소개
이 문서에서는 지사 로컬 종료를 사용하는 SaaS(Software as a Service)용 Cloud OnRamp의 컨피그레이션에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco SD-WAN(Software-Defined Wide Area Network)에 대한 지식이 있는 것이 좋습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco vManage 버전 20.9.4
- Cisco WAN Edge 라우터 버전 17.9.3a
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
SD-WAN을 사용하는 조직의 경우 일반적으로 브랜치 사이트는 SD-WAN 오버레이 링크를 통해 기본적으로 SaaS 애플리케이션 트래픽을 데이터 센터로 라우팅합니다. 데이터 센터에서 SaaS 트래픽이 SaaS 서버에 도달합니다.
예를 들어 중앙 데이터 센터와 브랜치 사이트가 있는 대규모 조직의 경우 직원은 브랜치 사이트에서 Office 365를 사용할 수 있습니다. 기본적으로 브랜치 사이트의 Office 365 트래픽은 SD-WAN 오버레이 링크를 통해 중앙 집중식 데이터 센터로 라우팅되고, DIA 종료에서 Office 365 클라우드 서버로 라우팅됩니다.
이 문서에서는 이 시나리오를 다룹니다. 브랜치 사이트에 DIA(Direct Internet Access) 연결이 있는 경우 데이터 센터를 우회하여 로컬 DIA를 통해 SaaS 트래픽을 라우팅하여 성능을 향상시킬 수 있습니다.
참고: 사이트에서 루프백을 TLOC(Transport Locator) 인터페이스로 사용할 경우 SaaS용 Cloud OnRamp 구성은 지원되지 않습니다.
구성
네트워크 다이어그램
네트워크 토폴로지
설정
전송 인터페이스에서 NAT 활성화
로 Feature Template 이동합니다.
템플릿을 Transport VPN interface 선택하고 NAT를 활성화합니다.
인터페이스 NAT 활성화
CLI 등가 컨피그레이션:
interface GigabitEthernet2
ip nat outside
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet2 overload
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 60
중앙 집중식 AAR 정책 생성
중앙 집중식 정책을 설정하려면 다음 절차를 따라야 합니다.
1단계. 사이트 목록을 만듭니다.
VPN 인터페이스 NAT 템플릿
2단계. VPN 목록을 생성합니다.
중앙 정책 사용자 지정 사이트 목록
3단계. 를 Traffic Rules 구성하고 를 Application Aware Routing Policy 생성합니다.
애플리케이션 인식 경로 정책
4단계. 의도한Sites 대상에 정책을 추가하고 다음을 VPN 수행합니다.
사이트 및 VPN에 정책 추가
CLI에 상응하는 정책:
viptela-policy:policy
app-route-policy _VPN1_Cloud_OnRamp_SAAS
vpn-list VPN1
sequence 1
match
cloud-saas-app-list office365_apps
source-ip 0.0.0.0/0
!
action
count Cloud_OnRamp_-92622761
!
!
!
lists
app-list office365_apps
app skype
app ms_communicator
app windows_marketplace
app livemail_mobile
app word_online
app excel_online
app onedrive
app yammer
app sharepoint
app ms-office-365
app hockeyapp
app live_hotmail
app live_storage
app outlook-web-service
app skydrive
app ms_teams
app skydrive_login
app sharepoint_admin
app ms-office-web-apps
app ms-teams-audio
app share-point
app powerpoint_online
app ms-lync-video
app live_mesh
app ms-lync-control
app groove
app ms-live-accounts
app office_docs
app owa
app ms_sway
app ms-lync-audio
app live_groups
app office365
app windowslive
app ms-lync
app ms-services
app ms_translator
app microsoft
app sharepoint_blog
app ms_onenote
app ms-teams-video
app ms-update
app ms-teams-media
app ms_planner
app lync
app outlook
app sharepoint_online
app lync_online
app sharepoint_calendar
app ms-teams
app sharepoint_document
!
site-list DCsite_100001
site-id 100001
!
vpn-list VPN1
vpn 1
!
!
!
apply-policy
site-list DCsite_100001
app-route-policy _VPN1_Cloud_OnRamp_SAAS
!
!
vManage에서 애플리케이션 및 직접 인터넷 액세스 활성화
1단계. 로 Cloud OnRamp for SaaS 이동합니다.
SaaS용 Cloud onRamp 선택
2단계. 로 Applications and Policy 이동합니다.
애플리케이션 및 정책 선택
3단계. 및Application > Enable로 Save 이동합니다. 그런 다음 을 클릭합니다Next.
애플리케이션 선택 및 모니터링 활성화
4단계. 로 Direct Internet Access (DIA) Sites 이동합니다.
직접 인터넷 액세스 사이트 선택
5단계. 사이트로 Attach DIA Sites 이동하여 사이트를 선택합니다.
DIA 사이트 연결
확인
이 섹션에서는 SaaS용 클라우드 OnRamp를 검증하기 위한 결과에 대해 설명합니다.
- 이 출력은 Cloudexpress 로컬 종료를 보여줍니다.
cEdge_West-01#sh sdwan cloudexpress local-exits
cloudexpress local-exits vpn 1 app 2 type app-group subapp 0 GigabitEthernet2
application office365
latency 6
loss 0
- 이 출력은 Cloudexpress 응용 프로그램을 표시합니다.
cEdge_West-01#sh sdwan cloudexpress applications
cloudexpress applications vpn 1 app 2 type app-group subapp 0
application office365
exit-type local
interface GigabitEthernet2
latency 6
loss 0
- 이 출력은 관심 트래픽에 대한 카운터 증가를 보여줍니다.
cEdge_West-01#sh sdwan policy app-route-policy-filter
NAME NAME COUNTER NAME PACKETS BYTES
-------------------------------------------------------------------------------------------------
_VPN1_Cloud_OnRamp_SAAS VPN1 default_action_count 640 66303
Cloud_OnRamp_-403085179 600 432292
- 이 출력은 vQoE 상태 및 점수를 보여줍니다.
vQoE 상태 및 점수
- 이 출력은 vManage GUI의 서비스 경로를 보여줍니다.
서비스 경로
- 이 출력은 디바이스 CLI의 service-path를 보여줍니다.
cEdge_West-01#sh sdwan policy service-path vpn 1 interface GigabitEthernet4 source-ip 10.2.20.70 dest-ip <Office365 server IP> protocol 6
Next Hop: Remote
Remote IP: 10.2.30.129, Interface GigabitEthernet2 Index: 8
관련 정보