Segmentation Catalyst CISCO SD-WAN

Segmentation Catalyst CISCO SD-WAN

Clàr-innse seiche
1 Sgaradh
2 Sgaradh ann an Cisco Catalyst SD-WAN
3 VRFs air an cleachdadh ann an roinn Cisco Catalyst SD-WAN
4 Dèan rèiteachadh air VRF a’ cleachdadh Teamplaidean Manaidsear Cisco SD-WAN
5 Dèan rèiteachadh air VPNn a’ cleachdadh teamplaidean manaidsear Cisco SD-WAN
6 Dèan rèiteachadh air paramadairean VPN bunaiteach
7 Dèan rèiteachadh air gnìomhachd eadar-aghaidh bunaiteach
8 Cruthaich Eadar-aghaidh Tunail
9 Dèan rèiteachadh air DNS agus Mapadh Ainm-aoigheachd Statach
10 Dèan rèiteachadh air sgaradh a’ cleachdadh an CLI
11 Segmentation (VRFs) Configuration Examples
12 Iomradh CLI Segmentation
13 Sgrìobhainnean/Goireasan
13.1 Iomraidhean
14 Puist Co-cheangailte

Sgaradh

samhladh Thoir an aire Gus sìmpleachadh agus cunbhalachd a choileanadh, chaidh fuasgladh Cisco SD-WAN ath-bhranndadh mar Cisco Catalyst SD-WAN. A bharrachd air an sin, bho Cisco IOS XE SD-WAN Release 17.12.1a agus Cisco Catalyst SD-WAN Release 20.12.1, tha na h-atharrachaidhean co-phàirteach a leanas buntainneach: Cisco vManage gu Cisco Catalyst SD-WAN Manager, Cisco vAnalyticsto Cisco CatalystSD-WAN Analytics, Cisco vBondto Cisco CatalystSD-WAN Validator, agus Cisco vSmart gu Rianadair SD-WAN Cisco Catalyst. Faic na Notaichean Foillseachaidh as ùire airson liosta fharsaing de na h-atharrachaidhean ainm branda co-phàirteach. Fhad ‘s a ghluaiseas sinn gu na h-ainmean ùra, dh’ fhaodadh cuid de neo-chunbhalachd a bhith an làthair anns an t-seata sgrìobhainnean air sgàth dòigh-obrach mean air mhean airson ùrachadh eadar-aghaidh an neach-cleachdaidh air toradh bathar-bog.

Tha sgaradh lìonra air a bhith ann airson còrr air deich bliadhna agus chaidh a chuir an gnìomh ann an grunn chruthan agus chumaidhean.
Aig an ìre as bunaitiche, tha sgaradh a’ toirt iomallachd trafaic. Is e na seòrsaichean roinn lìonra as cumanta LANan mas-fhìor, no VLANn, airson fuasglaidhean Sreath 2, agus slighe mas-fhìor agus cur air adhart, no VRF, airson fuasglaidhean Sreath 3.
Tha grunn chùisean cleachdaidh ann airson sgaradh:

Cleachd Cùisean airson Segmentation

  • Tha iomairt ag iarraidh diofar loidhnichean de ghnìomhachas a chumail air leth (airson example, adhbharan tèarainteachd no sgrùdaidh).
  • Tha an roinn IT airson luchd-cleachdaidh dearbhte a chumail air leth bho luchd-cleachdaidh aoighean.
  • Tha stòr reic ag iarraidh trafaic faire bhidio a sgaradh bho thrafaig malairt.
  • Tha iomairt ag iarraidh cothrom roghnach a thoirt do chom-pàirtichean gnìomhachais dìreach gu cuid de phàirtean den lìonra.
  • Feumaidh seirbheis no gnìomhachas gèilleadh riaghlaidh a chuir an gnìomh, leithid gèilleadh ri HIPAA, na SA
    Achd So-ghiùlain is Cunntachalachd Àrachais Slàinte, no le inbhean tèarainteachd Gnìomhachas nan Cairtean Pàighidh (PCI).
  • Tha solaraiche seirbheis ag iarraidh seirbheisean VPN a thoirt dha na h-iomairtean meadhanach mòr aige.

Cuingeachaidhean air Segmentation

Is e aon chuingealachadh gnèitheach air sgaradh a raon. Tha fuasglaidhean sgaraidh an dàrna cuid iom-fhillte no air an cuingealachadh ri aon inneal no paidhir innealan ceangailte a’ cleachdadh eadar-aghaidh. Mar example, tha sgaradh Sreath 3 a’ toirt seachad na leanas:

  1. Comas ro-leasachain a chuir còmhla ann an clàr slighe sònraichte (RIB no FIB).
  2. Comas eadar-aghaidh a cheangal ri clàr slighe gus am bi trafaic a’ dol thairis air an eadar-aghaidh air a stiùireadh stèidhichte air ro-leasachain sa chlàr slighe sin.

