簡介
本文檔介紹在Cisco SD-WAN上配置和驗證活動備用中心輻射型拓撲的步驟。
必要條件
需求
思科建議瞭解以下主題:
- Cisco SD-WAN
- 基本Cisco IOS-XE®命令列介面(CLI)
採用元件
本檔案是根據以下軟體和硬體版本所編制:
- C8000V版本17.6.3a
- vManage版本20.6.3.1
- vSmart版本20.6.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
有兩個中心站點ID為10和20。站點ID 10充當活動中心,站點ID 20充當備用中心。分支機構可以相互通訊,但所有通訊都必須通過集線器。不得在分支站點之間建立隧道。
組態
1.登入到vManage並導航到Configuration > Policies,然後點選Add Policy。
2.在「建立感興趣組」部分中,按一下TLOC > New TLOC List,並在同一清單中為活動集線器和備用集線器分別新增一個條目:
確保為活動集線器設定較高的首選項,為備用集線器設定較低的首選項。
3.定位至「地點」>「新建地點清單」,然後為「分支地點」和「中心地點」建立一個清單:
4.按一下下一步。在Configure Topology and VPN Membership部分,導航至Add Topology > Custom Control。
5.為策略新增名稱和說明。
6.按一下序列型別> TLOC,新增序列規則。
7.選擇「匹配」>「地點」並新增分支的「地點」清單,然後選擇「活動」>「拒絕」,然後按一下「儲存匹配和活動」:
8.按一下Sequence Rule,然後新增一個條目以匹配中心站點並接受:
9.定位至序號型別>工藝路線,然後新增「序號規則」。
10.將「匹配」部分留空,將「操作」設定為接受,選擇TLOC,新增之前建立的TLOC清單,然後按一下儲存匹配和操作:
11.按一下儲存控制策略。
12.按一下Next,直到「Apply Policies to Sites and VPNs」部分。
13.在「拓撲」部分中,將顯示您的控制策略,按一下New Site List,為Outbound Site List選擇Branches清單,然後按一下Add:
14.按一下Preview並檢視策略。
viptela-policy:policy
control-policy Active_Standby_HnS
sequence 1
match tloc
site-list BRANCHES
!
action reject
!
!
sequence 11
match tloc
site-list DCs_10_20
!
action accept
!
!
sequence 21
match route
prefix-list _AnyIpv4PrefixList
!
action accept
set
tloc-list PREFER_DC10_DC20
!
!
!
default-action reject
!
lists
site-list BRANCHES
site-id 2-4
!
site-list DCs_10_20
site-id 10
site-id 20
!
tloc-list PREFER_DC10_DC20
tloc 10.10.10.1 color mpls encap ipsec preference 1000
tloc 10.10.10.2 color mpls encap ipsec preference 500
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
!
!
!
apply-policy
site-list BRANCHES
control-policy Active_Standby_HnS out
!
!
15.按一下Save Policy(儲存策略)。
16.在Centralized Policy(集中策略)選單中,按一下新建立的策略右側的3個點,然後選擇Activate(啟用)。
17.任務完成後,將顯示成功狀態。
驗證
使用以下命令驗證是否在vSmart上建立策略:
vsmart# show running-config policy
policy
lists
tloc-list PREFER_DC10_DC20
tloc 10.10.10.1 color mpls encap ipsec preference 1000
tloc 10.10.10.2 color mpls encap ipsec preference 500
!
site-list BRANCHES
site-id 2-4
!
site-list DCs_10_20
site-id 10
site-id 20
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
!
!
control-policy Active_Standby_HnS
sequence 1
match tloc
site-list BRANCHES
!
action reject
!
!
sequence 11
match tloc
site-list DCs_10_20
!
action accept
!
!
sequence 21
match route
prefix-list _AnyIpv4PrefixList
!
action accept
set
tloc-list PREFER_DC10_DC20
!
!
!
default-action reject
!
!
vsmart# show running-config apply-policy
apply-policy
site-list BRANCHES
control-policy Active_Standby_HnS out
!
!
vsmart#
註:這是一個控制策略。它在vSmart上應用和執行,不會推入邊緣裝置。「show sdwan policy from-vsmart」命令不會在邊緣裝置上顯示策略。
疑難排解
用於故障排除的有用命令。
在vSmart上:
show running-config policy
show running-config apply-policy
show omp routes vpn <vpn> advertised <detail>
show omp routes vpn <vpn> received <detail>
show omp tlocs advertised <detail>
show omp tlocs received <detail>
在cEdge上:
show sdwan bfd sessions
show ip route vrf <service vpn>
show sdwan omp routes vpn <vpn> <detail>
show sdwan omp tlocs
範例:
確認僅從分支機構到集線器形成BFD會話:
Branch_02#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.1 10 up mpls mpls 192.168.1.36 192.168.1.30 12386 ipsec 7 1000 0:18:45:02 1
10.10.10.2 20 up mpls mpls 192.168.1.36 192.168.1.33 12366 ipsec 7 1000 0:18:45:03 1
驗證來自其他分支的路由是否優先通過Active Hub(優先使用1000):
Branch_02#show sdwan omp route vpn 10 172.16.1.0/24 detail
Generating output, this might take time, please wait ...
---------------------------------------------------
omp route entries for vpn 10 route 172.16.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.1.3
path-id 8
label 1002
status C,I,R <-- Chosen, Installed, Received
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 10.3.3.3
type installed
tloc 10.10.10.1, mpls, ipsec <-- Active Hub
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference 1000
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.1.3
path-id 9
label 1003
status R <-- Received
loss-reason preference
lost-to-peer 10.1.1.3
lost-to-path-id 8
Attributes:
originator 10.3.3.3
type installed
tloc 10.10.10.2, mpls, ipsec <-- Backup Hub
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference 500
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
相關資訊
Cisco SD-WAN策略配置指南,Cisco IOS XE版本17.x