تكوين العديد من عمليات النقل وهندسة حركة مرور البيانات باستخدام سياسة التحكم المركزي ونهج توجيه التطبيق
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين سياسة التحكم المركزي ونهج توجيه التطبيق لتحقيق هندسة حركة مرور البيانات بين المواقع. وقد يعتبر هذا المبدأ التوجيهي تصميميا محددا لحالة الاستخدام المعينة أيضا.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
من أجل تقديم تمثيلية وفهم افضل للمشكلة الموصوفة لاحقا، من فضلكم تأملوا في الطوبولوجيا الظاهرة في هذه الصورة.
يرجى الملاحظة، أنه بشكل عام بين vedge1 وvedge3 يجب أن يكون لديك إرتباط/واجهة فرعية ثانية لملحق TLOCbiz-internet أيضا، ولكن هنا لضمان البساطة لم يتم تكوينه.
فيما يلي إعدادات النظام المطابقة ل vEdges/vSmart (يمثل vEdge2 جميع المواقع الأخرى):
| اسم المضيف | معرف الموقع | IP لنظام |
| vedge1 | 13 | 192.168.30.4 |
| vedge3 | 13 | 192.168.30.6 |
| vEdge4 | 4 | 192.168.30.7 |
| فيدجيكس | X | 192.168.30.5 |
| vsmart1 | 1 | 192.168.30.3 |
هنا يمكنك العثور على تكوينات جانب النقل للمرجع.
vEdge1:
vedge1# show running-config vpn 0 vpn 0 interface ge0/0 description "ISP_1" ip address 192.168.109.4/24 nat respond-to-ping ! tunnel-interface encapsulation ipsec color biz-internet no allow-service bgp allow-service dhcp allow-service dns allow-service icmp allow-service sshd no allow-service netconf no allow-service ntp no allow-service ospf allow-service stun ! no shutdown ! interface ge0/3 description "TLOC-extension via vedge3 to ISP_2" ip address 192.168.80.4/24 tunnel-interface encapsulation ipsec color public-internet no allow-service bgp allow-service dhcp allow-service dns allow-service icmp no allow-service sshd no allow-service netconf no allow-service ntp no allow-service ospf allow-service stun ! no shutdown ! ! ip route 0.0.0.0/0 192.168.80.6 ip route 0.0.0.0/0 192.168.109.10 !
vEdge3:
vpn 0 interface ge0/0 description "ISP_2" ip address 192.168.110.6/24 nat respond-to-ping ! tunnel-interface encapsulation ipsec color public-internet carrier carrier3 no allow-service bgp allow-service dhcp allow-service dns allow-service icmp no allow-service sshd no allow-service netconf no allow-service ntp no allow-service ospf no allow-service stun ! no shutdown ! interface ge0/3 ip address 192.168.80.6/24 tloc-extension ge0/0 no shutdown ! ip route 0.0.0.0/0 192.168.110.10
vEdge4:
vpn 0 interface ge0/1 ip address 192.168.103.7/24 tunnel-interface encapsulation ipsec color public-internet no allow-service bgp allow-service dhcp allow-service dns allow-service icmp no allow-service sshd no allow-service netconf no allow-service ntp allow-service ospf no allow-service stun ! no shutdown ! ip route 0.0.0.0/0 192.168.103.10 !
المشكلة
يرغب المستخدم في تحقيق هذه الأهداف:
توفر خدمة الإنترنت ISP 2 الذي يجب تفضيله للاتصال بين الموقع 13 والموقع 4 بسبب بعض الأسباب. على سبيل المثال، إنها حالة إستخدام شائعة للغاية وسيناريو عندما تكون جودة الاتصال/الاتصال داخل مزود خدمة الإنترنت (ISP) بين عملائه جيدة للغاية، ولكن بالنسبة لباقي جودة اتصال الإنترنت لا تفي باتفاقية مستوى الخدمة (SLA) الخاصة بالشركة بسبب بعض المشاكل أو الازدحام في وصلة ISP، وبالتالي يجب تجنب ISP (ISP 2 في حالتنا) بشكل عام.