Is e gnìomh feumail a tha seo, ach tha an raon aige cuingealaichte ri aon inneal. Gus comas-gnìomh a leudachadh air feadh an lìonra, feumar am fiosrachadh mu sgaradh a ghiùlan gu na puingean iomchaidh san lìonra.

Mar a chuireas tu an comas sgaradh lìonra farsaing

Tha dà dhòigh air an roinn seo a thoirt seachad air feadh an lìonra:

  • Mìnich am poileasaidh buidhneachaidh aig a h-uile inneal agus air a h-uile ceangal san lìonra (gu bunaiteach, bidh thu a’ coileanadh Ceumannan 1 agus 2 gu h-àrd air gach inneal).
  • Mìnich am poileasaidh buidhneachaidh aig oir na h-earrainn, agus an uairsin giùlain am fiosrachadh sgaraidh anns na pacaidean airson nodan eadar-mheadhanach a làimhseachadh.

Tha a’ chiad dòigh-obrach feumail ma tha a h-uile inneal mar àite inntrigidh no fàgail airson na h-earrainn, rud nach eil mar as trice fìor ann an lìonraidhean meadhanach agus mòr. Tha an dàrna dòigh-obrach tòrr nas scalable agus a’ cumail an lìonra còmhdhail saor bho earrannan agus iom-fhillteachd.

  • Sgaradh ann an Cisco Catalyst SD-WAN,
  • VRFs air an cleachdadh ann an roinn Cisco Catalyst SD-WAN,
  • Dèan rèiteachadh air VRF a’ cleachdadh Teamplaidean Manaidsear Cisco SD-WAN,
  • Dèan rèiteachadh air VPNn a’ cleachdadh Teamplaidean Manaidsear Cisco SD-WAN,
  • Dèan rèiteachadh air sgaradh a’ cleachdadh an CLI,
  • Iomradh CLI Segmentation,

Sgaradh ann an Cisco Catalyst SD-WAN

Ann an lìonra ath-chòmhdach Cisco Catalyst SD-WAN, bidh VRFn a’ roinn an lìonra gu diofar earrannan.
Tha Cisco Catalyst SD-WAN a’ cleachdadh a’ mhodail as cumanta agus as so-ruigsinneach airson earrannan a chruthachadh. Gu bunaiteach,
tha sgaradh air a dhèanamh aig oirean router, agus tha am fiosrachadh sgaraidh air a ghiùlan anns na pacaidean a-steach
cruth aithnichear.
Tha am figear a’ sealltainn iomadachadh fiosrachadh slighe taobh a-staigh VRF.
Figear 1: Iomadachadh fiosrachaidh slighe taobh a-staigh VRF
Iomadachadh fiosrachaidh slighe taobh a-staigh Vrf

Anns an fhigear seo:

  • Bidh Router-1 a’ gabhail ri dà VRF, dearg is gorm.
  • Bidh an VRF dearg a’ frithealadh air an ro-leasachan 10.1.1.0/24 (an dàrna cuid gu dìreach tro eadar-aghaidh ceangailte no air ionnsachadh a’ cleachdadh an IGP no BGP).
  • Bidh an VRF gorm a’ frithealadh air an ro-leasachan 10.2.2.0/24 (an dàrna cuid gu dìreach tro eadar-aghaidh ceangailte no air ionnsachadh a’ cleachdadh an IGP no BGP).
  • Bidh Router-2 a’ fo-sgrìobhadh don VRF dearg.
    • Bidh an VRF seo a’ frithealadh air an ro-leasachan 192.168.1.0/24 (an dàrna cuid gu dìreach tro eadar-aghaidh ceangailte no air ionnsachadh a’ cleachdadh an IGP no BGP).
  • Bidh Router-3 a ’fo-sgrìobhadh don VRF gorm.
    • Bidh an VRF seo a’ frithealadh air an ro-leasachan 192.168.2.0/24 (an dàrna cuid gu dìreach tro eadar-aghaidh ceangailte no air ionnsachadh a’ cleachdadh an IGP no BGP).

