Inleiding

Dit document is een Snelle startgids voor vereenvoudigde configuratie en beleid in Catalyst SD-WAN.

Samenvatting

Met Cisco Catalyst SD-WAN softwarerelease 20.12/17.12 wordt aanbevolen dat gebruikers migreren van traditionele configuratie op basis van apparaat- en functiesjablonen naar de nieuwe configuratiebenadering op basis van configuratiegroepen en beleidsgroepen. In dit document worden belangrijke details voor de nieuwe configuratiebenadering beschreven.

Het belangrijkste doel van dit document is om te dienen als een gids voor het beginnen met het gebruiken van nieuwe concepten voor Configuratie, Beleid en Onboarding, met de gouden versie van 20.12. Het document biedt geen toelichting op afzonderlijke kenmerken.

Nieuwe implementaties

Om met succes de nieuwe configuratiebenadering te kunnen gebruiken, moet u de volgende stappen uitvoeren:

1. Netwerk: De netwerkhiërarchie en systeemconstructies definiëren
2. Configuratie: configuratie met configuratiegroepen maken met behulp van Workflow
3. Toepassingen: Definieer indien nodig aangepaste toepassingen met behulp van de Toepassingscatalogus
4. Beleid: Beleid maken met behulp van beleidsgroepen
5. Topologie: definitie van topologie
6. Aan boord: Aan boord- en tagapparaten
7. Implementeren: Associate en implementeren van configuratiegroepen en beleidsgroepen. Topologie activeren.

Stroomschema voor nieuwe implementaties

Bestaande implementaties

1. Voer de stappen uit die in het gedeelte Bestaande implementaties worden vermeld
2. Gebruik het conversiegereedschap om bestaande configuratie/beleid te converteren naar nieuwe configuratie/beleid

Verbeteringen in gebruikerservaring en operationele vereenvoudiging

Cisco Catalyst SD-WAN biedt een verbeterde gebruikerservaring en vereenvoudigt bewerkingen.

• Common UI: Er is een nieuw UX-framework geïntroduceerd in Catalyst SD-WAN Manager en andere Cisco-producten, om te zorgen voor consistentie in de User eXperience en om een gemeenschappelijke look en feel te bieden voor alle producten.
• Configuratie: Vereenvoudigde configuratie en beleidsvorming en implementatie met intuïtieve, op intentie gebaseerde workflows en het gebruik van door Cisco aanbevolen slimme standaardwaarden.
• Bewaking: Rijke inzichten in netwerk- en toepassingsprestaties en -gezondheid met nieuwe widgets en aanpasbare en verbeterde dashboards.
• Problemen oplossen: Dynamische site- en netwerktopologieweergaven, toegang tot contextgebaseerde tools voor probleemoplossing, rapporten over netwerk- en toepassingsprestaties op een geplande basis.

Voordelen

Gebruiksgemak	Intuïtieve en begeleide werkstromen
Configuratie-wildgroei	Verminderde wildgroei (model-agnost, hergebruik, structuur)
Configuratie maken	Sneller en eenvoudiger met slimme defaults
Configuratie-wijziging	Nu wijzigen, later selectief implementeren
Zichtbaarheid	Nieuwe dashboards, apps/sites prestatiebewaking
Handleiding voor probleemoplossing	Websitetopologie en richtlijnen voor probleemoplossing

Definieer uw netwerkhiërarchie en systeemconstructies

Netwerkhiërarchie

Biedt een notie van ‘hiërarchie’, dat wil zeggen locaties, regio’s en gebieden, voor het netwerk. U kunt dit maken op basis van uw netwerk.

Voorbeeld:

Network Hierarchy Manager (NHM)

Dit helpt bij het definiëren van gebruiksvriendelijke plaatsnamen die bijdragen aan operationele vereenvoudiging.

Systeemconstructies

Deze pools automatiseren systeem-IP en site-ID toewijzingen tijdens de implementatie van de apparaatconfiguratie.

U kunt de IP-pool definiëren voor automatische toewijzing van het systeem-IP. Site-ID is toegewezen uit de Global_Site-pool.

Pool-parameters toevoegen

Pools bekijken en beheren

Werkstromen

Een workflow is een verzameling begeleide stappen om u te helpen een bepaalde taak gemakkelijk uit te voeren.

• Het doel van een workflow is om Novice-gebruikers te helpen eenvoudig configuraties te maken en ze op het apparaat te implementeren.
• De meeste configuratieknoppen/instellingen zijn ingesteld op door Cisco aanbevolen slimme standaardwaarden.
• Gebruikers hoeven slechts een paar configuraties op te geven.
• Geavanceerde configuratieknoppen zijn beschikbaar buiten de workflow, waar de configuratiegroep handmatig kan worden bewerkt.

Een werkstroombibliotheek geeft een lijst van alle beschikbare werkstromen.

Werkstroombibliotheek

Configuratiegroepen

Configuration Groups is een nieuwe benadering van fabric-configuratie die is gebaseerd op principes van eenvoud, herbruikbaarheid en structuur.

