自学思科SD-WAN策略框架-集中式控制策略
自学思科SD-WAN策略框架-集中式控制策略
目录:
- 章节1:集中式控制策略-任意VPN拓扑
- 章节2:集中式控制策略-服务链
- 章节3:集中式控制策略-数据中心优先
- 章节4:集中式控制策略-Extranet VPN
- 章节5:集中式控制策略-流量工程/路径冗余
思科SD-WAN控制策略详解
提供灵活的部署,以下是OMP的路由策略:
- 在vSmart上应用并执行控制策略以影响overlay域中的路由
- 控制策略过滤或操作OMP路由信息以①启用服务,② 影响路径选择
- 控制策略控制以下服务①服务链 ②流量工程 ③外联网VPN ④服务和路径关联 ⑤任意VPN拓扑 ⑥更多
- 控制策略是cisco SD-WAN工具箱中集中且功能强大的工具之一
一、集中式策略-任意VPN拓扑
数据平面或VPN平面拓扑
- 数据平面或单个VPN受特定拓扑/连接模型的约束
以下数据平面和VPN Hub-and-Spoke拓扑的命令行配置:
①基础配置
Policy lists tloc-list hub-site_tlocs # 定义了3个tloc tloc 1.1.1.1 color red encap ipsec preference 100 #定义tloc 1.1.1.1 颜色red,ipsec封装,优先级100 tloc 2.2.2.2 color red encap ipsec preference 100 tloc 3.3.3.3 color red encap ipsec ! site-list branch_sites site-id 1000-2000 # branch_sites站点是1000-2000 ! site-list hub_sites site-id 1-100 # hub_sites站点是1-100 ! !
②策略配置
Policy
control-policy restricted_data_plane
sequence 10 #第一条策略
match tloc # 数据层面匹配tloc
site-list hub_sites # 匹配hub_sites站点
!
action accept #应用
!
!
sequence 20 match route #第二条策略, # 数据层面匹配route
site-list branch_sites
!
action accept set
tloc-list hub_site_tlocs # 匹配hub_site_tlocs站点
!
!
!
sequence 30 match tloc # 第三条策略
!
action reject
!
!
default-action accept
③ 应用策略
apply-policy site-list branch_sites control-policy restricted_data_plane out ! !
以下VPN1全网状结构和VPN2 Hub-and-Spoke拓扑的命令行配置:
一种VPN2流量通信是通过hub转:
Policy lists
vpn-list VPN2
vpn 2
!
site-list branch_sites
site-id 100-200
!
!
control-policy vpn_multi-topology
sequence 10
match route
site-list branch_sites vpn-list VPN2
!
action accept
set
tloc 1.1.1.1 color red
!
!
!
default-action accept
一种VPN2流量通信是不通的(Hub-and-Spoke之间不通):
Policy lists
vpn-list VPN2
vpn 2
!
site-list hub_sites
site-id 100-200
!
!
control-policy vpn_multi-topology
sequence 10
match route
site-list hub_sites vpn-list VPN2
!
action accept
!
sequence 20
match route
!
action reject
!
default-action accept
二、集中式策略-服务链Services Chaining
问题:将针对选定流量在路径中使用服务
某些部门在于数据中心网络进行交互时需要防火墙保护,而其他部门则不需要
解决方案:跨WAN启用服务链
vEdge1 : VPN1,PrefixA,label10发给vSmart; 将学习过来通过PrefixA,label101转发给vEdge2;
vEdge2 : VPN1,PrefixB,label20发给vSmart; 将学习过来通过PrefixB,label20转发给vEdge100;ServiceFW,label101至vSmart,在通过PrefixB,label101转发给vEdge。
命令行配置如下:
① 添加防火墙地址
vEdge-100 vpn 1 service FW address 10.0.13.150
②站点配置
policy lists site-list upstream-exit site-id 20 ! site-list service-chain-branches site-id 10 !
③策略配置
policy
control-policy service-chain-upstream # 以下定义从tloc 20.20.20.20 color red vpn1过来的流量直接扔给FW(10.0.13.150)
sequence 10
match route
tloc 20.20.20.20 color red #表示方式:针对某一个站点, 此处站点vpn1 tloc 20.20.20.20
vpn 1
!
action accept
set
service FW
!
!
!
default-action accept
!
control-policy service-chain-downstream #以下定义从site10过来的流量扔到FW(10.0.13.130)
sequence 10
match route
site-list service-chain-branches #表示方式:针对好多站点
!
action accept
set
service FW
!
!
!
default-action accept
!
④应用策略
apply-policy site-list upstream-exit # 应用到站点10发送出去 control-policy service-chain-downstream out ! site-list service-chain-branches #应用到站点20发送出去 control-policy service-chain-upstream out ! !
三、集中式策略-数据中心优先
网络资源(例如数据中心) 首选项或活动/备份
问题:与DR数据中心相比,首选主数据中心,如果主数据中心发生故障,流量应该重新路由到灾难恢复备数据中心
解决方案:部署控制策略以影响TLOC优先级
通过Site-ID识别区域,并将主要和备用DC位置与区域相关联使用控制策略进行关联并定义DC优先级。
- 两个数据中心站点宣告同样的网段路由给vSmart;
- vSmart需要做路由选择,以判断去vEdge的路由;
如上图所示:
- vSmart设置策略VPN1,PrefixA网段与站点10.10.10.10/20.20.20.20数据,通过100.100.100.100的优先级是400(首选数据中心),101.101.101.101的优先级是200
- vSmart设置策略VPN1,PrefixA网段与站点30.30.30.30/40.40.40.40数据,通过101.101.101.101的优先级是200(首选数据中心),100.100.100.100的优先级是200
① 站点配置
policy lists tloc-list dc-preference-west #定义站点去往100优先级400,去往101优先级200 tloc 100.100.100.100 color mpls encap ipsec preference 400 tloc 101.101.101.101 color mpls encap ipsec preference 200 ! tloc-list dc-preference-east #定义站点去往101优先级400,去往100优先级200 tloc 100.100.100.100 color mpls encap ipsec preference 200 tloc 101.101.101.101 color mpls encap ipsec preference 400 ! site-list sites-region-west #定义站点west是1~20 site-id 1-20 ! site-list sites-region-east #定义站点east是20~40 site-id 21-40 ! site-list dc-sites #定义数据中心站点是100~101 site-id 100-101 !
②控制策略
control-policy adv-dc-preference-west #设置west策略:站点dc-sites设置TLOC dc-preference-west
sequence 10
match route
site-list dc-sites
!
action accept
set
tloc-list dc-preference-west
!
!
!
default-action accept
!
control-policy adv-dc-preference-east #设置east策略:站点dc-sites设置TLOC dc-preference-east
sequence 10
match route
site-list dc-sites
!
action accept
set
tloc-list dc-preference-east
!
!
!
default-action accept
!
!
③应用策略
apply-policy site-list sites-region-west control-policy adv-dc-preference-west out ! site-list sites-region-east control-policy adv-dc-preference-east out ! !
四、集中式策略-Extranet VPN(共享服务)
问题: VPN中的服务必须在多个其他VPN中的用户之间共享,某些VPN不需要访问共享服务(比如两个站点VPN1都需要访问共享资源,两个站点VPN2直接互访)。
解决方案:通过路由导出部署控制策略。
- VPN3宣告的网段PrefixC,通过vSmart导出给VPN1(VPN1和VPN3路由互通)。
① 站点设置
Policy lists site-list spokes site-id 3002 site-id 3003 site-id 3004 ! !
②控制策略
Policy
control-policy extranet
sequence 10 #在VPN1的路由里面导入VPN3
match route
vpn 1
!
action accept
export-to
vpn 3
!
!
!
sequence 20 #在VPN3的路由里面导入VPN1
match route
vpn 3
!
action accept
export-to
vpn 1
!
!
!
default-action accept
!
!
③策略应用
apply-policy site-list spokes control-policy extranet in ! !
五、集中式策略-Extranet VPN(流量工程/路径冗余)
问题:直接overlay路径需要备份以管理中间路径问题
解决方案:确定并配置选择间接overlay路径以实现冗余和容量。
- 确定目标网站的间接路径 (如上图首选走1-4-2;备选走1-3-4-2)
- 确定是否将他们用作主路径,ECMP路径或备份路径
① 备选上面创建TE流量工程
vEdge3 vpn 1 service te !
② 策略站点
Policy lists vpn-list VPN1 vpn 1 ! tloc-list backup-tloc tloc 30.30.30.30 color mpls encap ipsec ! site-list vEdge1 site-id 10 ! site-list vEdge4 site-id 40 ! ! !
③ 策略设置
policy control-policy backup-node
sequence 10
match route
site-list vEdge4
vpn-list VPN1
!
action accept
set
tloc-action backup
tloc-list backup-tloc
!
!
!
default-action accept
!
④ 策略应用
apply-policy site-list vEdge1 control-policy backup-node out !
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
posted on 2021-01-18 07:48 CARLOS_KONG 阅读(904) 评论(0) 编辑 收藏 举报
