přidává každou aktualizaci stavu servisního zařízení do protokolu služby. Toto můžete zakázat v šabloně VPN.
  2. Připojte šablonu VPN k šabloně zařízení pro zařízení spravované Cisco Catalyst SD-WAN.
  3. Použijte šablonu zařízení na zařízení.

Nakonfigurujte řetězení služeb pomocí Cisco SD-WAN Manager

Konfigurace řetězení služeb pro zařízení.

  1. V Cisco SD-WAN Manager vytvořte šablonu VPN.
  2. ClickService.
  3. V části Služba klikněte na Nová služba a nakonfigurujte následující:
    • Typ služby: Vyberte typ služby, kterou servisní zařízení poskytuje.
    • IP adresa: IP adresa je jediná funkční možnost.
    • Adresa IPv4: Zadejte jednu až čtyři adresy zařízení.
    • Sledování: Určuje, zda se pravidelné aktualizace stavu servisního zařízení zaznamenávají do systémového protokolu. Výchozí: Zapnuto
  4. Klepněte na tlačítko Přidat. Služba se zobrazí v tabulce nakonfigurovaných služeb.

Ekvivalent CLI pro zařízení Cisco IOS XE Catalyst SD-WAN

Následující tabulka ukazuje, jak konfigurace zřetězení služeb pomocí CLI odpovídá konfiguraci v
Správce Cisco SD-WAN. Konfigurace CLI se mezi zařízeními Cisco IOS XE Catalyst SD-WAN liší a
Zařízení Cisco vEdge. CLI exampNíže uvedený text je pro zařízení Cisco IOS XE Catalyst SD-WAN.

CLI (Cisco IOS XE Catalyst SD-WAN přístroj) Cisco SD-WAN Manažer
servisní firewall vrf 10 V Cisco SD-WAN Manager nakonfigurujte vkládání služby do šablony VPN pro konkrétní VRF – VRF 10 v tomto příkladuample.Z rozevírací nabídky vyberte typ služby —firewall v tomto příkladuample.
žádná možnost sledováníPoznámka          Výchozí: povoleno Při přidávání služby do šablony VPN Servis, vyberte Onor Vypnuto pro Sledování.
adresa ipv4 10.0.2.1 10.0.2.2 V šabloně VRF Servis, zadejte jednu nebo více IP adres pro servisní zařízení poskytující konkrétní službu.

CLI Přample
sdwan
servisní firewall vrf 10
adresa ipv4 10.0.2.1 10.0.2.2
spáchat
Ekvivalent CLI pro zařízení Cisco vEdge
Následující tabulka ukazuje, jak konfigurace zřetězení služeb pomocí CLI odpovídá konfiguraci v
Správce Cisco SD-WAN. Konfigurace CLI se mezi zařízeními Cisco IOS XE Catalyst SD-WAN liší a
Zařízení Cisco vEdge. CLI exampNíže uvedený text je pro zařízení Cisco vEdge.

CLI (Cisco vEdge přístroj) Cisco SD-WAN Manažer
vpn 10 V aplikaci Cisco SD-WAN Manager nakonfigurujte vkládání služby do šablony VPN – v tomto příkladu VPN 10ample.Z rozevíracího seznamu vyberte typ služby – firewall v tomto příkladuample.
servisní FW adresa 10.0.2.1 Vyberte typ služby z rozevíracího seznamu – firewall v tomto příkladuample. Zadejte jednu nebo více adres pro servisní zařízení.
žádná možnost sledováníPoznámka          Výchozí: povoleno Při přidávání služby do šablony VPN Servis, vyberte Onor Vypnuto pro Sledování.

CLI Přample
vpn 10
servisní FW adresa 10.0.2.1
spáchat

Konfigurace řetězení služeb Přamples

Zásady řízení řetězení služeb směrují datový provoz do servisních zařízení, která mohou být umístěna na různých místech v síti, než je provoz doručen do cíle. Aby řetězení služeb fungovalo, nakonfigurujete zásadu centralizovaného řízení na řadiči CiscoSD-WAN a nakonfigurujete samotná servisní zařízení na zařízení umístěném na stejném místě jako zařízení. Aby bylo zajištěno, že služby budou inzerovány na Cisco SD-WAN Controller, musí být IP adresa servisního zařízení lokalizována.

