Konfiguration und Überprüfung von On-Demand-SD-WAN-Tunneln
Einleitung
In diesem Dokument werden die Konfigurations- und Verifizierungsschritte zur Erstellung von SD-WAN-On-Demand-Tunneln beschrieben.
Voraussetzungen
Verwendete Komponenten
Dieses Dokument basiert auf den folgenden Software- und Hardwareversionen:
- vManage, Version 20.9.3
- Cisco Edge-Router Version 17.9.3
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrund
Cisco SD-WAN unterstützt dynamische On-Demand-Tunnel zwischen zwei beliebigen Cisco SD-WAN-Spoke-Geräten. Diese Tunnel werden nur dann eingerichtet, wenn Datenverkehr zwischen den beiden Geräten vorhanden ist, wodurch die Bandbreitennutzung und die Geräteleistung optimiert werden.
Vorteile
On-Demand-Tunnel bieten folgende Vorteile:
-
Verbesserte Leistung, insbesondere für weniger leistungsfähige Plattformen, die in einem vollständig vermaschten Netzwerk betrieben werden.
-
Höhere Latenz in Hub-and-Spoke-Bereitstellungen, wenn On-Demand-Tunnel zwischen Stationen verwendet werden
-
Geringere Bandbreitennutzung im Netzwerk, da Tunnel im Status "Inaktiv" keine BFD-Tests (Bidirectional Forwarding Detection) erfordern und daher weniger BFD-Datenverkehr im Netzwerk erzeugt wird.
-
Direkte Tunnelverbindungen zwischen Stationen bei gleichzeitiger Optimierung der CPU- und Speichernutzung.
Konfigurieren
Konfigurationen
So konfigurieren Sie On-Demand-Tunnel:
Schritt 1: Aktivieren Sie Traffic Engineering nur auf den Routern am Hub-Standort unter der VPN 0-Funktionsvorlage. Es wird empfohlen, für Hub-Standorte und Spoke-Standorte eine separate VPN 0-Funktionsvorlage zu verwenden.
Navigieren Sie zu Konfiguration > Vorlagen > Funktionsvorlage. Suchen Sie nach der richtigen VPN 0-Funktionsvorlage, die Hub-Routern zugewiesen ist, klicken Sie auf drei Punkte, und wählen Sie Bearbeiten aus.
1. Im Abschnitt "Services"
2. Klicken Sie auf Neuer Dienst
3.Wählen Sie TE aus dem Servicetyp.
Klicken Sie auf Hinzufügen und dann auf Aktualisieren.
TE aktivieren
Schritt 2: Erhöhen der OMP-Pfadgrenze auf den empfohlenen Wert 16 auf einem Cisco Edge-Router.
Navigieren Sie zu Konfiguration > Vorlage > Funktionsvorlage, suchen Sie nach der OMP-Funktionsvorlage, klicken Sie auf die drei Punkte, und wählen Sie Bearbeiten aus.
Suchen Sie unter Basiskonfiguration nach Anzahl der pro Präfix angekündigten Pfade und ECMP-Grenzwert, und ändern Sie die Werte in 16. 
OMP = ECMP Limit
Hinweis: Um die Beschränkung für den Sendepfad in vSmarts OMP auf einen Wert über 4 zu ändern, wobei der empfohlene Wert 16 ist, finden Sie in den Leitfäden zur Routing-Konfiguration in den Cisco SD-WAN-Konfigurationsleitfäden detaillierte Anweisungen.
Schritt 3: Erstellen oder Klonen einer Systemfunktionsvorlage, um den On-Demand-Tunnel zu aktivieren und den On-Demand Tunnel Idle-Timeout-Timer bei Bedarf zu ändern (Standardwert beträgt 10 Minuten). Diese Systemvorlage wird speziell für die On-Demand-Spoke-Sites angewendet.
Navigieren Sie zu Konfiguration > Vorlagen > Funktionsvorlagen, suchen Sie nach der System-Funktionsvorlage, klicken Sie auf drei Punkte, und wählen Sie Bearbeiten aus.
Im Abschnitt "Erweitert" können Sie den On-Demand-Tunnel aktivieren. Optional können Sie das On-Demand Tunnel Idle-Timeout anpassen, wenn Sie den Tunnel schneller herunterfahren möchten als die Standardzeit von 10 Minuten, wenn kein Datenverkehr zwischen den Standorten übertragen wird.
On-Demand-Tunnelaktivierung
Schritt 4: Sie müssen eine benutzerdefinierte Topologierichtlinie erstellen, indem Sie eine Weiterleitungssequenz auf der Registerkarte "Match" (Übereinstimmung mit On-Demand-Spoke-Standorten) und auf der Registerkarte "Action" (Übereinstimmung mit den Hub-Standorten) für die Sicherung festlegen.
Erstellen Sie die On-Demand-Spoke-Liste und die HUB-Backup-TLOC-Liste.
Navigieren Sie zu Konfiguration > Richtlinien > Benutzerdefinierte Optionen aus dem Dropdown-Menü wählen Sie Zentrale Richtlinie > Listen, erstellen Sie die Interessengruppen:
- Klicken Sie auf Site, um eine neue Site-Liste mit allen Standort-IDs für alle On-Demand-Sites zu erstellen.
- Erstellen Sie auf TLOC eine TLOC-Liste, die alle HUB-Token enthält, die als Backup verwendet werden.
Nachdem Sie die Liste der Interessengruppen erstellt haben, navigieren Sie zu Custom Options (Benutzerdefinierte Optionen) aus dem Dropdown-Menü und wählen Sie Centralized Policy (Zentrale Richtlinie) > Topology (Topologie) > Add Topology (Topologie hinzufügen) > Custom Control (Route und TLOC) aus.
- Geben Sie einen Namen und eine Beschreibung für die Topologie an.
- Ändern Sie die Standardaktion in Akzeptieren, indem Sie auf das Bleistiftsymbol klicken und dann auf Übereinstimmung speichern und Aktion klicken.
- Klicken Sie auf Sequence Type (Sequenztyp), und wählen Sie Route (Route) aus. Klicken Sie auf Sequenzregel, um eine neue Sequenz hinzuzufügen.
- Klicken Sie auf der Registerkarte Zuordnen auf Site, und wählen Sie die richtige Siteliste aus.
Sequenz erstellen
- Klicken Sie auf der Registerkarte Aktion auf Akzeptieren, und wählen Sie für die TLOC-Aktion Backup und für die TLOC-Liste die richtigen TLOC aus. Klicken Sie anschließend auf Save Match and Actions (Übereinstimmung und Aktionen speichern).
Aktionsrichtliniensatz
Verknüpfen Sie die Topologie-Kontrollrichtlinie mit der Hauptrichtlinie, indem Sie zu Configuration > Policies > Centralized Policy navigieren.
Suchen Sie die aktive Richtlinie, klicken Sie auf die drei Punkte, und wählen Sie Bearbeiten aus.
Klicken Sie
1. Topologie
2. Topologie
3. Topologie hinzufügen
4. Vorhandene importieren
5. Benutzerdefinierte Steuerung (Route und TLOC)
6. Suchen Sie Ihre Richtlinie aus dem Dropdown-Menü, und klicken Sie dann auf Importieren.
Vorhandene Richtlinie importieren
Klicken Sie auf Richtlinienanwendung > Topologie > Liste neuer Standorte/Regionen.
Wählen Sie in der Liste ausgehender Standorte den korrekten Namen der Standortliste aus.
Wenden Sie den Policy Outband an.
Klicken Sie auf Hinzufügen und Richtlinienänderungen speichern. Da es sich um eine aktive Richtlinie handelt, werden Änderungen an vSmarts weitergeleitet.
Hinweis: Informationen zur Konfiguration einer Richtlinie für die zentrale Kontrolle des Cisco vSmart Controllers finden Sie in den Cisco SD-WAN-Konfigurationsleitfäden.
Überprüfung
Führen Sie den Befehl show sdwan system on-demand remote-system aus, um die Ausführung zu überprüfen. Aus der Ausgabe können Sie On-Demand (Auf Anforderung) auswählen: yes (Ja). Wenn der Status inaktiv anzeigt, bedeutet dies, dass der Tunnel zwischen den Standorten ausgefallen ist.
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes inactive -
1000 192.168.0.73 yes inactive -
200 192.168.0.80 no - -
Nachdem ein Teil des Datenverkehrs zwischen On-Demand-Standorten generiert wurde, können Sie die gleiche Ausgabe überprüfen. In diesem Fall zeigt der Status "Aktiv" an und gibt die Anzahl der Sekunden an, die noch verbleiben, bevor der Tunnel ausfällt.
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes active 105
1000 192.168.0.73 yes active 105
200 192.168.0.80 no - -
In diesem Beispiel sehen Sie, dass die BFD mit den Standorten 192.168.0.72 und 192.168.0.73 fehlen, während der Tunnel ausgefallen ist.
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
Wenn der Tunnel zwischen den Standorten aktiv ist, stellen Sie fest, dass BFD mit den Standorten 192.168.0.72 und 192.168.0.73 aktiv ist.
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.73 1000 up public-internet public-internet <removed> <removed> 5063 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.73 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
Die gleichen Ergebnisse erhalten Sie über die grafische Benutzeroberfläche von vMange, indem Sie zu Monitor > Device or Monitor > Network (ab Code 20.6 und früher) navigieren, Ihr Gerät suchen und WAN > Tunnel navigieren, wobei Sie sich auf die Down-Nummer konzentrieren.
On-Demand-Tunnelüberwachung
Scrollen Sie im gleichen Menü nach unten, und klicken Sie auf Real Time (Echtzeit). Suchen Sie in den Geräteoptionen nach On Demand Remote.
Dieses Beispiel zeigt die Ausgabe bei ausgefallenen On-Demand-Tunneln.
On-Demand-Tunnel ausgefallen
Dieses Beispiel zeigt die Ausgabe bei aktivierten On-Demand-Tunneln.
On-Demand-Tunnel verfügbar
Fehlerbehebung
Detailliertere Schritte finden Sie unter Fehlerbehebung bei dynamischen SD-WAN-On-Demand-Tunneln.
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
08-Feb-2024 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)