المقدمة
يصف هذا المستند حلا لمعالجة مشاكل القياس في حواف SD-WAN لمركز البيانات وهي قريبة من حدود نفق مستوى البيانات.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بشبكة SD-WAN.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
نظرة عامة على تصميم الشبكة:
- الشبكة الخاصة الظاهرية (VPN): الشبكة الخاصة الظاهرية (VPN) رقم 10 والشبكة الخاصة الظاهرية (VPN) رقم 20
- إرتباطات النقل: Multiprotocol Label Switching (MPLS) و LTE والإنترنت
- تفاصيل الموجه:
- الموجه الرئيسي: 2 في كل مركز بيانات
- الطراز: ASR1002-HX
- إصدار برنامج Cisco IOS XE: 17.06.03a.0.2
- الموجه الثانوي: 1 في كل مركز بيانات
- الطراز: ISR4451-X
- إصدار برنامج Cisco IOS XE: 17.06.03a.0.22
- بروتوكول التوجيه: يتم إستخدام بروتوكول العبارة الحدودية (BGP) على جانب شبكة LAN الخاصة بمركز البيانات
المشكلة
يناقش هذا المستند دراسة حالة العميل التي تحتوي على المخطط المعروض، وتشتمل البنية الأساسية للشبكة الخاصة بالعميل على مركزين للبيانات، لكل واحد منهما خادم ASR1002-HX SD-WAN CEdge منشور. تهدف بنية الشبكة هذه إلى دمج ما يقرب من 3000 موقع مخزن في تغشية شبكة WAN الخاصة ببرنامج SD، مما يعمل على زيادة توفر ثلاث وصلات نقل منفصلة.
ملاحظة: تم نشر طبولوجيا الموزع والمتكلم. تعد DC1 و DC2 cEdges بمثابة محاور. تتكون جميع الفروع البعيدة من أنفاق IPsec عبر ثلاث عمليات نقل متوفرة مع حواف وحدة التحكم في التيار المستمر.
إنهاء الرسم التخطيطي للشبكة
تعبر جميع حركات المرور من الشبكة الخاصة الظاهرية (VPN) رقم 10 والشبكة الخاصة الظاهرية (VPN) رقم 20 عبر النقل عبر بروتوكول MPLS.
إذا أنهار إرتباط MPLS، فإن حركة مرور VPN 10 تنتقل إلى نقل LTE، وتتحول حركة مرور VPN 20 إلى نقل الإنترنت.
ينشأ التحدي الفني في هذا السيناريو من حجم عملية نشر شبكة من العملاء ومتطلباتها المحددة. مع الأخذ في الاعتبار نشر موجهات 3000 SD-WAN التي تعمل على إنشاء أنفاق IPSec عبر ثلاثة أنواع من النقل إلى موجه مركز البيانات، يصل العدد الإجمالي لأنفاق IPSec التي تم تكوينها على موجهات ASR1002-HX الأساسية التي تدعم وحدة الاستقبال والبث إلى 9000. ومع ذلك، يقتصر ASR1002-HX على 8000 نفق IPSec (المصدر: ورقة بيانات ASR1K).
الحل
ومن أجل حل هذه المشكلة، قرر العميل إضافة جهاز ISR4451-X cEdge في كل وحدة تحكم وفقا لمتطلبات قابلية التطوير المستقبلية للعميل.
ملاحظة: حدد طرازا إضافيا للأجهزة استنادا إلى متطلبات قابلية التطوير الخاصة بالعميل.
طوبولوجيا الشبكة
وكجزء من الحل، يستمر موجه خدمات التجميع الأساسية (ASR) cEdges في تكوين نفق IPSec عبر MPLS ونقل الإنترنت، كما تشكل حوافي موجه الخدمة المتكاملة (ISR) المثبت حديثا نفق IPsec عبر نقل LTE فقط.
وكما هو موضح في الرسم التخطيطي، يتم إنشاء أنفاق بروتوكول IPSec بين وحدة الاستقبال والبث الخاصة ببروتوكول الغلاف الآمن (ASR) والفرع عبر كل من بروتوكول MPLS والإنترنت، بينما يتم إنشاء أنفاق بروتوكول IPSec بين بروتوكول ISR والفرع فقط عبر تقنية LTE.
يتطلب العميل، في الظروف العادية، أن تستخدم جميع حركة مرور VPN 10 و VPN 20 نقل MPLS للاتصال. ومع ذلك، في حالة فشل إرتباط MPLS، تتم إعادة توجيه حركة مرور VPN 20 من خلال نقل الإنترنت، بينما تتم إعادة توجيه حركة مرور VPN 10 من خلال نقل LTE، وهو سلوك قبل إضافة cEdge إضافية.
التكوين
يتم إستخدام السياسات المركزية والمحولة لضمان إرسال حركة المرور عبر النقل الصحيح حسب تفضيل العميل. يتم وضع علامة على حركة المرور الواردة من موقع الفرع عبر إرتباط الإنترنت وارتباط LTE. يتم إستخدام علامات التمييز هذه لضمان أن محولات LAN على وحدة الاستقبال والبث ترسل رسائل الرد على VPN 10 بشكل صحيح إلى موجه ISR وأن حركة مرور VPN 20 يتم إرسالها إلى أجهزة وحدة الاستقبال والبث ASR.
تهيئة مركزية للسياسات
فيما يلي السياسة التي تم إعدادها للوفاء بمتطلبات العملاء. بالنسبة لحركة المرور القادمة عبر إرتباط الإنترنت، يتم تعيين علامة OMP بقيمة 200. ومن ناحية أخرى، تعين على حركة المرور التي تصل من خلال رابط LTE علامة OMP قدرها 100.