Toto téma poskytuje napřampkonfigurace řetězení služeb.

Směrujte provoz mezi lokalitami prostřednictvím služby


Prostý example je směrovat datový provoz putující z jednoho místa na druhé prostřednictvím služby. V tomto example, směrujeme veškerý provoz putující ze zařízení na Místě 1 do zařízení na Místě 2 přes službu brány firewall, která je umístěna za rozbočovačem (jehož systémová IP adresa je 100.1.1.1). Aby to bylo jednoduché, všechna zařízení jsou ve stejné VPN.

Pro tento scénář nakonfigurujete následující:

  • Na rozbočovacím směrovači nakonfigurujete adresu IP zařízení brány firewall.
  • Na řadiči Cisco SD-WAN Controller nakonfigurujete politiku řízení, která přesměruje provoz směřovaný z
    Web 1 až web 2 prostřednictvím služby brány firewall.
  • Na řadiči Cisco SD-WAN Controller aplikujete zásady ovládání na místo 1.

Zde je postup konfigurace:

  1. Na rozbočovacím směrovači zřiďte službu brány firewall a zadejte adresu IP zařízení brány firewall. S
    tato konfigurace OMP na směrovači rozbočovače inzeruje jednu servisní cestu k řadiči Cisco SD-WAN.
    Trasa služby obsahuje řadu vlastností, které identifikují umístění brány firewall, včetně
    TLOC směrovače rozbočovače a servisní štítek svc-id-1, který identifikuje typ služby jako firewall. (Jak bylo uvedeno výše, před inzerováním trasy zařízení zajistí, že IP adresu firewallu lze přeložit lokálně.)
    vpn 10
    servisní FW adresa 10.1.1.1
  2. Na řadiči Cisco SD-WAN nakonfigurujte zásady řízení, které přesměrují datový provoz putující z
    Web 1 až web 2 přes bránu firewall. Poté použijte tuto zásadu také na Cisco SD-WAN Controller
    Místo 1.
    politika
    seznamy
    site-list firewall-sites
    site-id 1
    control-policy firewall-service
    sekvence 10
    zápasová trasa
    site-id 2
    akci přijmout
    nastavit servisní FW vpn 10
    výchozí akce přijmout
    aplikovat-politiku
    site-list firewall-sites control-policy firewall-service out

Tato konfigurace zásad dělá následující:

  • Vytvořte seznam webů s názvem firewall-sites, na který odkazuje příkaz apply-policy a který obsahuje výčet všech webů, na které se tato zásada vztahuje. Pokud budete chtít později tuto zásadu škálovat tak, aby veškerý provoz směřovaný na web 2 z jiných webů také nejprve prošel bránou firewall, stačí přidat další ID webů do seznamu webů firewallu. V části konfigurace control-policy firewall-service nemusíte nic měnit.
  • Definujte zásadu řízení s názvem firewall-service. Tato zásada má jeden prvek sekvence a následující podmínky:
  • Utkání tras určených pro lokalitu 2.
  • Pokud dojde ke shodě, přijměte trasu a přesměrujte ji na službu brány firewall poskytovanou směrovačem Hub, který se nachází ve VPN 10.
  • Přijměte veškerý neodpovídající provoz. To znamená, že přijměte veškerý provoz, který není určen pro web 2.
  • Aplikujte zásady na weby uvedené v seznamu firewallů, to znamená na web 1. Cisco SD-WAN Validator aplikuje zásady v odchozím směru, to znamená na trasách, které redistribuuje na web 1. V těchto trasách:
  • TLOC se změní z TLOC lokality 2 na TLOC rozbočovače. Toto je TLOC, který se řadič Cisco SD-WAN naučil z trasy služby přijaté z rozbočovače. Je to kvůli změně TLOC, že provoz určený pro Site 2 je směrován do směrovače rozbočovače
  • Štítek se změní na svc-id-1, který identifikuje službu brány firewall. Toto označení způsobí, že směrovač rozbočovače směruje provoz na zařízení brány firewall.

