تكوين تسجيل المسار لتوصيل الخدمة في SD-WAN
المحتويات
المقدمة
يصف هذا وثيقة كيف أن يشكل ودققت خدمة توصيل أن يفحص حركة مرور عبر VRF مختلف.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- شبكة المنطقة الواسعة المعرفة من برنامج Cisco (SD-WAN)
- سياسات التحكم.
- قوالب.
المكونات المستخدمة
يستند هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- وحدات التحكم في شبكة WAN المعرفة عن طريق SD (20.9.4.1)
- موجه Cisco Edge (17.09.04)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي للشبكة
معلومات أساسية
على الرسم التخطيطي للشبكة، تكون خدمة جدار الحماية في التوجيه وإعادة التوجيه الظاهري (VRF) 5 بينما تكون أجهزة شبكة LAN موجودة على VRF 1. يجب مشاركة معلومات المسارات بين شبكات VRF حتى يمكن تحقيق الفحص وإعادة التوجيه لحركة المرور. لتوجيه حركة المرور من خلال خدمة، يجب تكوين سياسة التحكم على وحدة التحكم في SD-WAN من Cisco.
التكوين
تسرب المسار
يتيح تسريب المسار نشر معلومات التوجيه بين شبكات VRF المختلفة. في هذا السيناريو، عندما يكون توصيل الخدمة (Firewall) وجانب خدمة LAN في شبكات VRF مختلفة، يكون تسجيل المسار ضروريا لفحص حركة المرور.
لضمان التوجيه بين جانب خدمة شبكة LAN وخدمة جدار الحماية، يلزم تسريب المسارات في كل من شبكات VRF، وتطبيق سياسة في المواقع التي يلزم فيها تسريب المسار.
التكوين عبر CLI (واجهة سطر الأوامر)
1. قم بتكوين القوائم على وحدة التحكم Cisco Catalyst SD-WAN.
يتيح التكوين تحديد المواقع من خلال قائمة.
vSmart# config
vSmart(config)# policy
vSmart(config-policy)# lists
vSmart(config-lists)# site-list cEdges-1
vSmart(config-site-list-cEdge-1)# site-id 1
vSmart(config-site-list-cEdge-1)# exit
vSmart(config-lists)# site-list cEdge-2
vSmart(config-site-list- cEdge-2)# site-id 2
vSmart(config-site-list- cEdge-2)# exit
vSmart(config-site-list)# vpn-list VRF-1
vSmart(config-vpn-list-VRF-1)# vpn 1
vSmart(config-vpn-list-VRF-1)# exit
vSmart(config-site-list)# vpn-list VRF-5
vSmart(config-vpn-list-VRF-5)# vpn 5
vSmart(config-vpn-list-VRF-5)# commit
2. تكوين النهج على وحدة التحكم Cisco Catalyst SD-WAN.
يسمح التشكيل نشر معلومات التوجيه بين VRF 1 و VRF 5، أن يضمن التوجيه بينهم، كلا VRF يجب أن يتشارك بيانات التوجيه الخاصة بهم.
تسمح السياسة بقبول حركة مرور بيانات VRF 1 وتصديرها إلى VRF 5 والعكس بالعكس.
vSmart# config
vSmart(config)# policy
vSmart(config-policy)# control-policy Route-Leaking
vSmart(config-control-policy-Route-Leaking)# sequence 1
vSmart(config-sequence-1)# match route
vSmart(config-match-route)# vpn 5
vSmart(config-match-route)# exit
vSmart(config-sequence-1)# action accept
vSmart(config-action)# export-to
vSmart(config-export-to)# vpn-list VRF-1
vSmart(config-action)# exit
vSmart(config-sequence-1)# exit
vSmart(config-control-policy-Route-Leaking)# sequence 10
vSmart(config-sequence-10)# match route
vSmart(config-match-route)# vpn 1
vSmart(config-match-route)# exit
vSmart(config-sequence-10)# action accept
vSmart(config-action)# export-to
vSmart(config-export-to)# vpn-list VRF-5
vSmart(config-action)# exit
vSmart(config-sequence-10)# exit
vSmart(config-control-policy-Route-Leaking)# default-action accept
vSmart(config-control-policy-Route-Leaking)# commit
3. تطبيق السياسة على وحدة التحكم Cisco Catalyst SD-WAN.
يتم تطبيق السياسة في الموقع 1 والموقع 2 للسماح بالتوجيه بين VRF 1 الموجود على هذه المواقع وعلى VRF 5.
