Configuratie en verificatie van SDWAN-integratie met ACI

Acroniemen

ACI - Application Center-infrastructuur 

EPG - EndPoint Group

L3out - Layer 3 Out

AAR - toepassingsbewuste routing

SLA - overeenkomsten inzake serviceniveau

DC - datacenter

WAN - Wide Area Network

SDN - softwaregedefinieerde netwerken

SD DC - Softwaregedefinieerde datacenter

SD WAN - softwaregedefinieerde Wide Area Network

QOS - Quality-of-Service

VRF - virtuele routing en doorsturen 

Inleiding

In dit document worden de configuratiestappen beschreven om de Application Centric Infrastructure (ACI), de softwaregedefinieerde - datacenter (SD-DC) oplossing van Cisco met softwaregedefinieerde - Wide Area Network (SD-WAN) en de verificatie ervan te integreren.

Softwaregedefinieerde netwerken (SDN) zijn verbeterd om specifieke netwerksegmenten te kunnen verwerken:

1. Softwaregedefinieerde datacenter (SD-DC) 
2. Softwaregedefinieerde - Wide Area Network (SD-WAN)

Cisco-oplossing biedt een robuuste functie van QoS (Quality of Service) in SD-DC (Application Centric Infrastructure ACI) en AAR (Application Aware Routing)/SLA (Service Level Agreement)-profielen in SD-WAN.

Aangezien meer en meer klanten van plan zijn te integreren en naadloze verkeersbehandeling over het pad willen hebben, is Cisco op de proppen gekomen met SD-DC en SD-WAN integratie.

De integratie richt zich op twee gebruiksgevallen:

1. Verkeer van ACI (DC) naar SDWAN (niet ACI-tak)
2. Verkeer van SDWAN (niet ACI-tak) naar ACI (DC) 

Voorwaarden

Vereisten

Aangezien de integratie met SD-WAN via de L3-uitgang gebeurt die in ACI is geconfigureerd, moet L3out met ondersteund protocol worden geconfigureerd.

Integratie vindt plaats via een beheernetwerk, zodat beheer en bereikbaarheid tussen ACI (APIC-controllers) en vManager vereist zijn.

Gebruikte componenten

ACI Fabric, SDWAN (vManager, vSmart Controller, vEdge)

Dit document is gebaseerd op ACI versie 4.2(3l)

Configuratie

Netwerkdiagram

Topologie voor referentie:

Overweeg in onze topologie alleen ACI site A als DC en niet-ACI Site C als SDWAN Branch site.

Configuraties

Sectie A: Integratieconfiguratie

1. Open de APIC Graphical User Interface (GUI) en navigeer naar het tabblad Integraties onder het tabblad System. 

2. Integratiegroep maken

3. Navigeer naar de nieuwe integratiegroep "SDWAN2" en klik met de rechtermuisknop op vManager

4. Klik met de rechtermuisknop op vManager en selecteer Integratiebeheer maken

5. Vul de juiste gegevens in, zoals de naam van de integratiemanager, de naam van het apparaat IP/FQDN, de gebruikersnaam, het wachtwoord

6. Zorg ervoor dat de registratie in het statusveld is geslaagd. Indien dit niet het geval is of indien er fouten zijn geconstateerd, controleert u of de verstrekte informatie juist is. Partner ID is identificatie van vManager-controller. U kunt naar integraties navigeren -><Group Name>->vManager -> <Integration Manager Name> -> Systeeminfo om de status te verifiëren. 

Sectie B: Configuratie van WAN SLA-beleid

Vooraf ingestelde WAN SLA-profielen kunnen worden gevonden onder Tenants->Common->Policy->Protocollen->WAN SLA

Dit kan in andere huurder worden geërfd terwijl het configureren van het contract met behulp van WAN SLA-beleid.

Dit zijn vooraf geconfigureerde SLA's die niet kunnen worden gewijzigd.

VPN geconfigureerd op SD-WAN kant die is toegewezen aan deze ACI integratie zal ook worden weergegeven onder Tenants->Common->Policies->Protocollen->WAN SLA

1. Maak het contract onder de huurder/VRF waar u de WAN-services wilt in kaart brengen.

De QoS-prioriteitswaarde moet worden ingesteld op een andere waarde dan Niet gespecificeerd. Het WAN SLA-beleid werkt niet als de QoS-prioriteitswaarde is ingesteld op Niet gespecificeerd.