Když hub router přijme provoz, předá jej na adresu 10.1.1.1, což je systémová IP adresa firewallu. Poté, co firewall dokončí zpracování provozu, firewall vrátí provoz do směrovače rozbočovače a tento směrovač jej pak předá svému konečnému cíli, kterým je Site 2.

Směrujte provoz mezi VPN prostřednictvím řetězce služeb s jednou službou na uzel

Řetězec služeb umožňuje provozu procházet dvěma nebo více službami, než dosáhne svého cíle. BývalýampZde směruje provoz z jedné VPN do druhé prostřednictvím služeb umístěných ve třetí VPN. Služby jsou umístěny za různými směrovači hub. Konkrétně chceme, aby veškerý provoz ze zařízení-1 ve VPN 20 a který je určen pro prefix xx0.0/16 ve VPN 30 na zařízení-2 procházel nejprve přes firewall za Hub-1 a poté přes vlastní službu netsvc1 za Hubem. -2 před odesláním na místo určení.

Aby tato zásada fungovala:

  • VPN 10, VPN 20 a VPN 30 musí být připojeny pomocí extranetu, jako je internet
  • VPN 10 musí importovat trasy z VPN 20 a VPN 30. V případě potřeby lze trasy importovat selektivně.
  • VPN 20 musí importovat trasy z VPN 30. V případě potřeby lze trasy importovat selektivně.
  • VPN 30 musí importovat trasy z VPN 20. V případě potřeby lze trasy importovat selektivně.

Pro tento scénář nakonfigurujete čtyři věci:

  • Nakonfigurujete adresu IP zařízení brány firewall na směrovači Hub-1.
  • Nakonfigurujete IP adresu vlastního servisního zařízení na směrovači Hub-2.
  • Na řadiči Cisco SD-WAN Controller nakonfigurujete zásadu řízení, která přesměruje provoz určený z lokality 1 na lokalitu 2 prostřednictvím zařízení brány firewall.
  • Na Cisco SD-WAN Controller nakonfigurujete druhou zásadu řízení, která přesměruje provoz na vlastní servisní zařízení.

Zde je postup konfigurace:

  1. Nakonfigurujte službu brány firewall na Hub-1. S touto konfigurací OMP na routeru Hub-1 inzeruje servisní trasu k řadiči Cisco SD-WAN. Trasa služby obsahuje řadu vlastností, které identifikují umístění brány firewall, včetně TLOC směrovače rozbočovače a štítku služby svc-id-1, který identifikuje typ služby jako firewall.
    vpn 10
    servisní fw adresa 10.1.1.1
  2. Nakonfigurujte vlastní službu netsvc1 na Hub-2. S touto konfigurací OMP na routeru Hub-2 inzeruje servisní trasu k řadiči vSmart. Trasa služby obsahuje TLOC Hub-2 a servisní štítek svc-id-4, který identifikuje vlastní službu.
    vpn 10
    adresa služby netsvc1 2.2.2.2
  3. Vytvořte řídicí politiku na Cisco SD-WAN Controller pro první službu v řetězci – firewall – a
    použijte jej na Site 1, což je umístění routeru zařízení 1:
    politika
    seznamy
    site-list firewall-custom-service-sites
    site-id 1
    control-policy firewall-service
    sekvence 10
    zápasová trasa
    vpn 30
    site-id 2
    akci přijmout
    nastavit servisní FW
    výchozí akce přijmout
    aplikovat-politiku
    site-list firewall-custom-service-sites control-policy firewall-service out
    Tato konfigurace zásad dělá následující:
    • Vytvořte seznam webů s názvem firewall-custom-service-sites, na který se odkazuje v příkazu apply-policy a který obsahuje výčet všech webů, na které se tato zásada vztahuje.
    • Definujte zásadu řízení s názvem firewall-service, která má jeden prvek sekvence a následující podmínky:
    • Přizpůsobte trasy určené pro VPN 30 i Site 2.
    • Pokud dojde ke shodě, přijměte trasu a přesměrujte ji na službu brány firewall.
    • Pokud nedojde ke shodě, přijměte provoz.
    • Aplikujte zásadu na weby v seznamu webů firewall-custom-service-sites, to jest na web 1. Řadič Cisco vSmart aplikuje tuto zásadu směrem ven, to znamená na trasách, které přerozděluje na web 1. V těchto trasy:
    • TLOC se změní z TLOC lokality 2 na TLOC směrovače Hub-1. Toto je TLOC, který se řadič CiscoSD-WAN naučil ze servisní trasy přijaté z rozbočovače. Je to kvůli změně TLOC, že provoz určený pro Site 2 je směrován do routeru Hub-1.
    • Štítek se změní na svc-id-1, který identifikuje službu brány firewall. Toto označení způsobuje
      Hub-1 router pro směrování provozu na firewallové zařízení.
      Když router Hub-1 přijme provoz, předá jej na adresu 10.1.1.1, což je systémová IP adresa firewallu. Poté, co firewall dokončí zpracování provozu, vrátí provoz směrovači Hub-1, který jej na základě zásady definované v dalším kroku předá směrovači Hub-2.
  4. Vytvořte politiku řízení na Cisco SD-WAN Controller pro druhou službu v řetězci, což je vlastní služba, a použijte ji na web routeru Hub-1:
    politika
    site-list custom-service
    site-id 3
    control-policy netsvc1-service
    sekvence 10
    zápasová trasa
    vpn 30
    site-id 2
    akci přijmout
    nastavit službu netsvc1
    výchozí akce přijmout
    aplikovat-politiku
    site-list custom-service control-policy netsvc1-service out

