自学思科SD-WAN策略框架-集中式控制策略

点击返回:思科SD-WAN实战课

自学思科SD-WAN策略框架-集中式控制策略

目录:

  • 章节1:集中式控制策略-任意VPN拓扑
  • 章节2:集中式控制策略-服务链
  • 章节3:集中式控制策略-数据中心优先
  • 章节4:集中式控制策略-Extranet VPN
  • 章节5:集中式控制策略-流量工程/路径冗余

思科SD-WAN控制策略详解

提供灵活的部署,以下是OMP的路由策略:

  • 在vSmart上应用并执行控制策略以影响overlay域中的路由
  • 控制策略过滤或操作OMP路由信息以①启用服务,② 影响路径选择
  • 控制策略控制以下服务①服务链 ②流量工程 ③外联网VPN ④服务和路径关联 ⑤任意VPN拓扑 ⑥更多
  • 控制策略是cisco SD-WAN工具箱中集中且功能强大的工具之一

一、集中式策略-任意VPN拓扑

      数据平面或VPN平面拓扑

  • 数据平面或单个VPN受特定拓扑/连接模型的约束

以下数据平面和VPN Hub-and-Spoke拓扑的命令行配置:

①基础配置

Policy
 lists
  tloc-list hub-site_tlocs # 定义了3个tloc
   tloc 1.1.1.1 color red encap ipsec preference 100  #定义tloc 1.1.1.1 颜色red,ipsec封装,优先级100
   tloc 2.2.2.2 color red encap ipsec preference 100
   tloc 3.3.3.3 color red encap ipsec
  !
  site-list branch_sites site-id 1000-2000  # branch_sites站点是1000-2000
  ! 
  site-list hub_sites site-id 1-100   # hub_sites站点是1-100
  !
 !  

 ②策略配置

Policy
 control-policy restricted_data_plane 
  sequence 10     #第一条策略
   match tloc     # 数据层面匹配tloc
    site-list hub_sites  # 匹配hub_sites站点
  !
  action accept #应用
  !
 !
  sequence 20 match route  #第二条策略,  # 数据层面匹配route
   site-list branch_sites
  !
   action accept set
    tloc-list hub_site_tlocs # 匹配hub_site_tlocs站点
    !
   !
  !
  sequence 30 match tloc # 第三条策略
   !
   action reject
   !
  !
default-action accept  

 ③ 应用策略

apply-policy
 site-list branch_sites
  control-policy restricted_data_plane out
 !
!

以下VPN1全网状结构和VPN2 Hub-and-Spoke拓扑的命令行配置:  

一种VPN2流量通信是通过hub转:

Policy lists
 vpn-list VPN2
  vpn 2
 !
 site-list branch_sites
  site-id 100-200
  !
 !
 control-policy vpn_multi-topology
  sequence 10
   match route
    site-list branch_sites vpn-list VPN2
  !
  action accept
   set
    tloc 1.1.1.1 color red
   !
  !
 !
 default-action accept

一种VPN2流量通信是不通的(Hub-and-Spoke之间不通):

Policy lists
 vpn-list VPN2
  vpn 2
 !
 site-list hub_sites
  site-id 100-200
  !
 !
 control-policy vpn_multi-topology
  sequence 10
   match route
    site-list hub_sites vpn-list VPN2
   !
   action accept
  !
  sequence 20
   match route
   !
   action reject
  !
 default-action accept

二、集中式策略-服务链Services Chaining

问题:将针对选定流量在路径中使用服务

            某些部门在于数据中心网络进行交互时需要防火墙保护,而其他部门则不需要

解决方案:跨WAN启用服务链

vEdge1 : VPN1,PrefixA,label10发给vSmart; 将学习过来通过PrefixA,label101转发给vEdge2;

vEdge2 : VPN1,PrefixB,label20发给vSmart; 将学习过来通过PrefixB,label20转发给vEdge100;ServiceFW,label101至vSmart,在通过PrefixB,label101转发给vEdge。

命令行配置如下:

① 添加防火墙地址

vEdge-100
vpn 1
 service FW address 10.0.13.150  

 ②站点配置

policy lists
 site-list upstream-exit
  site-id 20
 !
 site-list service-chain-branches
  site-id 10
 !  

③策略配置

policy
 control-policy service-chain-upstream   # 以下定义从tloc 20.20.20.20 color red vpn1过来的流量直接扔给FW(10.0.13.150)
  sequence 10
   match route
    tloc 20.20.20.20 color red   #表示方式:针对某一个站点, 此处站点vpn1 tloc 20.20.20.20
    vpn 1
   !
   action accept
    set
     service FW
    !
   !
  !
  default-action accept
 !
 control-policy service-chain-downstream  #以下定义从site10过来的流量扔到FW(10.0.13.130)
  sequence 10
   match route
    site-list service-chain-branches     #表示方式:针对好多站点
   !
   action accept
    set
     service FW
    !
   !
  !
  default-action accept
 !  

 ④应用策略

apply-policy
 site-list upstream-exit       #  应用到站点10发送出去 
  control-policy service-chain-downstream out
 !
 site-list service-chain-branches  #应用到站点20发送出去
  control-policy service-chain-upstream out
 !
!

三、集中式策略-数据中心优先

 网络资源(例如数据中心) 首选项或活动/备份

 

问题:与DR数据中心相比,首选主数据中心,如果主数据中心发生故障,流量应该重新路由到灾难恢复备数据中心

解决方案:部署控制策略以影响TLOC优先级

通过Site-ID识别区域,并将主要和备用DC位置与区域相关联使用控制策略进行关联并定义DC优先级。

  • 两个数据中心站点宣告同样的网段路由给vSmart;
  • vSmart需要做路由选择,以判断去vEdge的路由; 

 如上图所示:

  • vSmart设置策略VPN1,PrefixA网段与站点10.10.10.10/20.20.20.20数据,通过100.100.100.100的优先级是400(首选数据中心),101.101.101.101的优先级是200
  • vSmart设置策略VPN1,PrefixA网段与站点30.30.30.30/40.40.40.40数据,通过101.101.101.101的优先级是200(首选数据中心),100.100.100.100的优先级是200

① 站点配置

policy lists
  tloc-list dc-preference-west #定义站点去往100优先级400,去往101优先级200
   tloc 100.100.100.100 color mpls encap ipsec preference 400
   tloc 101.101.101.101 color mpls encap ipsec preference 200
  !
  tloc-list dc-preference-east #定义站点去往101优先级400,去往100优先级200
   tloc 100.100.100.100 color mpls encap ipsec preference 200
   tloc 101.101.101.101 color mpls encap ipsec preference 400
  !
  site-list sites-region-west #定义站点west是1~20
   site-id 1-20
  !
  site-list sites-region-east #定义站点east是20~40
   site-id 21-40
  !
  site-list dc-sites #定义数据中心站点是100~101
   site-id 100-101
  !

 ②控制策略

control-policy adv-dc-preference-west #设置west策略:站点dc-sites设置TLOC dc-preference-west
 sequence 10
  match route
   site-list dc-sites
  !
  action accept
   set
    tloc-list dc-preference-west
   !
  !
 !
 default-action accept
!
control-policy adv-dc-preference-east #设置east策略:站点dc-sites设置TLOC dc-preference-east
 sequence 10
  match route
   site-list dc-sites
  !
  action accept
   set
    tloc-list dc-preference-east
   !
  !
 !
  default-action accept
 !
!  

 ③应用策略

apply-policy
 site-list sites-region-west
  control-policy adv-dc-preference-west out
 !
 site-list sites-region-east
  control-policy adv-dc-preference-east out
 !
!

四、集中式策略-Extranet VPN(共享服务)

 

 问题: VPN中的服务必须在多个其他VPN中的用户之间共享,某些VPN不需要访问共享服务(比如两个站点VPN1都需要访问共享资源,两个站点VPN2直接互访)。

 解决方案:通过路由导出部署控制策略。

 

  •  VPN3宣告的网段PrefixC,通过vSmart导出给VPN1(VPN1和VPN3路由互通)。

 ① 站点设置

Policy lists
 site-list spokes
  site-id 3002
  site-id 3003
  site-id 3004
 !
!

 ②控制策略  

Policy
 control-policy extranet
  sequence 10  #在VPN1的路由里面导入VPN3
   match route
    vpn 1
   !
   action accept
    export-to
     vpn 3
    !
   !
  !
  sequence 20  #在VPN3的路由里面导入VPN1
   match route
    vpn 3
   !
   action accept
    export-to
     vpn 1
    !
   !
  !
  default-action accept
  !
 !

③策略应用

apply-policy
 site-list spokes
  control-policy extranet in
 !
!

五、集中式策略-Extranet VPN(流量工程/路径冗余)

 

问题:直接overlay路径需要备份以管理中间路径问题

解决方案:确定并配置选择间接overlay路径以实现冗余和容量。

  • 确定目标网站的间接路径 (如上图首选走1-4-2;备选走1-3-4-2)
  • 确定是否将他们用作主路径,ECMP路径或备份路径 

 ① 备选上面创建TE流量工程

vEdge3
 vpn 1
  service te
 !

② 策略站点

Policy lists
 vpn-list VPN1
  vpn 1
 !
 tloc-list backup-tloc
  tloc 30.30.30.30 color mpls encap ipsec
 !
 site-list vEdge1
  site-id 10
 !
 site-list vEdge4
  site-id 40
  !
 !
!

③ 策略设置 

policy control-policy backup-node
 sequence 10
  match route
   site-list vEdge4
   vpn-list VPN1
  !
  action accept
   set
    tloc-action backup
    tloc-list backup-tloc
   !
  !
 !
 default-action accept
!

④ 策略应用

apply-policy
 site-list vEdge1
  control-policy backup-node out
 ! 

 

posted on 2021-01-18 07:48  CARLOS_CHIANG  阅读(55)  评论(0编辑  收藏

导航