Leis gu bheil ceangal Pròtacal Riaghladh Ath-chòmhdach (OMP) aig gach router thairis air tunail TLS gu Rianadair Cisco SD-WAN, bidh e a’ sgaoileadh am fiosrachadh slighe gu Rianadair Cisco SD-WAN. Air Rianadair Cisco SD-WAN, faodaidh rianadair an lìonraidh poileasaidhean a chuir an gnìomh gus slighean a leigeil sìos, TLOCn atharrachadh, a tha air an còmhdachadh an ath cheuman, airson innleadaireachd trafaic no slabhraidhean seirbheis. Faodaidh rianadair lìonra na poileasaidhean sin a chuir an sàs mar phoileasaidhean a-steach agus a-mach air Rianadair Cisco SD-WAN.
Tha na ro-leasachain uile a bhuineas do aon VRF air an cumail ann an clàr slighe air leth. Tha seo a’ toirt seachad an aonaranachd Sreath 3 a tha riatanach airson nan diofar earrannan den lìonra. Mar sin, tha dà chlàr slighe VRF aig Router-1, agus tha aon chlàr slighe aig Router-2 agus Router-3. A bharrachd air an sin, tha an Rianadair Cisco SD-WAN a’ cumail suas co-theacs VRF gach ro-leasachan.
Bidh clàran slighe air leth a’ toirt aonaranachd air aon nód. Mar sin ciamar a tha fiosrachadh slighe air a sgaoileadh thairis air an lìonra?
Ann am fuasgladh Cisco Catalyst SD-WAN, tha seo air a dhèanamh a’ cleachdadh aithnichearan VRF, mar a chithear san fhigear gu h-ìosal. Bidh ID VRF, a tha air a ghiùlan ann am pasgan, a’ comharrachadh gach VRF air ceangal. Nuair a bhios tu a’ rèiteachadh VRF air router, tha bileag aig an VRF co-cheangailte ris. Bidh an router a’ cur an leubail, còmhla ris an VRFID, gu Rianadair Cisco SD-WAN. Bidh an Rianadair Cisco SD-WAN a’ sgaoileadh an fhiosrachaidh mapaidh router-to- VRF ID seo gu na routers eile san raon. Bidh na routers iomallach an uairsin a’ cleachdadh an leubail seo gus trafaic a chuir chun VRF iomchaidh. Bidh na routers ionadail, nuair a gheibh iad an dàta leis an leubail VRF ID, a’ cleachdadh an leubail gus an trafaic dàta a thoirt air falbh. Tha seo coltach ri mar a bhios bileagan MPLS air an cleachdadh. Tha an dealbhadh seo stèidhichte air RFCn àbhaisteach agus a’ cumail ri modhan riaghlaidh leithid PCI agus HIPAA.

Figear 2: Luchd-aithneachaidh VRF
Luchd-aithneachaidh VRF

samhladh Thoir an aire Chan eil an lìonra còmhdhail a tha a’ ceangal nan routers gu tur mothachail air na VRFn. Is e dìreach na routers a tha eòlach air VRFn; tha an còrr den lìonra a’ leantainn slighe àbhaisteach IP.

VRFs air an cleachdadh ann an roinn Cisco Catalyst SD-WAN

Tha fuasgladh Cisco Catalyst SD-WAN a’ toirt a-steach cleachdadh VRFn gus trafaic a sgaradh.

VRF cruinne

Tha an VRF cruinne air a chleachdadh airson còmhdhail. Gus an dealachadh gnèitheach eadar seirbheisean (leithid ro-leasachain a bhuineas don iomairt) agus còmhdhail (an lìonra a tha a’ ceangal nan routers) a chuir an gnìomh), tha a h-uile eadar-aghaidh còmhdhail, is e sin, na TLOCn gu lèir, air an cumail anns an VRF cruinneil. Nì seo cinnteach nach urrainn don lìonra còmhdhail an lìonra seirbheis a ruighinn gu bunaiteach. Faodaidh ioma-eadar-aghaidh còmhdhail buntainn ris an aon VRF, agus faodar pacaidean a chuir air adhart gu agus bho eadar-aghaidh còmhdhail.
Ann an VRF cruinne tha a h-uile eadar-aghaidh airson inneal, ach a-mhàin an eadar-aghaidh riaghlaidh, agus tha na h-eadar-aghaidhean uile ciorramach. Gus am bi am plèana smachd ga stèidheachadh fhèin gus an urrainn don lìonra ath-chòmhdach obrachadh, feumaidh tu eadar-aghaidh tunail a rèiteachadh ann an VRF cruinne. Airson gach eadar-aghaidh ann an VRF cruinne, feumaidh tu seòladh IP a shuidheachadh, agus ceangal tunail a chruthachadh a bhios a’ suidheachadh an dath agus an cuairteachadh airson ceangal còmhdhail WAN. (Tha an cuairteachadh air a chleachdadh airson trafaic dàta a chuir air adhart.) Tha na trì paramadairean sin - seòladh IP, dath, agus cuairteachadh - a’ mìneachadh TLOC (àite còmhdhail) air an router. Bidh an seisean OMP a tha a’ ruith air gach tunail a’ cur an TLOC gu Rianadairean Cisco SD-WAN gus an ionnsaich iad topology lìonra ath-chòmhdach.