Blader naar huurders-><tenant name>->Contracten->Standaard

2. Creeer het Onderwerp van het Contract en onder het Onderwerp van het Contract, specificeer het Beleid van WAN SLA.

De QoS-prioriteitswaarde moet worden ingesteld op een andere waarde dan Niet gespecificeerd. Het WAN SLA-beleid werkt niet als de QoS-prioriteitswaarde is ingesteld op Niet gespecificeerd.

        

3. Verstrek het contract van EPG.

Blader naar Tenants-><tenant name>->Toepassingsprofielen->Toepassings-EPG->Contracten

4. Gebruik het contract op L3out geconfigureerd voor SD-WAN

Ga naar Tenants-><tenant name>->L3outs->Externe EPG->Verbruikte contracten. Het is ook mogelijk en geldig om een contract te hebben dat door L3out externe EPG wordt verstrekt en door EPG’s wordt geconsumeerd

5. VPN met WAN vergelijken met een huurder VRF 

Ga naar Tenants-><tenant name>->VRF->Policy->WAN VPN

Verifiëren

Afdeling 3: Verificatie

1. Configuratie-verificatie

De configuratie wordt volgens de configuratie in ACI naar beide SDWAN-apparaten gedrukt

DC-end (verbonden met L3out) SDWAN-route

ASR1001-X-DC#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
 loss    10
 latency 300
 jitter  100

from-vsmart sla-class Default
 loss    25
 latency 300
 jitter  100

from-vsmart sla-class Transactional-Data
 loss    5
 latency 50
 jitter  100

from-vsmart sla-class Voice-And-Video
 loss    2
 latency 45
 jitter  100

from-vsmart data-policy _vpn-10_data_policy
 direction from-service
 vpn-list vpn-10
  default-action accept

-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
 vpn-list 412898115_vpn
  sequence 10
   match
    dscp 14
   action
    sla-class Default
    no sla-class strict
  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict
  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict
  sequence 40
   match
    dscp 10
   action
    sla-class Bulk-Data
    no sla-class strict

from-vsmart lists vpn-list 412898115_vpn
 vpn 10

from-vsmart lists vpn-list vpn-10
 vpn 10

ASR1001-X-DC#

Branch-end SDWAN-router

ASR1001-X-Branch#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
 loss    10
 latency 300
 jitter  100

from-vsmart sla-class Default
 loss    25
 latency 300
 jitter  100

from-vsmart sla-class Transactional-Data
 loss    5
 latency 50
 jitter  100

from-vsmart sla-class Voice-And-Video
 loss    2
 latency 45
 jitter  100

-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
 vpn-list 412898115_vpn
  sequence 10
   match
    dscp 14
   action
    sla-class Default
    no sla-class strict
  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict
  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict
  sequence 40
   match
    dscp 10
   action
    sla-class Bulk-Data
    no sla-class strict

from-vsmart lists vpn-list 412898115_vpn
 vpn 10

ASR1001-X-Branch#

1. QoS-verificatie

Voorbeeld 1

WAN SLA-beleid "transactionele gegevens". Ga naar huurders-><tenant name>->Contracts->Standard-><Contract Name>-><Contract Onderwerp>-> Algemeen- WAN SLA-beleid

  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict

     

Richting:

1. verkeer van DC naar SDWAN.

Zoals hieronder kan worden gezien, wordt verkeer dat afkomstig is van DC weergegeven met dscp 00 maar is het verkeer dat naar SDWAN komt met DSCP 12 (hex 0x0c).

Dit geeft een DSCP-waardewijziging aan volgens het WAN SLA-beleid.

Packet-opname uitgevoerd aan de bron (DC), waarbij de oorspronkelijke DSCP-waarde tot 00 wordt weergegeven.

Internet Protocol, SRC: 192.168.10.2 (192.168.10.2), DST: 172.16.20.2 (172.16.20.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerde services veld: 0x00 (DSCP 0x00: standaard; ECN: 0x00)

        0000 00.. = gedifferentieerde services codepoint: standaard (0x00)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa0d5 (41173)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 255

    Protocol: ICMP (0x01)

    Kop controlesom: 0x9016 [corrigeren]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 192 168 10.2 (192 168 10.2)

    Bestemming: 172.16.20.2 (172.16.20.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0xc16a [correct]

    Identificatiecode: 0x4158

    Volgnummer: 768 (0x0300)

    Gegevens (56 bytes)

           

Packet Capture op bestemming (SDWAN Branch site), als weerspiegeling van wijzigingen in DSCP 12 (hex 0x0c) waarde volgens het WAN SLA-beleid.

Internet Protocol, SRC: 192.168.10.2 (192.168.10.2), DST: 172.16.20.2 (172.16.20.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerd servicesveld: 0x30 (DSCP 0x0c: verzekerd doorsturen 12; ECN: 0x00)

        0011 00.. = gedifferentieerde services codepoint: verzekerd doorsturen 12 (0x0c)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa0d1 (41169)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 251

    Protocol: ICMP (0x01)

    Kop controlesom: 0x93ea [correct]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 192 168 10.2 (192 168 10.2)

    Bestemming: 172.16.20.2 (172.16.20.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0x6e30 [correct]

    Identificatiecode: 0xc057

    Volgnummer: 1024 (0x0400)

    Gegevens (56 bytes)

2. verkeer van SDWAN naar DC

Zoals hieronder kan worden gezien, wordt het verkeer dat afkomstig is van de SDWAN Branch site weergegeven met dscp 00, maar het verkeer dat naar DC bereikt, verloopt met DSCP 12 (hex 0x0c) om de verandering in DSCP-waarde weer te geven volgens het toegepaste WAN SLA-beleid.

Packet-opname uitgevoerd aan de bron (SDWAN Branch), wat de oorspronkelijke DSCP-waarde tot 900 weergeeft.

Internet Protocol, SRC: 172.16.20.2 (172.16.20.2), DST: 192.168.10.2 (192.168.10.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerde services veld: 0x00 (DSCP 0x00: standaard; ECN: 0x00)

        0000 00.. = gedifferentieerde services codepoint: standaard (0x00)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa0c8 (41160)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 255

    Protocol: ICMP (0x01)

    Kop controlesom: 0x9023 [corrigeren]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 172.16.20.2 (172.16.20.2)

    Bestemming: 192.168.10.2 (192.168.10.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0xd3ff [correct]

    Identificatiecode: 0x5c79

    Volgnummer: 1 (0x001)

    Gegevens (56 bytes)

Packet Capture on Destination (DC) als weerspiegeling van wijzigingen in DSCP 12 (hex 0x0c) waarde volgens WAN SLA-beleid.

Internet Protocol, SRC: 172.16.20.2 (172.16.20.2), DST: 192.168.10.2 (192.168.10.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerd servicesveld: 0x30 (DSCP 0x0c: verzekerd doorsturen 12; ECN: 0x00)

        0011 00.. = gedifferentieerde services codepoint: verzekerd doorsturen 12 (0x0c)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa073 (41075)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 251

    Protocol: ICMP (0x01)

    Kop controlesom: 0x9448 [corrigeren]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 172.16.20.2 (172.16.20.2)

    Bestemming: 192.168.10.2 (192.168.10.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0x741a [correct]

    Identificatiecode: 0x5c79

    Volgnummer: 43776 (0xab00)

    Gegevens (56 bytes)

Voorbeeld 2

WAN SLA-beleid "spraak-en-video" Ga naar huurders-><tenant name>->Contracts->Standard-><Contract Name>-><Contract Onderwerp>-> Algemeen- WAN SLA-beleid

  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict

1. verkeer van DC naar SDWAN.

Zoals hieronder kan worden gezien, wordt verkeer dat afkomstig is van DC weergegeven met DSCP 00 maar is het verkeer dat naar SDWAN komt met DSCP 18 (hex 0x12).

Dit geeft een DSCP-waardewijziging aan volgens het WAN SLA-beleid.

Packet-opname uitgevoerd aan de bron (DC), waarbij de oorspronkelijke DSCP-waarde tot 00 wordt weergegeven.

Internet Protocol, SRC: 192.168.10.2 (192.168.10.2), DST: 172.16.20.2 (172.16.20.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerde services veld: 0x00 (DSCP 0x00: standaard; ECN: 0x00)

        0000 00.. = gedifferentieerde services codepoint: standaard (0x00)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa2b6 (41654)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 255

    Protocol: ICMP (0x01)

    Kop controlesom: 0x8e35 [corrigeren]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 192 168 10.2 (192 168 10.2)

    Bestemming: 172.16.20.2 (172.16.20.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0x3614 [correct]

    Identificatiecode: 0x8c5f

    Volgnummer: 512 (0x0200)

    Gegevens (56 bytes)

           

Packet Capture op bestemming (SDWAN Branch Site), die wijzigingen in DSCP-waarde 18 (0x12) weergeeft en deze aanpast aan het WAN SLA-beleid.

Internet Protocol, SRC: 172.16.20.2 (172.16.20.2), DST: 192.168.10.2 (192.168.10.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerde services veld: 0x48 (DSCP 0x12: gegarandeerde doorsturen 21; ECN: 0x00)

        0100 10.. = gedifferentieerde services codepoint: verzekerd doorsturen 21 (0x12)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa2b8 (41656)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 255

    Protocol: ICMP (0x01)

    Kop controlesom: 0x8deb [correct]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 172.16.20.2 (172.16.20.2)

    Bestemming: 192.168.10.2 (192.168.10.2)

Internet Control Message Protocol

    Type: 0 (Echo (ping) antwoord)

    Code: 0 ()

    Controlesom: 0x8a13 [correct]

    Identificatiecode: 0x8c5f

    Volgnummer: 1024 (0x0400)

    Gegevens (56 bytes)

2. verkeer van SDWAN naar DC.

Packet Capture op bron (SDWAN Branch) met de oorspronkelijke DSCP-waarde (00).

Internet Protocol, SRC: 172.16.20.2 (172.16.20.2), DST: 192.168.10.2 (192.168.10.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerde services veld: 0x00 (DSCP 0x00: standaard; ECN: 0x00)

        0000 00.. = gedifferentieerde services codepoint: standaard (0x00)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa1bb (41403)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 255

    Protocol: ICMP (0x01)

    Kop controlesom: 0x8f30 [corrigeren]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 172.16.20.2 (172.16.20.2)

    Bestemming: 192.168.10.2 (192.168.10.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0x68e5 [correct]

    Identificatiecode: 0x1d03

    Volgnummer: 2048 (0x0800)

    Gegevens (56 bytes)

           

Packet Capture on Destination (DC) als weerspiegeling van wijzigingen in DSCP-waarde 18 (0x12) volgens WAN SLA-beleid.

Internet Protocol, SRC: 172.16.20.2 (172.16.20.2), DST: 192.168.10.2 (192.168.10.2)

    Versie: 4

    Kop lengte: 20 bytes

    Gedifferentieerde services veld: 0x48 (DSCP 0x12: gegarandeerde doorsturen 21; ECN: 0x00)

        0100 10.. = gedifferentieerde services codepoint: verzekerd doorsturen 21 (0x12)

        .... ..0. = ECN-compatibel transport (ECT): 0

        .... ...0 = ECN-CE: 0

    Totale lengte: 84

    Identificatie: 0xa1bb (41403)

    Vlaggen: 0x00

        0.. = Gereserveerd bit: niet instellen

        .0. = Niet fragmenteren: niet instellen

        ..0 = Meer fragmenten: Niet ingesteld

    Fragment offset: 0

    Tijd om te wonen: 251

    Protocol: ICMP (0x01)

    Kop checksum: 0x92e8 [correct]

        [Goed: Waar]

        [Slecht: Onjuist]

    Bron: 172.16.20.2 (172.16.20.2)

    Bestemming: 192.168.10.2 (192.168.10.2)

Internet Control Message Protocol

    Type: 8 (Echo (ping) verzoek)

    Code: 0 ()

    Controlesom: 0x68e5 [correct]

    Identificatiecode: 0x1d03

    Volgnummer: 2048 (0x0800)

    Gegevens (56 bytes)

Problemen oplossen

De volgende logbestanden zijn handig vanuit het perspectief van probleemoplossing. .

        Zuiveren van besturingspad

APIC-bestanden voor technische ondersteuning
PolicyDistributor Logs, PolicyManager Logs, PolicyElement, Edmgr logs kunnen inzicht geven in relevante configuratie die naar bladeren en stekels worden geduwd.

Debugging van gegevenspad 

Packet-opnamen op L3out-interface en interfaces op vEdge-routers.

ELAM kan ook helpen.