CISCO SD-WAN Service Chaining User Guide

Mga sulod itago
1 Pagkadena sa Serbisyo
2 Mga Serbisyo sa Network
3 Serbisyo Ruta SAFI
4 Patakaran sa Pagdugtong sa Serbisyo
5 Pagsubay sa Panglawas sa Kadena sa Serbisyo
6 Mga limitasyon
7 I-configure ang Service Chaining
7.1 I-configure ang Service Chaining Gamit ang Cisco SD-WAN Manager
7.2 Katumbas sa CLI alang sa Cisco IOS XE Catalyst SD-WAN Devices
8 Configuration sa Pag-chaining sa Serbisyo Examples
8.1 Ruta sa Intersite nga Trapiko pinaagi sa usa ka Serbisyo
9 Pag-monitor sa Service Chaining
9.1 Mga Dokumento / Mga Kapanguhaan
9.1.1 Mga pakisayran
9.2 May Kalabutan nga mga Post

Pagkadena sa Serbisyo


Nota

Aron makab-ot ang pagpayano ug pagkamakanunayon, ang solusyon sa Cisco SD-WAN gi-rebrand isip Cisco Catalyst
SD-WAN. Dugang pa, gikan sa Cisco IOS XE SD-WAN Release 17.12.1a ug Cisco Catalyst SD-WAN Release
20.12.1, ang mosunod nga mga kausaban sa component magamit: Cisco vManage sa Cisco Catalyst SD-WAN
Manager, Cisco vAnalyticsto Cisco CatalystSD-WAN Analytics, Cisco vBondto Cisco CatalystSD-WAN Validator, ug Cisco vSmart ngadto sa Cisco Catalyst SD-WAN Controller. Tan-awa ang pinakabag-o nga Release Notes para sa usa ka komprehensibo nga lista sa tanan nga mga pagbag-o sa ngalan sa brand. Samtang nag-transition kami sa bag-ong mga ngalan, ang pipila ka mga pagkasukwahi mahimong naa sa set sa dokumentasyon tungod sa usa ka hinay nga pamaagi sa mga update sa user interface sa produkto sa software.

Mga Serbisyo sa Network

Ang mga serbisyo sama sa firewall, load balancer, ug intrusion detection and prevention (IDP) sagad nga gipadagan sulod sa usa ka virtualized nga palibot, ug sila mahimong
pisikal nga mahimong sentralisado sa usa ka lokasyon o sa daghang mga lokasyon para sa redundancy. Ang mga serbisyo mahimong internal, cloud based, o external nga mga subskripsyon. Ang mga network kinahanglan nga makahimo pag-usab sa trapiko gikan sa bisan unsang lokasyon sa network pinaagi sa ingon nga mga serbisyo.
Gusto sa mga kustomer ang abilidad sa internally spawn o externally subscribe sa mga bag-ong serbisyo nga gipangayo—alang sa kapasidad, redundancy, o para lang sa pagpili sa best-of-breed nga mga teknolohiya. Kay exampUg, kung ang usa ka site sa firewall molapas sa kapasidad niini, ang usa ka kostumer makahimo og usa ka bag-ong serbisyo sa firewall sa usa ka bag-ong lokasyon. Ang pagsuporta niining bag-ong firewall magkinahanglan og configuration sa base sa polisiya, gibug-aton nga pag-apod-apod sa load ngadto sa daghang mga firewall. Ang mosunod mao ang pipila sa mga rason sa pag-usab sa agianan sa trapiko pinaagi sa usa ka serbisyo o kadena sa mga serbisyo:

  • Ang dagan sa trapiko gikan sa dili kaayo luwas nga rehiyon sa usa ka network kinahanglan nga moagi sa usa ka serbisyo, sama sa usa ka firewall, o pinaagi sa usa ka kutay sa mga serbisyo aron masiguro nga kini wala paampkauban sa.
  • Alang sa usa ka network nga naglangkob sa daghang mga VPN, ang matag usa nagrepresentar sa usa ka function o usa ka organisasyon, ang trapiko tali sa mga VPN kinahanglan nga moagi sa usa ka serbisyo, sama sa usa ka firewall, o pinaagi sa usa ka kutay sa mga serbisyo. Kay example, sa acampKami, ang interdepartmental nga trapiko mahimong moagi sa usa ka firewall, samtang ang intradepartmental nga trapiko mahimong direktang madala.

Ang pila ka dagan sa trapiko kinahanglang moagi sa usa ka serbisyo, sama sa usa ka load balancer.

Karon, ang bugtong paagi aron mabag-o ang dagan sa trapiko mao ang paghatag sa matag routing node—gikan sa gigikanan hangtod sa service node hangtod sa mga sistema sa unahan sa service nod—nga adunay ruta sa palisiya. Mahimo kini pinaagi sa paghimo sa usa ka operator nga mano-mano nga i-configure ang matag node o pinaagi sa paggamit sa usa ka provisioning tool nga naghimo sa configuration alang sa matag node alang sa operator. Sa bisan unsang paagi, ang proseso komplikado sa pagprobisyon, pagpadayon, ug pag-troubleshoot.

Mga Serbisyo sa Paghatag sa Cisco Catalyst SD-WAN Overlay Network

Sa Cisco Catalyst SD-WAN nga solusyon, ang network operator makahimo ug mag-orchestrate sa tanang service chaining gikan sa usa ka central controller, nga mao, gikan sa Cisco SD-WAN Controller. Walay configuration o provisioning ang gikinahanglan sa bisan unsa nga device.