Tato konfigurace zásad dělá následující:

  • Vytvořte seznam webů s názvem custom-service, na který odkazuje příkaz apply-policy a který obsahuje výčet všech webů, na které se tato zásada vztahuje.
  • Definujte zásadu řízení s názvem netsvc1-service, která má jeden prvek sekvence a následující podmínky:
  • Přizpůsobte trasy určené pro VPN 30 i Site 2.
  • Pokud dojde ke shodě, přijměte trasu a přesměrujte ji na vlastní službu.
  • Pokud nedojde ke shodě, přijměte provoz.
  • Aplikujte zásadu na weby v seznamu vlastních služeb, to znamená na web 3. Řadič Cisco vSmart aplikuje tuto zásadu v odchozím směru, to znamená na trasách, které přerozděluje na web 3. V těchto trasách:
  • TLOC se změní z TLOC lokality 2 na TLOC směrovače Hub-2. Toto je TLOC, který se Cisco SD-WAN Controller naučil z trasy služby přijaté z routeru Hub-2.
    Je to kvůli změně TLOC, že provoz určený pro Site 2 je směrován do routeru Hub-2.
  • Štítek se změní na svc-id-4, který identifikuje vlastní službu. Toto označení způsobí, že Hub-2 směruje provoz na zařízení, které je hostitelem vlastní služby

Když směrovače Hub-2 přijmou provoz, předají jej na adresu 2.2.2.2, což je systémová IP adresa zařízení hostujícího vlastní službu. Poté, co byl provoz zpracován, je vrácen směrovači Hub-2, který jej poté přesměruje do svého konečného cíle, Site 2.
Směrujte provoz mezi VPN prostřednictvím řetězce služeb s více službami na uzel

Pokud má řetězec služeb více než jednu službu, která je připojena ke stejnému uzlu, to znamená, že obě služby jsou za stejným zařízením, použijete k vytvoření požadovaného řetězce služeb kombinaci zásad řízení a zásad dat. Bývalýample zde je podobný tomu v předchozí části, ale místo toho má firewall a vlastní službu (netsvc-1) za jedním hubovým routerem. Zde chceme, aby veškerý datový provoz ze zařízení-1 ve VPN 20 určený pro prefix xx0.0/16 na zařízení-2 ve VPN 30 nejprve prošel firewallem v Hub-1, poté přes vlastní službu netsvc1, také v Hubu. -1 a poté do svého konečného cíle.

Aby tato zásada fungovala:

  • VPN 10, VPN 20 a VPN 30 musí být připojeny pomocí extranetu, jako je internet.
  • VPN 10 musí importovat trasy z VPN 20 a VPN 30. V případě potřeby lze trasy importovat selektivně.
  • VPN 20 musí importovat trasy z VPN 30. V případě potřeby lze trasy importovat selektivně.
  • VPN 30 musí importovat trasy z VPN 20. V případě potřeby lze trasy importovat selektivně.

