Inleiding
Dit document beschrijft de configuratie voor Cloud OnRamp voor Software as a Service (SaaS) met behulp van lokale aftakking.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van het Cisco Software-Defined Wide Area Network (SD-WAN).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco vManager versie 20.9.4
- Cisco WAN Edge-routerversie 17.9.3a
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Voor een organisatie die SD-WAN gebruikt, leidt een takplaats typisch SaaS toepassingsverkeer door gebrek over SD-WAN bekledingsverbindingen aan een gegevenscentrum. Vanuit het datacenter bereikt het SaaS-verkeer de SaaS-server.
In een grote organisatie met een centraal datacenter en filialen kunnen werknemers bijvoorbeeld gebruik maken van Office 365 op een filiaal. Standaard wordt het Office 365-verkeer op een filiaallocatie via een SD-WAN-overlay-link naar een gecentraliseerd datacenter en, vanaf de DIA-uitgang, naar de Office 365-cloudserver gerouteerd.
Dit document behandelt dit scenario: Als de taksite een directe internettoegang (DIA) verbinding heeft, kunt u de prestaties verbeteren door het verkeer van SaaS door de lokale DIA te leiden, die het gegevenscentrum mijden.
Opmerking: Het configureren van Cloud OnRamp voor SaaS wanneer een site een loopback gebruikt als TLOC-interface (Transport Locator) wordt niet ondersteund.
Configureren
Netwerkdiagram
Netwerktopologie
Configuraties
NAT op de transportinterface inschakelen
Navigeer naar Feature Template .
Kies de Transport VPN interface sjabloon en schakel NAT in.
Interface NAT inschakelen
CLI-equivalente configuratie:
interface GigabitEthernet2
ip nat outside
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet2 overload
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 60
Een gecentraliseerd AAR-beleid maken
Om een gecentraliseerd beleid te kunnen voeren, moet u zich aan deze procedure houden:
Stap 1. Een sitelijst maken:
VPN-interface NAT-sjabloon
Stap 2. Een VPN-lijst maken:
Aangepaste sitelijst gecentraliseerd beleid
Stap 3. Configureer het bestand Traffic Rules en maak het Application Aware Routing Policybestand.
Toepassingsbewust routebeleid
Stap 4. Voeg het beleid toe aan de beoogdeSites en VPN:
Beleid aan locaties en VPN’s toevoegen
CLI-equivalent beleid:
viptela-policy:policy
app-route-policy _VPN1_Cloud_OnRamp_SAAS
vpn-list VPN1
sequence 1
match
cloud-saas-app-list office365_apps
source-ip 0.0.0.0/0
!
action
count Cloud_OnRamp_-92622761
!
!
!
lists
app-list office365_apps
app skype
app ms_communicator
app windows_marketplace
app livemail_mobile
app word_online
app excel_online
app onedrive
app yammer
app sharepoint
app ms-office-365
app hockeyapp
app live_hotmail
app live_storage
app outlook-web-service
app skydrive
app ms_teams
app skydrive_login
app sharepoint_admin
app ms-office-web-apps
app ms-teams-audio
app share-point
app powerpoint_online
app ms-lync-video
app live_mesh
app ms-lync-control
app groove
app ms-live-accounts
app office_docs
app owa
app ms_sway
app ms-lync-audio
app live_groups
app office365
app windowslive
app ms-lync
app ms-services
app ms_translator
app microsoft
app sharepoint_blog
app ms_onenote
app ms-teams-video
app ms-update
app ms-teams-media
app ms_planner
app lync
app outlook
app sharepoint_online
app lync_online
app sharepoint_calendar
app ms-teams
app sharepoint_document
!
site-list DCsite_100001
site-id 100001
!
vpn-list VPN1
vpn 1
!
!
!
apply-policy
site-list DCsite_100001
app-route-policy _VPN1_Cloud_OnRamp_SAAS
!
!
Toepassingstoegang en directe internettoegang in vManager inschakelen
Stap 1. Navigeer naar Cloud OnRamp for SaaS.
Selecteer Cloud onRamp voor SaaS
Stap 2. Navigeer naar Applications and Policy.
Selecteer toepassingen en beleid
Stap 3. Navigeer naar Application > Enableen Save. Klik vervolgens op Next.
Selecteer toepassingen en schakel bewaking in
Stap 4. Navigeer naar Direct Internet Access (DIA) Sites.
Selecteer Direct Internet Access Sites
Stap 5. Ga naar Attach DIA Sites en kies de Sites.
Bijlage DIA-sites
Verificatie
In dit gedeelte worden de resultaten beschreven om de Cloud OnRamp voor SaaS te verifiëren.
- Deze uitvoer toont Cloudexpress local-exits:
cEdge_West-01#sh sdwan cloudexpress local-exits
cloudexpress local-exits vpn 1 app 2 type app-group subapp 0 GigabitEthernet2
application office365
latency 6
loss 0
- Deze uitvoer toont Cloudexpress-toepassingen:
cEdge_West-01#sh sdwan cloudexpress applications
cloudexpress applications vpn 1 app 2 type app-group subapp 0
application office365
exit-type local
interface GigabitEthernet2
latency 6
loss 0
- Deze output toont stijgende tellers voor geinteresseerd verkeer:
cEdge_West-01#sh sdwan policy app-route-policy-filter
NAME NAME COUNTER NAME PACKETS BYTES
-------------------------------------------------------------------------------------------------
_VPN1_Cloud_OnRamp_SAAS VPN1 default_action_count 640 66303
Cloud_OnRamp_-403085179 600 432292
- Deze output toont de vQoE status en de Score:
vQoE-status en score
- Deze uitvoer toont het servicepad van vManager GUI:
Servicepad
- Deze output toont de dienst-weg van Apparaat CLI:
cEdge_West-01#sh sdwan policy service-path vpn 1 interface GigabitEthernet4 source-ip 10.2.20.70 dest-ip <Office365 server IP> protocol 6
Next Hop: Remote
Remote IP: 10.2.30.129, Interface GigabitEthernet2 Index: 8
Gerelateerde informatie