Ang kinatibuk-ang dagan sa service chaining sa Cisco Catalyst SD-WAN network mao ang mosunod:

  • Gi-advertise sa mga device ang mga serbisyo nga anaa sa ilang branch o campkanato—sama sa firewall, IDS, ug IDP—ngadto sa Cisco SD-WAN Controller sa ilang domain. Ang daghang mga aparato mahimong mag-anunsyo sa parehas nga mga serbisyo.
  • Gi-anunsyo usab sa mga aparato ang ilang mga ruta sa OMP ug mga TLOC sa mga Controller sa Cisco SD-WAN.
  • Alang sa trapiko nga nanginahanglan mga serbisyo, ang palisiya sa Cisco SD-WAN Controller nagbag-o sa sunod nga paglukso alang sa OMProutesto sa serbisyo nga landing point. Niining paagiha, ang trapiko una nga giproseso sa serbisyo sa wala pa madala sa katapusan nga destinasyon.

Ang mosunod nga numero nag-ilustrar kon sa unsang paagi naglihok ang service chaining sa Cisco Catalyst SD-WAN nga solusyon. Ang network nga gipakita adunay usa ka sentralisadong hub router nga konektado sa duha ka mga sanga, ang matag usa adunay usa ka aparato. Ang standard nga disenyo sa network nagpatuman sa usa ka kontrol nga polisiya nga ang tanan nga trapiko gikan sa branch site 1 ngadto sa branch site 2 mobiyahe pinaagi sa hub router. Ang paglingkod sa luyo sa hub router usa ka firewall device. Busa karon, hunahunaa nga gusto namon ang tanan nga trapiko gikan sa site 1 hangtod sa site 2 nga una nga maproseso sa firewall. Ang trapiko gikan sa device sa site 1 modagayday gihapon ngadto sa hub router, apan imbes nga ipadala kini direkta ngadto sa site 2, ang hub router mo-redirect sa trapiko ngadto sa firewall device. Kung makompleto sa firewall ang pagproseso niini, ibalik niini ang tanan nga na-clear nga trapiko sa hub, nga ipasa kini sa aparato sa site 2.

Serbisyo Ruta SAFI

Ang hub ug lokal nga mga aparato sa sanga nag-anunsyo sa mga serbisyo nga magamit sa ilang mga network sa Cisco SD-WAN Controller sa domain niini gamit ang mga ruta sa serbisyo, nga gipadala pinaagi sa OMPPaggamit sa ruta sa serbisyo.
AddressFamily Identifier (SAFI) bits sa OMP NLRI. Ang mga Controller sa CiscoSD-WAN nagmintinar sa mga ruta sa serbisyo sa ilang RIB, ug wala nila gipakaylap kini nga mga ruta sa mga aparato.

Ang matag ruta sa serbisyo SAFI adunay mosunod nga mga hiyas:

  • VPN ID (vpn-id)—Nag-ila sa VPN nga gipanag-iya sa serbisyo.
  • Service ID (svc-id)—Nag-ila sa serbisyo nga gi-advertise sa service node. Ang Cisco Catalyst
    Ang SD-WAN software adunay mosunod nga gitakda nang daan nga mga serbisyo:
  • FW, para sa firewall (mga mapa ngadto sa svc-id 1)
  • IDS, para sa Intrusion Detection Systems (mga mapa ngadto sa svc-id 2)
  • IDP, para sa Identity Provider (mga mapa ngadto sa svc-id 3)
  • netsvc1, netsvc2, netsvc3, ug netsvc4, nga gitagana alang sa kostumbre nga mga serbisyo (mapa sila sa svc-id 4, 5, 6, ug 7, matag usa)
  • Label—Alang sa trapiko nga kinahanglang moagi sa usa ka serbisyo, ang Cisco SD-WAN Controller maoy mopuli sa label sa
    Ang ruta sa OMP nga adunay label sa serbisyo aron madirekta ang trapiko sa kana nga serbisyo.
  • Originator ID (originator-id)—Ang IP address sa service node nga nag-advertise sa serbisyo.
  • TLOC—Ang adres sa lokasyon sa transportasyon sa aparato nga "nag-host" sa serbisyo.
  • Path ID (path-id)—Usa ka identifier sa OMP path.

Patakaran sa Pagdugtong sa Serbisyo

Aron ma-ruta ang trapiko pinaagi sa usa ka serbisyo, maghatag ka og polisiya sa pagkontrol o polisiya sa datos sa CiscoSD-WAN Controller. Gigamit nimo ang usa ka polisiya sa pagkontrol kung ang mga sumbanan sa pagpares gibase sa usa ka prefix sa destinasyon o bisan unsang mga hiyas niini.
Naggamit ka og polisiya sa datos kon ang sukdanan sa pagpares naglakip sa source address, source port, DSCP value, o destination port sa packet o traffic flow. Mahimo nimong itagana ang polisiya direkta gamit ang CLI, o mahimo kining iduso gikan sa Cisco SD-WAN Manager.
Ang Cisco SD-WAN Controller nagmintinar sa mga ruta sa OMP, mga ruta sa TLOC, ug mga ruta sa serbisyo sa lamesa sa ruta niini. Ang gihatag nga ruta sa OMP adunay TLOC ug ang label nga kauban niini. Sa usa ka Cisco SD-WAN Controller, ang usa ka palisiya mahimong magamit nga nagbag-o sa TLOC ug ang kauban nga label niini aron mahimong usa ka serbisyo.

Pagsubay sa Panglawas sa Kadena sa Serbisyo

Sugod sa CiscoSD-WAN Release 20.3.1, ang Cisco CatalystSD-WAN kanunay nga nagsusi sa mga himan nga naghatag serbisyo sa network aron masulayan kung kini ba naglihok. Ang pagsubay sa pagkaanaa sa mga himan sa kadena sa serbisyo makatabang aron mapugngan ang usa ka null nga ruta, nga mahimong mahitabo kung ang usa ka polisiya nag-agi sa trapiko sa usa ka aparato sa serbisyo nga wala magamit. Sa kasagaran, ang Cisco Catalyst SD-WAN nagsulat sa mga resulta sa pagsubay sa usa ka log sa serbisyo, apan kini mahimong ma-disable.

Mga limitasyon

  • Ang pagsal-ot sa serbisyo sa interface sa tunnel wala gisuportahan sa mga aparato nga Cisco IOS XE Catalyst SD-WAN.
  • Ang pagpugong sa polisiya base sa service-chain nga aksyon sa lokal nga gi-host nga service-chain dili suportado.
  • Ang pag-configure sa service-chain ug AppQoE sa parehas nga device dili suportado bisan unsa pa ang data-policy o control-policy based actions.
  • Ang tracker alang sa pagsal-ot sa serbisyo sa interface sa tunnel wala gisuportahan sa mga aparato sa Cisco vEdge.
  • I-configure ang Service Chaining, sa panid 3
  • Configuration sa Pag-chaining sa Serbisyo Examples, sa panid 5
  • Monitor Service Chaining, sa panid 13

I-configure ang Service Chaining

Ania ang workflow alang sa pag-configure sa service chaining alang sa usa ka device nga gidumala sa Cisco Catalyst SD-WAN:

  1. Ang mga gamit sa serbisyo ma-access pinaagi sa usa ka piho nga VRF. Sa template sa VPN nga katumbas sa VRF alang sa usa ka aparato sa serbisyo, i-configure ang pagdena sa serbisyo, pagtino sa tipo sa serbisyo ug mga adres sa aparato. Sa kasagaran, ang feature sa pagsubay nagdugang sa matag update sa status device sa serbisyo ngadto sa service log. Mahimo nimong i-disable kini sa template sa VPN.
  2. Ilakip ang template sa VPN sa template sa device alang sa device nga gidumala sa Cisco Catalyst SD-WAN.
  3. Ibutang ang template sa device ngadto sa device.

I-configure ang Service Chaining Gamit ang Cisco SD-WAN Manager

Aron ma-configure ang service chaining alang sa usa ka device.

  1. Sa Cisco SD-WAN Manager, paghimo ug VPN template.
  2. ClickService.
  3. Sa seksyon sa Serbisyo, i-klik ang Bag-ong Serbisyo ug i-configure ang mosunod:
    • Uri sa Serbisyo: Pilia ang tipo sa serbisyo nga gihatag sa aparato sa serbisyo.
    • IP Address: Ang IP Address mao lamang ang opsyon sa pagtrabaho.
    • IPv4 Address: Pagsulod tali sa usa ug upat ka mga adres alang sa aparato.
    • Pagsubay: Pagtino kung ang mga regular nga update sa kahimsog sa aparato sa serbisyo natala sa log sa sistema. Default: Naka-on
  4. I-klik ang Add. Ang serbisyo makita sa lamesa sa gi-configure nga mga serbisyo.

Katumbas sa CLI alang sa Cisco IOS XE Catalyst SD-WAN Devices

Ang mosunod nga talaan nagpakita kon sa unsang paagi ang configuration sa service chaining pinaagi sa CLI katumbas sa configuration sa
Cisco SD-WAN Manager. Ang configuration sa CLI lahi sa Cisco IOS XE Catalyst SD-WAN device ug
Mga aparato sa Cisco vEdge. Ang CLI exampAng ubos kay para sa Cisco IOS XE Catalyst SD-WAN device.

CLI (Cisco IOS XE Catalyst SD-WAN device) Cisco SD-WAN Manager
serbisyo firewall vrf 10 Sa Cisco SD-WAN Manager, i-configure ang pagsulud sa serbisyo sa template sa VPN alang sa usa ka piho nga VRF-VRF 10 sa kini nga example. Pilia ang tipo sa serbisyo gikan sa drop-down —firewall niini nga example.
walay track-enableNota          Default: gipaandar Kung nagdugang usa ka serbisyo sa template sa VPN Serbisyo, pilia Onor Off kay Pagsubay.
IPv4 address 10.0.2.1 10.0.2.2 Sa VRF template Serbisyo, pagsulod og usa o daghan pang IP address para sa service device nga naghatag og piho nga serbisyo.

CLI Example
sdwan
serbisyo firewall vrf 10
IPv4 address 10.0.2.1 10.0.2.2
pasalig
Katumbas sa CLI alang sa Cisco vEdge Devices
Ang mosunod nga talaan nagpakita kon sa unsang paagi ang configuration sa service chaining pinaagi sa CLI katumbas sa configuration sa
Cisco SD-WAN Manager. Ang configuration sa CLI lahi sa Cisco IOS XE Catalyst SD-WAN device ug
Mga aparato sa Cisco vEdge. Ang CLI exampAng ubos kay para sa Cisco vEdge device.

CLI (Cisco vEdge device) Cisco SD-WAN Manager
vpn 10 Sa Cisco SD-WAN Manager, i-configure ang pagsal-ot sa serbisyo sa template sa VPN—VPN 10 niini nga example. Pilia ang tipo sa serbisyo gikan sa drop-down—firewall niini nga example.
serbisyo FW address 10.0.2.1 Pilia ang tipo sa serbisyo gikan sa drop-down—firewall niini nga example. Paghatag og usa o daghan pang mga adres para sa device sa serbisyo.
walay track-enableNota          Default: gipaandar Kung nagdugang usa ka serbisyo sa template sa VPN Serbisyo, pilia Onor Off kay Pagsubay.

CLI Example
vpn 10
serbisyo FW address 10.0.2.1
pasalig

Configuration sa Pag-chaining sa Serbisyo Examples

Ang mga palisiya sa pagkontrol sa chaining sa serbisyo nagdirekta sa trapiko sa datos sa mga aparato sa serbisyo nga mahimong makit-an sa lainlaing mga lugar sa network sa wala pa ipadala ang trapiko sa destinasyon niini. Aron molihok ang service chaining, imong gi-configure ang usa ka sentralisadong polisiya sa pagkontrol sa CiscoSD-WAN Controller, ug imong gi-configure ang mga device sa serbisyo sa ilang kaugalingon sa device nga gi-collocate sa samang site sa device. Aron masiguro nga ang mga serbisyo gi-anunsyo sa Cisco SD-WAN Controller, ang IP address sa aparato sa serbisyo kinahanglan nga masulbad sa lokal.

Kini nga hilisgutan naghatag examples sa pag-configure sa service chaining.

Ruta sa Intersite nga Trapiko pinaagi sa usa ka Serbisyo


Simple nga example mao ang ruta sa trapiko sa datos nga nagbiyahe gikan sa usa ka site ngadto sa lain pinaagi sa usa ka serbisyo. Niining exampUg, among giruta ang tanang trapiko nga nagbiyahe gikan sa device sa Site 1 ngadto sa device sa Site 2 pinaagi sa firewall service nga naglingkod luyo sa hub (kansang sistema IP address mao ang 100.1.1.1). Aron mapasimple ang mga butang, ang tanan nga mga aparato naa sa parehas nga VPN.

Alang niini nga senaryo, imong gi-configure ang mosunod:

  • Sa hub router, imong gi-configure ang IP address sa firewall device.
  • Sa Cisco SD-WAN Controller, imong gi-configure ang usa ka polisiya sa pagkontrol nga nag-redirect sa trapiko nga gikan sa
    Site 1 hangtod sa Site 2 pinaagi sa serbisyo sa firewall.
  • Sa Cisco SD-WAN Controller, imong i-apply ang control policy sa Site 1.

Ania ang pamaagi sa pag-configure:

  1. Sa hub router, paghatag sa serbisyo sa firewall, nga nagtino sa IP address sa firewall device. Uban sa
    kini nga pagsumpo, ang OMP sa hub router nag-anunsyo sa usa ka ruta sa serbisyo sa Cisco SD-WAN Controller.
    Ang ruta sa serbisyo adunay daghang mga kabtangan nga nagpaila sa lokasyon sa firewall, lakip ang
    TLOC sa hub router ug usa ka label sa serbisyo sa svc-id-1, nga nagpaila sa tipo sa serbisyo ingon usa ka firewall. (Sama sa gihisgutan sa ibabaw, sa wala pa i-anunsyo ang ruta, gisiguro sa aparato nga ang IP address sa firewall mahimong masulbad sa lokal.)
    vpn 10
    serbisyo FW address 10.1.1.1
  2. Sa Cisco SD-WAN Controller, i-configure ang usa ka polisiya sa pagkontrol nga nag-redirect sa trapiko sa datos gikan sa pagbiyahe
    Site 1 hangtod sa Site 2 pinaagi sa firewall. Unya, usab sa Cisco SD-WAN Controller, ipadapat kini nga palisiya sa
    Site 1.
    palisiya
    mga listahan
    site-list firewall-sites
    site-id 1
    control-policy firewall-serbisyo
    sunodsunod 10
    ruta sa duwa
    site-id 2
    aksyon dawaton
    itakda ang serbisyo FW vpn 10
    gidawat ang default nga aksyon
    apply-patakaran
    site-list firewall-sites control-policy firewall-service out

Kini nga pag-configure sa palisiya naghimo sa mosunod:

  • Paghimo og lista sa site nga gitawag og firewall-sites nga gi-refer sa apply-policy command ug nga nag-enumerate sa tanang site nga magamit niini nga polisiya. Kung sa ulahi gusto nimo nga sukdon kini nga palisiya aron ang tanan nga trapiko nga nadestino sa Site 2 gikan sa ubang mga site kinahanglan usab nga una nga moagi sa firewall, ang kinahanglan nimong buhaton mao ang pagdugang mga dugang nga ID sa site sa lista sa site sa firewall-site. Dili nimo kinahanglan nga usbon ang bisan unsa sa control-policy firewall-service nga bahin sa configuration.
  • Ipasabut ang usa ka palisiya sa pagkontrol nga ginganlag firewall-service. Kini nga polisiya adunay usa ka elemento sa pagkasunodsunod ug ang mosunod nga mga kondisyon:
  • Mga ruta sa pagpares nga gitakda alang sa Site 2.
  • Kung adunay mahitabo, dawata ang ruta ug i-redirect kini sa serbisyo sa firewall nga gihatag sa Hub router, nga nahimutang sa VPN 10.
  • Dawata ang tanan nga dili managsama nga trapiko. Kana mao, dawata ang tanan nga trapiko nga wala gitakda alang sa Site 2.
  • Ipadapat ang polisiya sa mga site nga gilista sa firewall-list, nga mao, ngadto sa Site 1. Ang Cisco SD-WAN Validator nag-aplay sa polisiya sa outbound nga direksyon, nga mao, sa mga rota nga gi-apod-apod niini ngadto sa Site 1. Niini nga mga rota:
  • Ang TLOC giusab gikan sa Site 2's TLOC ngadto sa hub router's TLOC. Kini ang TLOC nga nahibal-an sa Cisco SD-WAN Controller gikan sa ruta sa serbisyo nga nadawat gikan sa hub router. Tungod kini sa pagbag-o sa TLOC nga ang trapiko nga gitakda alang sa Site 2 gipunting sa hub router
  • Ang label giusab ngadto sa svc-id-1, nga nagpaila sa serbisyo sa firewall. Kini nga label nagpahinabo sa hub router sa pagdirekta sa trapiko sa firewall device.

Sa diha nga ang hub router makadawat sa trapiko, kini ipadala ngadto sa address 10.1.1.1, nga mao ang sistema sa IP address sa firewall. Human mahuman sa firewall ang pagproseso sa trapiko, ibalik sa firewall ang trapiko ngadto sa hub router, ug kini nga router ipasa kini ngadto sa kataposang destinasyon niini, nga mao ang Site 2.

Pagruta sa Inter-VPN Traffic pinaagi sa usa ka Service Chain nga adunay Usa ka Serbisyo kada Node

Ang usa ka kadena sa serbisyo nagtugot sa trapiko nga moagi sa duha o daghan pa nga mga serbisyo sa dili pa makaabot sa destinasyon niini. Ang exampAnia ang ruta sa trapiko gikan sa usa ka VPN ngadto sa lain pinaagi sa mga serbisyo nga nahimutang sa ikatulo nga VPN. Ang mga serbisyo nahimutang sa luyo sa lainlaing mga hub router. Sa piho, gusto namon ang tanan nga trapiko gikan sa device-1 sa VPN 20 ug kana gitakda alang sa prefix xx0.0/16 sa VPN 30 sa device-2 nga moagi una sa firewall sa luyo sa Hub-1 ug dayon pinaagi sa custom service netsvc1 luyo sa Hub -2 sa wala pa ipadala sa katapusan nga destinasyon.

Aron molihok kini nga palisiya:

  • Ang VPN 10, VPN 20, ug VPN 30 kinahanglang konektado sa extranet, sama sa Internet
  • Ang VPN 10 kinahanglan nga mag-import sa mga ruta gikan sa VPN 20 ug VPN 30. Ang mga ruta mahimong pilion nga ma-import kung gikinahanglan.
  • Ang VPN 20 kinahanglan nga mag-import sa mga ruta gikan sa VPN 30. Ang mga ruta mahimong pilion nga ma-import kung gikinahanglan.
  • Ang VPN 30 kinahanglan nga mag-import sa mga ruta gikan sa VPN 20. Ang mga ruta mahimong pilion nga ma-import kung gikinahanglan.

Alang niini nga senaryo, imong gi-configure ang upat ka mga butang:

  • Imong gi-configure ang IP address sa firewall device sa Hub-1 router.
  • Imong gi-configure ang IP address sa custom service device sa Hub-2 router.
  • Sa Cisco SD-WAN Controller, imong gi-configure ang usa ka polisiya sa pagkontrol nga nag-redirect sa trapiko gikan sa Site 1 ngadto sa Site 2 pinaagi sa firewall device.
  • Sa Cisco SD-WAN Controller, imong gi-configure ang ikaduhang polisiya sa pagkontrol nga nag-redirect sa trapiko ngadto sa custom service device.

Ania ang pamaagi sa pag-configure:

  1. I-configure ang serbisyo sa firewall sa Hub-1. Uban niini nga pag-configure, ang OMP sa Hub-1 nga router nag-anunsyo sa ruta sa serbisyo sa Cisco SD-WAN Controller. Ang ruta sa serbisyo adunay daghang mga kabtangan nga nagpaila sa lokasyon sa firewall, lakip ang TLOC sa hub router ug usa ka label sa serbisyo sa svc-id-1, nga nagpaila sa tipo sa serbisyo ingon usa ka firewall.
    vpn 10
    serbisyo fw adres 10.1.1.1
  2. I-configure ang kostumbre nga serbisyo netsvc1 sa Hub-2. Uban niini nga pag-configure, ang OMP sa Hub-2 nga router nag-anunsyo sa ruta sa serbisyo sa vSmart controller. Ang ruta sa serbisyo naglangkob sa TLOC sa Hub-2 ug usa ka label sa serbisyo sa svc-id-4, nga nagpaila sa kostumbre nga serbisyo.
    vpn 10
    serbisyo netsvc1 address 2.2.2.2
  3. Paghimo og polisiya sa pagkontrol sa Cisco SD-WAN Controller para sa unang serbisyo sa kadena—ang firewall—ug
    i-apply kini sa Site 1, nga mao ang lokasyon sa device-1 router:
    palisiya
    mga listahan
    site-list firewall-custom-service-sites
    site-id 1
    control-policy firewall-serbisyo
    sunodsunod 10
    ruta sa duwa
    vpn 30
    site-id 2
    aksyon dawaton
    ibutang ang serbisyo FW
    gidawat ang default nga aksyon
    apply-patakaran
    site-list firewall-custom-service-sites control-policy firewall-service out
    Kini nga pag-configure sa palisiya naghimo sa mosunod:
    • Paghimo og lista sa site nga gitawag og firewall-custom-service-sites nga gi-refer sa apply-policy command ug nga nag-enumerate sa tanang site nga magamit niini nga polisiya.
    • Ipasabut ang usa ka palisiya sa pagkontrol nga ginganlag firewall-service nga adunay usa ka elemento sa pagkasunod-sunod ug ang mosunod nga mga kondisyon:
    • Mga ruta sa pagpares nga gitakda alang sa VPN 30 ug Site 2.
    • Kung adunay mahitabo, dawata ang ruta ug i-redirect kini sa serbisyo sa firewall.
    • Kung dili mahitabo ang usa ka duwa, dawata ang trapiko.
    • Ipadapat ang polisiya sa mga site sa firewall-custom-service-sites list, nga mao, toSite 1. Ang Cisco vSmart controller naggamit niini nga polisiya sa outbound nga direksyon, nga mao, sa mga rota nga gi-apod-apod niini ngadto sa Site 1. Niini mga rota:
    • Ang TLOC giusab gikan sa Site 2's TLOC ngadto sa Hub-1 router's TLOC. Kini ang TLOC nga nahibal-an sa CiscoSD-WAN Controller gikan sa ruta sa serbisyo nga nadawat gikan sa hub. Tungod kini sa pagbag-o sa TLOC nga ang trapiko nga gitakda alang sa Site 2 gipunting sa Hub-1 router.
    • Ang label giusab ngadto sa svc-id-1, nga nagpaila sa serbisyo sa firewall. Kini nga label maoy hinungdan sa
      Hub-1 router aron idirekta ang trapiko sa firewall device.
      Sa diha nga ang Hub-1 router makadawat sa trapiko, kini ipadala ngadto sa address 10.1.1.1, nga mao ang sistema sa IP address sa firewall. Human makompleto sa firewall ang pagproseso sa trapiko, ibalik niini ang trapiko sa Hub-1 router, nga, tungod sa polisiya nga gihubit sa sunod nga lakang, ipasa kini ngadto sa Hub-2 router.
  4. Paghimo usa ka polisiya sa pagkontrol sa Cisco SD-WAN Controller alang sa ikaduha nga serbisyo sa kadena, nga mao ang naandan nga serbisyo, ug ipadapat kini sa site sa Hub-1 nga router:
    palisiya
    site-list custom-service
    site-id 3
    control-policy netsvc1-service
    sunodsunod 10
    ruta sa duwa
    vpn 30
    site-id 2
    aksyon dawaton
    ibutang ang serbisyo netsvc1
    gidawat ang default nga aksyon
    apply-patakaran
    site-list custom-service control-policy netsvc1-service out