Taic dà-stack air còmhdhail VPNn 

Anns an VRF cruinne, tha innealan Cisco IOS XE Catalyst SD-WAN agus Rianadair Cisco SD-WAN a ’toirt taic do chruach dùbailte. Gus cruachan dùbailte a chomasachadh, cuir air dòigh seòladh IPv4 agus seòladh IPv6 air eadar-aghaidh an tunail. Bidh an router ag ionnsachadh bho Rianadair Cisco SD-WAN a bheil ceann-uidhe a’ toirt taic do sheòlaidhean IPv4 no IPv6. Nuair a chuireas tu trafaic air adhart, bidh router a’ taghadh an IPv4 no an IPv6 TLOC, stèidhichte air an t-seòladh ceann-uidhe. Ach is fheàrr le IPv4 an-còmhnaidh nuair a thèid a rèiteachadh.

Stiùireadh VRF

Is e Mgmt-Intf an inneal riaghlaidh VRFon Cisco IOS XE CatalystSD-WAN. Tha e air a rèiteachadh agus air a chomasachadh gu bunaiteach. Bidh e a’ giùlan trafaic riaghlaidh lìonra taobh a-muigh a’ chòmhlain am measg nan innealan anns an lìonra ath-chòmhdach. Faodaidh tu an rèiteachadh seo atharrachadh, ma tha feum air.

Dèan rèiteachadh air VRF a’ cleachdadh Teamplaidean Manaidsear Cisco SD-WAN

Ann am Manaidsear Cisco SD-WAN, cleachd teamplaid CLI gus VRFn a rèiteachadh airson inneal. Airson gach VRF, cuir air dòigh fo-eadar-aghaidh agus ceangail am fo-eadar-aghaidh ris an VRF. Faodaidh tu suas ri 300 VRF a rèiteachadh.
Nuair a phutas tu teamplaid CLI gu inneal, bidh Manaidsear Cisco SD-WAN a’ sgrìobhadh thairis air an rèiteachadh a th’ ann mu thràth air an inneal agus a’ luchdachadh an rèiteachadh a tha air a mhìneachadh ann an teamplaid CLI. Mar thoradh air an sin, chan urrainn don teamplaid ach an t-susbaint ùr a thathar a’ rèiteachadh a thoirt seachad, leithid VRFn. Feumaidh an teamplaid CLI a bhith a’ toirt a-steach a h-uile mion-fhiosrachadh rèiteachaidh a dh’ fheumas an inneal. Gus am mion-fhiosrachadh rèiteachaidh iomchaidh a thaisbeanadh air inneal, cleachd an àithne show sdwan running-config command.
Airson mion-fhiosrachadh mu bhith a’ cruthachadh agus a’ cur an sàs teamplaidean CLI, agus airson neach eileampLe bhith a’ rèiteachadh VRFn, faic na Teamplaidean CLI airson Cisco IOS XE Catalyst SD-WAN Routers caibideil den Iùl rèiteachaidh shiostaman is eadar-aghaidh, Sgaoileadh Cisco IOS XE 17.x.
Seo na h-innealan le taic:

  • Cisco ASR1001-HX
  • ASR1002-HX

Dèan rèiteachadh air VPNn a’ cleachdadh teamplaidean manaidsear Cisco SD-WAN

Cruthaich teamplaid VPN 

samhladh Thoir an aire Bidh innealan Cisco IOS XE Catalyst SD-WAN a’ cleachdadh VRFn airson sgaradh agus iomallachd lìonra. Ach, tha na ceumannan a leanas fhathast an sàs ma tha thu a’ rèiteachadh sgaradh airson innealan Cisco IOS XE Catalyst SD-WAN tro Mhanaidsear Cisco SD-WAN. Nuair a chuireas tu crìoch air an rèiteachadh, bidh an siostam gu fèin-obrachail ag atharrachadh na VPNn gu VRF airson innealan Cisco IOS XE Catalyst SD-WAN.

samhladh Thoir an aire Faodaidh tu slighe statach a rèiteachadh tro theamplaid VPN.

  • Ceum 1 Bho chlàr Cisco SD-WAN Manager, tagh Configuration> Templates.
  • Ceum 2 Briog air Device Templates, agus cliog Cruthaich Teamplaid.
    Nota Ann an Cisco vManage Release 20.7.x agus fiosan nas tràithe Canar Inneal Innealan ris.
  • Ceum 3 Bho liosta a-nuas Create Template, tagh From Feature Template.
  • Ceum 4 Bho liosta tuiteam-sìos Modail an inneal, tagh an seòrsa inneal airson a bheil thu airson an teamplaid a chruthachadh.
  • Ceum 5 Gus teamplaid a chruthachadh airson VPN 0 no VPN 512:
    a. Cliog Còmhdhail & Riaghladh VPN, no sgrolaich chun roinn VPN Còmhdhail & Riaghladh.
    b. Bho liosta tuiteam-sìos VPN 0 no VPN 512, cliog Cruthaich Teamplaid. Nochdaidh am foirm teamplaid VPN.
    Anns an fhoirm tha raointean airson an teamplaid ainmeachadh, agus raointean airson crìochan VPN a mhìneachadh.
  • Ceum 6 Gus teamplaid a chruthachadh airson VPNs 1 tro 511, agus 513 tro 65527:
    a. Cliog air Seirbheis VPN, no sgrolaich chun roinn Seirbheis VPN.
    b. Cliog air liosta tuiteam-sìos Seirbheis VPN.
    c. Bho liosta tuiteam-sìos VPN, cliog Cruthaich Teamplaid. Tha am foirm teamplaid VPN a’ taisbeanadh.
    Anns an fhoirm tha raointean airson an teamplaid ainmeachadh, agus raointean airson crìochan VPN a mhìneachadh.
  • Ceum 7 Ann an Ainm Teamplaid, cuir a-steach ainm airson an teamplaid. Faodaidh an t-ainm a bhith suas ri 128 caractar agus chan urrainn dha ach caractaran alfaimigeach a bhith ann.
  • Ceum 8 Ann an Tuairisgeul an teamplaid, cuir a-steach tuairisgeul air an teamplaid. Faodaidh an tuairisgeul a bhith suas ri 2048 caractar agus chan urrainn dha a bhith ann ach caractaran alphanumeric.