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/config-groups/configuration-group-guide/using-config-groups.html

Structuur van configuratiegroepen

Configuratiegroepen

• Logische groepering van apparaten die een gemeenschappelijk doel binnen WAN delen.
• De gebruiker bepaalt en kan deze groepering aanpassen op basis van hun bedrijfsbehoeften.

Bijvoorbeeld; Oost/West, Americas/APJC/EMEAR, Detailhandel/Distributiecentrum

Functieprofielen

• Flexibele "emmers" van configuratie die kunnen worden gedeeld over de Configuratiegroepen.
• Maak functieprofielen op basis van vereiste functies
• Profielen samenvoegen om de apparaatconfiguratie te voltooien, zoals bouwstenen
• Bouwen, opslaan en hergebruiken

Bijvoorbeeld; basisprofiel, WAN-profiel, LAN-profiel

Installatievoorbeelden voor configuratiegroep

Opmerking:

• Configuratiegroepen zijn Agnostische apparaatmodellen
• Functieprofielen kunnen worden gedeeld tussen de configuratiegroepen    

Use-case 1: klant bij de overheid

Voorbeeld gebruik 1 - Configuratiegroepen

HUB in configuratiegroep

Voer het Werkschema Create Configuration Group uit.

Optie voor configuratiegroep werkstroom maken

WAN-profiel

Voorbeeld gebruik 1 - WAN-profiel 1

Met behulp van de workflow kan de volledige WAN-profielconfiguratie voor deze gebruikscase worden gegenereerd.

Entiteiten zoals werkelijke Statische IP, Statische Standaard IP/Subnet/Next-Hop enzovoort kunnen als Globaal of Apparaatspecifiek worden gespecificeerd.

De apparaat-specifieke optie kan met daadwerkelijke waarden tijdens plaatsing van de configuratie-groep aan de apparaten worden gespecificeerd.

LAN-profiel

Voorbeeld gebruik 1 - LAN Profile 1

Met behulp van de workflow kunnen de meeste LAN-profielconfiguraties voor deze use-case worden gegenereerd.

• 2 VPN’s
• BGP-routing in elk van de VPN’s (AS-nummer, netwerkprefixes, buren)

Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.

OPMERKING: Geavanceerde configuratie zoals routeherdistributie en standaardrouteradvertentie moeten worden geconfigureerd na de workflow, door handmatig de configuratiegroep te bewerken, evenals de subinterfaces als deze tijdens de implementatie zullen worden gebruikt.

Systeemprofiel

Voorbeeld gebruik 1 - Systeemprofiel 1

Met behulp van de workflow kan de meeste systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, vastlegging enzovoort.

OPMERKING:  Geavanceerde configuratie zoals OMP-BGP herdistributie en alle andere wijzigingen in de System functies zoals OMP, AAA, NTP en ga zo maar door, moet worden geconfigureerd na de workflow, door handmatig de Configuration groep te bewerken.

Configuratie-groep SiteType1

Voer het werkvenster Configuratie-groep maken uit.

WAN-profiel

Voorbeeld gebruik 1 - WAN-profiel 2

Met behulp van de workflow kunnen de meeste WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet interfaces voor internet en Starlink. DHCP.

OPMERKING:   De mobiele interface voor LTE-link, inclusief de statische route, moet na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.

LAN-profiel

Voorbeeld gebruik 1 - LAN profiel 2

Met behulp van de workflow kunnen bepaalde netwerkprofielconfiguraties voor deze use-case worden gegenereerd. 2 VPN’s, DIA statische route.

Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.

OPMERKING:  SVI's, draadloze SSID's, Access switch-poorten enzovoort moeten na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.

Systeemprofiel

Voorbeeld gebruik 1 - systeemprofiel 2

Met behulp van de workflow kan de meeste systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, vastlegging enzovoort.

OPMERKING:  Geavanceerde configuratie, zoals Application Performance Monitoring, moet worden geconfigureerd na de workflow, door de groep Configuration handmatig te bewerken.

CLI-profiel

Voorbeeld gebruik 1 - CLI profiel 2

Functies die niet via GUI worden ondersteund, zoals App/Flow Visibility (NBAR) inschakelen, kunnen worden geconfigureerd met behulp van een CLI-profiel.

Zichtbaarheid App/Flow

Gebruik CLI-profiel/pakket om app-zichtbaarheid en flowzichtbaarheid in te schakelen.

(In 20.13 en hoger is deze software beschikbaar onder Advanced Settings in Policy Group)

In 20.12 echter wordt App/Flow Visibility ingeschakeld als er een AAR-beleid is ingesteld. En het configureren van dit profiel/pakket met CLI is niet vereist.

Configuratiegroep SiteType2

Voer het werkvenster Configuratie-groep maken uit.

WAN-profiel

Voorbeeld gebruik 1 - WAN Profile 3

Met behulp van de workflow kunnen de meeste WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet-interface voor internet DHCP.

OPMERKING: De mobiele interface voor LTE-link, inclusief de statische route, moet na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.

LAN-profiel

Voorbeeld gebruik 1 - LAN Profile 3

Met behulp van de workflow kunnen bepaalde netwerkprofielconfiguraties voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.

Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.

OPMERKING:  SVI, Access switch-poort enzovoort moeten worden geconfigureerd na de workflow door de groep Configuration handmatig te bewerken.

