如何选择特定上行链路直接访问互联网

下载选项

  • PDF     (182.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (102.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (76.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 12 月 24 日
文档 ID:215105

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在vSmart数据策略的帮助下首选特定接口进行直接互联网接入(DIA)。

    先决条件

    要求

    思科建议您了解SD-WAN策略框架。

    使用的组件

    本文档中的信息基于vEdge路由器和vSmart控制器。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    网络图

    配置

    vEdge路由器有两个上行链路接口,具有基本底层和重叠配置。主要目标是,将所有流量首选ge0/1接口,从本地子网192.0.2.0/24发往地址为203.0.113.137的Internet主机。

    vEdge路由器配置:

     interface ge0/1
  ip address 192.168.109.104/24
  nat
  !
  tunnel-interface
   encapsulation ipsec
   color biz-internet 
!
interface ge0/2
  ip address 192.168.110.104/24
  nat
  !
  tunnel-interface
   encapsulation ipsec
   color public-internet
!
 !
 ip route 0.0.0.0/0 192.168.109.10
 ip route 0.0.0.0/0 192.168.110.10
!
vpn 40
 ip route 0.0.0.0/0 vpn 0

    vSmart控制器配置:

    policy
 lists
  data-prefix-list SOURCE_PREFIX
   ip-prefix 192.0.2.0/24
  !
  data-prefix-list DESTINATION_PREFIX
   ip-prefix 203.0.113.137/32
  !
  site-list branch40
   site-id 40
  !
 !
policy
 data-policy FORCE_GE0_1
  vpn-list VPN_40
   sequence 100
    match
     source-data-prefix-list SOURCE_PREFIX
     destination-data-prefix-list DESTINATION_PREFIX
    !
    action accept
     nat use-vpn 0
     set
      local-tloc color biz-internet encap ipsec
     !
    !
   !
   default-action accept
  !
 !
apply-policy
 site-list branch40
  data-policy FORCE_GE0_1 from-service
 !
!

    验证

    使用本部分可确认配置能否正常运行。

    应用策略之前:

    show policy service-path vpn 40 interface ge0/7 source-ip 192.0.2.222 dest-ip 203.0.113.137 protocol 6 
Next Hop: Remote 
Remote IP: 192.168.110.10, Interface ge0/2 Index: 6

    然后激活vSmart上的策略,并确保将vSmart中的策略应用到vEdge:

    vedge1# show policy from-vsmart 
from-vsmart data-policy FORCE_GE0_1
 direction from-service
 vpn-list VPN_40
  sequence 100
   match
    source-data-prefix-list      SOURCE_PREFIX
    destination-data-prefix-list DESTINATION_PREFIX
   action accept
    nat use-vpn 0
    no nat fallback
    set
     local-tloc color biz-internet
     local-tloc encap ipsec
  default-action accept
from-vsmart lists vpn-list VPN_40
 vpn 40
from-vsmart lists data-prefix-list DESTINATION_PREFIX
 ip-prefix 203.0.113.137/32
from-vsmart lists data-prefix-list SOURCE_PREFIX
 ip-prefix 192.0.2.0/24

    应用策略后:

    show policy service-path vpn 40 interface ge0/7 source-ip 192.0.2.222 dest-ip 203.0.113.137 protocol 6 
Next Hop: Remote 
Remote IP: 192.168.109.10, Interface ge0/1 Index: 5

    此外,您可以在NAT转换表中看到连接:

    vedge1# show ip nat filter nat-vpn 0 nat-ifname ge0/1 vpn 40 protocol tcp 192.0.2.222 203.0.113.137 
ip nat filter nat-vpn 0 nat-ifname ge0/1 vpn 1 protocol tcp 192.0.2.222 203.0.113.137 61213 443 
public-source-address 192.168.109.104 
public-dest-address 203.0.113.137 
public-source-port 61213 
public-dest-port 443 
filter-state established 
idle-timeout 0:00:54:11 
outbound-packets 12593 
outbound-octets 1186104 
inbound-packets 16601 
inbound-octets 4576423

    故障排除 

    目前没有针对此配置的故障排除信息。

    TAC Authored

    由思科工程师提供

    • Eugene Khabarov
      Cisco TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品