Dèan rèiteachadh air paramadairean VPN bunaiteach

Gus paramadairean VPN bunaiteach a rèiteachadh, tagh Configuration Bunaiteach agus an uairsin rèitich na paramadairean a leanas.
Tha feum air paramadairean air an comharrachadh le rionnag gus VPN a rèiteachadh.

Ainm Parameter Tuairisgeul
VPN Cuir a-steach aithnichear àireamhach an VPN.
Raon airson innealan Cisco IOS XE Catalyst SD-WAN: 0 tro 65527
Luachan airson innealan Cisco Catalyst SD-WAN Controller agus Cisco SD-WAN Manager: 0, 512
Ainm Cuir a-steach ainm airson an VPN.
Thoir an aire Airson innealan Cisco IOS XE Catalyst SD-WAN, chan urrainn dhut ainm inneal sònraichte a chuir a-steach airson an VPN.
Meudaich iuchair ECMP Cliog On gus an cleachdadh ann an iuchair hash ECMP de phuirt stòr is ceann-uidhe Layer 4, a bharrachd air a’ mheasgachadh den stòr, agus seòlaidhean IP ceann-uidhe, mar iuchair hash ECMP.
Tha an iuchair ECMP dheth a ghnàth.

samhladh Thoir an aire Gus rèiteachadh an VPN còmhdhail air router a chrìochnachadh, feumaidh tu co-dhiù aon eadar-aghaidh a rèiteachadh ann an VPN 0.

Gus an teamplaid feart a shàbhaladh, cliog Sàbhail.

Dèan rèiteachadh air Algorithm Cothromachadh Luchd a 'cleachdadh an CLI

samhladh Thoir an aire

A’ tòiseachadh bho Cisco IOS XE Catalyst SD-WAN Release 17.8.1a, feumaidh tu teamplaid CLI gus an algairim roinneadh luchdan src a-mhàin a rèiteachadh airson IPv4 agus IPv6 Cisco CatalystSD-WAN agus trafaic neo Cisco CatalystSD-WAN. Airson mion-fhiosrachadh iomlan mun algairim roinneadh luchdan CLI, faic Òrdughan IP liosta.

Tha seo a’ leantainn a’ toirt seachad rèiteachaidhean CLI airson a bhith a’ taghadh algairim cothromachaidh luchdan Cisco ExpressForwarding airson trafaic neo Cisco CatalystSD-WAN IPv4 agus IPv6. Faodaidh tu comas a thoirt do ECMPkeying na rèiteachaidhean airson IPv4 agus IPv6 a chuir.
Device# config-transaction
Device(config)# ip cef load-sharing algorithm {universal [id] | include-ports [ source [id]
| destination [id]] |
src-only [id]}

Device# config-transaction
Device(config)# ipv6 cef load-sharing algorithm {universal [id] | include-ports [ source
[id] | destination [id]] |
src-only [id]}

Tha seo a’ leantainn a’ toirt seachad rèiteachaidhean CLI airson algorithm cothromachaidh luchdan a chomasachadh air eadar-aghaidh airson trafaic Cisco Catalyst SD-WAN IPv4 agus IPv6. Faodaidh tu iuchair ECMP a chomasachadh gus na rèiteachaidhean airson IPv4 agus IPv6 a chuir.

Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ip load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}
Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ipv6 load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}

Dèan rèiteachadh air gnìomhachd eadar-aghaidh bunaiteach

Gus gnìomhachd eadar-aghaidh bunaiteach a rèiteachadh ann an VPN, tagh Configuration Bunaiteach agus rèitich na paramadairean a leanas:

samhladh Thoir an aire Tha feum air paramadairean air an comharrachadh le rionnag gus eadar-aghaidh a rèiteachadh.