Pro tento scénář nakonfigurujete následující:

  • Na rozbočovacím směrovači nakonfigurujete bránu firewall a vlastní služby.
  • Na řadiči Cisco SD-WAN Controller nakonfigurujete zásady řízení, které přesměrovává datový provoz z lokality 1, která je určena na lokalitu 2 přes bránu firewall.
  • Na Cisco SD-WAN Controller nakonfigurujete datovou zásadu, která přesměruje datový provoz na vlastní službu.

Zde je postup konfigurace:

  1. Na směrovači rozbočovače nakonfigurujte bránu firewall a vlastní služby:
    vpn 10
    servisní FW adresa 10.1.1.1
    adresa služby netsvc1 2.2.2.2
    S touto konfigurací OMP na směrovači rozbočovače inzeruje dvě servisní trasy k řadiči Cisco SD-WAN, jednu pro firewall a druhou pro vlastní službu netsvc1. Obě cesty služeb obsahují TLOC routeru Hub-1 a štítek služby, který identifikuje typ služby. Pro službu firewall je štítek svc-id-1 a pro vlastní službu je štítek svc-id-4.
  2. Na Cisco SD-WAN Controller nakonfigurujte řadič zásad řízení tak, aby přesměroval provoz určený pro VPN 30 (na webu 2) na službu brány firewall, která je připojena k Hub-1 (na webu 3), a použijte tuto zásadu na web 1:
    politika
    seznamy
    site-list device-1
    site-id 1
    control-policy firewall-service
    sekvence 10
    zápasová trasa
    vpn 30
    akci přijmout
    nastavit servisní FW
    aplikovat-politiku
    site-list device-1 control-policy firewall-service out
  3. Na řadiči CiscoSD-WAN nakonfigurujte datovou zásadu, která přesměruje nebo zřetězí datový provoz přijatý ze zařízení brány firewall do vlastní služby netsvc1. Poté použijte tuto zásadu na Hub-1. Tato zásada dat směruje pakety směřující k cílům v síti xx0.0/16 na IP adresu 2.2.2.2, což je systémová IP adresa zařízení hostujícího vlastní službu.
    politika
    seznamy
    site-list device-2
    site-id 2
    site-list Hub-1
    site-id 3
    prefix-list svc-chain
    ip-prefix xx0.0/16
    vpn-list vpn-10
    vpn 10
    data-policy netsvc1-policy
    vpn-list vpn-10
    sekvence 1
    zápas
    ip-destination xx0.0/16
    akci přijmout
    nastavit next-hop 2.2.2.2
    aplikovat-politiku
    site-list Hub-1 data-policy netsvc1-policy from-service

Aktivní nebo záložní scénář s řetězením služeb

Při použití nastavení akce služby ke konfiguraci aktivní nebo záložní zásady řízení s nastavením akce služby pro zřetězení služeb, pokud je celkový počet dostupných cest (souhrn aktivních a pohotovostních cest) větší než nakonfigurovaný limit cesty odeslání, nenastavujte předvolbu přímo na trasy. Ujistěte se, že používáte akci set tloc-list k nastavení předvoleb společně s akcí set service. V opačném případě můžete zaznamenat případy, kdy jsou k určitému paprskovému směrovači inzerovány buď pouze aktivní nebo pouze záložní cesty.

Napřample, v tabulce Cisco SD-WAN Controller OMP je osm aktivních a záložních cest. Na základě výpočtu nejlepší cesty jsou cesty seřazeny v následujícím pořadí:

záloha1, záloha2, záloha3, záloha4, aktivní1, aktivní2, aktivní3, aktivní4

Když je nakonfigurován limit cesty odeslání 4 a použijete-li první zásadu, budou odeslány pouze čtyři záložní cesty. Pokud použijete druhou zásadu, budou odeslány dvě aktivní a dvě záložní cesty.

