SDWAN-本地策略与中心策略配置三

37次阅读

共计 2734 个字符,预计需要花费 7 分钟才能阅读完成。

[TOC]


1. Localized Policy 配置

重点说明 :Localized Policy 是直接推送策略到 vEdge。

创建入口: Configuration -> Policies -> Custom Options -> Localized Policy ->CLI Policy,Add Policy:

<img src=”https://raw.githubusercontent…;>

添加策略,定义策略名称和描述:

<img src=”https://raw.githubusercontent…;>

# 配置命令
policy
 app-visibility
 flow-visibility

策略关联到模板:Configuration->Templates->Edit:

<img src=”https://raw.githubusercontent…;>

点击 ”Additional Templates”,在 Policy 里面选中刚创建好的策略,然后 update:

<img src=”https://raw.githubusercontent…;>

前后对比下配置(要养成良好的习惯去验证下配置):

<img src=”https://raw.githubusercontent…;>

没问题就勾选,点击 ”OK”,开始批量下发配置(算是实现自动化配置了):

<img src=”https://raw.githubusercontent…;>

执行的过程:

<img src=”https://raw.githubusercontent…;>

登陆设备查看配置已经下发成功:

<img src=”https://raw.githubusercontent…;>

<img src=”https://raw.githubusercontent…;>

2. Centralized Policy 配置

重点说明 :Centralized Policy 是先推送策略到 vSmart,vSmart 再推送给 vEdge。

创建入口: Configuration -> Policies -> ->Centralized Policy,Add Policy:

1)Creat Groups of Interest:

定义 Application:

定义 Color(不同线路类型进行着色区分):

备注:mpls 线路着色为 mpls,internet 线路着色为 public-internet.

定义 Site:

备注:两个站点:站点 A(id=100) 和站点 B(id=101)

定义 SLA:

备注:SLA 针对丢包、延时、抖动定义不同的阈值,用于关联应用策略探测链路的质量。

定义 TLOC(类似路由的下一跳):

# TLOCs 的定义:OMP adverties to its peers the routes and servies that it has learned from its local site,along with their corresponding transport location mappings,which are called TLOCs。# TLOC 包含 4 个元素:- system ip: 可看作 Router id;- color:对广域网线路着色,可看作标记;- encap:支持 ipsec 和 gre,建议用 ipsec;- preference:缺省为 0,值越大越优先;

定义 VPN:

2)Configure Topology and VPN Membership:

点击 ”Topology”->Custom Control(Route & TLOC):

选择 Route,先定义路由:

选择 TLOC,定义访问关系:


备注:默认动作有个 action 是 reject,所以要创建 TLOC。

3)Configure Traffic Rules:

点击“Next”,进入到到第三环节:配置流规则

备注:为什么是应用在 outbound 方向呢?因为是 vSmart 推送策略给 Site 的,是 out 方向。

预览下配置:

接下来,先把 vSmart 纳管到 vManage,要不然的话,是无法正常推送策略:

备注:把 vSmart 设备里面的 show run 配置 copy 过来,通过 CLI 模板创建,然后推送模板。

4)Apply Policies to Sites and VPNs:

开始推送策略,点击如下图的 Active:

验证策略是否推送成功:
从 vEdge1 去往 172.16.2.0 的两条广域网线路已经打上了优先级 200 和 100

选择最优路径为 mpls 线路(另一条作为备份)

模拟中断 mpls 线路,立马切换到 internet 线路(丢 2 包):

3. Application Route and Traffice Policy

测试场景:

场景 1:vEdge- 2 去往 vEdge- 1 的 WEB 流量在满足 SLA 需求的前提下走 public-internet;

场景 2:vEdge- 2 去往 2.2.2.2 的 telnet 流量被安全策略阻止掉;

1)在 vEdge- 2 验证去往 1.1.1.1 和 2.2.2.2 均为负载的(前提条件)

2)创建 web 应用条件:Centralized Policy->Application Aware Routing->Add Policy:

3)创建 telnet 应用条件:Centralized Policy->Traffic Data->Add Policy:

4)在 ”Traffic Rules” 里导入已创建好的 web 和 telnet 应用:

  入口:Policy->Centralized Policy->Edit->Traffic Rules

备注:如果这步没有做,直接在 ”Policy Application” 点击 ”Application Aware Routing” , “Traffic Data”,里面是空的。

5)新建 Application-Aware-Routing 策略:

6)新建 Traffic Data 策略:

备注:app route 默认 action none,traffice policy 默认 action accept

7)验证下效果

可以从 vEdge- 2 的 PC 能够正常访问 vEdge- 1 下的 2.2.2.2 的 http 流量,但到 2.2.2.2 的 telnet 流量异常:

可视化实时看下接口应用的流量:

至此,整个 SD-WAN 的实验就告一段落了,这里也感谢 XX 培训机构提供的实验平台,能够给大家演示一轮 SD-WAN 实验,也过上一把瘾哈。

希望理论的知识点大家多多研究下,然后结合这几次的实验好好巩固。

如果大家喜欢我的文章,请分享给身边需要的人,并多多支持哈,感激不尽。

SD-WAN 实验文章链接如下:

SD-WAN 控制器安装与初始化 (一)

SD-WAN 配置及应用模板配置 (二)

SD-WAN 本地策略与中心策略配置 (三)


如果喜欢我的文章,欢迎关注我的公众号:点滴技术,扫码关注,不定期分享

正文完
 0