Ainm Parameter IPv4 no IPv6 Roghainnean Tuairisgeul
Dùin sìos* Cliog Chan eil gus an eadar-aghaidh a chomasachadh.
Ainm eadar-aghaidh* Cuir a-steach ainm airson an eadar-aghaidh.

Airson innealan Cisco IOS XE Catalyst SD-WAN, feumaidh tu:

  • Spell a-mach ainmean an eadar-aghaidh gu tur (airson example, GigabitEthernet0/0/0).
  • Dèan rèiteachadh air eadar-aghaidh an router gu lèir, eadhon ged nach eil thu gan cleachdadh, gus am bi iad air an rèiteachadh anns an staid dùnadh agus gus am bi a h-uile luach bunaiteach dhaibh air an rèiteachadh.
Tuairisgeul Cuir a-steach tuairisgeul airson an eadar-aghaidh.
IPv4/IPv6 Cliog IPv4 gus eadar-aghaidh IPv4 VPN a rèiteachadh. Cliog IPv6 gus eadar-aghaidh IPv6 a rèiteachadh.
fiùghantach Cliog fiùghantach gus an eadar-aghaidh a shuidheachadh mar neach-dèiligidh Protocol Configuration Host Dynamic (DHCP), gus am faigh an eadar-aghaidh an seòladh IP aige bho fhrithealaiche DHCP.
An dà chuid DHCP

Astar

 Roghainneil, cuir a-steach luach astar rianachd airson slighean a chaidh ionnsachadh bho fhrithealaiche DHCP. Is e 1 an àbhaist.
IPv6 DHCP

Gealltanas luath

 Gu roghnach, rèitich am frithealaiche ionadail DHCP IPv6 gus taic a thoirt do Rapid Commit DHCP, gus rèiteachadh agus dearbhadh teachdaiche nas luaithe a chomasachadh ann an àrainneachdan trang.
Cliog On gus comas a thoirt do ghealladh luath DHCP.
Cliog dheth leantainn air adhart a’ cleachdadh a’ phròiseas gealltanas cunbhalach.
Statach Cliog Statach gus seòladh IP a chuir a-steach nach atharraich.
IPv4 IPv4 Seòladh Cuir a-steach seòladh IPv4 statach.
IPv6 IPv6 Seòladh Cuir a-steach seòladh IPv6 statach.
Seòladh IP àrd-sgoile IPv4 Cliog Cuir ris gus suas ri ceithir seòlaidhean IPv4 àrd-sgoile a chuir a-steach airson eadar-aghaidh taobh seirbheis.
Seòladh IPv6 IPv6 Cliog Cuir ris gus suas ri dà sheòladh IPv6 àrd-sgoile a chuir a-steach airson eadar-aghaidh taobh seirbheis.
Neach-cuideachaidh DHCP An dà chuid Gus an eadar-aghaidh ainmeachadh mar neach-cuideachaidh DHCP air router, cuir a-steach suas ri ochd seòlaidhean IP, air an sgaradh le cromagan, airson frithealaichean DHCP san lìonra. Bidh eadar-aghaidh neach-cuideachaidh DHCP a’ toirt air adhart Boot P (craoladh) DHCP ag iarraidh a gheibh e bho na frithealaichean DHCP ainmichte.
Bloc IP neo-stòr Tha / Chan eil Cliog Tha gus an trafaic air adhart eadar-aghaidh a bhith agad a-mhàin ma tha seòladh IP stòr an trafaic a rèir raon ro-leasachan IP an eadar-aghaidh. Cliog Chan eil gus trafaic eile a cheadachadh.

Cruthaich Eadar-aghaidh Tunail

Air innealan Cisco IOS XE Catalyst SD-WAN, faodaidh tu suas ri ochd eadar-aghaidh tunail a rèiteachadh. Tha seo a’ ciallachadh gum faod suas ri ochd TLOC a bhith aig gach router inneal Cisco IOS XE Catalyst SD-WAN. Air Rianadairean Cisco Catalyst SD-WAN agus Manaidsear Cisco SD-WAN, faodaidh tu aon eadar-aghaidh tunail a rèiteachadh.
Airson an itealan smachd a stèidheachadh fhèin gus an urrainn don lìonra ath-chòmhdach obrachadh, feumaidh tu eadar-aghaidh còmhdhail WAN a rèiteachadh ann an VPN 0. Leigidh an eadar-aghaidh WAN le sruth trafaic tunail chun ath-chòmhdach. Faodaidh tu paramadairean eile a chithear sa chlàr gu h-ìosal a chur ris dìreach às deidh dhut an eadar-aghaidh WAN a rèiteachadh mar eadar-aghaidh tunail.
Gus eadar-aghaidh tunail a rèiteachadh, tagh Interface Tunnel agus rèitich na paramadairean a leanas:

Ainm Parameter Tuairisgeul
Eadar-aghaidh tunail Cliog On gus eadar-aghaidh tunail a chruthachadh.
Dath Tagh dath airson an TLOC.
Port Hop Cliog On gus port hopping a chomasachadh, no cliog dheth a chur à comas. Ma tha port hopping air a chomasachadh air feadh na cruinne, faodaidh tu a chuir dheth air TLOC fa leth (eadar-aghaidh tunail). Gus smachd a chumail air port hopping aig ìre chruinneil, cleachd am faidhle Siostam teamplaid rèiteachaidh.

