sdwan技术架构(本地策略与中心策略配置)

sdwan技术架构(本地策略与中心策略配置)(1)

1. Localized Policy配置

重点说明:Localized Policy是直接推送策略到vEdge。

创建入口: Configuration -> Policies -> Custom Options -> Localized Policy ->CLI Policy,Add Policy:

sdwan技术架构(本地策略与中心策略配置)(2)

添加策略,定义策略名称和描述:

sdwan技术架构(本地策略与中心策略配置)(3)

#配置命令 policy app-visibility flow-visibility

策略关联到模板:Configuration->Templates->Edit:

sdwan技术架构(本地策略与中心策略配置)(4)

点击"Additional Templates",在Policy里面选中刚创建好的策略,然后update:

sdwan技术架构(本地策略与中心策略配置)(5)

前后对比下配置(要养成良好的习惯去验证下配置):

sdwan技术架构(本地策略与中心策略配置)(6)

没问题就勾选,点击"OK",开始批量下发配置(算是实现自动化配置了):

sdwan技术架构(本地策略与中心策略配置)(7)

执行的过程:

sdwan技术架构(本地策略与中心策略配置)(8)

登陆设备查看配置已经下发成功:

sdwan技术架构(本地策略与中心策略配置)(9)

sdwan技术架构(本地策略与中心策略配置)(10)

2. Centralized Policy配置

重点说明:Centralized Policy是先推送策略到vSmart,vSmart再推送给vEdge。

创建入口: Configuration -> Policies -> ->Centralized Policy,Add Policy:

1)Creat Groups of Interest:

定义Application:

sdwan技术架构(本地策略与中心策略配置)(11)

定义Color(不同线路类型进行着色区分):

sdwan技术架构(本地策略与中心策略配置)(12)

备注:mpls线路着色为mpls,internet线路着色为public-internet.

定义Site:

sdwan技术架构(本地策略与中心策略配置)(13)

备注:两个站点:站点A(id=100)和站点B(id=101)

定义SLA:

sdwan技术架构(本地策略与中心策略配置)(14)

备注:SLA针对丢包、延时、抖动定义不同的阈值,用于关联应用策略探测链路的质量。

定义TLOC(类似路由的下一跳):

sdwan技术架构(本地策略与中心策略配置)(15)

# TLOCs的定义: OMP adverties to its peers the Routes and servies that it has learned from its local site,along with their corresponding transport location mappings,which are called TLOCs。 # TLOC包含4个元素: - system ip: 可看作Router id; - color:对广域网线路着色,可看作标记; - encap:支持ipsec和gre,建议用ipsec; - preference: 缺省为0,值越大越优先;

定义VPN:

sdwan技术架构(本地策略与中心策略配置)(16)

2)Configure Topology and VPN Membership:

点击"Topology"->Custom Control(Route & TLOC):

sdwan技术架构(本地策略与中心策略配置)(17)

选择Route,先定义路由:

sdwan技术架构(本地策略与中心策略配置)(18)

sdwan技术架构(本地策略与中心策略配置)(19)

选择TLOC,定义访问关系:

sdwan技术架构(本地策略与中心策略配置)(20)

备注:默认动作有个action是reject,所以要创建TLOC。

3)Configure Traffic Rules:

点击“Next”,进入到到第三环节:配置流规则

sdwan技术架构(本地策略与中心策略配置)(21)

备注:为什么是应用在outbound方向呢?因为是vSmart推送策略给Site的,是out方向。

预览下配置:

sdwan技术架构(本地策略与中心策略配置)(22)

接下来,先把vSmart纳管到vManage,要不然的话,是无法正常推送策略:

sdwan技术架构(本地策略与中心策略配置)(23)

备注:把vSmart设备里面的show run配置copy过来,通过CLI模板创建,然后推送模板。

4)Apply Policies to Sites and VPNs:

开始推送策略,点击如下图的Active:

sdwan技术架构(本地策略与中心策略配置)(24)

sdwan技术架构(本地策略与中心策略配置)(25)

验证策略是否推送成功:从vEdge1去往172.16.2.0的两条广域网线路已经打上了优先级200和100

sdwan技术架构(本地策略与中心策略配置)(26)

选择最优路径为mpls线路(另一条作为备份)

sdwan技术架构(本地策略与中心策略配置)(27)

模拟中断mpls线路,立马切换到internet线路(丢2包):

sdwan技术架构(本地策略与中心策略配置)(28)

3. Application Route and Traffice Policy

测试场景:

场景1:vEdge-2去往vEdge-1的WEB流量在满足SLA需求的前提下走public-internet;

场景2:vEdge-2去往2.2.2.2的 telnet 流量被安全策略阻止掉;

1)在vEdge-2验证去往1.1.1.1和2.2.2.2均为负载的(前提条件)

sdwan技术架构(本地策略与中心策略配置)(29)

2)创建web应用条件:Centralized Policy->Application Aware Routing->Add Policy:

sdwan技术架构(本地策略与中心策略配置)(30)

3)创建telnet应用条件:Centralized Policy->Traffic Data->Add Policy:

sdwan技术架构(本地策略与中心策略配置)(31)

4)在"Traffic Rules"里导入已创建好的 web 和 telnet 应用:入口:Policy->Centralized Policy->Edit->Traffic Rules

sdwan技术架构(本地策略与中心策略配置)(32)

备注:如果这步没有做,直接在"Policy Application"点击"Application Aware Routing" , "Traffic Data",里面是空的。

5)新建Application-Aware-Routing策略:

sdwan技术架构(本地策略与中心策略配置)(33)

6)新建Traffic Data策略:

sdwan技术架构(本地策略与中心策略配置)(34)

备注:app route默认action none,traffice policy默认action accept

7)验证下效果

可以从vEdge-2的PC能够正常访问vEdge-1下的2.2.2.2的http流量,但到2.2.2.2的telnet流量异常:

sdwan技术架构(本地策略与中心策略配置)(35)

可视化实时看下接口应用的流量:

sdwan技术架构(本地策略与中心策略配置)(36)

至此,整个SD-WAN的实验就告一段落了,这里也感谢XX培训机构提供的实验平台,能够给大家演示一轮SD-WAN实验,也过上一把瘾哈。

希望理论的知识点大家多多研究下,然后结合这几次的实验好好巩固。

如果大家喜欢我的文章,请分享给身边需要的人,并多多支持哈,感激不尽。

SD-WAN实验文章链接如下:

https://mp.weixin.qq.com/s?__biz=MzU1NDYwNDYzMg==&tempkey=MTAzNV9jdmR6ck9iY1F5Z0NsYU1GU2tZR3pQVzVBSlRESlg2blNOTEowWjlnLXJoblVaNWJrSlVSdkJfQjI4RlVSNm9PU2VVd29LMFlxWFpxODAtNHE3UWtBYTEyUUE4N1I1SXdpUEtKNzYwQ295X0pySTJzUC1xRUZsbUdsVl83M2JjdWJjaWVyNUxmVFMyY1ZvWUxGOEQ2czBSWi13TjlUMWNDODVnRTFnfn4=&chksm=7be043274c97ca31a72ea392a4c688ae672eaf381d064f9b65fc6615ebaad09799946fd105f9#rd

https://mp.weixin.qq.com/s?__biz=MzU1NDYwNDYzMg==&tempkey=MTAzNV94bUhHVlNkc1RKVzNaWWl4U2tZR3pQVzVBSlRESlg2blNOTEowWjlnLXJoblVaNWJrSlVSdkJfQjI4SHg4MDI5clR5azNib29nM3JVVFJHTnVqTWFEY3ItclVZSHR2dUZhQlZKMU9PN0pieldQMTRnS2drbEFwTDBBQ0pKdkp2ME15RzE3TDZUem5MOEt5SEl6cm9qdVRYeDgxY04wUDJKbWlNSkZnfn4=&chksm=7be043b74c97caa1ea921d650c2bf1418fc42b3b7a42a80c131c50243f2540c25a97c4d00266#rd

https://mp.weixin.qq.com/cgi-bin/appmsg?t=media/appmsg_edit&action=edit&type=10&appmsgid=100000489&isMul=1&token=1595476204&lang=zh_CN

如果喜欢我的文章,欢迎关注我的公众号:点滴技术,扫码关注,不定期分享

sdwan技术架构(本地策略与中心策略配置)(37)

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页