使用vManage功能模板配置TLOC擴展
簡介
本文檔介紹如何使用vManage功能模板配置TLOC Extension。
必要條件
需求
思科建議您瞭解以下主題:
- vManage功能模板的使用
- 必須在vManage上成功登入兩(2)個vEdge裝置
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科vManage 20.6.3版
- vEdge 20.6.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路圖表
網路拓撲
組態
本文檔假定您已配置了其餘功能模板。相同的功能模板工作流適用於Cisco IOS® XE SD-WAN裝置。
共建立4個功能模板以應用於vEdge裝置模板。
VPN功能模板
此功能模板包括VPN 0、VPN介面乙太網(主WAN連線)、VPN介面乙太網(隧道/NoTlocExt)和VPN介面乙太網(TlocExt/NoTunnel):
VPN功能模板
建立特徵範本的步驟:
1. VPN 0:在基本配置部分選擇傳輸VPN的特定裝置值,並在DNS部分增加DNS伺服器地址:
VPN 0功能模板基本配置
在IPv4路由部分中,為2個下一跳地址(主WAN和TLOC-EXT)增加帶有特定裝置值的字首:
VPN 0功能模板IPv4路由
VPN 0功能模板IPv4路由下一跳
2. VPN介面乙太網(主WAN連線):確保介面處於no shutdown狀態。為介面名稱、說明和IP地址選擇特定的裝置值:
主要WAN介面功能模板基本配置
確保將隧道介面設定為ON。選擇主要WAN顏色的特定裝置值:
VPN 0功能模板隧道介面
確保公共WAN介面的NAT設定為ON:
VPN 0介面模板NAT
3. VPN介面乙太網(TLOC-EXT/NO隧道介面):確保TLOC-Ext介面處於no shutdown狀態。選擇介面、說明和IP地址的特定裝置值。確保將隧道介面設定為Off:
TLOC-EXT/NO隧道介面基本配置
在進階區段中新增TLOC-Ext介面:
TLOC-Ext介面
4. VPN介面乙太網(隧道介面/無Tloc-ext):確保介面處於no shutdown狀態。選擇介面、說明和IP地址的特定裝置值:
隧道介面/無Tloc-ext基本配置
確保將隧道介面設定為ON。選取Tloc-Ext顏色的特定裝置值:
通道介面
裝置範本
建立裝置範本的步驟:
1.從功能模板建立裝置模板:
功能模板中的裝置模板
2. 植入所有必要的功能樣版:
裝置模板詳細資訊及功能模板基本配置
裝置模板詳細資訊及功能模板傳輸和管理
3. 將兩台裝置都連線到裝置模板:
將裝置附加至範本
4. 將兩台裝置從可用裝置移至選定裝置頁籤:
將裝置從可用裝置移動到選定裝置
5. 輸入兩個裝置的所有必要明細:
站點35_vEdge1
更新值1
站點35_vEdge2
更新值2
6. 驗證所選值是否適用於以下裝置:
站點35_vEdge1
配置預覽1
站點35_vEdge2
配置預覽2
6. 最後,將這些配置推送到裝置:
配置配置
下面的輸出捕獲了成功推送模板後vpn 0的運行配置:
站點35_vEdge1
Site35_vEdge1# show run vpn 0
vpn 0
interface ge0/0
ip address 10.201.237.120/24
ipv6 dhcp-client
nat
!
tunnel-interface
encapsulation ipsec
color private1
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
interface ge0/1
description TunnelInterface_NoTLOCExt
ip address 192.168.30.4/24
tunnel-interface
encapsulation ipsec
color private2
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
interface ge0/2
description TLOC_NoTunnelInterface
ip address 192.168.40.4/24
tloc-extension ge0/0
no shutdown
!
ip route 0.0.0.0/0 10.201.237.1
ip route 0.0.0.0/0 192.168.30.5
!
Site35_vEdge1#
站點35_vEdge2
Site35_vEdge2#
Site35_vEdge2#
Site35_vEdge2#
Site35_vEdge2# sh run vpn 0
vpn 0
interface ge0/0
ip address 10.201.237.66/24
ipv6 dhcp-client
nat
!
tunnel-interface
encapsulation ipsec
color private2
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
interface ge0/1
description TLOC_NoTunnelInterface
ip address 192.168.30.5/24
tloc-extension ge0/0
no shutdown
!
interface ge0/2
description TunnelInterface_NoTLOCExt
ip address 192.168.40.5/24
tunnel-interface
encapsulation ipsec
color private1
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
ip route 0.0.0.0/0 10.201.237.1
ip route 0.0.0.0/0 192.168.40.4
!
Site35_vEdge2#
驗證
1. 範本已成功附加至兩個裝置:
模板推送成功
2. 透過主WAN和TLOC-Ext介面控制連線:
控制連線驗證1
控制連線驗證2
使用案例
根據本地站點設計,也可以使用L2或L3 TLOC擴展來實施TLOC擴展。
1. L2 TLOC擴展:這些擴展位於同一廣播域或同一子網中。
2. L3 TLOC擴展:這些擴展由L3裝置分隔,可以運行任何路由協定(僅在Cisco IOSXE SD-WAN裝置上受支援)
注意:請參閱Cisco SD-WAN設計手冊的「廣域網邊緣部署」一章中的「TLOC擴展」部分。
限制
僅●L3路由介面支援TLOC和TLOC擴展介面。L2交換機埠/SVI不能用作WAN/隧道介面,並且只能在服務端使用。
● LTE也不用作WAN邊緣路由器之間的TLOC擴展介面。
● 僅Cisco IOSXE SD-WAN路由器支援L3 TLOC擴展,而vEdge路由器不支援這些擴展。
●TLOC擴展在繫結到環回隧道介面的傳輸介面上不起作用。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
11-Sep-2024 |
替代文字,格式設定,語法 |
1.0 |
24-Jul-2023 |
初始版本 |
意見