Einführung
In diesem Dokument wird beschrieben, wie eine bestimmte Schnittstelle für den direkten Internetzugriff (DIA) mithilfe der vSmart-Datenrichtlinie bevorzugt wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, über Kenntnisse des SD-WAN-Richtlinien-Frameworks zu verfügen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf dem vEdge-Router und dem vSmart-Controller.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konfigurieren
Netzwerkdiagramm
Konfigurationen
Der vEdge-Router verfügt über zwei Uplink-Schnittstellen mit einfacher Underlay- und Overlay-Konfiguration. Das Hauptziel besteht darin, die ge0/1-Schnittstelle für den gesamten Datenverkehr zum Internet-Host mit der Adresse 203.0.113.137 des lokalen Subnetzes 192.0.2.0/24 zu bevorzugen.
vEdge-Router-Konfiguration:
interface ge0/1
ip address 192.168.109.104/24
nat
!
tunnel-interface
encapsulation ipsec
color biz-internet
!
interface ge0/2
ip address 192.168.110.104/24
nat
!
tunnel-interface
encapsulation ipsec
color public-internet
!
!
ip route 0.0.0.0/0 192.168.109.10
ip route 0.0.0.0/0 192.168.110.10
!
vpn 40
ip route 0.0.0.0/0 vpn 0
vSmart Controller-Konfiguration:
policy
lists
data-prefix-list SOURCE_PREFIX
ip-prefix 192.0.2.0/24
!
data-prefix-list DESTINATION_PREFIX
ip-prefix 203.0.113.137/32
!
site-list branch40
site-id 40
!
!
policy
data-policy FORCE_GE0_1
vpn-list VPN_40
sequence 100
match
source-data-prefix-list SOURCE_PREFIX
destination-data-prefix-list DESTINATION_PREFIX
!
action accept
nat use-vpn 0
set
local-tloc color biz-internet encap ipsec
!
!
!
default-action accept
!
!
apply-policy
site-list branch40
data-policy FORCE_GE0_1 from-service
!
!
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Vor Anwendung der Richtlinie:
show policy service-path vpn 40 interface ge0/7 source-ip 192.0.2.222 dest-ip 203.0.113.137 protocol 6
Next Hop: Remote
Remote IP: 192.168.110.10, Interface ge0/2 Index: 6
Aktivieren Sie anschließend die vSmart-Richtlinie, und stellen Sie sicher, dass die vSmart-Richtlinie auf vEdge angewendet wird:
vedge1# show policy from-vsmart
from-vsmart data-policy FORCE_GE0_1
direction from-service
vpn-list VPN_40
sequence 100
match
source-data-prefix-list SOURCE_PREFIX
destination-data-prefix-list DESTINATION_PREFIX
action accept
nat use-vpn 0
no nat fallback
set
local-tloc color biz-internet
local-tloc encap ipsec
default-action accept
from-vsmart lists vpn-list VPN_40
vpn 40
from-vsmart lists data-prefix-list DESTINATION_PREFIX
ip-prefix 203.0.113.137/32
from-vsmart lists data-prefix-list SOURCE_PREFIX
ip-prefix 192.0.2.0/24
Nach Anwendung der Richtlinie:
show policy service-path vpn 40 interface ge0/7 source-ip 192.0.2.222 dest-ip 203.0.113.137 protocol 6
Next Hop: Remote
Remote IP: 192.168.109.10, Interface ge0/1 Index: 5
Eine Verbindung wird auch in der NAT-Übersetzungstabelle angezeigt:
vedge1# show ip nat filter nat-vpn 0 nat-ifname ge0/1 vpn 40 protocol tcp 192.0.2.222 203.0.113.137
ip nat filter nat-vpn 0 nat-ifname ge0/1 vpn 1 protocol tcp 192.0.2.222 203.0.113.137 61213 443
public-source-address 192.168.109.104
public-dest-address 203.0.113.137
public-source-port 61213
public-dest-port 443
filter-state established
idle-timeout 0:00:54:11
outbound-packets 12593
outbound-octets 1186104
inbound-packets 16601
inbound-octets 4576423
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.