يتم تنفيذ السياسة الواردة، وهذا يعني تطبيق تحديثات OMP الواردة من موجهات Cisco Edge إلى وحدة التحكم Cisco Catalyst SD-WAN.
vSmart# config
vSmart(config)# apply-policy
vSmart(config-apply-policy)# site-list cEdge-1
vSmart(config-site-list-cEdge-1)# control-policy Route-Leaking in
vSmart(config-site-list-cEdge-1)# exit
vSmart(config-apply-policy)# site-list cEdge-2
vSmart(config-site-list-cEdge-2)# control-policy Route-Leaking in
vSmart(config-site-list-cEdge-2)# commit
التكوين عبر القالب
ملاحظة: لتنشيط السياسة من خلال واجهة المستخدم الرسومية (GUI) لبرنامج Cisco Catalyst SD-WAN Manager، يجب أن يكون لدى وحدة التحكم Cisco Catalyst SD-WAN Controller قالب مرفق.
1. قم بإنشاء السياسة للسماح بنشر معلومات التوجيه.
قم بإنشاء نهج على Cisco Catalyst SD-WAN Manager، انتقل إلىالتكوين> نهج >نهج مركزي.
علامة التبويب UnderCentral Policy انقر فوق إضافة نهج.
2. قم بإنشاء قوائم على مدير Cisco Catalyst SD-WAN، يسمح التكوين بتعريف المواقع من خلال قائمة.
انتقل إلى الموقع > قائمة مواقع جديدة.
قم بإنشاء قائمة بالمواقع التي يلزم فيها تسريب المسار وإضافة القائمة.
انتقل إلى شبكة VPN > قائمة شبكات VPN جديدة.
قم بإنشاء قائمة شبكات VPN حيث يلزم تطبيق تسريب المسار على، انقر فوق التالي.
3. تكوين النهج على مدير Cisco Catalyst SD-WAN.
انقر فوق Topologytab وانقر فوق إضافة مخطط.
إنشاء تحكم مخصص (المسار و TLOC).
انقر على نوع التسلسل وحدد تسلسل المسار.
إضافة قاعدة تسلسل.
شرط 1: قبلت حركة مرور من VRF 1 وصدرت إلى ال VRF 5.
شرط 2: قبلت حركة مرور من VRF 5 وصدرت إلى ال VRF 1.
قم بتغيير الإجراء الافتراضي للنهج المراد قبوله.
انقر فوق حفظ التطابق والإجراءات ثم انقر فوق حفظ نهج التحكم.
4. تطبيق السياسة على المواقع التي يلزم فيها تسريب المسار.
انقر فوق علامة التبويب المخطط، ضمن نهج تسجيل المسار، حدد قائمة مواقع/مناطق جديدة في قائمة المواقع الواردة. حدد قوائم المواقع التي يلزم فيها تسريب المسار.
لحفظ التعديلات، حدد حفظ تغييرات النهج.
سلسلة الخدمات
يعرف "ترتيب الخدمات" أيضا بإدخال الخدمة. وهي تتضمن حقن خدمة الشبكة، وتشمل الخدمات القياسية جدار الحماية (FW) ونظام اكتشاف الاقتحام (IDS) ونظام منع الاقتحام (IPS). في هذه الحالة، يتم إدراج خدمة جدار الحماية في مسار البيانات.
التكوين عبر CLI (واجهة سطر الأوامر)
1. قم بتكوين القوائم على وحدة التحكم Cisco Catalyst SD-WAN.
يتيح التكوين تحديد المواقع من خلال قائمة.
قم بإنشاء قائمة للمواقع التي يوجد فيها كل VRF 1.
في قائمة موقع النقل (TLOC)، حدد العنوان حيث يجب إعادة توجيه حركة المرور للوصول إلى الخدمة.
vSmart# config
vSmart(config)# policy
vSmart(config-policy)# lists
vSmart(config-lists)# site-list cEdge-1
vSmart(config-site-list-cEdge-1)# site-id 1
vSmart(config-site-list-cEdge-1)# exit
vSmart(config-lists)# site-list cEdge-2
vSmart(config-site-list-cEdge-2)# site-id 2
vSmart(config-site-list-cEdge-2)# exit
vSmart(config-lists)# tloc-list cEdge-1-TLOC
vSmart(config-tloc-list-cEdge-1-TLOC)# tloc 192.168.1.11 color public-internet encap ipsec
vSmart(config-tloc-list-cEdge-1-TLOC)# commit
2. تكوين النهج على وحدة التحكم Cisco Catalyst SD-WAN.
يقوم التسلسل بتصفية حركة مرور البيانات من VRF 1. يتم السماح بحركة المرور وفحصها على جدار حماية الخدمة الموجود على VRF 5.
vSmart# config
vSmart(config)# policy
vSmart(config-policy)# control-policy Service-Chaining
vSmart(config-control-policy-Service-Chaining)# sequence 1
vSmart(config-sequence-1)# match route
vSmart(config-match-route)# vpn 1
vSmart(config-match-route)# action accept
vSmart(config-action)# set
vSmart(config-set)# service FW vpn 5
vSmart(config-set)# service tloc-list cEdge-1-TLOC
vSmart(config-set)# exit
vSmart(config-action)# exit
vSmart(config-sequence-1)# exit
vSmart(config-control-policy-Service-Chaining)# default-action accept
vSmart(config-control-policy-Service-Chaining)# commit
3. تطبيق السياسة على وحدة التحكم Cisco Catalyst SD-WAN.