ExampSoubor zásad náchylných k selhání, pokud je limit cesty odeslání nižší než celkový počet aktivních a záložních cest:
control-policy SET_SERVICE_ACTIVE-BACKUP
sekvence 10
zápasová trasa
prefix-list _AnyIpv4PrefixList
site-list HUBS_PRIMARY
tloc-list INTERNET_TLOCS
!
akci přijmout
soubor
preference 200
servisní FW vpn 10
!
!
!
sekvence 20
zápasová trasa
prefix-list _AnyIpv4PrefixList
seznam stránek HUBS_SECONDARY
tloc-list INTERNET_TLOCS
!
akci přijmout
soubor
preference 100
servisní FW vpn 10
!
!
!
výchozí akce přijmout
!
!
Example stejné zásady, ale opraveno podle doporučení:
politika
seznamy
tloc-list HUBS_PRIMARY_INTERNET_TLOCS
tloc 10.0.0.0 color biz-internet encap preference ipsec 200
tloc 10.0.0.1 color biz-internet encap preference ipsec 200
!
tloc-list HUBS_SECONDARY_INTERNET_TLOCS
tloc 10.255.255.254 color biz-internet encap preference ipsec 100
tloc 10.255.255.255 color biz-internet encap preference ipsec 100
!
!
control-policy SET_SERVICE_ACTIVE-BACKUP_FIXED
sekvence 10
zápasová trasa
prefix-list _AnyIpv4PrefixList
site-list HUBS_PRIMARY
tloc-list INTERNET_TLOCS
!
akci přijmout
soubor
service FW vpn 10 tloc-list HUBS_PRIMARY_INTERNET_TLOCS
!
!
!
sekvence 20
zápasová trasa
prefix-list _AnyIpv4PrefixList
seznam stránek HUBS_SECONDARY
tloc-list INTERNET_TLOCS
!
akci přijmout
soubor
service FW vpn 10 tloc-list HUBS_SECONDARY_INTERNET_TLOCS
!
!
!
výchozí akce přijmout
!
!

Monitorování řetězení služeb

Můžete sledovat různé aspekty řetězení služeb na rozbočovačích a paprskových zařízeních.

Poznámka Konfigurace servisního zařízení, aby fungovalo jako součást servisního řetězce, se nazývá vložení služby• Na rozbočovacím zařízení view nakonfigurované služby.

  • Z nabídky Cisco SD-WAN Manager:
    View nakonfigurované služby na stránce monitorování v reálném čase (Monitor > Zařízení > rozbočovací zařízení > Reálný čas). Pro Možnosti zařízení vyberte Služby OMP.
    Cisco vManage Release 20.6.xa starší: View nakonfigurované služby na stránce monitorování v reálném čase (Monitor > Síť > rozbočovací zařízení > Reálný čas). Pro Možnosti zařízení vyberte Služby OMP.
  • Na paprskovém zařízení view podrobnosti o cestě řetězce služeb.
  • Použití Cisco SD-WAN Manager:
    View cestu servisního řetězce na stránce Traceroute (Monitor > Zařízení > paprskové zařízení > Odstraňování problémů > Připojení > Trasování trasy). Zadejte cílovou IP, VPN a zdrojové rozhraní pro požadovanou cestu. Cisco vManage Release 20.6.xa starší: View cestu řetězce služeb na stránce Traceroute (Monitor > Síť > paprskové zařízení > Odstraňování problémů > Připojení > Trasování trasy). Zadejte cílovou IP, VPN a zdrojové rozhraní pro požadovanou cestu.
  • Použití CLI:
    Použijte příkaz traceroute. Informace naleznete v příručce Cisco Catalyst SD-WAN Command Reference.

Exampten: View servisní řetězec mezi dvěma paprskovými zařízeními
Následující example ukazuje, jak na to view cestu mezi dvěma paprsky před a po přidání servisního řetězce mezi nimi pomocí Cisco SD-WAN Manager nebo CLI.

Pro přehlednost exampSoubor představuje scénář dvou paprskových zařízení, rozbočovacího zařízení a servisního zařízení poskytujícího službu brány firewall a ukazuje, jak nakonfigurovat řetězec služeb brány firewall.

