在SD-WAN上配置主用/备用集中星型拓扑

下载选项

  • PDF     (695.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (431.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (381.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 4 月 4 日
文档 ID:220341

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在思科SD-WAN上配置和验证主用备用集中星型拓扑的步骤。

    先决条件

    要求

    建议掌握下列主题的相关知识:

    • 思科SD-WAN
    • 基本Cisco IOS-XE®命令行界面(CLI)

    使用的组件

    本文档基于以下软件和硬件版本:

    • C8000V版本17.6.3a
    • vManage版本20.6.3.1
    • vSmart版本20.6.3

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    网络图

    Network Diagram

    有两个中心,站点ID为10和20。站点ID 10充当主用集线器,站点ID 20充当备用集线器。分支机构可以相互通信,但所有通信都必须通过集线器。不得在分支站点之间创建隧道。

    配置

    1.登录vManage并导航到Configuration > Policies,然后单击Add Policy

    2.在“创建兴趣组”部分中,单击TLOC > New TLOC List,并在同一列表中为活动集线器和备用集线器分别添加一个条目:

    Configurations - Add Policy

    确保为主用集线器设置较高的优先级,为备用集线器设置较低的优先级。


    3.定位至地点>新建地点列表,然后创建分支地点列表和中心地点列表:

    Create a New Site List for Branches

    Create a New Site List for Hub

    4.单击下一步。在Configure Topology and VPN Membership部分,导航到Add Topology > Custom Control
    5.为策略添加名称和说明。
    6.单击序列类型> TLOC,添加序列规则。
    7.选择匹配>地点,然后添加分支的“地点”列表,然后选择活动>拒绝,然后单击保存匹配和活动:

    Add Name and Description for Policy

    8.单击Sequence Rule,然后添加条目以匹配中心站点并接受:

    Sequence Rule - Add entry to Match Hub Sites and Accept

    9.定位至“序列类型”>“路线”,添加“序号规则”。
    10.将“匹配”部分留空,将“操作”设置为接受,选择TLOC,添加之前创建的TLOC列表,然后单击保存匹配和操作:

    Choose TLOC, Add TLOC List and Click Save Match and Actions

    11.单击Save Control Policy
    12.单击Next,直到“Apply Policies to Sites and VPNs”部分。
    13.在“拓扑”部分中,显示您的控制策略,单击新建站点列表,选择“出站站点列表”的“分支”列表,然后单击添加:

    Click New Site List, Choose the Branches List for the Outbound Site List and Click Add

    14.单击Preview并查看策略。

    viptela-policy:policy
 control-policy Active_Standby_HnS
    sequence 1
     match tloc
      site-list BRANCHES
     !
     action reject
     !
    !
    sequence 11
     match tloc
      site-list DCs_10_20
     !
     action accept
     !
    !
    sequence 21
     match route
      prefix-list _AnyIpv4PrefixList
     !
     action accept
      set
       tloc-list PREFER_DC10_DC20
      !
     !
    !
  default-action reject
 !
 lists
  site-list BRANCHES
   site-id 2-4 
  !
  site-list DCs_10_20
   site-id 10 
   site-id 20 
  !
  tloc-list PREFER_DC10_DC20
   tloc 10.10.10.1 color mpls encap ipsec preference 1000 
   tloc 10.10.10.2 color mpls encap ipsec preference 500 
  !
  prefix-list _AnyIpv4PrefixList
   ip-prefix 0.0.0.0/0 le 32 
  !
 !
!
apply-policy
 site-list BRANCHES
  control-policy Active_Standby_HnS out
 !
!

    15.单击Save Policy
    16.在Centralized Policy(集中策略)菜单中,点击新创建的策略右侧的3个点,然后选择Activate(激活)。

    Centralized Policy Menu - click 3 Dots and Choose Activate

    17.任务完成后,将显示“成功”状态。

    Success Status Shows

    验证

    使用以下命令,验证已在vSmart上创建策略:

    vsmart# show running-config policy 
    policy
    lists
    tloc-list PREFER_DC10_DC20
    tloc 10.10.10.1 color mpls encap ipsec preference 1000
    tloc 10.10.10.2 color mpls encap ipsec preference 500
    !
    site-list BRANCHES
    site-id 2-4
    !
    site-list DCs_10_20
    site-id 10
    site-id 20
    !
    prefix-list _AnyIpv4PrefixList
    ip-prefix 0.0.0.0/0 le 32
    !
    !
    control-policy Active_Standby_HnS
    sequence 1
    match tloc
    site-list BRANCHES
    !
    action reject
    !
    !
    sequence 11
    match tloc
    site-list DCs_10_20
    !
    action accept
    !
    !
    sequence 21
    match route
    prefix-list _AnyIpv4PrefixList
    !
    action accept
    set
    tloc-list PREFER_DC10_DC20
    !
    !
    !
    default-action reject
    !
    !
    vsmart# show running-config apply-policy
    apply-policy
    site-list BRANCHES
    control-policy Active_Standby_HnS out
    !
    !
    vsmart#

    :这是控制策略。它在vSmart上应用和执行,不会推送到边缘设备。show sdwan policy from-vsmart命令不会在边缘设备上显示策略。

    故障排除

    用于故障排除的有用命令。

    在vSmart上:

    show running-config policy
    show running-config apply-policy
    show omp routes vpn <vpn> advertised <detail>
    show omp routes vpn <vpn> received <detail>
    show omp tlocs advertised <detail>
    show omp tlocs received <detail>

    在cEdge上:

    show sdwan bfd sessions
    show ip route vrf <service vpn>
    show sdwan omp routes vpn <vpn>  <detail>
    show sdwan omp tlocs

    示例:

    确认从分支到集线器只形成BFD会话:

    Branch_02#show sdwan bfd sessions 
                              SOURCE TLOC REMOTE TLOC              DST PUBLIC   DST PUBLIC        DETECT     TX 
    SYSTEM IP   SITE ID STATE COLOR       COLOR       SOURCE IP    IP           PORT       ENCAP  MULTIPLIER INTERVAL(msec)  UPTIME      TRANSITIONS 
    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    10.10.10.1  10      up    mpls        mpls        192.168.1.36 192.168.1.30 12386      ipsec  7          1000            0:18:45:02  1 
    10.10.10.2  20      up    mpls        mpls        192.168.1.36 192.168.1.33 12366      ipsec  7          1000            0:18:45:03  1

    验证来自其他分支的路由是否首选通过Active Hub,首选为1000:

    Branch_02#show sdwan omp route vpn 10 172.16.1.0/24 detail 
    Generating output, this might take time, please wait ...

    ---------------------------------------------------
    omp route entries for vpn 10 route 172.16.1.0/24
    ---------------------------------------------------
    RECEIVED FROM: 
    peer 10.1.1.3
    path-id 8
    label 1002
    status C,I,R                    <--    Chosen, Installed, Received
    loss-reason not set
    lost-to-peer not set
    lost-to-path-id not set
    Attributes:
    originator 10.3.3.3
    type installed
    tloc 10.10.10.1, mpls, ipsec    <--    Active Hub
    ultimate-tloc not set
    domain-id not set
    overlay-id 1
    site-id 3
    preference 1000
    tag not set
    origin-proto connected
    origin-metric 0
    as-path not set
    community not set
    unknown-attr-len not set
    RECEIVED FROM: 
    peer 10.1.1.3
    path-id 9
    label 1003
    status R                        <--    Received
    loss-reason preference
    lost-to-peer 10.1.1.3
    lost-to-path-id 8
    Attributes:
    originator 10.3.3.3
    type installed
    tloc 10.10.10.2, mpls, ipsec    <--    Backup Hub
    ultimate-tloc not set
    domain-id not set
    overlay-id 1
    site-id 3
    preference 500
    tag not set
    origin-proto connected
    origin-metric 0
    as-path not set
    community not set
    unknown-attr-len not set

    相关信息

    Cisco SD-WAN策略配置指南,Cisco IOS XE版本17.x

    修订历史记录

    版本 发布日期 备注
    1.0
    04-Apr-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗萨纳德尔卡斯蒂略法西内托
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品