يفضل الموقع 13 وصلة الإنترنت العامة للاتصال بالموقع 4، ولكن مع ذلك، يجب الحفاظ على التكرار ويجب أن يكون قادرا على الوصول إلى الموقع 4 إذا فشل الاتصال العام بالإنترنت.
يجب أن يظل موقع الموقع 4 محتفظا باتصال أفضل جهد مع جميع المواقع الأخرى مباشرة (وبالتالي لا يمكنك إستخدام الكلمة الأساسية تقييد هنا على vedge4 لتحقيق هذا الهدف).
يجب أن يستخدم الموقع 13 رابط الجودة الأفضل مع ألوان biz-internet للوصول إلى جميع المواقع الأخرى (ممثلة في الموقع X الموجود في مخطط المخطط الهيكلي).
قد يكون السبب الآخر هو مشاكل التكلفة/الأسعار عندما تكون حركة المرور داخل ISP مجانية، ولكنها أكثر تكلفة عندما تخرج حركة المرور من شبكة الموفر (النظام الذاتي).
قد يبدأ بعض المستخدمين الذين لا تتوفر لديهم خبرة بنهج SD-WAN ويتم إستخدامهم للتوجيه الكلاسيكي في تكوين التوجيه الثابت لفرض حركة المرور من vEdge1 إلى vedge4 عنوان الواجهة العامة عبر واجهة امتداد TLOC بين vedge1 وvedge3، ولكنه لن يعطي النتيجة المطلوبة ويمكنه إنشاء التباس بسبب:
تتبع حركة مرور مستوى الإدارة (على سبيل المثال، ping، حزمة الأداة المساعدة traceroute) المسار المرغوب.
في الوقت نفسه، تتجاهل أنفاق مستوى بيانات SD-WAN (أنفاق نقل IPsec أو GRE) معلومات جدول التوجيه واتصالات النموذج المستندة إلى ألوان TLOCs.
بما أن المسار الثابت ليس ذكاء، إن كان TLOC عاما-إنترنت أسفل على vedge3 (توصيل إلى ISP 2)، بعد ذلك لن يلاحظ vedge1 هذا والاتصال إلى vedge4 يفشل بالرغم من أن vedge1 لا يزال يتوفر BIZ-internet.
ومن ثم ينبغي تجنب هذا النهج وعدم إستخدامه.
الحل
1. إستخدام سياسة التحكم المركزي لتحديد تفضيل TLOC العام-عبر الإنترنت على وحدة التحكم vSmart عند الإعلان عن مسارات بروتوكول إدارة الأنظمة المفتوحة (OMP) المقابلة إلى vEdge4. وهو يساعد على أرشفة مسار حركة المرور المطلوبة من الموقع 4إلى الموقع 13.
2. لتحقيق مسار حركة المرور المرغوب في الإتجاه العكسي من الموقع 13 إلى الموقع 4، لا يمكنك إستخدام سياسة التحكم المركزي لأن vedge4 يتوفر لها خط TLOC واحد فقط، وبالتالي لا يمكنك تعيين تفضيل لأي شيء، ولكن يمكنك إستخدام نهج توجيه التطبيق لتحقيق هذه النتيجة لحركة مرور الخروج من الموقع 13.
فيما يلي الشكل الذي قد تبدو عليه سياسة التحكم المركزية على وحدة التحكم vSmart لتفضيل وصول وحدة التحكم العامة عبر الإنترنت TLOC إلى الموقع 13:
policy
control-policy S4_S13_via_PUB
sequence 10
match tloc
color public-internet
site-id 13
!
action accept
set
preference 333
!
!
!
default-action accept
!
!
وفيما يلي مثال على سياسة توجيه التطبيقات لتفضيل وصلات الإنترنت العامة كنقطة خروج لحركة مرور البيانات من الموقع 13 إلى الموقع 4 :
policy
app-route-policy S13_S4_via_PUB
vpn-list CORP_VPNs
sequence 10
match
destination-data-prefix-list SITE4_PREFIX
!
action
count COUNT_PKT
sla-class SLA_CL1 preferred-color public-internet
!
!
!