Systeemprofiel

Hetzelfde als Configuration Group SiteType1

CLI-profiel

Hetzelfde als Configuration Group SiteType1

Configuratiegroep SiteType3

Voer het werkvenster Configuratie-groep maken uit.

WAN-profiel

Hetzelfde als Configuration Group SiteType2

LAN-profiel

Voorbeeld gebruik 1 - LAN Profile 4

Met behulp van de workflow kunnen bepaalde netwerkprofielconfiguraties voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.

Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.

OPMERKING: SVI, Wireless SSID, Access switch poort enzovoort moeten worden geconfigureerd na de workflow, door de Configuration groep handmatig te bewerken.

Systeemprofiel

Hetzelfde als Configuration Group SiteType1

CLI-profiel

Hetzelfde als Configuration Group SiteType1

Use-case 2: retailklant

Voorbeeld gebruik 2 - Configuratiegroepen

Hoofdkantoor en magazijn van de configuratiegroep

Voer het werkvenster Configuratie-groep maken uit.

WAN-profiel

Alle WAN-profielconfiguratie voor deze use-case kan worden gegenereerd met behulp van de workflow.

LAN-profiel

Met behulp van de workflow kunnen alle LAN-profielconfiguraties voor deze use-case worden gegenereerd.

Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.

Systeemprofiel

Met behulp van de workflow kunnen alle Systeemprofielconfiguraties voor deze use-case worden gegenereerd.

OPMERKING:  Als er wijzigingen nodig zijn of als geavanceerde configuratie zoals Application Performance Monitoring vereist is, moeten deze na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.

Configuratiegroepsopslag

Voer het werkvenster Configuratie-groep maken uit.

WAN-profiel

Met behulp van de workflow kunnen de meeste WAN-profielconfiguratie voor deze use-case worden gegenereerd.

OPMERKING: De mobiele interface voor LTE-link, inclusief routing, moet na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.

LAN-profiel

Met behulp van de workflow kunnen alle LAN-profielconfiguraties voor deze use-case worden gegenereerd.

Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.

Systeemprofiel

Dit is hetzelfde als het hoofdkantoor en het magazijn van de configuratiegroep.

associëren

Op de bewerkingspagina Configuration Group (Configuration -> Configuration Groups) kunt u apparaten koppelen aan de Configuration Group.

Klik op Associate Devices en ga door de stappen in de workflow.

Associate Device - Configuratiegroepen

Implementeren

Voer het Workflow Implementy Configuration Group uit.

Werkstroom voor configuratiegroep implementeren

OPMERKING: In de Configuratiegroep verandert de Apparaatwaarden wijzigen alleen de waarde in de Manager-database en worden geen wijzigingen in een apparaat uitgevoerd.   Als u wilt dat de verandering onmiddellijk plaatsvindt, dan moet u de veranderingen implementeren. Apparaatvariabele waarden (als CSV-bestand) kunnen worden geëxporteerd in de workflow voor het implementeren in de stap Apparaatconfiguratie toevoegen/bekijken.

Herbruikbaarheid

1. Configuratiegroepen zijn apparaatmodel-agnostisch.

Configuratiegroep - Agnostiek voor apparaatmodel

OPMERKING: Als een bepaalde configuratie niet wordt ondersteund op een apparaatmodel, vindt de bijbehorende duw van het functiepakket niet plaats en wordt een passend bericht weergegeven als deel van de implementatietaak. Bijvoorbeeld: Een apparaat ondersteunt Wi-Fi niet, maar de Configuratiegroep bevat een Wi-Fi pakket. Op het moment van implementatie wordt de Wi-Fi-pakketconfiguratie overgeslagen en de taakmelding voor de implementatie geeft aan dat de Wi-Fi-configuratiepoging is overgeslagen.

2. Configuratie-variabelen gebruiken - apparaatspecifieke waarden

Configuratiegroep - apparaatspecifieke variabelen

In een functieprofiel kan een configuratie zijn gedefinieerd als apparaatspecifiek, vergelijkbaar met sjabloonvariabelen.

Bijvoorbeeld: IP-interfaceadres, poortnummers, interfacenaam enzovoort.

Deze apparaat-specifieke waarden kunnen in implementatietijd worden geleverd. En het kan anders zijn voor verschillende apparaten.

Configuratiegroep - apparaatspecifieke variabelen Voorbeeld 1

Configuratiegroep - apparaatspecifieke variabelen Voorbeeld 2

Configuratiegroep - apparaatspecifieke variabelen Voorbeeld 3

3. Functieprofielen voor hergebruik

Functieprofielen kunnen opnieuw worden gebruikt in verschillende configuratiegroepen.

Illustratie:

Als voor meerdere apparaten de WAN- en systeemconfiguraties hetzelfde zijn en alleen verschillen in de LAN-configuratie, bijvoorbeeld, dan kunnen de WAN- en systeemprofielen opnieuw worden gebruikt in de Configuratiegroepen, terwijl er in elk apparaat een ander LAN-profiel is.

Functieprofielen voor hergebruik - 1

LAN-profiel 1

Functieprofielen voor hergebruik - 2

LAN-profiel 2

Functieprofielen voor hergebruik - 3

LAN-profiel 3

Toepassingscatalogus

Traditionele apparaten waren in staat om verkeersstromen te manipuleren door voorwaardelijke matching van IP-adressen van bronnen en/of bestemmingen, bron-/bestemmingshavens en protocollen.   Aangezien steeds meer toepassingen afhankelijk zijn van DNS of zijn ingesloten in HTTP, is het moeilijker om netwerkverkeer op toepassingsniveau nauwkeurig te identificeren.

Cisco’s Network Based Application Recognition (NBAR)-engine heeft de mogelijkheid om meer dan 1500 toepassingen te classificeren, waardoor netwerkengineers beter in staat zijn om verkeersstromen te classificeren en te manipuleren met meer granulariteit.    Cisco Catalyst SD-WAN Manager bevat de mogelijkheid om verbinding te maken met een Cisco-toepassingsopslagplaats waar handtekeningen voor toepassingen snel kunnen worden bijgewerkt; dit is van belang wanneer cloudproviders hostinglocaties of verkeerspatronen wijzigen.

De Toepassingscatalogus biedt de mogelijkheid om aangepaste toepassingen te maken op basis van de matching van servernaam, IP-adres, poorten of protocol.  De toepassing wordt vervolgens gedefinieerd als een specifieke toepassingsfamilie, toepassingsgroep, verkeersklasse en zakelijke relevantie.

Toepassingscatalogus

Toepassingen kunnen worden gesleept en naar de juiste zakelijke relevantie en/of verkeersclassificatie worden gedropt.  Na het opslaan van de wijzigingen worden de definities bijgewerkt in de database.

OPMERKING: Toepassingsclassificaties zijn wereldwijd, en een wijziging in de Toepassingscatalogus heeft gevolgen voor alle apparaatclassificaties.

Beleidsgroepen

Een Beleidsgroep is een groep van beleidsregels die op apparaten worden geïmplementeerd die aan de Beleidsgroep zijn gekoppeld.

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/Policy-Groups/policy-groups/m-policy-groups.html

Beleidsgroep benadert beleidsvorming en -ontwikkeling op basis van intentie. Een vereenvoudigde UI en workflow maakt de creatie van een beleid, groepering van beleid en het inzetten op apparaten, een eenvoudige taak.

Voorwaarde: De vereniging en de plaatsing van de Configuratiegroep aan een apparaat zijn een eerste vereiste voor de plaatsing van de Beleidsgroep aan dat apparaat.

Beleidsgroepen

Toepassingsprioriteit en SLA

Met deze beleidsbedoeling kunt u het volgende specificeren:

• Toepassingsbewuste routing en SLA-beleid
• QoS-beleid
• Beleid inzake verkeersgegevens
• DIB-beleid
• SIG-beleid

Er zijn twee modi beschikbaar.

Eenvoudige modus

Dit is de standaardmodus.

Eenvoudige modus

Dit biedt een snelle en eenvoudige manier om de toepassingsprioriteit en SLA voor uw netwerk te definiëren.

OPMERKING: 1. Standaardbeleidsactie is DROP 2. Overeenkomstcriteria kunnen alleen Toepassingen zijn. Als u dan prefixes nodig hebt, gebruik de geavanceerde modus

Geavanceerde modus

Dit is een volledige en flexibele modus.

Geavanceerde modus

OPMERKING:  1. Standaardbeleidsactie is DROP 2. Toepassingslijst en verkeersklasse zijn in wezen een lijst van toepassingen. Elk van beide mogelijkheden kan worden gebruikt om een lijst met toepassingen aan te passen. Toepassingen kunnen worden toegewezen aan Traffic Class in Application Catalogue. In de eenvoudige modus worden regels gegenereerd met een of beide van deze opties, terwijl in de geavanceerde modus alleen toepassingslijsten worden gegenereerd.

Quality-of-Service

In de optie QoS Queue kunt u een QoS-beleid toevoegen:

QoS-beleid toevoegen

Queuing-modellen

Vervolgens kunt u het verkeersgegevensbeleid definiëren (verkeersbeleid toevoegen).

Voeg regels toe om het gewenste verkeer aan te passen en omleiding naar de juiste doorsturen klassen.

QoS-beleid 2

Toepassingsbewuste routing

U kunt SLA-klassen definiëren en deze gebruiken in een Traffic policy om de bedoeling van een AAR-beleid te realiseren.

AAR Policy

Zichtbaarheid App/Flow

Gebruik CLI-profiel/pakket in de Configuratiegroep om app-zichtbaarheid en flowzichtbaarheid in te schakelen.

(In 20.13 en hoger is deze software beschikbaar onder Advanced Settings in Policy Group)

In 20.12 echter wordt App/Flow Visibility ingeschakeld als er een AAR-beleid is ingesteld. En het configureren van dit profiel/pakket met CLI is niet vereist.

Verkeerbeleid

Verkeersbeleid kan ook worden gebruikt om een DIB-beleid, SIG-omleiding enzovoort te maken. Voeg desgewenst regels toe.

Verkeersbeleid

OPMERKING: Als een Application Priority & SLA-beleid in de eenvoudige modus wordt gemaakt en vervolgens wordt overgeschakeld naar de Advanced-modus, zijn bepaalde Match-opties niet beschikbaar voor selectie. Voorbeeld: het prefix voor doelgegevens is grijs. Als u deze opties beschikbaar wilt maken, wijzigt u het protocol naar IPv4 of IPv6 zoals vereist.

Geïntegreerde beveiliging

Bepaalt het beveiligingsbeleid voor on-box NGFW, IPS, Malware en contentfiltering

Secure Internet Gateway/Secure Service Edge

Bepaalt instellingen die nodig zijn om tunnels tot stand te brengen voor op de cloud gebaseerde inhoud en beveiligingsentiteiten, zoals Cisco Secure Access.

OPMERKING: Met de legacy-configuratiebenadering was dit beschikbaar als een functiesjabloon.

DNS-beveiliging

Definieer instellingen om het gebruik van cloudgebaseerde DNS-beveiligingsservices voor contentfiltering toe te staan.

belangengroepen

Definieer de objectlijsten die u in uw beleid wilt gebruiken. Voorbeeld: Toepassingslijsten, VPN-lijsten, Site-lijsten, Prefixes-lijsten enzovoort.

Bovendien, voor Beveiligingsbeleid, definieer je profielen zoals Geavanceerde inspectie profielen, SSL decryptie beleid enzovoort.

Beleidsgroepen - belangengroepen

Koppelen en implementeren

Vergelijkbaar met Configuratiegroepen koppelt u apparaten aan Policy Group en implementeert u deze.

Lokaal beleid

Gelokaliseerd beleid zoals ACL, routebeleid, beleid voor apparaattoegang enzovoort worden gedefinieerd in Configuratiegroepen.

Topologie

Definieer uw netwerktopologie.

Begin met een Volledig mesh of Hub-n-Spoke en pas het indien nodig aan.

Het topologiemenu

Topologie en VPN

Houd in gedachten deze ontwerpveranderingen terwijl het creëren van Topologie en het specificeren van VPN's.

Het nieuwe ontwerp maakt het mogelijk om de VPN-naam dynamisch in te delen in VPN-id in plaats van 1:1.

Een VPN-naamtoewijzing aan meerdere VPN-id’s

Illustratie:
Stel dat er een VPN is met de naam Corporate in twee verschillende Configuration Groepen.

De ene heeft VPN ID 10 en de andere heeft VPN ID 20.

De topologie werkstroom VPN lijst toont één geval van Corporate VPN slechts.

Zodra u Corporate VPN selecteert, bepaalt de SD-WAN Manager de VPN-ID's op basis van de Topologie.
Stel dat er 2 apparaten zijn op 2 locaties:
1. Device1 op site 100 met Corporate als VPN 10
2. Device2 op site 200 met Corporate als VPN 20

Als zowel site 100 als site 200 deel uitmaken van de Topologie, maakt SD-WAN Manager een VPN-lijst die zowel VPN-id’s (10 en 20) zal hebben.
Als alleen site 100 deel uitmaakt van de Topologie, maakt SD-WAN Manager een VPN-lijst die alleen VPN-id 10 heeft.
Als slechts site 200 deel uitmaakt van de Topologie, maakt SD-WAN Manager een VPN-lijst die alleen VPN-id 20 zal hebben.

Meerdere VPN-namen toewijzen aan dezelfde VPN-id

U kunt meervoudig topologiebeleid met dezelfde VPN-naam configureren die aan verschillende VPN-id’s in verschillende sites worden toegewezen.

SD-WAN Manager bepaalt de feitelijke mapping op basis waarvan topologie is gekoppeld aan welke sites.

Illustratie:

Twee gebruikers kunnen twee verschillende Configuration Groepen maken.

Een daarvan specificeert VPN-id 100 als Finance VPN en de andere als Engineering VPN.

Dan kunnen ze Topologie maken met hun respectievelijke VPN namen.

Onboarding

Gebruik de Quick Connect Workflow voor het inloggen van uw fysieke routers.

Gebruik deze workflow om vooraf de Hostname, System-IP en Site-naam/ID te definiëren voor de apparaten die worden opgenomen. Manager genereert deze automatisch, maar u kunt deze aanpassen als u dit wilt doen. U kunt ook de apparaten labelen die vervolgens kunnen worden gebruikt om de apparaten automatisch te koppelen aan Configuratiegroepen.

Tijdens het PnP ZTP onboarding proces, de apparaten vestigen de besturingsplantunnelverbindingen aan de SD-WAN Manager. SD-WAN Manager duwt nu de vooraf gedefinieerde fabric-configuratie naar de apparaten en de apparaten sluiten zich aan bij de SD-WAN-fabric.

Quick Connect-werkstroom

Beschrijving werkstroom snel verbinden

Tagging

Apparaten kunnen worden gekoppeld aan door de gebruiker gedefinieerde tags.

Tags kunnen worden gebruikt voor het groeperen, beschrijven, vinden of beheren van apparaten.

Met tags kunnen apparaten worden gegroepeerd die vervolgens in andere functies kunnen worden gebruikt.

Voorbeelden van tags

Voorbeeld: Associatie van configuratiegroepen naar apparaten.

De regels van de Configuratiegroep kunnen worden ingesteld om apparaten met specifieke Tags automatisch aan die Configuratiegroep te koppelen.

Tag toevoegen

In Configuration->Apparaten kunnen tags worden gemaakt / toegevoegd aan / verwijderd uit de apparaten.

Tag Rules in configuratiegroep

In de pagina Configuration Group -> Associated Devices (Geassocieerde apparaten) kunnen tagregels worden toegevoegd of bewerkt.

illustratie

Illustratie met tags

Bestaande implementaties

In het SD-WAN netwerk kunnen apparaten die de Verouderde Configuratie en het Beleid gebruiken, naast apparaten bestaan met behulp van de Vereenvoudigde Configuratie en het Beleid.

Deze sectie biedt enkele aanbevelingen voor klanten die willen profiteren van de vereenvoudigde configuratie en het beleid, deze sectie biedt enkele aanbevelingen.

De eerste stap is dat apparaten moeten worden gemigreerd van Apparaatsjablonen naar Configuratiegroepen.   Als dat eenmaal is gedaan, kunnen beleidsgroepen en/of topologie worden ingezet. 

Configuratiegroepen

De malplaatjes van het apparaat en de configuratiegroepen verstrekken de configuratie van het randapparaat.   Het is dus gemakkelijk om samen te leven.    De stappen voor het migreren van een apparaatsjabloon naar een configuratiegroep zijn:

Stap 1	Haal een kopie van de apparaatwaarden uit de apparaatsjablonen.  Dit wordt gerealiseerd via de Configuration à Templates, klik op de Ellips (...) rechts van de apparaatgroep en selecteer ‘Export CSV’.
Stap 2	Maak een Configuratiegroep (handmatig of met het conversiegereedschap).
Stap 3	Ontkoppel de apparaatsjabloon van het apparaat.   Op dit moment, het apparaat handhaaft de configuratie op het punt van bijlage; maar ontvangt geen toekomstige veranderingen die aan het apparatenmalplaatje worden aangebracht (of om het even welke malplaatjes van de componenteneigenschap).
Stap 4	Koppel het apparaat of de apparaten aan de nieuwe configuratiegroep.
Stap 5	Stel de apparaten op die aan de configuratiegroep worden geassocieerd.   Om dit proces te vergemakkelijken, opent u het geëxporteerde CSV-bestand en wijzigt u de kopregels van de CSV-kolom in overeenstemming met de nieuwe variabelen van de configuratiegroep.
Stap 6	Na het scherm van de apparatenvariabele input, kunt u voorproef de apparatenconfiguratie.   Dit geeft u een voorbeeld van welke delen van de configuratiegroep niet overeenkomen met de vorige instantie, of welke variabelen zijn gewijzigd van de apparaatsjabloon.

Het handhaven van een verenigbare noemende regeling voor variabelen vereenvoudigt apparaat-specifieke instellingen.  Als alle apparaatwaarden in één CSV staan, hoeft u de kolomkoppen slechts eenmaal te hernoemen.

OPMERKING: er bestaat een pythonscript dat met CSV-bestanden werkt voor apparaatsjablonen of configuratiegroepen om de kolomkoppen te consolideren en alfabetiseren.   Het script is hier te vinden: https://github.com/BradEdgeworth/CSVMerger

Beleidsgroepen

Apparaten die via configuratiegroepen zijn geconfigureerd, kunnen een gecentraliseerd beleid gebruiken of naar een beleidsgroep migreren; maar niet beide tegelijk voor dezelfde toepassing.  In essentie is het doel hetzelfde onderliggende beleid te behouden voor de randapparatuur.  Beleidsgroepen combineren het oorspronkelijke AAR- en Data-beleid in één Application Priority & SLA PG-component.  In essentie veranderen we alleen hoe de configuratie voor beleid wordt gebouwd (maar niet verzonden naar de SD-WAN Manager).

Het is belangrijk om op te merken dat u geen Data Policy of AAR-beleidsreferentie kunt hebben voor een sitelijst met een site die de Application Priority & SLA component heeft, aangezien ze beide dezelfde instelling configureren.  

Het is mogelijk om gecentraliseerd beleid met slechts een verwijzing van het Beleid van de Controle een plaats te hebben die een Groep van het Beleid met Prioriteit van de Toepassing (SLA) gebruikt aangezien zij verschillende componenten van een gecentraliseerd beleid vormen.

De stappen voor het migreren van een apparaat van een gecentraliseerd beleid naar een beleidsgroep bestaan uit de volgende stappen:

Stap 1	Maak de benodigde beleidsgroepcomponenten (Application Priority & SLA, Embedded Security, Secure Internet gateway/Secure Service Edge, DNS-beveiliging).
Stap 2	Maak de beleidsgroep en de benodigde componenten.
Stap 3	Scheid de site-id van alle SiteLists die verwijzingen zijn in de AAR of Data Policies. Op dit moment stuurt de SD-WAN Manager een bijgewerkte configuratie naar de controllers die vervolgens alle instructies voor actief gegevensbeleid van het randapparaat of de randapparaten verwijderen.  Merk op dat dit onbedoelde verkeersstromen kan veroorzaken op dit moment.
Stap 4	Koppel het(de) apparaat(apparaten) aan de beleidsgroep en sla de beleidsgroep op.
Stap 5	Stel de beleidsgroep aan de geselecteerde apparaten op.  Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de Edge-apparaten (voor QoS/SIG) en de controllers, zodat de controllers bijgewerkte gegevensbeleid naar de edge-apparaten kunnen sturen.