يتم تكوين السياسة في الموقع 1 و 2 للسماح بفحص حركة المرور من VRF 1.
vSmart# config
vSmart(config)# apply-policy
vSmart(config-apply-policy)# site-list cEdge-1
vSmart(config-site-list-cEdge-1)# control-policy Service-Chaining out
vSmart(config-site-list-cEdge-1)# exit
vSmart(config-apply-policy)#site-list cEdge-2
vSmart(config-site-list-cEdge-1)# control-policy Service-Chaining out
vSmart(config-site-list-cEdge-1)# commit
التكوين عبر القالب
ملاحظة: لتنشيط السياسة من خلال واجهة المستخدم الرسومية (GUI) لبرنامج Cisco Catalyst SD-WAN Manager، يجب أن يكون لدى وحدة التحكم Cisco Catalyst SD-WAN Controller قالب مرفق.
1. قم بإنشاء سياسة على مدير Cisco Catalyst SD-WAN.
انتقل إلى التكوين > السياسات >السياسة المركزية.
تحت علامة التبويب نهج مركزي، انقر فوق إضافة نهج.
2. قم بإنشاء قوائم على مدير Cisco Catalyst SD-WAN.
انتقل إلى الموقع > قائمة مواقع جديدة.
قم بإنشاء قائمة المواقع التي يوجد بها VRF 1 وحدد إضافة.
انتقل إلى TLOC > قائمة TLOC جديدة.
قم بإنشاء سلسلة خدمة قائمة TLOC الموجودة في وحدد حفظ.
3. إضافة قواعد تسلسل.
انقر فوق علامة التبويب المخطط وانقر فوق إضافة المخطط.
إنشاء تحكم مخصص (المسار و TLOC).
انقر على نوع التسلسل وحدد تسلسل المسار.
إضافة قاعدة تسلسل.
يقوم التسلسل بتصفية حركة المرور من VRF 1، ويسمح لها بالمرور، ثم يعيد توجيهها إلى خدمة (جدار حماية) موجودة داخل VRF 5. يمكن تحقيق ذلك باستخدام TLOC في الموقع 1، وهو موقع خدمة جدار الحماية.
قم بتغيير الإجراء الافتراضي للنهج المراد قبوله.
انقر فوق حفظ التطابق والإجراءات ثم انقر فوق حفظ نهج التحكم.
4. تطبيق السياسة.
انقر فوق علامة التبويب المخطط، ضمن نهج تسلسل الخدمة، حدد قائمة مواقع/مناطق جديدة في قائمة المواقع الصادرة. حدد المواقع التي يجب على حركة مرور بيانات VRF 1 فحصها ثم انقر فوق حفظ النهج. قم بحفظ التعديلات، انقر فوق حفظ تغييرات النهج.
خدمة Advertising لجدار الحماية
التكوين عبر CLI (واجهة سطر الأوامر)
لتوفير خدمة جدار الحماية، حدد عنوان IP الخاص بجهاز جدار الحماية. يتم إعلان الخدمة لوحدة التحكم Cisco Catalyst SD-WAN من خلال تحديث OMP.
cEdge-01# config-transaction
cEdge-01(config)# sdwan
cEdge-01(config-sdwan)# service Firewall vrf 5
cEdge-01(config-vrf-5)# ipv4 address 192.168.15.2
cEdge-01(config-vrf-5)# commit
التكوين عبر القالب
انتقل إلى قالب الميزة الخاص ب VRF 5.
تابع إلى التكوين > قوالب > قالب ميزة > إضافة قالب > Cisco VPN.
ضمن قسم الخدمة، انقر فوق خدمة جديدة. أدخل القيم، ثم أضف الخدمة ثم احفظ القالب.
التحقق من الصحة
تسرب المسار
تأكيد أن Cisco Catalyst SD-WAN Controller تصدر المسارات من VRF 1 إلى VRF 5 والأسلوب الآخر حول.