!
policy
lists
site-list S13
site-id 13
!
site-list S40
site-id 4
!
data-prefix-list SITE4_PREFIX
ip-prefix 192.168.60.0/24
!
vpn-list CORP_VPNs
vpn 40
!
!
sla-class SLA_CL1
loss 1
latency 100
jitter 100
!
يجب تطبيق السياسات بشكل مناسب على وحدة التحكم vSmart:
apply-policy site-list S13 app-route-policy S13_S4_via_PUB ! site-list S4 control-policy S4_S13_via_PUB out ! !
الرجاء تذكر أيضا أنه لا يمكن تكوين نهج توجيه التطبيق كنهج محلي ويجب تطبيقها على vSmart فقط.
التحقق من الصحة
يرجى ملاحظة أنه لن يتم تطبيق سياسة توجيه التطبيق على حركة مرور البيانات التي تم إنشاؤها محليا بواسطة vEdge، وبالتالي التحقق من توجيه حركة مرور البيانات وفقا للمسار المطلوب، يوصى بإنشاء بعض حركة مرور البيانات من مقاطع الشبكة المحلية (LAN) للمواقع المقابلة. كحالة سيناريو إختبار على مستوى عال، يمكنك إستخدام iPERF لإنشاء حركة مرور البيانات بين الأجهزة المضيفة في شرائح الشبكة المحلية (LAN) للموقع 13 والموقع 4 ثم التحقق من إحصائيات الواجهة. على سبيل المثال، في حالتي، لم تكن هناك حركة مرور بخلاف ما تم إنشاؤه من نظام، وبالتالي يمكنك أن ترى أن كمية كبيرة من حركة المرور تمر عبر واجهة ge0/3 نحو امتداد TLOC على vedge3:
vedge1# show interface statistics
PPPOE PPPOE DOT1X DOT1X
AF RX RX RX TX TX TX RX RX TX TX TX RX TX RX
VPN INTERFACE TYPE PACKETS RX OCTETS ERRORS DROPS PACKETS TX OCTETS ERRORS DROPS PPS Kbps PPS Kbps PKTS PKTS PKTS PKTS
----------------------------------------------------------------------------------------------------------------------------------------------------------
0 ge0/0 ipv4 1832 394791 0 167 1934 894680 0 0 26 49 40 229 - - 0 0
0 ge0/2 ipv4 0 0 0 0 0 0 0 0 0 0 0 0 - - 0 0
0 ge0/3 ipv4 3053034 4131607715 0 27 2486248 3239661783 0 0 51933 563383 41588 432832 - - 0 0
0 ge0/4 ipv4 0 0 0 0 0 0 0 0 0 0 0 0 - - 0 0
استكشاف الأخطاء وإصلاحها
أولا، تأكد من إنشاء جلسات عمل BFD المقابلة (لا تستخدم الكلمة الأساسية تقييد في أي مكان):
vedge1# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.5 2 up public-internet public-internet 192.168.80.4 192.168.109.5 12386 ipsec 7 1000 0:02:10:54 3
192.168.30.5 2 up biz-internet public-internet 192.168.109.4 192.168.109.5 12386 ipsec 7 1000 0:02:10:48 3
192.168.30.7 4 up public-internet public-internet 192.168.80.4 192.168.103.7 12366 ipsec 7 1000 0:02:11:01 2
192.168.30.7 4 up biz-internet public-internet 192.168.109.4 192.168.103.7 12366 ipsec 7 1000 0:02:10:56 2
vedge3# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.5 2 up public-internet public-internet 192.168.110.6 192.168.109.5 12386 ipsec 7 1000 0:02:11:05 1
192.168.30.7 4 up public-internet public-internet 192.168.110.6 192.168.103.7 12366 ipsec 7 1000 0:02:11:13 2
vedge4# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.4 13 up public-internet biz-internet 192.168.103.7 192.168.109.4 12346 ipsec 7 1000 0:02:09:11 2
192.168.30.4 13 up public-internet public-internet 192.168.103.7 192.168.110.6 63084 ipsec 7 1000 0:02:09:16 2
192.168.30.5 2 up public-internet public-internet 192.168.103.7 192.168.109.5 12386 ipsec 7 1000 0:02:09:10 3
192.168.30.6 13 up public-internet public-internet 192.168.103.7 192.168.110.6 12386 ipsec 7 1000 0:02:09:07 2
إذا لم تتمكن من تحقيق النتيجة المرغوبة مع هندسة حركة المرور، فتحقق من أن السياسات طبقت بشكل صحيح:
1. في vEdge4 يجب التحقق من تحديد TLOC المناسب للبادئات التي تم إنشاؤها من الموقع 13:
vedge4# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.3
path-id 72
label 1002
status R
loss-reason tloc-preference
lost-to-peer 192.168.30.3
lost-to-path-id 74
Attributes:
originator 192.168.30.4
type installed
tloc 192.168.30.4, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 13
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.3
path-id 73
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.4
type installed
tloc 192.168.30.4, public-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 13
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.3
path-id 74
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.6
type installed
tloc 192.168.30.6, public-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 13
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
2. على vEdge1 وvedge3 تأكد من تثبيت السياسة المناسبة من vSmart ومن مطابقة الحزم وحسابها:
vedge1# show policy from-vsmart
from-vsmart sla-class SLA_CL1
loss 1
latency 100
jitter 100
from-vsmart app-route-policy S13_S4_via_PUB
vpn-list CORP_VPNs
sequence 10
match
destination-data-prefix-list SITE4_PREFIX
action
count COUNT_PKT
backup-sla-preferred-color biz-internet
sla-class SLA_CL1
no sla-class strict
sla-class preferred-color public-internet
from-vsmart lists vpn-list CORP_VPNs
vpn 40
from-vsmart lists data-prefix-list SITE4_PREFIX
ip-prefix 192.168.60.0/24
vedge1# show policy app-route-policy-filter
COUNTER
NAME NAME NAME PACKETS BYTES
-------------------------------------------------
S13_S4_via_PUB CORP_VPNs COUNT_PKT 81126791 110610503611
بالإضافة إلى ذلك، يجب أن ترى المزيد من الحزم المرسلة عبر ألوان الإنترنت العامة من الموقع 13 (خلال إختباري، لم يكن هناك أي حركة مرور عبر TLOC على شبكة biz-internet):
vedge1# show app-route stats remote-system-ip 192.168.30.7
app-route statistics 192.168.80.4 192.168.103.7 ipsec 12386 12366
remote-system-ip 192.168.30.7
local-color public-internet
remote-color public-internet
mean-loss 0
mean-latency 1
mean-jitter 0
sla-class-index 0,1
TOTAL AVERAGE AVERAGE TX DATA RX DATA
INDEX PACKETS LOSS LATENCY JITTER PKTS PKTS
----------------------------------------------------------
0 600 0 0 0 0 0
1 600 0 1 0 5061061 6731986
2 600 0 0 0 3187291 3619658
3 600 0 0 0 0 0
4 600 0 2 0 9230960 12707216
5 600 0 1 0 9950840 4541723
app-route statistics 192.168.109.4 192.168.103.7 ipsec 12346 12366
remote-system-ip 192.168.30.7
local-color biz-internet
remote-color public-internet
mean-loss 0
mean-latency 0
mean-jitter 0
sla-class-index 0,1
TOTAL AVERAGE AVERAGE TX DATA RX DATA
INDEX PACKETS LOSS LATENCY JITTER PKTS PKTS
----------------------------------------------------------
0 600 0 0 0 0 0
1 600 0 1 0 0 0
2 600 0 0 0 0 0
3 600 0 0 0 0 0
4 600 0 2 0 0 0
5 600 0 0 0 0 0
معلومات ذات صلة
- https://sdwan-docs.cisco.com/Product_Documentation/Software_Features/Release_18.3/07Policy_Applications/01Application-Aware_Routing/01Configuring_Application-Aware_Routing
- https://sdwan-docs.cisco.com/Product_Documentation/Software_Features/Release_18.3/02System_and_Interfaces/06Configuring_Network_Interfaces
- https://sdwan-docs.cisco.com/Product_Documentation/Command_Reference/Configuration_Commands/color
التعليقات