Opmerking: hoewel beleidsgroepen naast een gecentraliseerd beleid kunnen bestaan, wordt aanbevolen bij een gecentraliseerd beleid te blijven (voor een gecentraliseerd beleid en een gecentraliseerd gegevensbeleid) terwijl randapparaten worden geconverteerd naar configuratiegroepen.  Vervolgens start u op dat moment de migratie van Gecentraliseerd beleid naar Beleidsgroepen voor functionaliteit binnen de component Application Priority & SLA.  Dit gebeurt om de zaken eenvoudig te houden en de verwarring bij het operationele personeel te verminderen.

OPMERKING: De Policy Group Engine slaat dingen in een ander formaat op. Een prefixlijst die in een gecentraliseerd beleid wordt gebruikt, moet dus opnieuw worden gemaakt in de beleidsgroep. Dit zou kunnen gebeuren voor andere dingen zoals Site Lists, en ga zo maar door.

Topologie

Apparaten die via configuratiegroepen zijn geconfigureerd, kunnen een gecentraliseerd beleid gebruiken of naar een topologie migreren. In essentie is het doel hetzelfde onderliggende controlebeleid te behouden voor de SD-WAN controllers. Topologie is de jongste versie van het controlebeleid.  

Het is belangrijk om op te merken dat u geen Control Policy referentie kunt hebben voor een site lijst met een site die een Topologie heeft die eraan gekoppeld is, omdat ze beide dezelfde instelling configureren.  

Het is mogelijk om een Gecentraliseerd Beleid met slechts een Beleid van Gegevens en/of een beleid van de AAR, en een topologiebeleid te hebben aangezien zij verschillende componenten vormen.

Stappen om een apparaat van een gecentraliseerd beleid naar een beleidsgroep te migreren:

Stap 1	De benodigde topologiecomponenten maken
Stap 2	Scheid kanten van de oudere Topologielijst in het Gecentraliseerde Beleid.
Stap 3	Scheid de site-ID van alle Site Lists waarnaar wordt verwezen in het AAR- of Data-beleid. Op dit moment stuurt de SD-WAN Manager een bijgewerkte configuratie naar de controllers die vervolgens elke actieve topologieconfiguratie verwijderen voor de sites die worden gemigreerd.  Merk op dat dit op dit moment onbedoelde verkeersstromen kan veroorzaken.
Stap 4	Activeer de topologie. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de controllers en wijzigt alle routes die naar randapparaten worden verzonden.

Opmerking: Hoewel topologie kan samengaan met een gecentraliseerd beleid, wordt aanbevolen om te blijven met een gecentraliseerd beleid (voor topologie en routemanipulatie) terwijl u randapparaten converteert naar configuratiegroepen.  Dan op dat punt, begin de migratie van Gecentraliseerd Beleid aan Topologie voor functionaliteit van het wijzigen van topologieën en het verpletteren van manipulatie. Dit gebeurt om de zaken eenvoudig te houden en de verwarring bij het operationele personeel te verminderen.

Conversietool

Reikwijdte

De conversietool voert een 1-op-1 conversie van sjablonen naar configuratiegroepen uit. De tool verzamelt de sjablonen van een SD-WAN Manager instantie, converteert ze naar configuratiegroepen (inclusief functieprofielen en functiepakketten) en uploadt de nieuw geconverteerde constructies naar de SD-WAN Manager.

* Verwacht wordt dat de omzetting van beleid in beleidsgroepen in oktober 2024 beschikbaar zal zijn in het conversieinstrument.

Toegangsgegevens

Er is een beta-versie van het programma beschikbaar. Neem contact op met sdwan-ux-conversion-tool@cisco.com voor meer informatie.

Hoe te gebruiken

Voorwaarde

Zorg ervoor dat uw SD-WAN Manager 20.12.x draait voordat u de tool gebruikt. Is dit niet het geval, upgrade dan naar 20.12 voordat u verdergaat.