Zde jsou podrobnosti o každém zařízení ve scénáři:

Zařízení Adresa
Hub, přes rozhraní ge0/4 10.20.24.15
Mluvil 1 10.0.3.1
Mluvil 2 10.0.4.1
Servisní zařízení (služba brány firewall) 10.20.24.17

Konfigurace tří zařízení: Hub
====
vm5# show running-config vpn 1
vpn 1
název ospf_and_bgp_configs
servisní FW
adresa 10.20.24.17
výstup
router
ospf
router-id 10.100.0.1
časovače spf 200 1000 10000
redistribuovat statickou elektřinu
přerozdělit omp
oblast 0
rozhraní ge0/4
výstup
výstup
!
!
rozhraní ge0/4
IP adresa 10.20.24.15/24
žádné vypnutí
!
rozhraní ge0/5
IP adresa 10.30.24.15/24
žádné vypnutí
!
!
Mluvil 1
========
vpn 1
název ospf_and_bgp_configs
rozhraní ge0/1
IP adresa 10.0.3.1/24
žádné vypnutí
!
!
Mluvil2
======
vpn 1
rozhraní ge0/1
IP adresa 10.0.4.1/24
žádné vypnutí
!

  1. Bez vložení služby:
    V tomto okamžiku nejsou nakonfigurovány žádné zásady vkládání služeb, takže spuštění traceroute na Spoke 1 pro zobrazení podrobností o cestě k Spoke 2 (10.0.4.1) ukazuje jednoduchou cestu k Spoke 2:
    → Spoke 2 (10.0.4.1)
    vm4# traceroute vpn 1 10.0.4.1
    Traceroute 10.0.4.1 ve VPN 1
    traceroute na 10.0.4.1 (10.0.4.1), max. 30 skoků, 60bajtové pakety
    1 10.0.4.1 (10.0.4.1) 7.447 ms 8.097 ms 8.127 ms
  2. Podobně, viewStránka Traceroute v Cisco SD-WAN Manager ukazuje jednoduchou cestu z Spoke 1
    mluvit 2.
  3. S vložením služby:
    Následující zásada Cisco SD-WAN Controller konfiguruje vkládání služby pro službu brány firewall pomocí výše popsaného servisního zařízení brány firewall.
    vm9# show running-config policy
    politika
    seznamy
    site-list firewall-sites
    site-id 400
    !
    !
    control-policy firewall-services
    sekvence 10
    zápasová trasa
    site-id 600
    !
    akci přijmout
    soubor
    servisní FW vpn 1
    !
    !
    !
    výchozí akce přijmout
    !
    !
    vm9# show running-config apply-policy
    aplikovat-politiku
    site-list firewall-sites
    control-policy firewall-services out
    !
    !
    Po nakonfigurování vkládání služby se při spuštění traceroute na Spoke 1 (10.0.3.1) pro zobrazení podrobností o cestě k Spoke 2 (10.0.4.1) zobrazí tato cesta:
    → Hub (10.20.24.15) → Servisní zařízení brány firewall (10.20.24.17) → Hub (10.20.24.15) → Spoke 2 (10.0.4.1)
    Traceroute -m 15 -w 1 -s 10.0.3.1 10.0.4.1 ve VPN 1
    traceroute na 10.0.4.1 (10.0.4.1), max. 15 skoků, 60bajtové pakety
    1 10.20.24.15 (10.20.24.15) 2.187 ms 2.175 ms 2.240 ms
    2 10.20.24.17 (10.20.24.17) 2.244 ms 2.868 ms 2.873 ms
    3 10.20.24.15 (10.20.24.15) 2.959 ms 4.910 ms 4.996 ms
    4 10.0.4.1 (10.0.4.1) 5.045 ms 5.213 ms 5.247 ms
    Podobně, viewStránka Traceroute v Cisco SD-WAN Manager zobrazuje každý krok cesty od Spoke 1 k Spoke 2 přes rozbočovač a servisní zařízení brány firewall.

Řetězení služeb

Dokumenty / zdroje

Řetězení služeb CISCO SD-WAN [pdfUživatelská příručka
SD-WAN Service Chaining, SD-WAN, Service Chaining, Chaining

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *