Segmentazione CISCO SD-WAN Catalyst

Segmentazione CISCO SD-WAN Catalyst

Cuntenuti ammuccià
1 Segmentazione
2 Segmentazione in Cisco Catalyst SD-WAN
3 VRFs Aduprati in Cisco Catalyst SD-WAN Segmentazione
4 Configurate VRF cù i mudelli Cisco SD-WAN Manager
5 Configurate VPN cù mudelli Cisco SD-WAN Manager
6 Configurate i Paràmetri VPN Basic
7 Configurate e Funzionalità di l'Interfaccia Basica
8 Crea una Interfaccia Tunnel
9 Configurate DNS è Static Hostname Mapping
10 Configurate a Segmentazione Utilizendu a CLI
11 Segmentazione (VRF) Configurazione Esamples
12 Segmentazione CLI Riferimentu
13 Documenti / Risorse
13.1 Referenze
14 Posti cunnessi

Segmentazione

Simbulu Nota Per ottene a simplificazione è a coerenza, a suluzione Cisco SD-WAN hè stata rebranded cum'è Cisco Catalyst SD-WAN. Inoltre, da Cisco IOS XE SD-WAN Release 17.12.1a è Cisco Catalyst SD-WAN Release 20.12.1, i seguenti cambiamenti di cumpunenti sò applicabili: Cisco vManage à Cisco Catalyst SD-WAN Manager, Cisco vAnalytics à Cisco CatalystSD-WAN Analytics, Cisco vBondto Cisco CatalystSD-WAN Validator, è Cisco vSmart à Cisco Catalyst SD-WAN Controller. Vede l'ultime Note di Liberazione per una lista cumpleta di tutti i cambiamenti di marca di cumpunenti. Mentre avemu a transizione à i novi nomi, alcune inconsistenze puderanu esse prisenti in a documentazione stabilita per via di un approcciu graduale à l'aghjurnamenti di l'interfaccia d'utilizatore di u pruduttu software.

A segmentazione di a rete esiste da più di un decenniu è hè stata implementata in parechje forme è forme.
À u so livellu più rudimentale, a segmentazione furnisce l'isolamentu di u trafficu. E forme più cumuni di segmentazione di a rete sò LAN virtuali, o VLAN, per e soluzioni di Layer 2, è di routing virtuale è di inoltri, o VRF, per e soluzioni di Layer 3.
Ci sò parechji casi d'usu per a segmentazione:

Casi d'usu per a segmentazione

  • Una impresa vole mantene diverse linee di cummerciale separate (per esample, per motivi di sicurezza o di audit).
  • U dipartimentu IT vole mantene l'utilizatori autentificati separati da l'utilizatori invitati.
  • Una tenda di vendita vole separà u trafficu di surviglianza video da u trafficu transazionale.
  • Una impresa vole dà à i partenarii cummerciale un accessu selettivu solu à alcune parte di a reta.
  • Un serviziu o un affari hà bisognu di rinfurzà u rispettu regulatori, cum'è u rispettu di HIPAA, i Stati Uniti
    Attu di Portabilità è Responsabilità di l'Assicuranza Sanitaria, o cù i normi di sicurezza di l'Industria di Carte di Pagamentu (PCI).
  • Un prestatore di servizii voli furnisce servizii VPN à e so imprese mediane.

Limitazioni di a segmentazione

Una limitazione inherente di a segmentazione hè u so scopu. Soluzioni di segmentazione o sò cumplessi o sò limitati à un solu dispositivu o paru di dispusitivi cunnessi cù una interfaccia. Cum'è example, a segmentazione di u Layer 3 furnisce i seguenti:

  1. Capacità di raggruppà i prefissi in una tabella di rotta unica (RIB o FIB).
  2. Capacità di associà una interfaccia cù una tabella di rotta in modu chì u trafficu chì traversa l'interfaccia hè instradatu basatu annantu à i prefissi in quella tabella di rotta.

Questa hè una funziunalità utile, ma u so scopu hè limitatu à un solu dispositivu. Per allargà a funziunalità in tutta a reta, l'infurmazione di segmentazione deve esse purtata à i punti pertinenti in a reta.

Cumu attivà a segmentazione in tutta a rete

Ci hè dui approcci per furnisce sta segmentazione in tutta a rete:

  • Definite a pulitica di raggruppamentu in ogni dispusitivu è in ogni ligame in a reta (in fondu, fate i Passi 1 è 2 sopra à ogni dispusitivu).
  • Definite a pulitica di raggruppamentu à i bordi di u segmentu, è poi porta l'infurmazioni di segmentazione in i pacchetti per i nodi intermedii per trattà.

U primu approcciu hè utile si ogni dispositivu hè un puntu di entrata o di uscita per u segmentu, chì ùn hè generalmente micca u casu in e rete media è grande. U sicondu approcciu hè assai più scalabile è mantene a reta di trasportu libera di segmenti è cumplessità.

  • Segmentazione in Cisco Catalyst SD-WAN,
  • VRF Aduprati in Cisco Catalyst SD-WAN Segmentazione,
  • Configurate VRF cù i mudelli Cisco SD-WAN Manager,
  • Configurate VPN cù mudelli Cisco SD-WAN Manager,
  • Configurate a Segmentazione Utilizendu a CLI,
  • Segmentazione CLI Riferimentu,

Segmentazione in Cisco Catalyst SD-WAN

In a reta di sovrapposizione Cisco Catalyst SD-WAN, i VRF dividenu a reta in diversi segmenti.
Cisco Catalyst SD-WAN impiega u mudellu più prevalente è scalabile di creazione di segmenti. Essenzialmente,
A segmentazione hè fatta à i bordi di un router, è l'infurmazione di segmentazione hè purtata in i pacchetti
a forma di identificatore.
A figura mostra a propagazione di l'infurmazioni di routing in un VRF.
Figura 1: Propagazione di l'infurmazioni di routing in un VRF
Propagazione di l'infurmazioni di routing in un Vrf

In questa figura:

  • Router-1 abbona à dui VRF, rossu è blu.
  • U VRF rossu accunsente à u prefissu 10.1.1.0/24 (sia direttamente attraversu una interfaccia cunnessa o amparata cù l'IGP o BGP).
  • U VRF blu si adatta à u prefissu 10.2.2.0/24 (sia direttamente attraversu una interfaccia cunnessa o apprendu cù l'IGP o BGP).
  • Router-2 abbonate à u VRF rossu.
    • Questu VRF currisponde à u prefissu 192.168.1.0/24 (sia direttamente attraversu una interfaccia cunnessa o appresa cù l'IGP o BGP).
  • Router-3 abbona à u VRF turchinu.
    • Questu VRF currisponde à u prefissu 192.168.2.0/24 (sia direttamente attraversu una interfaccia cunnessa o appresa cù l'IGP o BGP).

Perchè ogni router hà una cunnessione Overlay Management Protocol (OMP) nantu à un tunnel TLS à un Cisco SD-WAN Controller, propaga a so infurmazione di routing à u Cisco SD-WAN Controller. Nant'à u Cisco SD-WAN Controller, l'amministratore di a rete pò applicà e pulitiche per abbandunà e rotte, per cambià i TLOC, chì sò overlay next hops, per l'ingegneria di u trafficu o a catena di serviziu. Un amministratore di a rete pò applicà queste pulitiche cum'è pulitiche in entrata è in uscita nantu à u Cisco SD-WAN Controller.
Tutti i prefissi chì appartenenu à un unicu VRF sò guardati in una tabella di rotta separata. Questu furnisce l'isolamentu di u Layer 3 necessariu per i diversi segmenti in a reta. Allora, u Router-1 hà duie tavule di rotta VRF, è u Router-2 è u Router-3 anu ognuna una tavola di rotta. Inoltre, u Cisco SD-WAN Controller mantene u cuntestu VRF di ogni prefissu.
E tabelle di rotta separati furniscenu l'isolamentu nantu à un unicu node. Allora cumu si propaga l'infurmazione di routing in a reta?
In a suluzione Cisco Catalyst SD-WAN, questu hè fattu cù identificatori VRF, cum'è mostra in a figura sottu. Un ID VRF, chì hè purtatu in un pacchettu, identifica ogni VRF in un ligame. Quandu cunfigurate un VRF in un router, u VRF hà una etichetta assuciata cun ellu. U router manda l'etichetta, cù u VRFID, à u Cisco SD-WAN Controller. U Cisco SD-WAN Controller propaga sta infurmazione di mapping ID router-to-VRF à l'altri routers in u duminiu. I routers remoti utilizanu allora sta etichetta per mandà u trafficu à u VRF appropritatu. I routers lucali, quandu ricevenu i dati cù l'etichetta ID VRF, utilizanu l'etichetta per demultiplex u trafficu di dati. Questu hè simile à cumu si usanu l'etichette MPLS. Stu disignu hè basatu annantu à RFC standard è hè conforme à e prucedure regulatori cum'è PCI è HIPAA.

Figura 2: Identificatori VRF
Identificatori VRF

Simbulu Nota A reta di trasportu chì cunnetta i routers ùn hè micca sappiutu di i VRF. Solu i routers cunnosci di VRF; u restu di a reta seguita u routing IP standard.

VRFs Aduprati in Cisco Catalyst SD-WAN Segmentazione

A suluzione Cisco Catalyst SD-WAN implica l'usu di VRF per separà u trafficu.

VRF globale

U VRF globale hè utilizatu per u trasportu. Per rinfurzà a separazione inherente trà i servizii (cum'è i prefissi chì appartenenu à l'impresa) è u trasportu (a reta chì cunnetta i routers), tutte l'interfacce di trasportu, vale à dì, tutti i TLOC, sò guardati in u VRF globale. Questu assicura chì a reta di trasportu ùn pò micca ghjunghje à a reta di serviziu per difettu. Interfacce di trasportu multiple ponu appartene à u stessu VRF, è i pacchetti ponu esse trasmessi à e da l'interfaccia di trasportu.
Un VRF globale cuntene tutte l'interfacce per un dispositivu, eccettu l'interfaccia di gestione, è tutte l'interfacce sò disattivate. Per chì u pianu di cuntrollu si stabilisce in modu chì a reta di overlay pò funziunà, duvete cunfigurà interfacce di tunnel in un VRF globale. Per ogni interfaccia in un VRF globale, deve stabilisce un indirizzu IP, è crea una cunnessione di tunnel chì stabilisce u culore è l'incapsulazione per a cunnessione di trasportu WAN. (L'incapsulazione hè aduprata per a trasmissione di u trafficu di dati.) Questi trè paràmetri - l'indirizzu IP, u culore è l'incapsulazione - definiscenu un TLOC (locu di trasportu) nantu à u router. A sessione OMP in esecuzione in ogni tunelu manda u TLOC à i Controllers Cisco SD-WAN in modu chì ponu amparà a topologia di a rete overlay.

Supportu Dual-Stack nantu à e VPN di trasportu 

In u VRF globale, i dispositi Cisco IOS XE Catalyst SD-WAN è u Cisco SD-WAN Controller supportanu a doppia pila. Per attivà a doppia pila, cunfigurà un indirizzu IPv4 è un indirizzu IPv6 in l'interfaccia di u tunnel. U router ampara da un Controller Cisco SD-WAN se una destinazione supporta l'indirizzi IPv4 o IPv6. Quandu trasmette u trafficu, un router sceglie l'IPv4 o l'IPv6 TLOC, basatu annantu à l'indirizzu di destinazione. Ma IPv4 hè sempre preferitu quandu cunfiguratu.

Gestione VRF

Mgmt-Intf hè a gestione VRFon Dispositivi Cisco IOS XE CatalystSD-WAN. Hè cunfiguratu è attivatu per automaticamente. Porta u trafficu di gestione di a rete fora di banda trà i dispositi in a reta overlay. Pudete mudificà sta cunfigurazione, se necessariu.

Configurate VRF cù i mudelli Cisco SD-WAN Manager

In Cisco SD-WAN Manager, utilizate un mudellu CLI per cunfigurà VRF per un dispositivu. Per ogni VRF, cunfigurà una subinterfaccia è ligà a subinterfaccia à u VRF. Pudete cunfigurà finu à 300 VRF.
Quandu spinghje un mudellu CLI à un dispositivu, Cisco SD-WAN Manager sovrascrive a cunfigurazione esistente nantu à u dispusitivu è carica a cunfigurazione definita in u mudellu CLI. In cunseguenza, u mudellu ùn pò micca furnisce solu u novu cuntenutu cunfiguratu, cum'è VRF. U mudellu CLI deve include tutti i dettagli di cunfigurazione richiesti da u dispusitivu. Per vede i dettagli di cunfigurazione pertinenti nantu à un dispositivu, utilizate u cumandimu show sdwan running-config.
Per i dettagli nantu à a creazione è l'applicazione di mudelli CLI, è per un exampdi cunfigurà VRF, vede u capitulu di i Modelli CLI per Cisco IOS XE Catalyst SD-WAN Routers. Guida di configurazione di sistemi è interfacce, Cisco IOS XE Release 17.x.
I seguenti sò i dispositi supportati:

  • Cisco ASR1001-HX
  • ASR1002-HX

Configurate VPN cù mudelli Cisco SD-WAN Manager

Crea un Template VPN 

Simbulu Nota I dispositi Cisco IOS XE Catalyst SD-WAN utilizanu VRF per a segmentazione è l'isolamentu di a rete. Tuttavia, i seguenti passi si applicanu sempre se cunfigurà a segmentazione per i dispositi Cisco IOS XE Catalyst SD-WAN attraversu Cisco SD-WAN Manager. Quandu compie a cunfigurazione, u sistema converte automaticamente e VPN in VRF per i dispositi Cisco IOS XE Catalyst SD-WAN.

