自学思科SD-WAN策略框架-集中式数据策略

点击返回:思科SD-WAN实战课

自学思科SD-WAN策略框架-集中式数据策略

目录:

  • 章节1:集中式数据策略-穿越Breakout/DIA
  • 章节2:集中式数据策略-VPN成员资格
  • 章节3:集中式数据策略-服务链
  • 章节4:集中式数据策略-应用流量选路

思科SD-WAN数据策略详解

  • 数据策略在vManage上配置,在vSmart控制器上启用,并在vEdge路由器上实施
  • 与控制策略相比,数据策略允许更轻松的细粒度流量控制
  • 控制策略和数据策略都可以平等的实现某些目标。控制策略作用于CPM路由通告,数据策略作用于应用程序流量特征
  • 数据策略用于许多服务①服务链 ②Cflowd ③NAT ④流量策略 ⑤更多

数据策略申请

  • 数据策略可以在三个方向应用:从服务(上游),从隧道(下游),全部(上游和下游)
  • 如果不同的数据策略适用于不同的方向,则他们可以用于用统一站点

一、集中式数据策略-穿越Breakout / 专用互联网接入DIA

   1. 思科SD-WAN 架构在启用DIA方面提供了很大的灵活性

   2.穿越(流量从本地出)可以通过以下方式提出:

  • 路由
  • 策略
  • 与首选项和备份选项结合使用
  • 使用策略将基于云的安全性作为本地服务

   3. 提供本地穿越时,NAT是必须的功能

   4. 如果不需要NAT或需要特殊需求以进行公共寻址,则可以提供服务端突破

1.1  Internet Breakout Leverage  互联网本地穿越  (一般sd-WAN都开启)

本地站点不通过数据中心DC去互联网,而是本地上互联网, 站点选择是最合适的突破点。

  • 企业可以从集中突破逐步发展到分布式突破
  • 路由平面根据需要启用主/备份
  • 策略进一步增强了选择和突破的粒度
  • 与基于云的安全解决方案的部署保持一致 

1.2  数据策略示例: 带有NAT的DIA

问题:需要向访客wifi用户提供本地互联网出口,访客wifi用户需要与公司用户隔离

解决方案:通过网络地址转换NAT在访客VPN中部署出具策略。

数据策略配置:

  • 在传输接口上定义NAT 
  • 访客中匹配流量
  • 通过传输侧接口上本地定义NAT的wifi NPN

1.3 数据策略配置

1.3.1 第一种:使用默认路由的本地穿越

  • Service VPN中的静态路由:可以是默认值或更详细
  • 将流量重定向到VPN0中: ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
  • 可以与Tracker配合使用,以监视超出第一条网关的internet可用性

vpn 0 #在VPN0开启nat(internet出口的IP接口)
 interface ge0/0 nat
 !
vpn 1 #在VPN1开启默认路由(将VPN1的路由表送到VPN0上面)
 ip route 0.0.0.0/0 vpn 0   

1.3.2 第二种:使用数据策略进行本地穿越 

  • 策略现在重定向而不是静态路由:万一本地出口失败,查找可以回退到本地服务VPN路由表
  • 将流量重定向到VPN0中的接口: ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
  • 可以与Tracker配合使用,以监视超出第一条网关的internet可用性
  • 可以指定要使用的本地TLOC

 

 ①站点配置

vEdge
vpn 0
 interface ge0/0
  nat  

②vSmart配置

vSmart
 policy   #定义10.0.0.0/8如果本地互联网断开,就走VNP路由表tunnel(从另一个站点上互联网)
  data-policy internet-breakout
   vpn-list VPN1
    sequence 10
     match source-ip 10.0.0.0/8
     !
     action accept
      nat use-vpn 0
       local—tloc public-internet

1.3.3 第三种:使用数据策略进行本地穿越 

  • 使用GUI/Realtim或通过CLI可见的计数器show policy data-policy-filter
  • 使用cflowd模板进行导出配置(可以看见源地址访问记录)

 1. Local Breaout cFlowd and Counting功能

 2. Local Breaout logging breakout traffic功能---默认1000数据包记录一次

 

1.3.4 第四种:使用数据策略的NAT服务平面

 

1.5 SD-WAN 互联网穿越的选项

    1. 数据策略构建还可以用于使用已定义的DPI签名(如O365、FaceBook、Youtobe)在本地穿越特定的应用

    2.例如:Office365将在本地分解; 通过区域出口的所有其他互联网流量

    3.支持O365所需的安排:本地穿越的数据策略;来自区域出口的默认路线有两个目的

  • 所有非O365流量的突破
  • O365会话建立涉及O365核心协议以外的许多协议,需要从某处缺省路由来处理那些应用程序并允许O365运行成功
  • 对于大多数应用程序,存在类似的条件

二、集中式数据策略-VPN成员资格

  • OMP架构的默认行为是将任何已配置的VPN通告给配置了该VPN的任何节点:自动建立连接,而无需不必要的配置和操作开销。
  • 某些VPN可能属于敏感性质,因此必须严格控制其成员资格。
  • VPN成员资格策略用于将VPN信息从vSmart的分发闲置为明确批准的分发:可以建立白名单和黑名单行为。
  • 使用VPN成员资格策略,未明确允许参与VPN的节点可能已配置了VPN,但仅会看到本地连接盒路由信息。

 

  •  Site3能收到VPN1和VPN2
  •  Site1和Site2能收到VPN2,但是不能收到VPN1

问题:即使vEdge路由器在本地定义了相同的VPN,也阻止站点学习VPN的可达性。

解决方案:部署VPN成员资格策略以过滤OMP通告。

数据策略配置:

  • VPN1在站点1上定义,但是与VPN1相关的OMP更新不会从vSmart发送到站点1;
  • vSmart将不接受与来自站点1的VPN1相关的任何OMP更新。

流量工程/路径冗余 

① 配置站点列表

Policy lists
 site-list Branch1
  site-id 130
 !
 site-list Branch2
  site-id 140
 !
 vpn-list VPN10
  vpn 10
 !
!

②配置策略

policy
 vpn-membership vpnMembership_-489217129
  sequence 10
   match
    vpn-list VPN10
   !
   action accept
   !
  !
 default-action reject
!

③策略应用

apply-policy
 site-list Branch1
  vpn-membership vpnMembership_-489217129
 !
 site-list Branch2
  vpn-membership vpnMembership_-489217129
 !
!

三、集中式数据策略-服务链

本地服务和远程服务/OMP。

3.1 服务链:本地服务

 

 

 

 

3.2 服务链:远程服务 

 

四、集中式数据策略-应用流量选路

 

本地TLOC选择,首选项失败后,回退到路由远程TLOC选择

 

 

....

posted on 2021-01-19 12:44  CARLOS_CHIANG  阅读(77)  评论(0编辑  收藏

导航