Kini nga pag-configure sa palisiya naghimo sa mosunod:

  • Paghimo og lista sa site nga gitawag og custom-service nga gi-refer sa apply-policy command ug nga nag-enumerate sa tanang site nga gipadapat niini nga polisiya.
  • Ipasabut ang usa ka polisiya sa pagkontrol nga ginganlag netsvc1-service nga adunay usa ka elemento sa pagkasunod-sunod ug ang mosunod nga mga kondisyon:
  • Mga ruta sa pagpares nga gitakda alang sa VPN 30 ug Site 2.
  • Kung adunay mahitabo, dawata ang ruta ug i-redirect kini sa naandan nga serbisyo.
  • Kung dili mahitabo ang usa ka duwa, dawata ang trapiko.
  • Ipadapat ang polisiya sa mga site sa listahan sa custom-service, nga mao, saSite 3. Ang Cisco vSmart controller naggamit niini nga polisiya sa outbound nga direksyon, nga mao, sa mga rota nga gi-apod-apod niini ngadto sa Site 3. Niini nga mga rota:
  • Ang TLOC giusab gikan sa Site 2's TLOC ngadto sa Hub-2 router's TLOC. Kini ang TLOC nga nahibal-an sa Cisco SD-WAN Controller gikan sa ruta sa serbisyo nga nadawat gikan sa Hub-2 router.
    Tungod kini sa pagbag-o sa TLOC nga ang trapiko nga gitakda alang sa Site 2 gipunting sa Hub-2 router.
  • Ang label giusab sa svc-id-4, nga nagpaila sa kostumbre nga serbisyo. Kini nga label nagpahinabo sa Hub-2 nga idirekta ang trapiko sa aparato nga nag-host sa kostumbre nga serbisyo

Sa diha nga ang Hub-2 routers makadawat sa trapiko, kini ipadala ngadto sa address 2.2.2.2, nga mao ang sistema sa IP address sa device nga nag-host sa custom nga serbisyo. Human maproseso ang trapiko, ibalik kini sa Hub-2 router, nga ipasa kini ngadto sa kataposang destinasyon niini, Site 2.
Pagruta sa Inter-VPN Traffic pinaagi sa usa ka Service Chain nga adunay Daghang Serbisyo kada Node

Kung ang usa ka kadena sa serbisyo adunay labaw pa sa usa ka serbisyo nga konektado sa parehas nga node, nga mao, ang duha nga mga serbisyo naa sa luyo sa parehas nga aparato, mogamit ka usa ka kombinasyon sa palisiya sa pagkontrol ug palisiya sa datos aron mahimo ang gitinguha nga kadena sa serbisyo. Ang exampAng dinhi susama sa usa sa miaging seksyon, apan sa baylo adunay usa ka firewall ug usa ka kostumbre nga serbisyo (netsvc-1) luyo sa usa ka hub router. Dinhi, gusto namon ang tanan nga trapiko sa datos gikan sa device-1 sa VPN 20 nga gitakda alang sa prefix xx0.0/16 sa device-2 sa VPN 30 nga una nga moagi sa firewall sa Hub-1, dayon pinaagi sa custom service netsvc1, usab sa Hub -1, ug dayon ngadto sa kataposang destinasyon niini.

Aron molihok kini nga palisiya:

  • Ang VPN 10, VPN 20, ug VPN 30 kinahanglang konektado sa extranet, sama sa Internet.
  • Ang VPN 10 kinahanglan nga mag-import sa mga ruta gikan sa VPN 20 ug VPN 30. Ang mga ruta mahimong pilion nga ma-import kung gikinahanglan.
  • Ang VPN 20 kinahanglan nga mag-import sa mga ruta gikan sa VPN 30. Ang mga ruta mahimong pilion nga ma-import kung gikinahanglan.
  • Ang VPN 30 kinahanglan nga mag-import sa mga ruta gikan sa VPN 20. Ang mga ruta mahimong pilion nga ma-import kung gikinahanglan.

Alang niini nga senaryo, imong gi-configure ang mosunod:

  • Sa hub router, imong gi-configure ang firewall ug custom services.
  • Sa Cisco SD-WAN Controller, imong gi-configure ang usa ka polisiya sa pagkontrol nga nag-redirect sa trapiko sa datos gikan sa Site 1 nga gitakda sa Site 2 pinaagi sa firewall.
  • Sa Cisco SD-WAN Controller, imong gi-configure ang usa ka palisiya sa datos nga nag-redirect sa trapiko sa datos sa kostumbre nga serbisyo.

Ania ang pamaagi sa pag-configure:

  1. Sa hub router, i-configure ang firewall ug custom services:
    vpn 10
    serbisyo FW address 10.1.1.1
    serbisyo netsvc1 address 2.2.2.2
    Uban niini nga pag-configure, ang OMP sa hub router nag-anunsyo sa duha ka ruta sa serbisyo sa Cisco SD-WAN Controller, usa alang sa firewall ug ang ikaduha alang sa kostumbre nga serbisyo netsvc1. Ang duha ka ruta sa serbisyo adunay TLOC sa Hub-1 nga router ug usa ka label sa serbisyo nga nagpaila sa tipo sa serbisyo.
  2. Sa Cisco SD-WAN Controller, i-configure ang usa ka control policy controller aron i-reroute ang trapiko para sa VPN 30 (sa Site 2) ngadto sa firewall service nga konektado sa Hub-1 (sa Site 3), ug i-apply kini nga polisiya sa Site 1:
    palisiya
    mga listahan
    site-list device-1
    site-id 1
    control-policy firewall-serbisyo
    sunodsunod 10
    ruta sa duwa
    vpn 30
    aksyon dawaton
    ibutang ang serbisyo FW
    apply-patakaran
    site-list device-1 control-policy firewall-service out
  3. Sa CiscoSD-WAN Controller, i-configure ang usa ka polisiya sa datos nga nag-redirect, o mga kadena, ang trapiko sa datos nga nadawat gikan sa firewall device ngadto sa custom service netsvc1. Dayon i-apply kini nga polisiya sa Hub-1. Kini nga polisiya sa datos nag-ruta sa mga packet padulong sa mga destinasyon sa network xx0.0/16 ngadto sa IP address 2.2.2.2, nga mao ang sistema sa IP address sa device nga nag-host sa custom nga serbisyo.
    palisiya
    mga listahan
    site-list device-2
    site-id 2
    lista sa site Hub-1
    site-id 3
    prefix-list svc-chain
    ip-prefix xx0.0/16
    vpn-list vpn-10
    vpn 10
    data-policy netsvc1-policy
    vpn-list vpn-10
    sunodsunod 1
    duwa
    ip-destinasyon xx0.0/16
    aksyon dawaton
    itakda ang sunod-hop 2.2.2.2
    apply-patakaran
    site-list Hub-1 data-policy netsvc1-policy from-service

Aktibo o Backup nga Scenario nga adunay Service Chaining

Kung gigamit ang gitakda nga aksyon sa serbisyo aron ma-configure ang aktibo o backup nga polisiya sa pagkontrol nga adunay gitakda nga aksyon sa serbisyo alang sa pagdena sa serbisyo, kung ang kinatibuk-ang gidaghanon sa magamit nga mga agianan (summary sa aktibo ug standby nga mga agianan) labaw pa sa gi-configure nga limitasyon sa pagpadala sa agianan, ayaw itakda ang gusto direkta sa mga rota. Siguruha nga gamiton ang set tloc-list nga aksyon aron itakda ang mga gusto kauban ang set nga aksyon sa serbisyo. Kung dili, mahimo nimong makita ang mga kaso diin ang aktibo o backup nga mga agianan lamang ang gi-advertise sa usa ka partikular nga spoke router.

Kay exampug, sa Cisco SD-WAN Controller OMP lamesa, adunay walo ka aktibo ug backup nga mga dalan. Pinasukad sa labing maayo nga kalkulasyon sa agianan, ang mga agianan gisunud sa mosunod nga han-ay:

backup1, backup2, backup3, backup4, active1, active2, active3, active4

Kung gi-configure ang send-path-limit 4, kung imong ipadapat ang una nga palisiya, ang upat ra nga backup nga mga agianan ang ipadala. Kung imong i-apply ang ikaduhang polisiya, duha ka aktibo ug duha ka backup nga mga agianan ang ipadala.

ExampAng polisiya nga delikado sa mga kapakyasan kung ang send-path-limit mas ubos kaysa total nga gidaghanon sa aktibo ug backup nga mga agianan:
control-policy SET_SERVICE_ACTIVE-BACKUP
sunodsunod 10
ruta sa duwa
prefix-list _AnyIpv4PrefixList
lista sa site HUBS_PRIMARY
tloc-list INTERNET_TLOCS
!
aksyon dawaton
gitakda
gusto 200
serbisyo FW vpn 10
!
!
!
sunodsunod 20
ruta sa duwa
prefix-list _AnyIpv4PrefixList
site-list HUBS_SECONDARY
tloc-list INTERNET_TLOCS
!
aksyon dawaton
gitakda
gusto 100
serbisyo FW vpn 10
!
!
!
gidawat ang default nga aksyon
!
!
Example sa parehas nga palisiya apan gitakda sumala sa mga rekomendasyon:
palisiya
mga listahan
tloc-list HUBS_PRIMARY_INTERNET_TLOCS
tloc 10.0.0.0 color biz-internet encap ipsec preference 200
tloc 10.0.0.1 color biz-internet encap ipsec preference 200
!
tloc-list HUBS_SECONDARY_INTERNET_TLOCS
tloc 10.255.255.254 color biz-internet encap ipsec preference 100
tloc 10.255.255.255 color biz-internet encap ipsec preference 100
!
!
control-policy SET_SERVICE_ACTIVE-BACKUP_FIXED
sunodsunod 10
ruta sa duwa
prefix-list _AnyIpv4PrefixList
lista sa site HUBS_PRIMARY
tloc-list INTERNET_TLOCS
!
aksyon dawaton
gitakda
serbisyo FW vpn 10 tloc-list HUBS_PRIMARY_INTERNET_TLOCS
!
!
!
sunodsunod 20
ruta sa duwa
prefix-list _AnyIpv4PrefixList
site-list HUBS_SECONDARY
tloc-list INTERNET_TLOCS
!
aksyon dawaton
gitakda
serbisyo FW vpn 10 tloc-list HUBS_SECONDARY_INTERNET_TLOCS
!
!
!
gidawat ang default nga aksyon
!
!

Pag-monitor sa Service Chaining

Mahimo nimong bantayan ang lainlaing mga aspeto sa pagdena sa serbisyo sa mga hub ug spoke device.

Nota Ang pag-configure sa usa ka service device aron moandar isip kabahin sa service chain gitawag ug service insertion• Sa usa ka hub device, view ang gi-configure nga mga serbisyo.