Simbulu Nota Pudete cunfigurà una strada statica attraversu u mudellu VPN.

  • Passu 1 Da u menu Cisco SD-WAN Manager, sceglite Configurazione> Modelli.
  • Passu 2 Cliccate Device Templates, è cliccate Crea Template.
    Nota In Cisco vManage Release 20.7.x e versioni precedenti i mudelli di Dispositivi sò chjamati Dispositivi.
  • Passu 3 Da a lista a tendina Crea Template, sceglite From Feature Template.
  • Passu 4 Da a lista di u Modellu di Dispositivi, sceglite u tipu di dispusitivu per quale vulete creà u mudellu.
  • Passu 5 Per creà un mudellu per VPN 0 o VPN 512:
    a. Cliccate Trasportu è Gestione VPN, o scorri à a sezione Trasportu è Gestione VPN.
    b. Da a lista di u VPN 0 o VPN 512, cliccate Crea Template. A forma di mudellu VPN appare.
    A forma cuntene campi per u nome di u mudellu, è campi per definisce i paràmetri VPN.
  • Passu 6 Per creà un mudellu per VPN da 1 à 511, è da 513 à 65527:
    a. Cliccate Service VPN, o scorri à a sezione Service VPN.
    b. Cliccate nant'à u serviziu VPN lista drop-down.
    c. Da a lista di VPN, cliccate Crea Template. A forma di u mudellu VPN mostra.
    A forma cuntene campi per u nome di u mudellu, è campi per definisce i paràmetri VPN.
  • Passu 7 In Template Name, inserite un nome per u mudellu. U nome pò esse finu à 128 caratteri è pò cuntene solu caratteri alfanumerichi.
  • Passu 8 In Template Description, inserite una descrizzione di u mudellu. A descrizzione pò esse finu à 2048 caratteri è pò cuntene solu caratteri alfanumerichi.

Configurate i Paràmetri VPN Basic

Per cunfigurà i paràmetri di basa VPN, sceglite Configurazione di basa è dopu cunfigurà i seguenti parametri.
I paràmetri marcati cù un asteriscu sò necessarii per cunfigurà una VPN.

Nome di u paràmetru Descrizzione
VPN Inserite l'identificatore numericu di a VPN.
Gamma per i dispositi SD-WAN Cisco IOS XE Catalyst: da 0 à 65527
Valori per i dispositi Cisco Catalyst SD-WAN Controller è Cisco SD-WAN Manager: 0, 512
Nome Inserite un nome per a VPN.
Nota Per i dispositi Cisco IOS XE Catalyst SD-WAN, ùn pudete micca inserisce un nome specificu di u dispositivu per a VPN.
Migliora a chjave ECMP Cliccate On per attivà l'usu in a chjave ECMP hash di i porti d'origine è di destinazione Layer 4, in più di a cumminazione di l'indirizzi IP di l'urigine è di destinazione, cum'è a chjave ECMP hash.
A chjave ECMP hè Off per difettu.

Simbulu Nota Per compie a cunfigurazione di a VPN di trasportu in un router, deve cunfigurà almenu una interfaccia in VPN 0.

Per salvà u mudellu di funziunalità, cliccate Salvà.

Configurate l'algoritmu di equilibriu di carica cù l'CLI

Simbulu Nota

Partendu da Cisco IOS XE Catalyst SD-WAN Release 17.8.1a, avete bisognu di un mudellu CLI per cunfigurà l'algoritmu di spartera di carica solu src per u trafficu IPv4 è IPv6 Cisco CatalystSD-WAN è micca Cisco CatalystSD-WAN. Per i dettagli cumpleti nantu à l'algoritmu CLI di spartera di carica, vede Comandi IP lista.

Questu seguitu furnisce cunfigurazioni CLI per a selezzione di un algoritmu di bilanciamentu di carica Cisco ExpressForwarding per u trafficu IPv4 è IPv6 non Cisco CatalystSD-WAN. Pudete attivà ECMPkeying per mandà e cunfigurazioni per IPv4 è IPv6.
Device# config-transaction
Device(config)# ip cef load-sharing algorithm {universal [id] | include-ports [ source [id]
| destination [id]] |
src-only [id]}

Device# config-transaction
Device(config)# ipv6 cef load-sharing algorithm {universal [id] | include-ports [ source
[id] | destination [id]] |
src-only [id]}

Questa seguente furnisce cunfigurazioni CLI per attivà l'algoritmu di bilanciamentu di carica nantu à una interfaccia per u trafficu Cisco Catalyst SD-WAN IPv4 è IPv6. Pudete attivà a chjave ECMP per mandà e cunfigurazioni per IPv4 è IPv6.

Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ip load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}
Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ipv6 load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}

Configurate e Funzionalità di l'Interfaccia Basica

Per cunfigurà a funziunalità di l'interfaccia di basa in una VPN, sceglite Configurazione di basa è cunfigurà i seguenti parametri:

Simbulu Nota I paràmetri marcati cù un asteriscu sò necessarii per cunfigurà una interfaccia.

Nome di u paràmetru IPv4 o IPv6 Opzioni Descrizzione
Chjodi* Cliccate Innò per attivà l'interfaccia.
Nome d'interfaccia* Inserite un nome per l'interfaccia.

Per i dispositi Cisco IOS XE Catalyst SD-WAN, duvete:

  • Scrive completamente i nomi di l'interfaccia (per esample, GigabitEthernet0/0/0).
  • Configurate tutte l'interfacce di u router, ancu s'ellu ùn avete micca utilizatu, in modu chì sò cunfigurati in u statu di chjusu è cusì chì tutti i valori predeterminati per elli sò cunfigurati.
Descrizzione Inserite una descrizzione per l'interfaccia.
IPv4 / IPv6 Cliccate IPv4 per cunfigurà una interfaccia VPN IPv4. Cliccate IPv6 per cunfigurà una interfaccia IPv6.
Dinamica Cliccate Dinamica per stabilisce l'interfaccia cum'è un cliente DHCP (Dynamic Host Configuration Protocol), per chì l'interfaccia riceve u so indirizzu IP da un servitore DHCP.
Tramindui DHCP

Distanza

 Opcionalmente, inserite un valore di distanza amministrativa per e rotte amparate da un servitore DHCP. Predeterminatu hè 1.
IPv6 DHCP

Impegnu Rapidu

 Opcionalmente, cunfigurà u servitore locale DHCP IPv6 per supportà DHCP Rapid Commit, per attivà a cunfigurazione di u cliente più veloce è a cunferma in ambienti occupati.
Cliccate On per attivà DHCP rapid commit.
Cliccate Off per cuntinuà aduprà u prucessu di cummissione regulare.
Staticu Cliccate Staticu per inserisce un indirizzu IP chì ùn cambia micca.
IPv4 IPv4 Indirizzu Inserite un indirizzu IPv4 staticu.
IPv6 IPv6 Indirizzu Inserite un indirizzu IPv6 staticu.
Indirizzu IP secundariu IPv4 Cliccate Add per inserisce finu à quattru indirizzi IPv4 secundari per una interfaccia di serviziu.
Indirizzu IPv6 IPv6 Cliccate Add per inserisce finu à dui indirizzi IPv6 secundarii per una interfaccia di serviziu.
DHCP Helper Tramindui Per designà l'interfaccia cum'è assistente DHCP in un router, inserite finu à ottu indirizzi IP, separati da virgule, per i servitori DHCP in a reta. Una interfaccia d'aiutu DHCP trasmette Boot P (diffusione) richieste DHCP chì riceve da i servitori DHCP specificati.
Bloccu IP Non-Source / Innò Cliccate per avè l'interfaccia di u trafficu avanti solu se l'indirizzu IP fonte di u trafficu currisponde à a gamma di prefissi IP di l'interfaccia. Cliccate Innò per permette un altru trafficu.

Crea una Interfaccia Tunnel

In i dispositi Cisco IOS XE Catalyst SD-WAN, pudete cunfigurà finu à ottu interfacce di tunnel. Questu significa chì ogni router di u dispositivu Cisco IOS XE Catalyst SD-WAN pò avè finu à ottu TLOC. In Cisco Catalyst SD-WAN Controllers è Cisco SD-WAN Manager, pudete cunfigurà una interfaccia di tunnel.
Per chì u pianu di cuntrollu si stabilisce in modu chì a reta di overlay pò funziunà, duvete cunfigurà l'interfacce di trasportu WAN in VPN 0. L'interfaccia WAN permetterà u flussu di u trafficu di u tunnel à u overlay. Pudete aghjunghje altri paràmetri mostrati in a tavula sottu solu dopu avè configuratu l'interfaccia WAN cum'è una interfaccia di tunnel.
Per cunfigurà una interfaccia di tunnel, selezziunate Interface Tunnel è cunfigurà i seguenti parametri:

Nome di u paràmetru Descrizzione
Interfaccia Tunnel Cliccate On per creà una interfaccia di tunnel.
Culore Sceglite un culore per u TLOC.
Port Hop Cliccate On per attivà u portu hopping, o cliccate Off per disattivà lu. Se u port hopping hè attivatu in u mondu, pudete disattivà in un TLOC individuale (interfaccia di tunnel). Per cuntrullà u saltu di u portu à u livellu glubale, utilizate u Sistema mudellu di cunfigurazione.

Default: Abilitatu Cisco SD-WAN Manager è Cisco Catalyst SD-WAN Controller default: Disabled
TCP MSS TCP MSS affetta qualsiasi pacchettu chì cuntene un header TCP iniziale chì scorri à traversu u router. Quandu cunfiguratu, TCP MSS hè esaminatu contr'à u MSS scambiatu in a stretta di manu à trè. U MSS in l'intestazione hè abbassatu se l'impostazione TCP MSS cunfigurata hè più bassu di l'MSS in l'intestazione. Se u valore di l'intestazione MSS hè digià più bassu di u TCP MSS, i pacchetti passanu senza mudificà. L'ospitu à a fine di u tunelu usa u paràmetru più bassu di i dui ospiti. Se u TCP MSS deve esse cunfiguratu, deve esse stabilitu à 40 bytes più bassu di u minimu MTU di u percorsu.
Specificate u MSS di i pacchetti TPC SYN chì passanu per u dispositivu Cisco IOS XE Catalyst SD-WAN. Per automaticamente, u MSS hè dinamicamente aghjustatu basatu annantu à l'interfaccia o tunnel MTU in modu chì i pacchetti TCP SYN ùn sò mai frammentati. Gamma: 552 à 1460 bytes Default: Nimu
Clear-Dont-Fragment Configurate Clear-Dont-Fragment per i pacchetti chì arrivanu à una interfaccia chì ùn hà micca cunfiguratu Fragment. Sì sti pacchetti sò più grande di ciò chì MTU permette, sò abbandunati. Se sguassate u pocu Frammentu, i pacchetti sò frammentati è mandati.

Cliccate On per sguassà u bit Dont Fragment in l'intestazione di u pacchettu IPv4 per i pacchetti chì sò trasmessi fora di l'interfaccia. Quandu u bit Dont Fragment hè sbulicatu, i pacchetti più grande di u MTU di l'interfaccia sò frammentati prima di esse mandati.

Nota Clear-Dont-Fragment cancella u bit Dont Fragment è u bit Dont Fragment hè impostatu. Per i pacchetti chì ùn anu micca bisognu di frammentazione, u bit Dont Fragment ùn hè micca affettatu.
Permette u serviziu Selezziunà On or Off per ogni serviziu per permette o disadlow u serviziu nantu à l'interfaccia.

Per cunfigurà parametri supplementari di l'interfaccia di tunnel, cliccate Opzioni Avanzate:

Nome di u paràmetru Descrizzione
Carrier Selezziunate u nome di u trasportatore o l'identificatore di a rete privata per associà cù u tunnel.

Valori: carrier1, carrier2, carrier3, carrier4, carrier5, carrier6, carrier7, carrier8, default
Default: default
NAT Refresh Interval Inserite l'intervallu trà i pacchetti di rinfrescante NAT mandati nantu à una cunnessione di trasportu DTLS o TLS WAN.
Gamma: da 1 à 60 seconde
Default: 5 seconde
Salutami Interval Inserite l'intervallu trà i pacchetti Hello mandati nantu à una cunnessione di trasportu DTLS o TLS WAN.
Gamma: da 100 à 10000 millisecondi
Default: 1000 millisecondi (1 seconde)
Ciao Tolerance Inserite u tempu d'aspittà per un pacchettu Hello nantu à una cunnessione di trasportu DTLS o TLS WAN prima di dichjarà chì u tunnel di trasportu hè falatu.
Gamma: da 12 à 60 seconde
Default: 12 seconde

Configurate DNS è Static Hostname Mapping

Per cunfigurà l'indirizzi DNS è u mapping staticu di l'hostname, cliccate DNS è cunfigurà i seguenti parametri:

Nome di u paràmetru Opzioni Descrizzione
Indirizzu DNS primariu Cliccate sia IPv4 or IPv6, è inserite l'indirizzu IP di u servitore DNS primariu in questa VPN.
Novu indirizzu DNS Cliccate Novu indirizzu DNS è inserite l'indirizzu IP di un servitore DNS secundariu in questa VPN. Stu campu appare solu s'ellu avete specificatu un indirizzu DNS primariu.
Marca cum'è Fila Opzionale Verificate u Marca cum'è Fila Opzionale check box per marcà questu

cunfigurazione cum'è specificu di u dispusitivu. Per include sta cunfigurazione per un dispositivu, inserite i valori di variabili dumandati quandu aghjunghje un mudellu di u dispositivu à un dispositivu, o creanu un fogliu di calculu di variabili di mudellu per applicà e variàbili.
Hostname Inserite u hostname di u servitore DNS. U nome pò esse finu à 128 caratteri.
Lista di l'indirizzi IP Inserite finu à ottu indirizzi IP per associà cù u nome d'ospite. Separate e voci cù virgule.
Per salvà a cunfigurazione di u servitore DNS, cliccate Add.

Per salvà u mudellu di funziunalità, cliccate Salvà.

Mappatura di nomi di host à l'indirizzi IP

! IP DNS-based host name-to-address translation is enabled ip domain lookup
! Specifies hosts 192.168.1.111 and 192.168.1.2 as name servers ip name-server 192.168.1.111 192.168.1.2
! Defines cisco.com as the default domain name the device uses to complete
! Set the name for unqualified host names ip domain name cisco.com

Configurate a Segmentazione Utilizendu a CLI

Configurate VRFs Utilizendu u CL

Per segmentà e rete di l'utilizatori è u trafficu di dati d'utilizatori in u locu in ogni situ è ​​per interconnettà i siti di l'utilizatori attraversu a rete di overlay, create VRF in i dispositi Cisco IOS XE Catalyst SD-WAN. Per attivà u flussu di u trafficu di dati, assuciate interfacce cù ogni VRF, assignendu un indirizzu IP à ogni interfaccia. Queste interfacce sò cunnessi à e rete di u situ lucale, micca à i nuvuli di trasportu WAN. Per ognuna di queste VRF, pudete stabilisce altre proprietà specifiche di l'interfaccia, è pudete cunfigurà caratteristiche specifiche per u segmentu di l'utilizatori, cum'è routing BGP è OSPF, VRRP, QoS, furmazione di trafficu è pulizie.
In i dispositi Cisco IOS XE Catalyst SD-WAN, un VRF globale hè utilizatu per u trasportu. Tutti i dispositi Cisco IOS XE Catalyst SD-WAN anu Mgmt-intf cum'è VRF di gestione predeterminatu.
Per cunfigurà VRF in i dispositi Cisco IOS XE Catalyst SD-WAN, seguite questi passi

Simbulu Nota

  • Aduprate u cumandamentu di cunfigurazione-transazzione per apre u modu di cunfigurazione CLI. U cumandamentu di u terminal di cunfigurazione ùn hè micca supportatu nantu à i dispositi Cisco IOS XE Catalyst SD-WAN.
  • L'ID VRF pò esse qualsiasi numeru trà 1 à 511 è 513 à 65535. I numeri 0 è 512 sò riservati per Cisco SD-WAN Manager è Cisco SD-WAN Controller.
  1. Configurate i VRF di serviziu.
    config-transaction
    vrf definition 10
    rd 1:10
    address-family ipv4
    exit-address-family
    exit
    address-family ipv6
    exit-address-family
    exit
    exit
  2. Configurate l'interfaccia di u tunnel per esse aduprata per a cunnessione di overlay. Ogni interfaccia di tunnel si lega à una sola
    Interfaccia WAN. Per esample, se l'interfaccia di u router hè Gig0/0/2, u numeru di l'interfaccia di u tunnel hè 2.
    config-transaction
    interface Tunnel 2
    no shutdown
    ip unnumbered GigabitEthernet1
    tunnel source GigabitEthernet1
    tunnel mode sdwan
    exit
  3. Se u router ùn hè micca cunnessu à un servitore DHCP, cunfigurà l'indirizzu IP di l'interfaccia WAN.
    interface Gigabi tEthernet 1
    no shutdown
    ip address dhcp
  4. Configurate i paràmetri di u tunnel.
    config-transaction
    sdwan
    interface GigabitEthernet 2
    tunnel-interface
    encapsulation ipsec
    color lte
    end
    Simbulu Nota
    Se un indirizzu IP hè cunfiguratu manualmente nantu à u router, cunfigurà una strada predeterminata cum'è mostra quì sottu. L'indirizzu IP
    sottu indica un indirizzu IP di u prossimu hop.
    config-transaction
    ip route 0.0.0.0 0.0.0.0 192.0.2.25
  5. Attivate OMP per publicità vroute di segmentu VRF.
    sdwan
    omp
    no shutdown
    graceful-restart
    no as-dot-notation
    timers
    holdtime 15
    graceful-restart-timer 120
    exit
    address-family ipv4
    advertise ospf external
    advertise connected
    advertise static
    exit
    address-family ipv6
    advertise ospf external
    advertise connected
    advertise static
    exit
    address-family ipv4 vrf 1
    advertise bgp
    exit
    exit
  6. Configurate l'interfaccia di serviziu VRF.
    config-transaction
    interface GigabitEthernet 2
    no shutdown
    vrf forwarding 10
    ip address 192.0.2.2 255.255.255.0
    exit

Verificate a cunfigurazione

Eseguite u cumandamentu brevi show ip vrf à view infurmazione nantu à l'interfaccia VRF.

Dispositivu # sh ip vrf brief

Nome RD predefinitu Interfacce
10 1: 10 Gi4
11 1: 11 Gi3
30 1: 30
65528 Lo65528

Segmentazione (VRF) Configurazione Esamples

Qualchidunu example di creazione è di cunfigurà VRF per aiutà à capisce a prucedura di cunfigurazione per a segmentazione di e rete.

Configurazione nantu à u Cisco Catalyst SD-WAN Controller

In u Cisco Catalyst SD-WAN Controller, cunfigurate i paràmetri di u sistema generale è e duie VPN - VPN 0 per u trasportu WAN è VPN 512 per a gestione di a rete - cum'è avete fattu per u Cisco IOS XE Catalyst SD-WAN device. Inoltre, generalmente crea una pulitica di cuntrollu centralizata chì cuntrolla cumu u trafficu VPN hè propagatu à traversu u restu di a reta. In questu particulari example, avemu crià una pulitica cintrali, mustratu sottu, à falà prefissi indesiderati da propagating à traversu u restu di a reta. Pudete aduprà una sola pulitica Cisco Catalyst SD-WAN Controller per rinfurzà e pulitiche in tutta a reta.

Eccu i passi per creà a pulitica di cuntrollu nantu à u Cisco Catalyst SD-WAN Controller:

  1. Crea una lista di l'ID di siti per i siti induve vulete abbandunà prefissi indesiderati:
    vSmart(config)# policy lists site-list 20-30 site-id 20
    vSmart(config-site-list-20-30)# site-id 30
  2. Crea una lista di prefissi per i prefissi chì ùn vulete micca propagate:
    vSmart(config)# policy lists prefix-list drop-list ip-prefix 10.200.1.0/24
  3. Crea a pulitica di cuntrollu:
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 match route
    prefix-list drop-list
    vSmart(config-match)# top
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 action reject
    vSmart(config-action)# top
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 default-action
    accept
    vSmart(config-default-action)# top
  4. Applica a pulitica à i prefissi in entrata à u controller Cisco Catalyst SD-WAN Controller:
    vSmart(config)# apply-policy site-list 20-30 control-policy drop-unwanted-routes in

Eccu a cunfigurazione completa di a pulitica nantu à u controller Cisco Catalyst SD-WAN Controller:

apply-policy
site-list 20-30
control-policy drop-unwanted-routes in
!
!
policy
lists
site-list 20-30
site-id 20
site-id 30
!
prefix-list drop-list
ip-prefix 10.200.1.0/24
!
!
control-policy drop-unwanted-routes
sequence 10
match route
prefix-list drop-list
!
action reject
!
!
default-action accept
!
!

Segmentazione CLI Riferimentu

Comandi CLI per a segmentazione di monitorizazione (VRF).

  • mostra dhcp
  • mostra ipv6 dhcp
  • mostra ip vrf brevi
  • mostra i cumandamenti igmp
  • mostra i gruppi ip igmp
  • mostra i cumandamenti pim

Documenti / Risorse

Segmentazione CISCO SD-WAN Catalyst [pdfGuida di l'utente
SD-WAN, SD-WAN Segmentazione di catalizzatore, Segmentazione di catalizzatore, Segmentazione

Referenze

Posti cunnessi

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *