1. Localized Policy配置
重點說明:Localized Policy是直接推送策略到vEdge。
創建入口: Configuration -> Policies -> Custom Options -> Localized Policy ->CLI Policy,Add Policy:
添加策略,定義策略名稱和描述:
#配置命令
policy
app-visibility
flow-visibility
策略關聯到模板:Configuration->Templates->Edit:
點擊"Additional Templates",在Policy里面選中剛創建好的策略,然后update:
前后對比下配置(要養成良好的習慣去驗證下配置):
沒問題就勾選,點擊"OK",開始批量下發配置(算是實現自動化配置了):
執行的過程:
登陸設備查看配置已經下發成功:
2. Centralized Policy配置
重點說明:Centralized Policy是先推送策略到vSmart,vSmart再推送給vEdge。
創建入口: Configuration -> Policies -> ->Centralized Policy,Add Policy:
1)Creat Groups of Interest:
定義Application:
定義Color(不同線路類型進行着色區分):
備注:mpls線路着色為mpls,internet線路着色為public-internet.
定義Site:
備注:兩個站點:站點A(id=100)和站點B(id=101)
定義SLA:
備注:SLA針對丟包、延時、抖動定義不同的閾值,用於關聯應用策略探測鏈路的質量。
定義TLOC(類似路由的下一跳):
# TLOCs的定義:
OMP adverties to its peers the routes and servies that it has learned from its local site,along with their corresponding transport location mappings,which are called TLOCs。
# TLOC包含4個元素:
- system ip: 可看作Router id;
- color:對廣域網線路着色,可看作標記;
- encap:支持ipsec和gre,建議用ipsec;
- preference: 缺省為0,值越大越優先;
定義VPN:
2)Configure Topology and VPN Membership:
點擊"Topology"->Custom Control(Route & TLOC):
選擇Route,先定義路由:
選擇TLOC,定義訪問關系:
備注:默認動作有個action是reject,所以要創建TLOC。
3)Configure Traffic Rules:
點擊“Next”,進入到到第三環節:配置流規則
備注:為什么是應用在outbound方向呢?因為是vSmart推送策略給Site的,是out方向。
預覽下配置:
接下來,先把vSmart納管到vManage,要不然的話,是無法正常推送策略:
備注:把vSmart設備里面的show run配置copy過來,通過CLI模板創建,然后推送模板。
4)Apply Policies to Sites and VPNs:
開始推送策略,點擊如下圖的Active:
驗證策略是否推送成功:
從vEdge1去往172.16.2.0的兩條廣域網線路已經打上了優先級200和100
選擇最優路徑為mpls線路(另一條作為備份)
模擬中斷mpls線路,立馬切換到internet線路(丟2包):
3. Application Route and Traffice Policy
測試場景:
場景1:vEdge-2去往vEdge-1的WEB流量在滿足SLA需求的前提下走public-internet;
場景2:vEdge-2去往2.2.2.2的 telnet 流量被安全策略阻止掉;
1)在vEdge-2驗證去往1.1.1.1和2.2.2.2均為負載的(前提條件)
2)創建web應用條件:Centralized Policy->Application Aware Routing->Add Policy:
3)創建telnet應用條件:Centralized Policy->Traffic Data->Add Policy:
4)在"Traffic Rules"里導入已創建好的 web 和 telnet 應用:
入口:Policy->Centralized Policy->Edit->Traffic Rules
備注:如果這步沒有做,直接在"Policy Application"點擊"Application Aware Routing" , "Traffic Data",里面是空的。
5)新建Application-Aware-Routing策略:
6)新建Traffic Data策略:
備注:app route默認action none,traffice policy默認action accept
7)驗證下效果
可以從vEdge-2的PC能夠正常訪問vEdge-1下的2.2.2.2的http流量,但到2.2.2.2的telnet流量異常:
可視化實時看下接口應用的流量:
至此,整個SD-WAN的實驗就告一段落了,這里也感謝XX培訓機構提供的實驗平台,能夠給大家演示一輪SD-WAN實驗,也過上一把癮哈。
希望理論的知識點大家多多研究下,然后結合這幾次的實驗好好鞏固。
如果大家喜歡我的文章,請分享給身邊需要的人,並多多支持哈,感激不盡。
SD-WAN實驗文章鏈接如下:
如果喜歡的我的文章,歡迎關注我的公眾號:點滴技術,掃碼關注,不定期分享
