Configuration et vérification de l'intégration SDWAN avec l'ACI

Acronymes

ACI - Infrastructure axée sur les applications 

EPG - Groupe de terminaux

L3out - Couche 3 Out

AAR - Routage sensible aux applications

SLA - Contrats de niveau de service

DC - Data center

WAN : réseau étendu (WAN)

SDN - Software Defined Networking

SD DC - Data center défini par logiciel

SD WAN - Réseau étendu défini par logiciel

QoS - Qualité de service

VRF - Routage et transfert virtuels 

Introduction

Ce document décrit les étapes de configuration pour intégrer l'infrastructure axée sur les applications (ACI), la solution de centre de données SDDC (Software Defined Data Center) de Cisco avec le réseau WAN SDWAN (Software Defined Wide Area Network) et sa vérification.

Réseau défini par logiciel (SDN) ont été améliorées pour s'adapter à un segment de réseau spécifique :

1. Défini par logiciel - Data center (SD-DC) 
2. Définition logicielle - Réseau étendu (SD-WAN)

La solution Cisco offre une fonctionnalité robuste de QoS (Qualité de service) dans les profils SD-DC (ACI d'infrastructure axée sur les applications) et AAR (Routage sensible aux applications)/SLA (Contrats de niveau de service) dans SD-WAN.

Alors que de plus en plus de clients envisagent d'intégrer et souhaitent un traitement transparent du trafic sur l'ensemble du chemin, Cisco a mis au point l'intégration SD-DC et SD-WAN.

L'intégration se concentre sur deux cas d'utilisation :

1. Trafic de l'ACI (DC) vers le SDWAN (filiale non ACI)
2. Trafic de SDWAN (filiale non ACI) vers ACI (DC) 

Conditions préalables

Exigences

Comme l'intégration avec SD-WAN se fait sur la sortie L3 configurée dans l'ACI, la sortie L3 avec le protocole pris en charge doit donc être configurée.

L'intégration s'effectue sur le réseau de gestion. L'accessibilité de la gestion entre l'ACI (contrôleurs APIC) et vManage est donc requise.

Composants utilisés

Fabric ACI, SDWAN (vManage, vSmart Controller, vEdge)

Ce document est basé sur la version 4.2(3l) de l'ACI

Configuration

Diagramme du réseau

Topologie de référence :

Dans notre topologie, considérez uniquement le site A de l'ACI comme DC et le site C non ACI comme site de la filiale SDWAN.

Configurations

Section A : Configuration de l'intégration

1. Ouvrez l'interface graphique utilisateur APIC et accédez à l'onglet Integrations sous l'onglet System. 

2. Créer un groupe d'intégration

3. Accédez au nouveau groupe d'intégration « SDWAN2 » et cliquez avec le bouton droit sur vManage

4. Cliquez avec le bouton droit sur vManage et sélectionnez Create Integration Manager

5. Renseignez les détails appropriés, tels que le nom du gestionnaire d'intégration, l'adresse IP/le nom de domaine complet du périphérique, le nom d'utilisateur et le mot de passe

6. Assurez-vous que l'enregistrement a réussi à partir du champ d'état. En cas d'échec ou d'erreur, vérifiez si les informations fournies sont correctes. L'ID partenaire est l'identifiant du contrôleur vManage. Vous pouvez accéder à Integrations -><Group Name>->vManage -> <Integration Manager Name> -> System info pour vérifier l'état. 

Section B : configuration de la politique WAN SLA

Les profils SLA WAN préconfigurés se trouvent sous Tenants->common->Policies->Protocols->WAN SLA

Cela peut être hérité dans d'autres locataires lors de la configuration du contrat à l'aide de la stratégie WAN SLA.

Il s’agit de SLA préconfigurés qui ne peuvent pas être modifiés.

Le VPN configuré côté SD-WAN qui est mappé à cette intégration ACI sera également reflété sous Tenants->common->Policies->Protocols->WAN SLA

1. Créez le contrat sous le locataire/VRF où vous souhaitez mapper les services WAN.

La valeur QoS Priority doit être définie sur toute valeur autre que Unspecified. Les politiques SLA WAN ne fonctionneront pas si la valeur QoS Priority est définie sur Unspecified.

Accédez à Locants-><nom du locataire>->Contracts->Standard

2. Créez l'objet du contrat et, sous Objet du contrat, spécifiez la politique WAN SLA.

La valeur QoS Priority doit être définie sur toute valeur autre que Unspecified. Les politiques SLA WAN ne fonctionneront pas si la valeur QoS Priority est définie sur Unspecified.

        

3. Fournir le contrat d'EPG.

Accédez à Clients-><nom du client>->Profils d'application->EPG d'application->Contrats

4. Utiliser le contrat au niveau de L3out configuré pour SD-WAN

Accédez à Tenants-><nom du locataire>->L3outs->External EPG->Consumed Contracts. Il est également possible et valide de faire fournir le contrat par l'EPG externe L3out et de le faire consommer par les EPG

5. Associer un VPN WAN à un VRF locataire 

Accédez à Locants-><nom du locataire>->VRF->Policy->WAN VPN

Vérifier

Section 3 : Vérification

1. Vérification de la configuration

La configuration est transmise aux deux périphériques SDWAN en fonction de la configuration de l'ACI

Route SDWAN d'extrémité CC (connectée à L3out)

ASR1001-X-DC#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
 loss    10
 latency 300
 jitter  100

from-vsmart sla-class Default
 loss    25
 latency 300
 jitter  100

from-vsmart sla-class Transactional-Data
 loss    5
 latency 50
 jitter  100

from-vsmart sla-class Voice-And-Video
 loss    2
 latency 45
 jitter  100

from-vsmart data-policy _vpn-10_data_policy
 direction from-service
 vpn-list vpn-10
  default-action accept

-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
 vpn-list 412898115_vpn
  sequence 10
   match
    dscp 14
   action
    sla-class Default
    no sla-class strict
  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict
  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict
  sequence 40
   match
    dscp 10
   action
    sla-class Bulk-Data
    no sla-class strict

from-vsmart lists vpn-list 412898115_vpn
 vpn 10

from-vsmart lists vpn-list vpn-10
 vpn 10

ASR1001-X-DC#

Routeur SDWAN d’extrémité

ASR1001-X-Branch#show sdwan policy from-vsmart
-->>> SLA Policy (parameters)
from-vsmart sla-class Bulk-Data
 loss    10
 latency 300
 jitter  100

from-vsmart sla-class Default
 loss    25
 latency 300
 jitter  100

from-vsmart sla-class Transactional-Data
 loss    5
 latency 50
 jitter  100

from-vsmart sla-class Voice-And-Video
 loss    2
 latency 45
 jitter  100

-->>> DSCP to SLA Mapping
from-vsmart app-route-policy _412898115_vpn_412898115
 vpn-list 412898115_vpn
  sequence 10
   match
    dscp 14
   action
    sla-class Default
    no sla-class strict
  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict
  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict
  sequence 40
   match
    dscp 10
   action
    sla-class Bulk-Data
    no sla-class strict

from-vsmart lists vpn-list 412898115_vpn
 vpn 10

ASR1001-X-Branch#

1. Vérification QoS

Exemple 1

Politique WAN SLA « Données transactionnelles ». Accédez à Locants-><nom du locataire>->Contrats->Standard-><Nom du contrat>-><Objet du contrat>-> Général- Politique SLA WAN

  sequence 30
   match
    dscp 12
   action
    sla-class Transactional-Data
    no sla-class strict

     

Direction :

1. Trafic du data center vers le SDWAN.

Comme vous pouvez le voir dans les captures ci-dessous, le trafic provenant de DC est avec dscp 00 mais le trafic atteignant le SDWAN est avec DSCP 12 (hexadécimal 0x0c).

Cela indique une modification de la valeur DSCP conformément à la politique SLA WAN.

Capture de paquets effectuée à la source (DC) reflétant la valeur DSCP d'origine à 00.

Protocole Internet, Source : 192.168.10.2 (192.168.10.2), Dst : 172.16.20.2 (172.16.20.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Champ Services différenciés : 0x00 (DSCP 0x00 : par défaut ; ECN : 0x00)

        0000 00.. = Point de code de services différenciés : valeur par défaut (0x00)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa0d5 (41173)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 255

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x9016 [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 192.168.10.2 (192.168.10.2)

    Destination : 172.16.20.2 (172.16.20.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0xc16a [correct]

    Identificateur : 0x4158

    Numéro d'ordre : 768 (0x0300)

    Données (56 octets)

           

Capture de paquets sur la destination (site de la filiale SDWAN) reflétant la modification de la valeur DSCP 12 (hexadécimal 0x0c) conformément à la politique SLA WAN.

Protocole Internet, Source : 192.168.10.2 (192.168.10.2), Dst : 172.16.20.2 (172.16.20.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x30 (DSCP 0x0c : Assured Forwarding 12 ; ECN : 0x00)

        0011 00.. = Point de code de services différenciés : transfert assuré 12 (0x0c)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa0d1 (41169)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 251

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x93ea [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 192.168.10.2 (192.168.10.2)

    Destination : 172.16.20.2 (172.16.20.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0x6e30 [correct]

    Identificateur : 0xc057

    Numéro d'ordre : 1024 (0x0400)

    Données (56 octets)

2. Trafic du SDWAN au DC

Comme vous pouvez le voir dans les captures ci-dessous, le trafic provenant du site de la filiale SDWAN est avec dscp 00, mais le trafic atteignant le DC est avec DSCP 12 (hexadécimal 0x0c) reflétant la modification de la valeur DSCP conformément à la politique SLA WAN appliquée.

Capture de paquets effectuée à la source (succursale SDWAN) reflétant la valeur DSCP d’origine sur 00.

Protocole Internet, Source : 172.16.20.2 (172.16.20.2), Dst : 192.168.10.2 (192.168.10.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x00 (DSCP 0x00 : par défaut ; ECN : 0x00)

        0000 00.. = Point de code de services différenciés : valeur par défaut (0x00)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa0c8 (41160)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 255

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x9023 [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 172.16.20.2 (172.16.20.2)

    Destination : 192.168.10.2 (192.168.10.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0xd3ff [correct]

    Identificateur : 0x5c79

    Numéro d'ordre : 1 (0x0001)

    Données (56 octets)

Capture de paquets sur la destination (DC) reflétant la modification de la valeur DSCP 12 (hexadécimal 0x0c) conformément à la politique SLA WAN.

Protocole Internet, Source : 172.16.20.2 (172.16.20.2), Dst : 192.168.10.2 (192.168.10.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x30 (DSCP 0x0c : Assured Forwarding 12 ; ECN : 0x00)

        0011 00.. = Point de code de services différenciés : transfert assuré 12 (0x0c)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa073 (41075)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 251

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x9448 [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 172.16.20.2 (172.16.20.2)

    Destination : 192.168.10.2 (192.168.10.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0x741a [correct]

    Identificateur : 0x5c79

    Numéro d'ordre : 43776 (0xab00)

    Données (56 octets)

Exemple 2

Politique WAN SLA « Voix et vidéo » Accédez à Locants-><nom du locataire>->Contrats->Standard-><Nom du contrat>-><Objet du contrat>-> Général- Politique WAN SLA

  sequence 20
   match
    dscp 18
   action
    sla-class Voice-And-Video
    no sla-class strict

1. Trafic du data center vers le SDWAN.

Comme vous pouvez le voir dans les captures ci-dessous, le trafic provenant de DC est avec DSCP 00 mais le trafic atteignant le SDWAN est avec DSCP 18 (hexadécimal 0x12).

Cela indique une modification de la valeur DSCP conformément à la politique SLA WAN.

Capture de paquets effectuée à la source (DC) reflétant la valeur DSCP d'origine à 00.

Protocole Internet, Source : 192.168.10.2 (192.168.10.2), Dst : 172.16.20.2 (172.16.20.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x00 (DSCP 0x00 : par défaut ; ECN : 0x00)

        0000 00.. = Point de code de services différenciés : valeur par défaut (0x00)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa2b6 (41654)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 255

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x8e35 [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 192.168.10.2 (192.168.10.2)

    Destination : 172.16.20.2 (172.16.20.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0x3614 [correct]

    Identificateur : 0x8c5f

    Numéro d'ordre : 512 (0x0200)

    Données (56 octets)

           

Capture de paquets sur la destination (site de la filiale SDWAN) reflétant la modification de la valeur DSCP 18 (0x12) correspondant à la politique SLA WAN.

Protocole Internet, Source : 172.16.20.2 (172.16.20.2), Dst : 192.168.10.2 (192.168.10.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x48 (DSCP 0x12 : transfert assuré 21 ; ECN : 0x00)

        0100 10.. = Point de code de services différenciés : transfert assuré 21 (0x12)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa2b8 (41656)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 255

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x8deb [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 172.16.20.2 (172.16.20.2)

    Destination : 192.168.10.2 (192.168.10.2)

protocole ICMP

    Type : 0 (réponse d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0x8a13 [correct]

    Identificateur : 0x8c5f

    Numéro d'ordre : 1024 (0x0400)

    Données (56 octets)

2. Trafic du SDWAN vers le data center.

Capture de paquets sur la source (branche SDWAN) montrant la valeur DSCP originale (00).

Protocole Internet, Source : 172.16.20.2 (172.16.20.2), Dst : 192.168.10.2 (192.168.10.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x00 (DSCP 0x00 : par défaut ; ECN : 0x00)

        0000 00.. = Point de code de services différenciés : valeur par défaut (0x00)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa1bb (41403)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 255

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x8f30 [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 172.16.20.2 (172.16.20.2)

    Destination : 192.168.10.2 (192.168.10.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0x68e5 [correct]

    Identificateur : 0x1d03

    Numéro d'ordre : 2048 (0x0800)

    Données (56 octets)

           

Capture de paquets à destination (DC) reflétant la modification de la valeur DSCP 18 (0x12) conformément à la politique SLA WAN.

Protocole Internet, Source : 172.16.20.2 (172.16.20.2), Dst : 192.168.10.2 (192.168.10.2)

    Version : 4

    Longueur d'en-tête : 20 octets

    Domaine de services différenciés : 0x48 (DSCP 0x12 : transfert assuré 21 ; ECN : 0x00)

        0100 10.. = Point de code de services différenciés : transfert assuré 21 (0x12)

        .... ..0. = ECT (ECN-Capable Transport) : 0

        .... ...0 = ECN-CE : 0

    Longueur totale : 84

    Identification : 0xa1bb (41403)

    Indicateurs : 0x00

        0.. = Bit réservé : non défini

        .0. = Ne pas fragmenter : Non défini

        ..0 = Plus de fragments : Non défini

    Décalage du fragment : 0

    Durée de vie : 251

    Protocole : ICMP (0x01)

    Somme de contrôle d'en-tête : 0x92e8 [correct]

        [Bon : Vrai]

        [Mauvais : Faux]

    Source : 172.16.20.2 (172.16.20.2)

    Destination : 192.168.10.2 (192.168.10.2)

protocole ICMP

    Type : 8 (requête d'écho (ping))

    Code : 0 ()

    Somme de contrôle : 0x68e5 [correct]

    Identificateur : 0x1d03

    Numéro d'ordre : 2048 (0x0800)

    Données (56 octets)

Dépannage

Les fichiers journaux suivants sont utiles du point de vue du dépannage. .

        Débogage du chemin de contrôle

fichiers APIC techsupport
Les journaux PolicyDistributor, PolicyManager, PolicyElement et Edmgr peuvent fournir des informations sur la configuration pertinente qui est poussée vers les feuilles et les spines.

Débogage de chemin de données 

Captures de paquets sur l'interface L3out et les interfaces sur les routeurs vEdge.

ELAM peut également vous aider.