Configurar SD-WAN Cloud OnRamp para SaaS

Introdução

Este documento descreve a configuração para o Cloud OnRamp for Software as a Service (SaaS) usando a saída local da filial.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento da Rede de Longa Distância Definida por Software (SD-WAN).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco vManage versão 20.9.4
• Roteador Cisco WAN Edge versão 17.9.3a

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Para uma organização que usa SD-WAN, um local de filial normalmente roteia o tráfego de aplicativos SaaS por padrão por links de sobreposição de SD-WAN para um data center. A partir do data center, o tráfego de SaaS alcança o servidor de SaaS.

Por exemplo, em uma grande organização com um data center central e filiais, os funcionários podem usar o Office 365 em uma filial. Por padrão, o tráfego do Office 365 em uma filial é roteado por um link de sobreposição SD-WAN para um data center centralizado e, da saída DIA, para o servidor de nuvem do Office 365.

Este documento aborda este cenário: se o local da filial tiver uma conexão de acesso direto à Internet (DIA), você poderá melhorar o desempenho roteando o tráfego de SaaS através do DIA local, ignorando o data center.

Observação: não há suporte para a configuração do Cloud OnRamp para SaaS quando um site usa um loopback como uma interface de localizador de transporte (TLOC).

Configurar

Diagrama de Rede

Topologia de rede

Configurações

Ativar o NAT na interface de transporte

Navegue até Feature Template . Escolha o Transport VPN interface modelo e Habilitar NAT.

Ativar NAT de interface

Configuração equivalente de CLI:

interface GigabitEthernet2 
ip nat outside 

ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet2 overload 
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 60

Criar uma política de AAR centralizado

Para estabelecer uma política centralizada, você deve seguir este procedimento:

Etapa 1. Crie uma lista de sites:

Modelo NAT da interface VPN

Etapa 2. Crie uma lista VPN:

Lista de sites personalizados de política centralizada

Etapa 3. Configure o Traffic Rules e crie o Application Aware Routing Policy.

Política de Rota com Reconhecimento de Aplicativo

Etapa 4. Adicione a política ao e pretendidoSitesVPN:

Adicionar políticas a Sites e VPNs

Política equivalente de CLI:

viptela-policy:policy
app-route-policy _VPN1_Cloud_OnRamp_SAAS
vpn-list VPN1
sequence 1
match
cloud-saas-app-list office365_apps
source-ip 0.0.0.0/0
!
action
count Cloud_OnRamp_-92622761
!
!
!
lists
app-list office365_apps
app skype 
app ms_communicator 
app windows_marketplace 
app livemail_mobile 
app word_online 
app excel_online 
app onedrive 
app yammer 
app sharepoint 
app ms-office-365 
app hockeyapp 
app live_hotmail 
app live_storage 
app outlook-web-service 
app skydrive 
app ms_teams 
app skydrive_login 
app sharepoint_admin 
app ms-office-web-apps 
app ms-teams-audio 
app share-point 
app powerpoint_online 
app ms-lync-video 
app live_mesh 
app ms-lync-control 
app groove 
app ms-live-accounts 
app office_docs 
app owa 
app ms_sway 
app ms-lync-audio 
app live_groups 
app office365 
app windowslive 
app ms-lync 
app ms-services 
app ms_translator 
app microsoft 
app sharepoint_blog 
app ms_onenote 
app ms-teams-video 
app ms-update 
app ms-teams-media 
app ms_planner 
app lync 
app outlook 
app sharepoint_online 
app lync_online 
app sharepoint_calendar 
app ms-teams 
app sharepoint_document 
!
site-list DCsite_100001
site-id 100001 
!
vpn-list VPN1
vpn 1 
!
!
!
apply-policy
site-list DCsite_100001
app-route-policy _VPN1_Cloud_OnRamp_SAAS
!
!

Habilitar acesso direto à Internet e a aplicativos no vManage

Etapa 1. Navegue até Cloud OnRamp for SaaS.

Selecione Cloud onRamp para SaaS

Etapa 2. Navegue até Applications and Policy.

Selecionar aplicativos e política

Etapa 3. Navegue até Application > Enablee Save. Em seguida, clique em Next.

Selecionar Aplicativos e Habilitar Monitoramento

Etapa 4. Navegue até Direct Internet Access (DIA) Sites.

Selecionar Sites de Acesso Direto à Internet

Etapa 5. Navegue até Attach DIA Sites  e escolha os Sites.

Anexar sites DIA

Verificação

Esta seção descreve os resultados para verificar o Cloud OnRamp para SaaS.

• Esta saída mostra as saídas locais do Cloudexpress:

cEdge_West-01#sh sdwan cloudexpress local-exits 
cloudexpress local-exits vpn 1 app 2 type app-group subapp 0 GigabitEthernet2 
application office365 
latency 6 
loss 0

• Esta saída mostra os aplicativos do Cloudexpress:

cEdge_West-01#sh sdwan cloudexpress applications 
cloudexpress applications vpn 1 app 2 type app-group subapp 0 
application office365 
exit-type local 
interface GigabitEthernet2 
latency 6 
loss 0

cEdge_West-01#sh sdwan policy app-route-policy-filter 
NAME                       NAME        COUNTER NAME                        PACKETS     BYTES 
-------------------------------------------------------------------------------------------------
_VPN1_Cloud_OnRamp_SAAS    VPN1        default_action_count                640         66303 
                                       Cloud_OnRamp_-403085179             600      432292 

cEdge_West-01#sh sdwan policy service-path vpn 1 interface GigabitEthernet4 source-ip 10.2.20.70 dest-ip <Office365 server IP> protocol 6 
Next Hop: Remote 
Remote IP: 10.2.30.129, Interface GigabitEthernet2 Index: 8