vSmart# show omp routes vpn 1 | tab
GROUP
PATH ATTRIBUTE AFFINITY
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 192.168.15.0/24 192.168.3.16 92 1003 C,R,Ext original 192.168.3.16 public-internet ipsec - None None -
installed 192.168.3.16 public-internet ipsec - None None -
1 192.168.16.0/24 192.168.3.16 69 1002 C,R installed 192.168.3.16 public-internet ipsec - None None -
1 192.168.18.0/24 192.168.3.15 69 1002 C,R installed 192.168.3.15 public-internet ipsec - None None -
vSmart# show omp routes vpn 5 | tab
GROUP
PATH ATTRIBUTE AFFINITY
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5 192.168.15.0/24 192.168.3.16 69 1003 C,R installed 192.168.3.16 public-internet ipsec - None None -
5 192.168.16.0/24 192.168.3.16 92 1002 C,R,Ext original 192.168.3.16 public-internet ipsec - None None -
installed 192.168.3.16 public-internet ipsec - None None -
5 192.168.18.0/24 192.168.3.15 92 1002 C,R,Ext original 192.168.3.15 public-internet ipsec - None None -
installed 192.168.3.15 public-internet ipsec - None None -
تأكد من أن موجهات Cisco Edge تلقت المسار المسرب من VRF 1 إلى VRF 5.
تأكد من أن موجهات Cisco Edge تلقت المسار المسرب من VRF 5 إلى VRF 1.
cEdge-1# show ip route vrf 1
------- output omitted ------
m 192.168.15.0/24 [251/0] via 192.168.3.16 (5), 10:12:28, Sdwan-system-intf
192.168.16.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.16.0/24 is directly connected, TenGigabitEthernet0/0/3
L 192.168.16.1/32 is directly connected, TenGigabitEthernet0/0/3
m 192.168.18.0/24 [251/0] via 192.168.3.16, 10:12:28, Sdwan-system-intf
cEdge-1# show ip route vrf 5
------- output omitted ------
192.168.15.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.15.0/24 is directly connected, TenGigabitEthernet0/0/2
L 192.168.15.1/32 is directly connected, TenGigabitEthernet0/0/2
m 192.168.16.0/24 [251/0] via 192.168.3.16 (1), 10:17:54, Sdwan-system-intf
m 192.168.18.0/24 [251/0] via 192.168.3.15, 10:17:52, Sdwan-system-intf
cEdge-2# show ip route vrf 1
------- output omitted ------
m 192.168.15.0/24 [251/0] via 192.168.3.16, 01:35:15, Sdwan-system-intf
m 192.168.16.0/24 [251/0] via 192.168.3.16, 01:35:15, Sdwan-system-intf
192.168.18.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.18.0/24 is directly connected, GigabitEthernet0/0/1
L 192.168.18.1/32 is directly connected, GigabitEthernet0/0/1
سلسلة الخدمات
تحقق من أن موجه Cisco Edge أعلن عن خدمة جدار الحماية إلى وحدة التحكم Cisco Catalyst SD-WAN عبر توجيه خدمة OMP.
cEdge-01#show sdwan omp services
ADDRESS PATH REGION
FAMILY TENANT VPN SERVICE ORIGINATOR FROM PEER ID ID LABEL STATUS VRF
---------------------------------------------------------------------------------------------------------
ipv4 0 1 VPN 192.168.1.11 0.0.0.0 69 None 1002 C,Red,R 1
0 5 VPN 192.168.1.11 0.0.0.0 69 None 1003 C,Red,R 5
0 5 FW 192.168.1.11 0.0.0.0 69 None 1005 C,Red,R 5
تأكد من أن وحدة التحكم Cisco Catalyst SD-WAN قد تلقت مسار الخدمة بنجاح.
vSmart# show omp services
ADDRESS PATH REGION
---------------------------------------------------------------------------------------
ipv4 1 VPN 192.168.1.12 192.168.1.12 69 None 1002 C,I,R
1 VPN 192.168.1.11 192.168.1.11 69 None 1002 C,I,R
5 VPN 192.168.1.11 192.168.1.11 69 None 1003 C,I,R
5 FW 192.168.1.11 192.168.1.11 69 None 1005 C,I,R
للتحقق من أن خدمة جدار الحماية تفتش حركة مرور البيانات من VRF 1، قم بإجراء traceroute.
Service-Side-cEdge1#traceroute 192.168.18.2
Type escape sequence to abort.
Tracing the route to 192.168.18.2
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.16.1 0 msec 0 msec 0 msec
2 192.168.16.1 1 msec 0 msec 0 msec
3 192.168.15.2 1 msec 0 msec 0 msec
4 192.168.15.1 0 msec 0 msec 0 msec
5 10.31.127.146 1 msec 1 msec 1 msec
6 192.168.18.2 2 msec 2 msec *
Service-Side-cEdge2#traceroute 192.168.16.2
Type escape sequence to abort.
Tracing the route to 192.168.16.2
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.18.1 2 msec 1 msec 1 msec
2 10.88.243.159 2 msec 2 msec 2 msec
3 192.168.15.2 1 msec 1 msec 1 msec
4 192.168.15.1 2 msec 2 msec 1 msec
5 192.168.16.2 2 msec * 2 msec
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
18-Apr-2024 |
الإصدار الأولي |
التعليقات