Konfiguration von SD-AVC im SD-WAN

Einleitung

In diesem Dokument wird die Konfiguration von Software-defined Application Visibility and Control (SD-AVC) in einem Software-Defined Wide Area Network (SD-WAN) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• SD-WAN
• SD-AVC

Das virtuelle System von Cisco vManage muss über die folgenden Mindestressourcen verfügen:

• RAM: 32 GB
• Speicher: 500 GB
• vCPU:16

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco vManage Version 20.3.x oder höher.
• vManage Version 20.6.3
• vBond-Version 20.6.3
• vSmart Version 20.6.3
• Integrated Service Router (ISR)4321/K9 Version 17.5.1a

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrund

Was ist SD-AVC?

Cisco SD-AVC ist eine Komponente von Cisco Application Visibility Control (AVC). AVC integriert Funktionen zur Anwendungserkennung und Leistungsüberwachung in die Routing-Geräte, die üblicherweise als dedizierte Appliances verfügbar sind. Er funktioniert als zentralisierter Netzwerkservice und wird mit bestimmten Geräten im Netzwerk betrieben. 

Weitere Informationen finden Sie unter Funktionen und Vorteile von SD-AVC.

Was ist Cisco Cloud Connector?

Cisco Cloud Connector ist ein von Cisco bereitgestellter Cloud-Service, der die Klassifizierung des Datenverkehrs verbessert. Er verwendet die neuesten verfügbaren Informationen über die Serveradresse, die von öffentlichen Internetseiten und Diensten verwendet wird, um die SD-AVC-Klassifizierung des Datenverkehrs zu verbessern.

Konfigurieren

Cloud Connector aktivieren

1. Öffnen Sie die Cisco API-Konsole, und klicken Sie auf My Apps & Keys.

Hinweis: Das auf dem Gerät gehostete SD-AVC-Netzwerk erfordert Zugriff auf die Cisco SD-AVC-Cloud-Server-Domänen: api.cisco.com, cloudsso.cisco.com, prod.sdavc-cloud-api.com.

2. Klicken Sie Register a New App wie in der Abbildung dargestellt.

3. Geben Sie in das Name of your application Feld einen beschreibenden Namen für Ihre Anwendung ein.

4. Aktivieren Sie das Client Credentials Kontrollkästchen.

5. Aktivieren Sie das Hello API Kontrollkästchen.

6. Aktivieren Sie das Kontrollkästchen, um den Nutzungsbedingungen zuzustimmen.

7. Klicken Sie auf Register. Die Seite "Cisco API Console" zeigt die Details zu Client ID und Client Secret an. Lassen Sie diese Seite geöffnet, um den Vorgang wie in diesem Bild dargestellt abzuschließen.

SD-AVC auf vManage aktivieren

1. Navigieren Sie zu Administration > Cluster Management > Service Configuration. Klicken Sie auf (...) More Actions und wählen Sie Edit.

Hinweis: Verwenden Sie keine VPN 0-Tunnel-/Transport- oder VPN 512-Schnittstelle, um SD-AVC zu aktivieren. Die Cluster-Schnittstelle im VPN 0 kann verwendet werden. 

2. Klicken Sie im Abschnitt "IP-Adresse verwalten" auf die IP-Adresse.  Wählen Sie in VPN 0 eine Nicht-Tunnel-IP-Adresse aus. Geben Sie Ihre Anmeldeinformationen ein, aktivieren Sie das Enabled SD-AVC Kontrollkästchen, und klicken Sie Update, wie im Bild dargestellt, auf .

3. Sobald das Update bestätigt wurde, klicken Sie aufOK, um das Gerät wie im Bild dargestellt neu zu starten.

4. Navigieren Sie nach dem Neustart von vManage zu Administration > Cluster Management > Service Reachability. SD-AVC erscheint Reachable.

SD-AVC Cloud Connector bei vManage aktivieren

SD-AVC Cloud Connector aktivieren, älter als 20,10

1. Navigieren Sie im Abschnitt "vManage GUI" zu, Administration > Settings > SD-AVC Cloud Connector und klicken Sie auf Edit.

2. Klicken Sie für den SD-AVC Cloud Connector auf das Enabled Optionsfeld. Geben Sie die Werte in diesen Feldern ein, die im Abschnitt "Enable Cloud Connector" (Cloud Connector aktivieren) generiert werden, wie im Bild gezeigt.

• Client-ID
• Client-Schlüssel
• Name der Organisation
• Affinität
• Telemetrie (optional)

3. Klicken Sie auf Save und überprüfen Sie die Benachrichtigung, wie in diesem Bild dargestellt.

SD-AVC Cloud Connector bis 20.13

Ab Version 20.10.1 sind für die Aktivierung des Cloud Connectors eine Cloud Gateway-URL und ein einmaliges Kennwort (OTP) anstelle einer Client-ID und eines Client-Schlüssels erforderlich.
Bei neuen von Cisco gehosteten Installationen der Version 20.10.1 oder höher ist Cloud Connector standardmäßig aktiviert, und es müssen keine Anmeldeinformationen eingegeben werden.

1. Navigieren Sie im Abschnitt "vManage GUI" zu, Administration > Settings > SD-AVC und klicken Sie auf Edit.

2. Klicken Sie für Cloud Connector auf das Enabled Optionsfeld. Geben Sie die Werte in diesen Feldern ein, die im Abschnitt "Enable Cloud Connector" (Cloud Connector aktivieren) generiert werden, wie im Bild gezeigt.

• OTP
  • Cloud-gehostet: Über das Cisco Catalyst SD-WAN-Portal können Sie das OTP abrufen. Weitere Informationen finden Sie im Konfigurationsleitfaden für das Cisco Catalyst SD-WAN-Portal.

     

  • Am Standort: Erstellen Sie ein Cisco TAC-Ticket für das OTP.
• Cloud-Gateway-URL
  Verwenden Sie https://datamanagement-us-01.sdwan.cisco.com/validate_sdavc/

 

3. Klicken Sie auf Save, und überprüfen Sie, ob die Einstellungen für die Benachrichtigungsbestätigung übernommen wurden.

SD-AVC Cloud Connector, 20.14 und höher

20.14.1 führt ein neues Verfahren zur Aktivierung des Cisco SD-AVC Cloud Connectors über die Option "Cloud Services" unter "Administration > Settings" ein. Für die Aktivierung von Cloud Connector ist in dieser Version weder ein OTP noch die Eröffnung eines TAC-Tickets erforderlich.

1. Navigieren Sie im Abschnitt "vManage GUI" zu Administration > Settings > Cloud Services.  Confirm Cloud Services are enabled.

2. Klicken Sie für Cloud Connector auf das Enabled Optionsfeld.

 

 

3. Klicken Sie auf Save, und überprüfen Sie, ob die Einstellungen für die Benachrichtigungsbestätigung übernommen wurden.

Richtlinienkonfiguration

Nach der Aktivierung von SD-AVC müssen Sie eine lokalisierte Richtlinie erstellen und die Anwendungstransparenz aktivieren.

1. Navigieren Sie zur grafischen Benutzeroberfläche von vManage, und wählen Sie Configuration > Policies > Localized Policy > Add Policy.

2. Navigieren Sie zu Policy Overview,. Aktivieren Sie im Policy Settings Abschnitt das Application Kontrollkästchen, und klicken Sie auf Save Policy.

3. Navigieren Sie zu Configuration > Templates. Identifizieren Sie den Vorlagennamen Ihres Cisco Edge-Routers, klicken Sie auf (...) More Actions, und wählen Sie den im Bild gezeigten Namen ausEdit.

4. Navigieren Sie zu Additional Templates. Wählen Sie in der Policy Dropdown-Liste die zuvor erstellte Richtlinie für die lokalisierte Konfiguration aus.

5. Speichern der Vorlage

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

1. Geben Sie im Cisco Edge-Gerät diesen Befehl ein, um die Verbindung zwischen dem Cisco Edge-Gerät und dem SD-AVC-Controller zu überprüfen.

ISR4321#show avc sd-service info summary
Status : CONNECTED <<<<<<<<<<<<<<<< The device is connected with SD-AVC
Device ID: ISR4321
Device segment name: <organization name>
Device address:<device ip address>
Device OS version:17.03.05
Device Type: ISR4321/K9

Active controller:
Type : Primary
IP : <system-ip>
Status: Connected
Version :4.0.0
Last connection: 21:20:28.000 UTC Thu Jul 31 2022

Active SDAVC import files 
Protocol pack: Not loaded
Secondaru protocol pack PPDK_af575ccaebf99b0c4740dfc7a611d6.pack

2. Melden Sie sich bei der vManage-CLI an, und überprüfen Sie den Containerstatus.

vManage# request nms container-manager status
Container Manager is running<<<<<<<<<<<<<<<<<<

vManage# request nms-container sdavc status
b'Container: sdavc\nCreated: 7 weeks ago ago\nStatus: Up 7 weeks\n' <<<<<<<<<<<<

vManage# request nms container-manager diagnostics
NMS container manager
Checking container-manager status
Listing all images
------------------------
REPOSITORY                  TAG                 IMAGE ID            CREATED             SIZE
sdwan/cluster-oracle        1.0.1               aa5d2a4523a4        5 months ago        357MB
cloudagent-v2               fb3fc5c0841         fa24f9ef31a7        6 months ago        590MB
sdwan/host-agent            1.0.1               038ad845f080        7 months ago        152MB
sdwan/statistics-db         6.8.10              08fc31a50152        8 months ago        877MB
sdwan/coordination-server   3.6.2               5f4497812153        13 months ago       260MB
sdwan/configuration-db      4.1.7               ad351b31f7b9        13 months ago       736MB
sdwan/messaging-server      0.20.0              a46dc94d4993        13 months ago       71.2MB
sdavc                       4.1.0               721c572475f9        14 months ago       1.17GB
sdwan/support-tools         latest              0c3a995f455c        15 months ago       16.9MB
sdwan/service-proxy         1.17.0              4e3c155026d8        15 months ago       205MB
sdwan/ratelimit             master              f2f93702ef35        16 months ago       47.6MB

Listing all containers
-----------------------

CONTAINER ID        IMAGE                             COMMAND                  CREATED             STATUS              PORTS                                                                                                                                                                                        NAMES
270601fc94ec        cloudagent-v2:fb3fc5c0841         "python ./main.py"       6 weeks ago         Up 6 weeks          0.0.0.0:50051->50051/tcp                                                                                                                                                                     cloudagent-v2
53bba5216b24        sdwan/ratelimit:master            "/usr/local/bin/rate…"   6 weeks ago         Up 6 weeks          6379/tcp, 0.0.0.0:8460-8462->8460-8462/tcp                                                                                                                                                   ratelimit
59bf900edf14        sdwan/service-proxy:1.17.0        "/entrypoint.sh /run…"   6 weeks ago         Up 6 weeks                                                                                                                                                                                                       service-proxy
62defa38c798        sdwan/messaging-server:0.20.0     "/entrypoint.sh /mes…"   6 weeks ago         Up 6 weeks          0.0.0.0:4222->4222/tcp, 0.0.0.0:6222->6222/tcp, 0.0.0.0:8222->8222/tcp                                                                                                                       messaging-server
3fbf32dd8d73        sdwan/coordination-server:3.6.2   "/docker-entrypoint.…"   6 weeks ago         Up 6 weeks          0.0.0.0:2181->2181/tcp, 0.0.0.0:2888->2888/tcp, 0.0.0.0:3888->3888/tcp                                                                                                                       coordination-server
c2e7b672774c        sdwan/configuration-db:4.1.7      "/sbin/tini -g -- /d…"   6 weeks ago         Up 6 weeks          0.0.0.0:5000->5000/tcp, 0.0.0.0:6000->6000/tcp, 0.0.0.0:6362->6362/tcp, 0.0.0.0:6372->6372/tcp, 0.0.0.0:7000->7000/tcp, 0.0.0.0:7473-7474->7473-7474/tcp, 0.0.0.0:7687-7688->7687-7688/tcp   configuration-db
f42ac9b8ab37        sdwan/statistics-db:6.8.10        "/bin/tini -- /usr/l…"   6 weeks ago         Up 17 hours         0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp                                                                                                                                               statistics-db
112f3d9b578b        sdavc:4.1.0                       "/usr/local/bin/scri…"   7 weeks ago         Up 7 weeks          0.0.0.0:10503->8080/tcp, 0.0.0.0:10502->8443/tcp, 0.0.0.0:10001->50000/udp                                                                                                                   sdavc
06b09f3b030c        sdwan/host-agent:1.0.1            "python ./main.py --…"   7 weeks ago         Up 7 weeks          0.0.0.0:9099->9099/tcp                                                                                                                                                                       host-agent
3484957576ee        sdwan/cluster-oracle:1.0.1        "/entrypoint.sh java…"   7 weeks ago         Up 7 weeks          0.0.0.0:9090->9090/tcp                                                                                                                                                                       cluster-oracle
Docker info
-----------------------
Client:
 Debug Mode: false
Server:
 Containers: 10
  Running: 10
  Paused: 0
  Stopped: 0
 Images: 11
 Server Version: 19.03.12
 Storage Driver: aufs
  Root Dir: /var/lib/nms/docker/aufs
  Backing Filesystem: extfs
  Dirs: 149
  Dirperm1 Supported: true
 Logging Driver: json-file
 Cgroup Driver: cgroupfs
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
 Swarm: inactive
 Runtimes: runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: fd103cb716352c7e19768e4fed057f71d68902a0.m
 runc version: 425e105d5a03fabd737a126ad93d62a9eeede87f-dirty
 init version: fec3683-dirty (expected: fec3683b971d9)
 Kernel Version: 4.9.57-ltsi
 Operating System: Linux
 OSType: linux
 Architecture: x86_64
 CPUs: 16
 Total Memory: 30.46GiB
 Name: vManage
 ID: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXXX
 Docker Root Dir: /var/lib/nms/docker
 Debug Mode: false
 Registry: https://index.docker.io/v1/
 Labels:
 Experimental: false
 Insecure Registries:
  127.0.0.0/8
 Live Restore Enabled: false
WARNING: No cpu cfs quota support
WARNING: No cpu cfs period support
WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled
WARNING: the aufs storage-driver is deprecated, and will be removed in a future release.

In 20.10 gibt es eine Verhaltensänderung in der Ausgabe von 'request nms all status':
Bei Verwendung von Cisco Catalyst SD-WAN Control Components Release 20.10.x oder höher in einer von Cisco gehosteten Installation von Cisco Catalyst SD-WAN funktionieren die SD-AVC-Komponenten anders als in früheren Versionen. Wenn Sie den Befehl request nms all status auf der Cisco Catalyst SD-WAN-Instanz ausführen, wird folglich angezeigt, dass die Komponente "NMS SDAVC server" nicht aktiviert ist. Dies ist ein erwartetes Verhalten und weist nicht auf ein Problem mit SD-AVC hin. Beachten Sie, dass die Komponente "NMS SDAVC-Gateway" als aktiviert angezeigt wird.

NMS SDAVC server Enabled: false Status: not running NMS SDAVC gateway Enabled: true Status: running PID:23722 for 125s. vManage Device Data Collector Enabled: true vmanage_20_12_1# request nms sdavc-gw status NMS SDAVC gateway Enabled: true Status: running PID:23722 for 130s

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Überprüfen Sie in vManage-Protokollen die folgenden Pfade:

/var/log/nms/vmanage-server.log
/var/log/nms/containers/sdavc/avc/sdavc_application.log

Geben Sie folgenden Befehl ein:

request nms container-manager {status | diagnostics}

Geben Sie im Cisco Edge Cisco IOS® XE die folgenden Befehle ein:

Router#show avc sd-service info connectivity 
show avc sd-service info {export | import}

Zugehörige Informationen

Cisco Catalyst SD-WAN: Erste Schritte - Hardware- und Software-Installation