  • Gikan sa Cisco SD-WAN Manager menu:
    View ang gi-configure nga mga serbisyo sa panid sa pag-monitor sa Tinuod nga Oras (Monitor > Devices > hub-device > Real Time). Para sa Device Options, pilia ang OMP Services.
    Cisco vManage Release 20.6.x ug mas sayo pa: View ang gi-configure nga mga serbisyo sa Real Time monitoring page (Monitor > Network > hub-device > Real Time). Para sa Device Options, pilia ang OMP Services.
  • Sa usa ka spoke device, view ang mga detalye sa agianan sa kadena sa serbisyo.
  • Gamit ang Cisco SD-WAN Manager:
    View ang service chain path sa Traceroute page (Monitor > Devices > spoke-device > Troubleshooting > Connectivity > Trace Route). Pagsulod sa destinasyon nga IP, VPN, ug source interface alang sa gusto nga agianan. Cisco vManage Release 20.6.x ug mas sayo pa: View ang service chain path sa Traceroute page (Monitor > Network > spoke-device > Troubleshooting > Connectivity > Trace Route). Pagsulod sa destinasyon nga IP, VPN, ug source interface alang sa gusto nga agianan.
  • Paggamit sa CLI:
    Gamita ang traceroute nga sugo. Alang sa kasayuran, tan-awa ang Cisco Catalyst SD-WAN Command Reference.

Example: View usa ka Dalan sa Kadena sa Serbisyo Taliwala sa Duha ka Gisulti nga mga Device
Ang mosunod nga example nagpakita unsaon view ang agianan tali sa duha ka spokes sa wala pa ug pagkahuman sa pagdugang sa usa ka kadena sa serbisyo tali kanila, gamit ang Cisco SD-WAN Manager o ang CLI.

Alang sa katin-awan, ang exampGipresentar ni le ang usa ka senaryo sa duha ka spoke device, usa ka hub device, ug usa ka service device nga naghatag ug firewall service, ug nagpakita kon unsaon pag-configure ang firewall service chain.

Ania ang mga detalye alang sa matag aparato sa senaryo:

Device Address
Hub, pinaagi sa interface ge0/4 10.20.24.15
Gisulti 1 10.0.3.1
Gisulti 2 10.0.4.1
Serbisyo device (serbisyo sa firewall) 10.20.24.17

Pag-configure sa tulo ka mga aparato: Hub
====
vm5# ipakita ang running-config vpn 1
vpn 1
ngalan ospf_and_bgp_configs
serbisyo FW
adres 10.20.24.17
paggawas
router
ospf
router-id 10.100.0.1
mga timer spf 200 1000 10000
ipanghatag pag-usab ang static
ipanghatag pag-usab ang omp
dapit 0
interface ge0/4
paggawas
paggawas
!
!
interface ge0/4
ip address 10.20.24.15/24
walay shutdown
!
interface ge0/5
ip address 10.30.24.15/24
walay shutdown
!
!
Gisulti 1
=======
vpn 1
ngalan ospf_and_bgp_configs
interface ge0/1
ip address 10.0.3.1/24
walay shutdown
!
!
Gisulti2
======
vpn 1
interface ge0/1
ip address 10.0.4.1/24
walay shutdown
!

  1. Kung wala’y Pagsulud sa Serbisyo:
    Niini nga punto, wala'y polisiya sa pagsal-ot sa serbisyo nga na-configure, mao nga ang pagpatuman sa traceroute sa Spoke 1 aron ipakita ang mga detalye sa agianan ngadto sa Spoke 2 (10.0.4.1) nagpakita sa usa ka yano nga dalan paingon sa Spoke 2:
    → Gisulti 2 (10.0.4.1)
    vm4# traceroute vpn 1 10.0.4.1
    Traceroute 10.0.4.1 sa VPN 1
    pagsubay sa 10.0.4.1 (10.0.4.1), 30 hops max, 60 byte nga mga pakete
    1 10.0.4.1 (10.0.4.1) 7.447 ms 8.097 ms 8.127 ms
  2. Sa susama, viewsa Traceroute nga panid sa Cisco SD-WAN Manager nagpakita sa usa ka yano nga dalan gikan sa Spoke 1
    sa pagsulti 2.
  3. Uban sa Serbisyo Insertion:
    Ang mosunod nga polisiya sa Cisco SD-WAN Controller nag-configure sa pagsal-ot sa serbisyo alang sa serbisyo sa firewall, gamit ang firewall service device nga gihulagway sa ibabaw.
    vm9# ipakita ang running-config nga palisiya
    palisiya
    mga listahan
    site-list firewall-sites
    site-id 400
    !
    !
    control-policy firewall-services
    sunodsunod 10
    ruta sa duwa
    site-id 600
    !
    aksyon dawaton
    gitakda
    serbisyo FW vpn 1
    !
    !
    !
    gidawat ang default nga aksyon
    !
    !
    vm9# ipakita ang running-config apply-policy
    apply-patakaran
    site-list firewall-sites
    control-policy firewall-serbisyo sa gawas
    !
    !
    Human ma-configure ang pagsal-ot sa serbisyo, ang pagpatuman sa traceroute sa Spoke 1 (10.0.3.1) aron ipakita ang mga detalye sa dalan sa Spoke 2 (10.0.4.1) nagpakita niini nga dalan:
    → Hub (10.20.24.15) → Firewall service device (10.20.24.17) → Hub (10.20.24.15) → Spoke 2 (10.0.4.1)
    Traceroute -m 15 -w 1 -s 10.0.3.1 10.0.4.1 sa VPN 1
    pagsubay sa 10.0.4.1 (10.0.4.1), 15 hops max, 60 byte nga mga pakete
    1 10.20.24.15 (10.20.24.15) 2.187 ms 2.175 ms 2.240 ms
    2 10.20.24.17 (10.20.24.17) 2.244 ms 2.868 ms 2.873 ms
    3 10.20.24.15 (10.20.24.15) 2.959 ms 4.910 ms 4.996 ms
    4 10.0.4.1 (10.0.4.1) 5.045 ms 5.213 ms 5.247 ms
    Sa susama, viewsa Traceroute nga panid sa Cisco SD-WAN Manager nagpakita sa matag lakang sa agianan gikan sa Spoke 1 ngadto sa Spoke 2, pinaagi sa hub ug firewall service device.

Pagkadena sa Serbisyo

Mga Dokumento / Mga Kapanguhaan

CISCO SD-WAN Service Chaining [pdf] Giya sa Gumagamit
SD-WAN Service Chaining, SD-WAN, Service Chaining, Chaining

Mga pakisayran

May Kalabutan nga mga Post

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *