SDWAN与ACI集成的配置和验证

缩写词

ACI — 以应用为中心的基础设施 

EPG — 终端组

L3out — 第3层输出

AAR — 应用感知路由

SLA — 服务级别协议

DC — 数据中心

WAN — 广域网

SDN — 软件定义网络

SD DC — 软件定义的数据中心

SD WAN — 软件定义的广域网

QOS — 服务质量

VRF — 虚拟路由和转发 

简介

本文档介绍将以应用为中心的基础设施(ACI)、思科软件定义的 — 数据中心(SD-DC)解决方案与软件定义的 — 广域网(SD-WAN)集成的配置步骤及其验证。

软件定义网络 (SDN) 进行了增强，以满足特定网段的需求：

1. 软件定义 — 数据中心(SD-DC) 
2. 软件定义 — 广域网(SD-WAN)

思科解决方案在SD-DC（以应用为中心的基础设施ACI）和SD-WAN中的AAR（应用感知路由）/SLA（服务级别协议）配置文件中提供强大的QoS（服务质量）功能。

随着越来越多的客户计划集成并希望跨路径进行无缝流量处理，思科推出了SD-DC和SD-WAN集成。

该集成侧重于两个使用案例：

1. 从ACI(DC)到SDWAN（非ACI分支机构）的流量
2. 从SDWAN（非ACI分支机构）到ACI(DC)的流量 

先决条件

要求

由于与SD-WAN的集成是在ACI中配置的L3out上进行的，因此必须配置支持协议的L3out。

集成通过管理网络进行，因此需要在ACI（APIC控制器）和vManage之间实现管理可达性。

使用的组件

ACI交换矩阵、SDWAN（vManage、vSmart控制器、vEdge）

本文档基于ACI版本4.2(3l)

配置

网络图

供参考的拓扑：

在我们的拓扑中，仅将ACI站点A视为DC，将非ACI站点C视为SDWAN分支站点。

配置

A部分：集成配置

1. 打开APIC图形用户界面(GUI)并导航到System选项卡下的Integrations选项卡。 

2. 创建集成组

3. 导航到新创建的集成组“SDWAN2”，然后右键点击vManage

4. 右键单击vManage并选择创建集成管理器

5. 填写适当的详细信息，如集成管理器名称、设备IP/FQDN、用户名、密码

6. 从状态字段确保注册成功。如果未成功或观察到任何错误，请验证提供的信息是否正确。合作伙伴ID是vManage控制器的标识符。您可以导航到集成 — ><组名称>->vManage -> <Integration Manager名称> ->系统信息以验证状态。 

B部分：WAN SLA策略的配置

预配置的WAN SLA配置文件位于租户 — >common->策略 — >协议 — >WAN SLA下

在使用WAN SLA策略配置合同时，这可以在其他租户中继承。

这些是预配置的SLA，不能更改。

映射到此ACI集成的SD-WAN端上配置的VPN也会反映在租户 — >common->策略 — >协议 — >WAN SLA下

1. 在要映射WAN服务的租户/VRF下创建合同。

QoS Priority值必须设置为除Unspecified之外的任何值。如果QoS Priority值设置为Unspecified，则WAN SLA策略将不起作用。

请导航到租户 — ><租户名称>->合同 — >标准

2. 创建合同主题，然后在“合同主题”下指定WAN SLA策略。

QoS Priority值必须设置为除Unspecified之外的任何值。如果QoS Priority值设置为Unspecified，则WAN SLA策略将不起作用。

        

3. 提供来自EPG的合同。

请导航至租户 — ><租户名称>->应用配置文件 — >应用EPG->合同

4. 在为SD-WAN配置的L3out处使用合同

请导航到租户 — ><租户名称>->L3outs->外部EPG->使用合同。由L3out外部EPG提供并由EPG使用的合同也是可能且有效的

5. 将WAN VPN与租户VRF进行匹配 

请导航到租户 — ><租户名称>->VRF->策略 — >WAN VPN

验证

第3部分：验证

1. 配置验证

根据ACI中的配置将配置推送到两个SDWAN设备

DC端（连接到L3out）SDWAN路由

ASR1001-X-DC#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
 loss    10
 latency 300
 jitter  100

from-vsmart sla-class Default
 loss    25
 latency 300
 jitter  100

from-vsmart sla-class Transactional-Data
 loss    5
 latency 50
 jitter  100

from-vsmart sla-class Voice-And-Video
 loss    2
 latency 45
 jitter  100

from-vsmart data-policy _vpn-10_data_policy
 direction from-service
 vpn-list vpn-10
  default-action accept

-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
 vpn-list 412898115_vpn
  sequence 10
   match
    dscp 14
   action
    sla-class Default
    no sla-class strict
  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict
  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict
  sequence 40
   match
    dscp 10
   action
    sla-class Bulk-Data
    no sla-class strict

from-vsmart lists vpn-list 412898115_vpn
 vpn 10

from-vsmart lists vpn-list vpn-10
 vpn 10

ASR1001-X-DC#

分支终端SDWAN路由器

ASR1001-X-Branch#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
 loss    10
 latency 300
 jitter  100

from-vsmart sla-class Default
 loss    25
 latency 300
 jitter  100

from-vsmart sla-class Transactional-Data
 loss    5
 latency 50
 jitter  100

from-vsmart sla-class Voice-And-Video
 loss    2
 latency 45
 jitter  100

-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
 vpn-list 412898115_vpn
  sequence 10
   match
    dscp 14
   action
    sla-class Default
    no sla-class strict
  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict
  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict
  sequence 40
   match
    dscp 10
   action
    sla-class Bulk-Data
    no sla-class strict

from-vsmart lists vpn-list 412898115_vpn
 vpn 10

ASR1001-X-Branch#

1. QoS验证

示例 1

WAN SLA策略“Transactional-Data”。 请导航至租户 — ><租户名称>->合同 — >标准 — ><合同名称>-><合同主题>->通用 — WAN SLA策略

  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict

     

方向：

1.从DC到SDWAN的流量。

如下面的捕获所示，源自DC的流量使用dscp 00，但到达SDWAN的流量使用DSCP 12（十六进制0x0c）。

这表示根据WAN SLA策略更改DSCP值。

数据包捕获在源(DC)执行，将原始DSCP值反映为00。

Internet协议，源：192.168.10.2(192.168.10.2)，目的：172.16.20.2(172.16.20.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x00(DSCP 0x00：默认值；ECN:0x00)

        0000 00.. =差分服务代码点：默认值(0x00)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa0d5(41173)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：255

    协议：ICMP(0x01)

    报头校验和：0x9016 [正确]

        [良好：正确]

        [错误：错误]

    来源：192.168.10.2(192.168.10.2)

    目的：172.16.20.2(172.16.20.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和：0xc16a [正确]

    标识符：0x4158

    序列号：768(0x0300)

    数据（56 字节）

           

根据WAN SLA策略，目标（SDWAN分支站点）上的数据包捕获反映了DSCP 12(十六进制0x0c)值的更改。

Internet协议，源：192.168.10.2(192.168.10.2)，目的：172.16.20.2(172.16.20.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x30(DSCP 0x0c：保证转发12;ECN:0x00)

        0011 00.. =差分服务代码点：保证转发12(0x0c)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa0d1(41169)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：251

    协议：ICMP(0x01)

    报头校验和：0x93ea [正确]

        [良好：正确]

        [错误：错误]

    来源：192.168.10.2(192.168.10.2)

    目的：172.16.20.2(172.16.20.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和：0x6e30 [正确]

    标识符：0xc057

    序列号：1024(0x0400)

    数据（56 字节）

2.从SDWAN到数据中心的流量

如下面的捕获所示，源自SDWAN分支站点的流量带有dscp 00，但到达DC的流量带有DSCP 12（十六进制0x0c），反映根据应用的WAN SLA策略的DSCP值的更改。

数据包捕获在源（SDWAN分支）执行，将原始DSCP值反映为00。

互联网协议，源：172.16.20.2(172.16.20.2)，目的：192.168.10.2(192.168.10.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x00(DSCP 0x00：默认；ECN:0x00)

        0000 00.. =差分服务代码点：默认值(0x00)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa0c8(41160)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：255

    协议：ICMP(0x01)

    报头校验和：0x9023 [正确]

        [良好：正确]

        [错误：错误]

    来源：172.16.20.2(172.16.20.2)

    目的：192.168.10.2(192.168.10.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和： 0xd3ff [正确]

    标识符：0x5c79

    序列号：1(0x0001)

    数据（56 字节）

根据WAN SLA策略，目标(DC)上的数据包捕获反映DSCP 12(十六进制0x0c)值的更改。

互联网协议，源：172.16.20.2(172.16.20.2)，目的：192.168.10.2(192.168.10.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x30(DSCP 0x0c：保证转发12;ECN:0x00)

        0011 00.. =差分服务代码点：保证转发12(0x0c)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa073(41075)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：251

    协议：ICMP(0x01)

    报头校验和：0x9448 [正确]

        [良好：正确]

        [错误：错误]

    来源：172.16.20.2(172.16.20.2)

    目的：192.168.10.2(192.168.10.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和：0x741a [正确]

    标识符：0x5c79

    序列号：43776(0xab00)

    数据（56 字节）

示例 2

WAN SLA策略“Voice-And-Video”请导航至租户 — ><租户名称>->合同 — >标准 — ><合同名称>-><合同主题>->一般 — WAN SLA策略

  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict

1.从DC到SDWAN的流量。

如下面的捕获所示，从DC发起的流量使用DSCP 00，但到达SDWAN的流量使用DSCP 18（十六进制0x12）。

这表示根据WAN SLA策略更改DSCP值。

数据包捕获在源(DC)执行，将原始DSCP值反映为00。

Internet协议，源：192.168.10.2(192.168.10.2)，目的：172.16.20.2(172.16.20.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x00(DSCP 0x00：默认；ECN:0x00)

        0000 00.. =差分服务代码点：默认值(0x00)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa2b6(41654)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：255

    协议：ICMP(0x01)

    报头校验和：0x8e35 [正确]

        [良好：正确]

        [错误：错误]

    来源：192.168.10.2(192.168.10.2)

    目的：172.16.20.2(172.16.20.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和：0x3614 [正确]

    标识符：0x8c5f

    序列号：512(0x0200)

    数据（56 字节）

           

目标(SDWAN分支站点)上的数据包捕获反映了DSCP值18(0x12)的变化，使之与WAN SLA策略相匹配。

互联网协议，源：172.16.20.2(172.16.20.2)，目的：192.168.10.2(192.168.10.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x48(DSCP 0x12：保证转发21;ECN:0x00)

        0100 10.. =差分服务代码点：保证转发21(0x12)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa2b8(41656)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：255

    协议：ICMP(0x01)

    报头校验和： 0x8deb [正确]

        [良好：正确]

        [错误：错误]

    来源：172.16.20.2(172.16.20.2)

    目的：192.168.10.2(192.168.10.2)

Internet 控制消息协议

    类型：0(响应(ping)应答)

    代码：0()

    校验和：0x8a13 [正确]

    标识符：0x8c5f

    序列号：1024(0x0400)

    数据（56 字节）

2.从SDWAN到DC的流量

显示原始DSCP值(00)的源(SDWAN分支)数据包捕获。

互联网协议，源：172.16.20.2(172.16.20.2)，目的：192.168.10.2(192.168.10.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x00(DSCP 0x00：默认；ECN:0x00)

        0000 00.. =差分服务代码点：默认值(0x00)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa1bb(41403)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：255

    协议：ICMP(0x01)

    报头校验和：0x8f30 [正确]

        [良好：正确]

        [错误：错误]

    来源：172.16.20.2(172.16.20.2)

    目的：192.168.10.2(192.168.10.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和：0x68e5 [正确]

    标识符：0x1d03

    序列号：2048(0x0800)

    数据（56 字节）

           

根据WAN SLA策略，目标(DC)上的数据包捕获反映DSCP值18(0x12)的变化。

互联网协议，源：172.16.20.2(172.16.20.2)，目的：192.168.10.2(192.168.10.2)

    版本：4

    报头长度：20字节

    差分服务字段：0x48(DSCP 0x12：保证转发21;ECN:0x00)

        0100 10.. =差分服务代码点：保证转发21(0x12)

        ......0. =支持ECN的传输(ECT):0

        .......0 = ECN-CE:0

    总长度：84

    标识：0xa1bb(41403)

    标志：0x00

        0.. =保留位：未设置

        .0. =不分段：未设置

        ..0 =更多分段：未设置

    片偏移量：0

    生存时间：251

    协议：ICMP(0x01)

    报头校验和：0x92e8 [正确]

        [良好：正确]

        [错误：错误]

    来源：172.16.20.2(172.16.20.2)

    目的：192.168.10.2(192.168.10.2)

Internet 控制消息协议

    类型：8(响应(ping)请求)

    代码：0()

    校验和：0x68e5 [正确]

    标识符：0x1d03

    序列号：2048(0x0800)

    数据（56 字节）

故障排除

从故障排除的角度来说，以下日志文件非常有用。.

        控制路径调试

APIC技术支持文件
PolicyDistributor Logs、PolicyManager Logs、PolicyElement和Edmgr日志可以提供有关被推送到枝叶和主干的相关配置的见解。

数据路径调试 

L3out接口和vEdge路由器接口上的数据包捕获。

ELAM也可以提供帮助。