Centralized Policy
control-policy DataCenter_Outbound_v001
<<omited>>
sequence 10
match route
color-list MPLS
site-list remote_branches
vpn-list vpn-10
prefix-list _AnyIpv4PrefixList
!
action accept
set
preference 1500
!
!
sequence 20
match route
color-list LTE
site-list remote_branches
vpn-list vpn-10
prefix-list _AnyIpv4PrefixList
!
action accept
set
preference 1000
omp-tag 100
!
!
!
sequence 30
match route
color-list Internet
site-list remote_branches
vpn-list vpn-10
prefix-list _AnyIpv4PrefixList
!
action accept
set
preference 500
omp-tag 200
!
!
!
sequence 40
match route
color-list MPLS
site-list remote_branches
vpn-list vpn-20
prefix-list _AnyIpv4PrefixList
!
action accept
set
preference 1500
!
sequence 50
match route
color-list LTE
site-list remote_branches
vpn-list vpn-20
prefix-list _AnyIpv4PrefixList
!
action accept
set
preference 500
omp-tag 100
!
!
!
sequence 60
match route
color-list Internet
site-list remote_branches
vpn-list vpn-20
prefix-list _AnyIpv4PrefixList
!
action accept
set
preference 1000
omp-tag 200
!
!
!
<<omited>>
site-list remote_branches
site-id <specifiy site-id range for all remote branch sites>
في التيار المستمر، وأثناء إعادة توجيه حركة مرور البيانات من موجهات SD-WAN إلى المحولات الأساسية، يتم التحكم في حقل AS-PATH عند إعلان المسار إلى BGP على جانب الشبكة المحلية (LAN). يتم تطبيق خريطة مسار في تكوين BGP في وقت إعادة توزيع مسارات OMP في BGP.
عندما يكون إرتباط MPLS قيد التشغيل، يتم إعادة توزيع المسارات في BGP فقط للوحات cEdges الأساسية حيث لا يتم تلقي حركة مرور عبر LTE. ومع ذلك، في حالة فشل إرتباط MPLS:
-
بالنسبة للشبكة الخاصة الظاهرية (VPN) رقم 10، تقوم شبكة ASR CEdges بإعادة توزيع المسارات عن طريق إلحاق حقل AS-PATH أربع مرات، بينما يقوم ISR cEdge بإعادة التوزيع عن طريق إلحاق حقل AS-PATH ثلاث مرات. يضمن هذا التكوين تفضيل ISR cEdge لإرسال الردود.
-
وبالمثل، بالنسبة للشبكة الخاصة الظاهرية (VPN) رقم 20، تعمل حزم ASR cEdges على إعادة توزيع البادئات دون إلحاق أي من حزم AS-PATH، كما يقوم بروتوكول ISR cEdge بإعادة توزيع البادئات عن طريق إلحاق حقل AS-PATH ثلاث مرات. وهذا يضمن تفضيل حواف ASR.
تكوين النهج المترجم
route-map DC1_Primary_VPN-10_out_v001 permit 1
match omp-tag 200
set as-prepend <dc1-asnum> <dc1-asnum> <dc1-asnum> <dc1-asnum>
route-map DC1_VPN-10_out_v001 permit 65535
route-map DC2_Primary_VPN-10_out_v001 permit 1
match omp-tag 200
set as-prepend <dc2-asnum> <dc2-asnum> <dc2-asnum> <dc2-asnum>
route-map DC2_VPN-10_out_v001 permit 65535
route-map DC1_Backup_All_out_v001 permit 1
match omp-tag 100
set as-prepend <dc1-asnum> <dc1-asnum> <dc1-asnum>
route-map DC1_Backup_All_out_v001 deny 65535
route-map DC2_Backup_All_out_v001 permit 1
match omp-tag 100
set as-prepend <dc2-asnum> <dc2-asnum> <dc2-asnum>
route-map DC2_Backup_All_out_v001 deny 65535
تدفق حركة المرور
سيناريو عادي
عندما يكون إرتباط MPLS قيد التشغيل، فإن كل حركة المرور من VPN 10 و VPN 20 تعبر من خلال نقل MPLS.
ملاحظة: يعد DC1 هو وحدة التحكم الرئيسية بالمجال DC.
سيناريو تجاوز الفشل
في حالة فشل إرتباط MPLS، تعبر حركة مرور VPN 10 عبر نقل LTE نحو ISR cEdge. حيث يتم إرسال حركة مرور VPN 20 عبر نقل الإنترنت إلى جهاز ASR cEdge.
لإرجاع حركة المرور من المحولات الأساسية، يتم إرسال حركة مرور VPN 10 إلى ISR cEdge حيث يكون طول مسار AS أقل عبر ISR مقارنة ب ASR كما هو محدد في قسم السياسة المحلي. وبالمثل، يتم إرسال حركة مرور VPN 20 نحو حواف ASR cEdges حيث إن المسار يكون أصغر عبر ASR مقارنة ب ISR.
معلومات إضافية
في الإعداد السابق، يتم توصيل جميع الحواف في كل وحدة تحكم DC بوحدات تحكم SD-WAN فقط عبر نقل الإنترنت. وبالتالي، تحتوي موجهات ISR على نفق إنترنت تم تكوينه. ويتمثل المتطلب في التأكد من أن ISR cEdge تشكل نفق IPsec للفروع البعيدة فقط عبر نقل LTE ومن أجل تحقيق المتطلب المحدد، يجب تكوين لون النفق على نقل الإنترنت الخاص ب ISR بلون عام غير مستخدم في إعداد العميل.