自學思科SD-WAN策略框架-集中式控制策略
目錄:
- 章節1:集中式控制策略-任意VPN拓撲
- 章節2:集中式控制策略-服務鏈
- 章節3:集中式控制策略-數據中心優先
- 章節4:集中式控制策略-Extranet VPN
- 章節5:集中式控制策略-流量工程/路徑冗余
思科SD-WAN控制策略詳解
提供靈活的部署,以下是OMP的路由策略:
- 在vSmart上應用並執行控制策略以影響overlay域中的路由
- 控制策略過濾或操作OMP路由信息以①啟用服務,② 影響路徑選擇
- 控制策略控制以下服務①服務鏈 ②流量工程 ③外聯網VPN ④服務和路徑關聯 ⑤任意VPN拓撲 ⑥更多
- 控制策略是cisco SD-WAN工具箱中集中且功能強大的工具之一
一、集中式策略-任意VPN拓撲
數據平面或VPN平面拓撲
- 數據平面或單個VPN受特定拓撲/連接模型的約束
以下數據平面和VPN Hub-and-Spoke拓撲的命令行配置:
①基礎配置
Policy lists tloc-list hub-site_tlocs # 定義了3個tloc tloc 1.1.1.1 color red encap ipsec preference 100 #定義tloc 1.1.1.1 顏色red,ipsec封裝,優先級100 tloc 2.2.2.2 color red encap ipsec preference 100 tloc 3.3.3.3 color red encap ipsec ! site-list branch_sites site-id 1000-2000 # branch_sites站點是1000-2000 ! site-list hub_sites site-id 1-100 # hub_sites站點是1-100 ! !
②策略配置
Policy
control-policy restricted_data_plane
sequence 10 #第一條策略
match tloc # 數據層面匹配tloc
site-list hub_sites # 匹配hub_sites站點
!
action accept #應用
!
!
sequence 20 match route #第二條策略, # 數據層面匹配route
site-list branch_sites
!
action accept set
tloc-list hub_site_tlocs # 匹配hub_site_tlocs站點
!
!
!
sequence 30 match tloc # 第三條策略
!
action reject
!
!
default-action accept
③ 應用策略
apply-policy site-list branch_sites control-policy restricted_data_plane out ! !
以下VPN1全網狀結構和VPN2 Hub-and-Spoke拓撲的命令行配置:
一種VPN2流量通信是通過hub轉:
Policy lists
vpn-list VPN2
vpn 2
!
site-list branch_sites
site-id 100-200
!
!
control-policy vpn_multi-topology
sequence 10
match route
site-list branch_sites vpn-list VPN2
!
action accept
set
tloc 1.1.1.1 color red
!
!
!
default-action accept
一種VPN2流量通信是不通的(Hub-and-Spoke之間不通):
Policy lists
vpn-list VPN2
vpn 2
!
site-list hub_sites
site-id 100-200
!
!
control-policy vpn_multi-topology
sequence 10
match route
site-list hub_sites vpn-list VPN2
!
action accept
!
sequence 20
match route
!
action reject
!
default-action accept
二、集中式策略-服務鏈Services Chaining
問題:將針對選定流量在路徑中使用服務
某些部門在於數據中心網絡進行交互時需要防火牆保護,而其他部門則不需要
解決方案:跨WAN啟用服務鏈
vEdge1 : VPN1,PrefixA,label10發給vSmart; 將學習過來通過PrefixA,label101轉發給vEdge2;
vEdge2 : VPN1,PrefixB,label20發給vSmart; 將學習過來通過PrefixB,label20轉發給vEdge100;ServiceFW,label101至vSmart,在通過PrefixB,label101轉發給vEdge。
命令行配置如下:
① 添加防火牆地址
vEdge-100 vpn 1 service FW address 10.0.13.150
②站點配置
policy lists site-list upstream-exit site-id 20 ! site-list service-chain-branches site-id 10 !
③策略配置
policy
control-policy service-chain-upstream # 以下定義從tloc 20.20.20.20 color red vpn1過來的流量直接扔給FW(10.0.13.150)
sequence 10
match route
tloc 20.20.20.20 color red #表示方式:針對某一個站點, 此處站點vpn1 tloc 20.20.20.20
vpn 1
!
action accept
set
service FW
!
!
!
default-action accept
!
control-policy service-chain-downstream #以下定義從site10過來的流量扔到FW(10.0.13.130)
sequence 10
match route
site-list service-chain-branches #表示方式:針對好多站點
!
action accept
set
service FW
!
!
!
default-action accept
!
