كيف تفضل وصلات معينة للوصول المباشر إلى الإنترنت

المقدمة

يوضح هذا المستند كيفية تفضيل واجهة معينة للوصول المباشر إلى الإنترنت (DIA) بمساعدة سياسة بيانات vSmart.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بإطار عمل سياسة SD-WAN.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى موجه vEdge ووحدة تحكم vSmart.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

التكوينات

يحتوي موجه vEdge على واجهتي توصيل، مع تكوين أساسي وتغطيتي. الهدف الرئيسي هو تفضيل واجهة GE0/1 لجميع حركات المرور على مضيف الإنترنت مع عنوان 203.0.113.137 من الشبكة الفرعية المحلية 192.0.2.0/24.

تكوين موجه vEdge:

 interface ge0/1
  ip address 192.168.109.104/24
  nat
  !
  tunnel-interface
   encapsulation ipsec
   color biz-internet 
!
interface ge0/2
  ip address 192.168.110.104/24
  nat
  !
  tunnel-interface
   encapsulation ipsec
   color public-internet
!
 !
 ip route 0.0.0.0/0 192.168.109.10
 ip route 0.0.0.0/0 192.168.110.10
!
vpn 40
 ip route 0.0.0.0/0 vpn 0

تكوين وحدة التحكم vSmart:

policy
 lists
  data-prefix-list SOURCE_PREFIX
   ip-prefix 192.0.2.0/24
  !
  data-prefix-list DESTINATION_PREFIX
   ip-prefix 203.0.113.137/32
  !
  site-list branch40
   site-id 40
  !
 !
policy
 data-policy FORCE_GE0_1
  vpn-list VPN_40
   sequence 100
    match
     source-data-prefix-list SOURCE_PREFIX
     destination-data-prefix-list DESTINATION_PREFIX
    !
    action accept
     nat use-vpn 0
     set
      local-tloc color biz-internet encap ipsec
     !
    !
   !
   default-action accept
  !
 !
apply-policy
 site-list branch40
  data-policy FORCE_GE0_1 from-service
 !
!

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

قبل تطبيق النهج:

show policy service-path vpn 40 interface ge0/7 source-ip 192.0.2.222 dest-ip 203.0.113.137 protocol 6 
Next Hop: Remote 
Remote IP: 192.168.110.10, Interface ge0/2 Index: 6

ثم قم بتنشيط النهج على vSmart وتأكد من تطبيق النهج من vSmart على vEdge:

vedge1# show policy from-vsmart 
from-vsmart data-policy FORCE_GE0_1
 direction from-service
 vpn-list VPN_40
  sequence 100
   match
    source-data-prefix-list      SOURCE_PREFIX
    destination-data-prefix-list DESTINATION_PREFIX
   action accept
    nat use-vpn 0
    no nat fallback
    set
     local-tloc color biz-internet
     local-tloc encap ipsec
  default-action accept
from-vsmart lists vpn-list VPN_40
 vpn 40
from-vsmart lists data-prefix-list DESTINATION_PREFIX
 ip-prefix 203.0.113.137/32
from-vsmart lists data-prefix-list SOURCE_PREFIX
 ip-prefix 192.0.2.0/24

بعد تطبيق النهج:

show policy service-path vpn 40 interface ge0/7 source-ip 192.0.2.222 dest-ip 203.0.113.137 protocol 6 
Next Hop: Remote 
Remote IP: 192.168.109.10, Interface ge0/1 Index: 5

أيضا، أنت يستطيع رأيت توصيل في ال nat ترجمة طاولة:

vedge1# show ip nat filter nat-vpn 0 nat-ifname ge0/1 vpn 40 protocol tcp 192.0.2.222 203.0.113.137 
ip nat filter nat-vpn 0 nat-ifname ge0/1 vpn 1 protocol tcp 192.0.2.222 203.0.113.137 61213 443 
public-source-address 192.168.109.104 
public-dest-address 203.0.113.137 
public-source-port 61213 
public-dest-port 443 
filter-state established 
idle-timeout 0:00:54:11 
outbound-packets 12593 
outbound-octets 1186104 
inbound-packets 16601 
inbound-octets 4576423 

استكشاف الأخطاء وإصلاحها 

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.