SDWAN與ACI整合的配置和驗證
縮寫說明
ACI — 以應用為中心的基礎設施
EPG — 終端組
L3out — 第3層輸出
AAR — 應用感知路由
SLA — 服務級別協定
DC — 資料中心
WAN — 廣域網
SDN — 軟體定義網路
SD DC — 軟體定義資料中心
SD WAN — 軟體定義的廣域網
QOS — 服務品質
VRF — 虛擬路由和轉送
簡介
本文檔介紹將以應用為中心的基礎設施(ACI)、思科的軟體定義 — 資料中心(SD-DC)解決方案與軟體定義 — 廣域網(SD-WAN)整合到一起的配置步驟及其驗證。
軟體定義網路(SDN) 已經過增強,以適應特定的網段:
- 軟體定義 — 資料中心(SD-DC)
- 軟體定義 — 廣域網(SD-WAN)
思科解決方案在SD-DC(以應用為中心的基礎設施ACI)和SD-WAN中的AAR(應用感知路由)/SLA(服務級別協定)配置檔案中提供強大的QoS(服務品質)功能。
隨著越來越多的客戶計畫整合並希望跨路徑實現無縫流量處理,思科推出了SD-DC和SD-WAN整合。
該整合側重於兩個使用案例:
- 從ACI(DC)到SDWAN(非ACI分支)的流量
- 從SDWAN(非ACI分支機構)到ACI(DC)的流量
必要條件
需求
由於與SD-WAN的整合是在ACI中配置的L3out上進行的,因此必須配置帶有支援協定的L3out。
整合通過管理網路進行,因此需要在ACI(APIC控制器)和vManage之間實現管理可達性。
採用元件
ACI交換矩陣、SDWAN(vManage、vSmart控制器、vEdge)
本文檔基於ACI版本4.2(3l)
組態
網路圖表
供參考的拓撲:
在我們的拓撲中,僅將ACI站點A視為DC,將非ACI站點C視為SDWAN分支站點。
組態
A部分:整合配置
- 開啟APIC Graphical User Interface(GUI),導航至System頁籤下的Integrations頁籤。
- 建立整合組
- 導航到新建立的整合組「SDWAN2」,然後按一下右鍵vManage
- 按一下右鍵vManage,然後選擇Create Integration Manager
- 填寫適當的詳細資訊,如整合管理器名稱、裝置IP/FQDN、使用者名稱、密碼
- 從狀態欄位確保註冊成功。如果未成功或觀察到任何錯誤,請驗證提供的資訊是否正確。合作夥伴ID是vManage控制器的識別符號。您可以導航到Integrations -><Group Name>->vManage -> <Integration Manager Name> ->系統資訊以驗證狀態。
B部分:WAN SLA策略的配置
預配置的WAN SLA配置檔案可在Tenants->common->Policies->Protocols->WAN SLA下找到
在使用WAN SLA策略配置合約時,可在其他租戶中繼承此功能。
這些是預配置的SLA,不能更改。
對映到此ACI整合的SD-WAN端上配置的VPN也會反映在Tenants->common->Policies->Protocols->WAN SLA下
- 在要對映WAN服務的租戶/VRF下建立合約。
QoS Priority值必須設定為Unspecified以外的任何值。如果QoS Priority值設定為Unspecified,WAN SLA策略將不起作用。
請導航到租戶 — ><租戶名稱>->合約 — >標準
- 建立合約主題並在合約主題下指定WAN SLA策略。
QoS Priority值必須設定為Unspecified以外的任何值。如果QoS Priority值設定為Unspecified,WAN SLA策略將不起作用。
- 提供EPG的合約。
請導航至租戶 — ><租戶名稱>->應用配置檔案 — >應用EPG->合約
- 在為SD-WAN配置的L3out處使用合約
請導航至租戶 — ><租戶名稱>->L3outs->外部EPG->使用合約。由L3out External EPG提供並由EPG消費的合約也是可能且有效的
- 將WAN VPN與租戶VRF配對
請導航到租戶 — ><租戶名稱>->VRF->策略 — >WAN VPN
驗證
第三節 :驗證
- 配置驗證
根據ACI中的配置將配置推送到兩個SDWAN裝置
DC端(連線到L3out)SDWAN路由
ASR1001-X-DC#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
loss 10
latency 300
jitter 100
from-vsmart sla-class Default
loss 25
latency 300
jitter 100
from-vsmart sla-class Transactional-Data
loss 5
latency 50
jitter 100
from-vsmart sla-class Voice-And-Video
loss 2
latency 45
jitter 100
from-vsmart data-policy _vpn-10_data_policy
direction from-service
vpn-list vpn-10
default-action accept
-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
vpn-list 412898115_vpn
sequence 10
match
dscp 14
action
sla-class Default
no sla-class strict
sequence 20
match
dscp 18
action
sla-class Voice-And-Video
no sla-class strict
sequence 30
match
dscp 12
action
sla-class Transactional-Data
no sla-class strict
sequence 40
match
dscp 10
action
sla-class Bulk-Data
no sla-class strict
from-vsmart lists vpn-list 412898115_vpn
vpn 10
from-vsmart lists vpn-list vpn-10
vpn 10
ASR1001-X-DC#
分支機構終端SDWAN路由器
ASR1001-X-Branch#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
loss 10
latency 300
jitter 100
from-vsmart sla-class Default
loss 25
latency 300
jitter 100
from-vsmart sla-class Transactional-Data
loss 5
latency 50
jitter 100
from-vsmart sla-class Voice-And-Video
loss 2
latency 45
jitter 100
-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
vpn-list 412898115_vpn
sequence 10
match
dscp 14
action
sla-class Default
no sla-class strict
sequence 20
match
dscp 18
action
sla-class Voice-And-Video
no sla-class strict
sequence 30
match
dscp 12
action
sla-class Transactional-Data
no sla-class strict
sequence 40
match
dscp 10
action
sla-class Bulk-Data
no sla-class strict
from-vsmart lists vpn-list 412898115_vpn
vpn 10
ASR1001-X-Branch#
- QoS驗證
範例 1
WAN SLA策略「事務性資料」。 請導航到租戶 — ><租戶名稱>->合約 — >標準 — ><合約名稱>-><合約主題>->常規 — WAN SLA策略
sequence 30
match
dscp 12
action
sla-class Transactional-Data
no sla-class strict
Direction:
1.從DC到SDWAN的流量。
如下面的捕獲所示,源自DC的流量具有dscp 00,但到達SDWAN的流量具有DSCP 12(十六進位制0x0c)。
這表示根據WAN SLA策略更改DSCP值。
在源(DC)處執行的資料包捕獲將原始DSCP值反映為00。
Internet協定,源:192.168.10.2(192.168.10.2),目的:172.16.20.2(172.16.20.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x00(DSCP 0x00:預設值;ECN:0x00)
0000 00.. =差分服務代碼點:預設值(0x00)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa0d5(41173)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:255
協定:ICMP(0x01)
報頭校驗和: 0x9016 [正確]
[好:正確]
[錯誤:錯誤]
來源:192.168.10.2(192.168.10.2)
目的地: 172.16.20.2(172.16.20.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0xc16a [正確]
識別符號:0x4158
序列號:768(0x0300)
資料(56位元組)
根據WAN SLA策略,目標(SDWAN分支站點)上的資料包捕獲反映了DSCP 12(十六進位制0x0c)值的更改。
Internet協定,源:192.168.10.2(192.168.10.2),目的:172.16.20.2(172.16.20.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x30(DSCP 0x0c:保證轉發12;ECN:0x00)
0011 00.. =差分服務代碼點:保證轉發12(0x0c)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa0d1(41169)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:251
協定:ICMP(0x01)
報頭校驗和: 0x93ea [正確]
[好:正確]
[錯誤:錯誤]
來源:192.168.10.2(192.168.10.2)
目的地: 172.16.20.2(172.16.20.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0x6e30 [正確]
識別符號:0xc057
序列號:1024(0x0400)
資料(56位元組)
2.從SDWAN到直流的流量
如下面的捕獲所示,源自SDWAN分支站點的流量具有dscp 00,但到達DC的流量具有DSCP 12(十六進位制0x0c),反映根據應用的WAN SLA策略的DSCP值的更改。
在源(SDWAN分支)處執行的資料包捕獲將原始DSCP值反映為00。
Internet協定,源: 172.16.20.2(172.16.20.2),目的: 192.168.10.2(192.168.10.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x00(DSCP 0x00:預設值;ECN:0x00)
0000 00.. =差分服務代碼點:預設值(0x00)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa0c8(41160)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:255
協定:ICMP(0x01)
報頭校驗和: 0x9023 [正確]
[好:正確]
[錯誤:錯誤]
來源:172.16.20.2(172.16.20.2)
目的地: 192.168.10.2(192.168.10.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0xd3ff [正確]
識別符號:0x5c79
序列號:1(0x0001)
資料(56位元組)
根據WAN SLA策略,目標(DC)上的資料包捕獲反映DSCP 12(十六進位制0x0c)值的更改。
Internet協定,源: 172.16.20.2(172.16.20.2),目的: 192.168.10.2(192.168.10.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x30(DSCP 0x0c:保證轉發12;ECN:0x00)
0011 00.. =差分服務代碼點:保證轉發12(0x0c)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa073(41075)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:251
協定:ICMP(0x01)
報頭校驗和: 0x9448 [正確]
[好:正確]
[錯誤:錯誤]
來源:172.16.20.2(172.16.20.2)
目的地: 192.168.10.2(192.168.10.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0x741a [正確]
識別符號:0x5c79
序列號:43776(0xab00)
資料(56位元組)
範例 2
WAN SLA Policy "Voice-And-Video" 請導航到Tenants-><tenant name>->Contracts->Standard-><Contract Name>-><Contract Subject>->General- WAN SLA Policy
sequence 20
match
dscp 18
action
sla-class Voice-And-Video
no sla-class strict
1.從DC到SDWAN的流量。
如下面的捕獲所示,源自DC的流量使用DSCP 00,但到達SDWAN的流量使用DSCP 18(十六進位制0x12)。
這表示根據WAN SLA策略更改DSCP值。
在源(DC)處執行的資料包捕獲將原始DSCP值反映為00。
Internet協定,源:192.168.10.2(192.168.10.2),目的:172.16.20.2(172.16.20.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x00(DSCP 0x00:預設值;ECN:0x00)
0000 00.. =差分服務代碼點:預設值(0x00)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa2b6(41654)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:255
協定:ICMP(0x01)
報頭校驗和: 0x8e35 [正確]
[好:正確]
[錯誤:錯誤]
來源:192.168.10.2(192.168.10.2)
目的地: 172.16.20.2(172.16.20.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0x3614 [正確]
識別符號:0x8c5f
序列號:512(0x0200)
資料(56位元組)
目標(SDWAN分支站點)上的資料包捕獲反映了DSCP值18(0x12)的變化,該值與WAN SLA策略相匹配。
Internet協定,源: 172.16.20.2(172.16.20.2),目的: 192.168.10.2(192.168.10.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x48(DSCP 0x12:保證轉發21;ECN:0x00)
0100 10.. =差分服務代碼點:保證轉發21(0x12)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa2b8(41656)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:255
協定:ICMP(0x01)
報頭校驗和: 0x8deb [正確]
[好:正確]
[錯誤:錯誤]
來源:172.16.20.2(172.16.20.2)
目的地: 192.168.10.2(192.168.10.2)
Internet控制消息協定
型別:0(回應(ping)回覆)
代碼:0()
校驗和: 0x8a13 [正確]
識別符號:0x8c5f
序列號:1024(0x0400)
資料(56位元組)
2.從SDWAN到DC的流量。
顯示原始DSCP值(00)的源(SDWAN分支)上的資料包捕獲。
Internet協定,源: 172.16.20.2(172.16.20.2),目的: 192.168.10.2(192.168.10.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x00(DSCP 0x00:預設值;ECN:0x00)
0000 00.. =差分服務代碼點:預設值(0x00)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa1bb(41403)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:255
協定:ICMP(0x01)
報頭校驗和: 0x8f30 [正確]
[好:正確]
[錯誤:錯誤]
來源:172.16.20.2(172.16.20.2)
目的地: 192.168.10.2(192.168.10.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0x68e5 [正確]
識別符號:0x1d03
序列號:2048(0x0800)
資料(56位元組)
根據WAN SLA策略,目標(DC)上反映DSCP值18(0x12)更改的資料包捕獲。
Internet協定,源: 172.16.20.2(172.16.20.2),目的: 192.168.10.2(192.168.10.2)
版本:4
報頭長度:20位元組
差異化服務欄位:0x48(DSCP 0x12:保證轉發21;ECN:0x00)
0100 10.. =差分服務代碼點:保證轉發21(0x12)
......0. =支援ECN的傳輸(ECT):0
.......0 = ECN-CE:0
總長度:84
標識:0xa1bb(41403)
標誌:0x00
0.. =保留位:未設定
.0. =不分段:未設定
..0 =更多片段:未設定
片段偏移量: 0
生存時間:251
協定:ICMP(0x01)
報頭校驗和: 0x92e8 [正確]
[好:正確]
[錯誤:錯誤]
來源:172.16.20.2(172.16.20.2)
目的地: 192.168.10.2(192.168.10.2)
Internet控制消息協定
型別:8(回應(ping)請求)
代碼:0()
校驗和: 0x68e5 [正確]
識別符號:0x1d03
序列號:2048(0x0800)
資料(56位元組)
疑難排解
從故障排除的角度來說,以下日誌檔案非常有用。.
控制路徑調試
APIC技術支援檔案
PolicyDistributor Logs、PolicyManager Logs、PolicyElement和Edmgr日誌可以提供有關將相關配置推送到枝葉和主幹的資訊。
資料路徑調試
L3out介面和vEdge路由器介面上的資料包捕獲。
拉丁美洲醫學院也可以提供幫助。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
06-Aug-2021 |
初始版本 |
意見