④應用策略
apply-policy site-list upstream-exit # 應用到站點10發送出去 control-policy service-chain-downstream out ! site-list service-chain-branches #應用到站點20發送出去 control-policy service-chain-upstream out ! !
三、集中式策略-數據中心優先
網絡資源(例如數據中心) 首選項或活動/備份
問題:與DR數據中心相比,首選主數據中心,如果主數據中心發生故障,流量應該重新路由到災難恢復備數據中心
解決方案:部署控制策略以影響TLOC優先級
通過Site-ID識別區域,並將主要和備用DC位置與區域相關聯使用控制策略進行關聯並定義DC優先級。
- 兩個數據中心站點宣告同樣的網段路由給vSmart;
- vSmart需要做路由選擇,以判斷去vEdge的路由;
如上圖所示:
- vSmart設置策略VPN1,PrefixA網段與站點10.10.10.10/20.20.20.20數據,通過100.100.100.100的優先級是400(首選數據中心),101.101.101.101的優先級是200
- vSmart設置策略VPN1,PrefixA網段與站點30.30.30.30/40.40.40.40數據,通過101.101.101.101的優先級是200(首選數據中心),100.100.100.100的優先級是200
① 站點配置
policy lists tloc-list dc-preference-west #定義站點去往100優先級400,去往101優先級200 tloc 100.100.100.100 color mpls encap ipsec preference 400 tloc 101.101.101.101 color mpls encap ipsec preference 200 ! tloc-list dc-preference-east #定義站點去往101優先級400,去往100優先級200 tloc 100.100.100.100 color mpls encap ipsec preference 200 tloc 101.101.101.101 color mpls encap ipsec preference 400 ! site-list sites-region-west #定義站點west是1~20 site-id 1-20 ! site-list sites-region-east #定義站點east是20~40 site-id 21-40 ! site-list dc-sites #定義數據中心站點是100~101 site-id 100-101 !
②控制策略
control-policy adv-dc-preference-west #設置west策略:站點dc-sites設置TLOC dc-preference-west
sequence 10
match route
site-list dc-sites
!
action accept
set
tloc-list dc-preference-west
!
!
!
default-action accept
!
control-policy adv-dc-preference-east #設置east策略:站點dc-sites設置TLOC dc-preference-east
sequence 10
match route
site-list dc-sites
!
action accept
set
tloc-list dc-preference-east
!
!
!
default-action accept
!
!
③應用策略
apply-policy site-list sites-region-west control-policy adv-dc-preference-west out ! site-list sites-region-east control-policy adv-dc-preference-east out ! !
四、集中式策略-Extranet VPN(共享服務)
問題: VPN中的服務必須在多個其他VPN中的用戶之間共享,某些VPN不需要訪問共享服務(比如兩個站點VPN1都需要訪問共享資源,兩個站點VPN2直接互訪)。
解決方案:通過路由導出部署控制策略。
- VPN3宣告的網段PrefixC,通過vSmart導出給VPN1(VPN1和VPN3路由互通)。
① 站點設置
Policy lists site-list spokes site-id 3002 site-id 3003 site-id 3004 ! !
②控制策略
Policy
control-policy extranet
sequence 10 #在VPN1的路由里面導入VPN3
match route
vpn 1
!
action accept
export-to
vpn 3
!
!
!
sequence 20 #在VPN3的路由里面導入VPN1
match route
vpn 3
!
action accept
export-to
vpn 1
!
!
!
default-action accept
!
!
③策略應用
apply-policy site-list spokes control-policy extranet in ! !
五、集中式策略-Extranet VPN(流量工程/路徑冗余)
問題:直接overlay路徑需要備份以管理中間路徑問題
解決方案:確定並配置選擇間接overlay路徑以實現冗余和容量。
- 確定目標網站的間接路徑 (如上圖首選走1-4-2;備選走1-3-4-2)
- 確定是否將他們用作主路徑,ECMP路徑或備份路徑
① 備選上面創建TE流量工程
vEdge3 vpn 1 service te !
② 策略站點
Policy lists vpn-list VPN1 vpn 1 ! tloc-list backup-tloc tloc 30.30.30.30 color mpls encap ipsec ! site-list vEdge1 site-id 10 ! site-list vEdge4 site-id 40 ! ! !
③ 策略設置
policy control-policy backup-node
sequence 10
match route
site-list vEdge4
vpn-list VPN1
!
action accept
set
tloc-action backup
tloc-list backup-tloc
!
!
!
default-action accept
!
④ 策略應用
apply-policy site-list vEdge1 control-policy backup-node out !