Workflow voor conversiegereedschap

Stap 1	Meld u aan bij de tool met referenties die worden geleverd door Cisco. (Opmerking: dit zijn geen CCO-referenties. Surf naar sdwan-ux-conversion-tool@cisco.com voor meer informatie).
Stap 2	Selecteer de 'Conversion Tool' workflow van de startpagina.             · Als u dit werkschema eerder hebt uitgevoerd en het JSON-bestand met de geconverteerde configuraties hebt, moet u de werkstroom ‘Upload from a file’ selecteren.
Stap 3	Inloggen: Verstrek uw SD-WAN Manager IP of URL samen met gebruikersreferenties. · De gebruiker moet toegang tot lezen/schrijven hebben. · De velden Port en subdomain zijn optioneel.
Stap 4.	Importeren: Klik op de knop ‘Verzamelen’ om alle bestaande constructies (apparaatsjablonen, functiesjablonen, beleid en de bijbehorende constructies) op te halen van SD-WAN Manager. · Zodra verzameld, moet u het JSON-bestand downloaden dat alle configuraties bevat. Dit bestand moet tijdens deze stap op een later tijdstip worden gebruikt in plaats van opnieuw te verzamelen bij de SD-WAN Manager.
Stap 5.	Selecteer: Selecteer de sjablonen en het beleid die u wilt converteren naar hun nieuwe equivalenten. Klik op ‘Migreren’ om de geselecteerde constructies om te zetten.
Stap 6.	Omzetten: Deze pagina toont alle nieuw geconverteerde constructies. Klik op ‘Upload’ als u klaar bent om deze configuraties naar de SD-WAN Manager te sturen. · In het geval dat u nog niet klaar bent om naar SD-WAN Manager te gaan, kunt u deze geconverteerde configuraties downloaden als JSON-bestand en de ‘Upload from a file’ workflow op een later tijdstip gebruiken.
Stap 7.	Samenvatting: Op dit moment worden de configuraties geduwd en gemaakt in SD-WAN Manager. Aangezien de configuraties worden geduwd, kunt u de voortgangsbalk zien. Nadat het uploaden is voltooid, kunt u de samenvatting van de geüploade configuraties zien. · U kunt de snelle links ‘Configuratiegroepen’, ‘Functieprofielen’ en ‘Beleidsgroepen’ gebruiken om de nieuwe constructies in uw SD-WAN Manager te bekijken. · In het geval van een fout of fout, is terugdraaiing ook beschikbaar bij deze stap. Het uitvoeren van een terugdraaiing verwijdert alle constructies die naar de SD-WAN Manager zijn geduwd tijdens deze workflow/sessie.

Post-conversie

Uw nieuwe constructies zijn nu klaar voor gebruik. Voer de stappen in het gedeelte ‘Bestaande implementaties’ uit om uw apparaten te migreren naar de zojuist geconverteerde configuratiegroepen.

Overwegingen

• De conversies die door de tool worden geboden, zijn bedoeld als leidraad. Analyseer en test voordat u het product in een productieomgeving implementeert.
• Het gereedschap houdt geen rekening met het apparaat-agnostische vermogen van configuratiegroepen. Gebruikers kunnen hun sjablonen analyseren voordat ze selecteren welke de geconverteerde configuratiegroepen moeten converteren of analyseren en apparaten hieraan koppelen om te profiteren van de device-agnostische mogelijkheid.
• De namen van variabelen en de globale waarden van erfenisconcepten worden gekopieerd naar de onlangs omgezette concepten.
• Het gereedschap duwt de configuratie niet naar apparaten. Na het uitvoeren van de conversies is de gebruiker verantwoordelijk voor het loskoppelen van apparaten van sjablonen en het koppelen van deze aan de nieuwe configuratiegroepen.

20.12 Overwegingen

Nee.	Item Beschrijving
1	DNS-configuratie moet via CLI Add-on Profile worden gedrukt wanneer u Configuration Group op Edge implementeert met een lagere versie dan 17.12.
2	Voor het creëren van topologie moeten sites worden geselecteerd in plaats van een gebied te kiezen dat in NHM wordt gedefinieerd.
3	De werkstroom van de Groep Create Configuration maakt geen VPN512 en interface in dit VPN, in het WAN-profiel. Als u dit nodig hebt, kunt u dit handmatig maken door de groep Configuration te bewerken.
4	Mogelijk om functieprofielen te kopiëren/dupliceren, beleid niet ondersteund.   Een verzameling Python-scripts kan deze taak uitvoeren en bevindt zich: https://github.com/dbrown92700/configGroups/
5	Een Policy Object profiel moet worden gekoppeld aan de Configuration Group voordat u een Feature-pakket maakt dat verband houdt met Policy Configuration (Gelokaliseerd beleid). Bijvoorbeeld: ACL
6	Importeer CSV voor interfacevariabelen en voegt puntkomma's in de string in. Dit is een mislukking
7	De configuratie van AppQoE-optimalisatie (TCP Opt en DRE) en verliescorrectie (FEC en Pkt Dup) blijft gebruik maken van oudere sjablonen/beleidsregels. Configureerbaar via CLI-profiel ook in configuratie-/beleidsgroepen. (20,14 in UI-pakket)
8	Cloud OnRamp voor SaaS blijft de bestaande sjablonen/beleidsregels gebruiken.
9	TrustSec/SGT alleen ondersteund met CLI-profiel
10	UC Voice / DSP Farm / SRST alleen ondersteund met CLI Profile (vanaf 20.13 in UI-pakket)

Gerelateerde informatie

• Cisco SD-WAN en YouTube-kanaal voor cloudnetwerken: https://www.youtube.com/@CiscoSDWANandCloudNetworking
• UX2.0 - Operationele vereenvoudiging: 1. Configureer één routersite: https://www.youtube.com/watch?v=98z-d3knd
• Cisco Technical Support en downloads