Ro-shealladh: Manaidsear Cisco SD-WAN air a chomasachadh agus Rianadair SD-WAN Cisco Catalyst bunaiteach: Ciorramach
TCP MSS Bidh TCP MSS a’ toirt buaidh air pacaid sam bith anns a bheil bann-cinn TCP tùsail a bhios a’ sruthadh tron ​​​​rothadair. Nuair a thèid a rèiteachadh, thèid TCP MSS a sgrùdadh an aghaidh an MSS a chaidh iomlaid anns a’ chrathadh làimhe trì-shligheach. Tha an MSS sa bhann-cinn air ìsleachadh ma tha an suidheachadh TCP MSS rèiteachaidh nas ìsle na an MSS sa cheann-cinn. Ma tha luach bann-cinn MSS mu thràth nas ìsle na an TCP MSS, bidh na pacaidean a’ sruthadh troimhe gun atharrachadh. Bidh an aoigh aig deireadh an tunail a’ cleachdadh suidheachadh ìosal an dà aoigh. Ma tha an TCP MSS gu bhith air a rèiteachadh, bu chòir a shuidheachadh aig 40 bytes nas ìsle na an t-slighe MTU as ìsle.
Sònraich na pacaidean MSS de TPC SYN a’ dol tro inneal Cisco IOS XE Catalyst SD-WAN. Gu gnàthach, tha an MSS air atharrachadh gu fiùghantach stèidhichte air an eadar-aghaidh no an tunail MTU gus nach bi pacaidean TCP SYN a-riamh briste. Raon: 552 gu 1460 bytes Ro-shealladh: Chan eil gin
Soilleir - Dont - Fragment Dèan rèiteachadh Soilleir - Dont - Fragment airson pacaidean a ruigeas eadar-aghaidh aig a bheil Don't Fragment air a rèiteachadh. Ma tha na pacaidean sin nas motha na tha MTU a’ ceadachadh, thèid an leigeil sìos. Ma ghlanas tu am pìos Don't Fragment, tha na pacaidean sgapte agus air an cur.

Cliog On gus am pìos Dont Fragment a ghlanadh ann am bann-cinn pacaid IPv4 airson pacaidean a bhith air an toirt a-mach às an eadar-aghaidh. Nuair a thèid am pìos Dont Fragment a ghlanadh, bidh pacaidean nas motha na MTU an eadar-aghaidh briste mus tèid an cur.

Thoir an aire Soilleir - Dont - Fragment a’ glanadh am pìos Dont Fragment agus am pìos Dont Fragment air a shuidheachadh. Airson pacaidean nach eil feumach air sgaradh, chan eil buaidh air a’ phìos Dont Fragment.
Ceadaich Seirbheis Tagh On or dheth airson gach seirbheis an t-seirbheis a cheadachadh no a dhì-cheadachadh air an eadar-aghaidh.

Gus paramadairean eadar-aghaidh tunail a bharrachd a rèiteachadh, cliog air Roghainnean adhartach:

Ainm Parameter Tuairisgeul
Fear-giùlain Tagh ainm an neach-giùlain no aithnichear lìonra prìobhaideach gus a cheangal ris an tunail.

Luachan: neach-giùlain 1, neach-giùlain2, neach-giùlain3, neach-giùlain4, neach-giùlain5, neach-giùlain6, neach-giùlain7, neach-giùlain8, bunaiteach
Default: default
Eadar-ama ùrachadh NAT Cuir a-steach an eadar-ama eadar pacaidean ùrachaidh NAT a chuirear air ceangal còmhdhail DTLS no TLS WAN.
Raon: 1 gu 60 diogan
Default: 5 diogan
Halo eadar-ama Cuir a-steach an eadar-ama eadar pacaidean Hello a chaidh a chuir air ceangal còmhdhail DTLS no TLS WAN.
Raon: 100 gu 10000 milliseconds
Bunaiteach: 1000 milliseconds (1 diog)
Halo Tolerance Cuir a-steach an ùine gus feitheamh ri pacaid Hello air ceangal còmhdhail DTLS no TLS WAN mus cuir thu an cèill gu bheil an tunail còmhdhail sin sìos.
Raon: 12 gu 60 diogan
Default: 12 diogan

Dèan rèiteachadh air DNS agus Mapadh Ainm-aoigheachd Statach

Gus seòlaidhean DNS agus mapadh ainm aoigheachd statach a rèiteachadh, cliog DNS agus rèitich na paramadairean a leanas:

Ainm Parameter Roghainnean Tuairisgeul
Seòladh DNS bun-sgoile Cliog an dàrna cuid IPv4 or IPv6, agus cuir a-steach seòladh IP a’ phrìomh fhrithealaiche DNS anns an VPN seo.
Seòladh DNS ùr Cliog Seòladh DNS ùr agus cuir a-steach seòladh IP frithealaiche DNS àrd-sgoile anns an VPN seo. Cha nochd an raon seo ach ma tha thu air prìomh sheòladh DNS a shònrachadh.
Comharraich mar Sreath Roghainneil Thoir sùil air an Comharraich mar Sreath Roghainneil thoir sùil air a’ bhogsa gus seo a chomharrachadh

rèiteachadh mar inneal sònraichte. Gus an rèiteachadh seo airson inneal a ghabhail a-steach, cuir a-steach na luachan caochlaideach a chaidh iarraidh nuair a cheanglas tu teamplaid inneal ri inneal, no cruthaich duilleag-clèithe teamplaid gus na caochladairean a chuir an sàs.
Ainm an òstair Cuir a-steach ainm aoigheachd an fhrithealaiche DNS. Faodaidh an t-ainm a bhith suas ri 128 caractar.
Liosta de sheòlaidhean IP Cuir a-steach suas ri ochd seòlaidhean IP gus ceangal a dhèanamh ris an ainm aoigheachd. Roinn na h-inntrigidhean le cromagan.
Gus rèiteachadh an fhrithealaiche DNS a shàbhaladh, cliog Cuir ris.

Gus an teamplaid feart a shàbhaladh, cliog Sàbhail.

A’ mapadh ainmean aoigheachd gu seòlaidhean IP

! IP DNS-based host name-to-address translation is enabled ip domain lookup
! Specifies hosts 192.168.1.111 and 192.168.1.2 as name servers ip name-server 192.168.1.111 192.168.1.2
! Defines cisco.com as the default domain name the device uses to complete
! Set the name for unqualified host names ip domain name cisco.com

Dèan rèiteachadh air sgaradh a’ cleachdadh an CLI

Dèan rèiteachadh air VRF a’ cleachdadh an CL

Gus lìonraidhean luchd-cleachdaidh agus trafaic dàta luchd-cleachdaidh a sgaradh gu h-ionadail aig gach làrach agus gus làraich luchd-cleachdaidh a cheangal thairis air an lìonra ath-chòmhdach, cruthaichidh tu VRFn air innealan Cisco IOS XE Catalyst SD-WAN. Gus sruthadh trafaic dàta a chomasachadh, bidh thu a’ ceangal eadar-aghaidh le gach VRF, a’ sònrachadh seòladh IP do gach eadar-aghaidh. Bidh na h-eadar-aghaidh sin a’ ceangal ri lìonraidhean làraich ionadail, chan ann ri sgòthan còmhdhail WAN. Airson gach aon de na VRFn sin, faodaidh tu feartan eadar-aghaidh sònraichte eile a shuidheachadh, agus faodaidh tu feartan sònraichte a dhealbhadh airson roinn an neach-cleachdaidh, leithid slighe BGP agus OSPF, VRRP, QoS, cumadh trafaic, agus obair poileis.
Air innealan Cisco IOS XE Catalyst SD-WAN, thathas a’ cleachdadh VRF cruinneil airson còmhdhail. Tha Mgmt-intf aig a h-uile inneal Cisco IOS XE Catalyst SD-WAN mar an VRF riaghlaidh bunaiteach.
Gus VRFn a rèiteachadh air innealan Cisco IOS XE Catalyst SD-WAN, lean na ceumannan seo

samhladh Thoir an aire

  • Cleachd an àithne config-transaction gus modh rèiteachaidh CLI fhosgladh. Chan eil taic ris an àithne config terminal air innealan Cisco IOS XE Catalyst SD-WAN.
  • Faodaidh an ID VRF a bhith na àireamh sam bith eadar 1 tro 511 agus 513 tro 65535. Tha na h-àireamhan 0 agus 512 glèidhte airson Manaidsear Cisco SD-WAN agus Rianadair Cisco SD-WAN.
  1. Dèan rèiteachadh air seirbheis VRF.
    config-transaction
    vrf definition 10
    rd 1:10
    address-family ipv4
    exit-address-family
    exit
    address-family ipv6
    exit-address-family
    exit
    exit
  2. Dèan rèiteachadh air an eadar-aghaidh tunail airson a chleachdadh airson ceangal ath-chòmhdach. Bidh gach eadar-aghaidh tunail a’ ceangal ri aon
    WAN eadar-aghaidh. Airson example, mas e Gig0/0/2 an eadar-aghaidh router, is e àireamh eadar-aghaidh an tunail 2.
    config-transaction
    interface Tunnel 2
    no shutdown
    ip unnumbered GigabitEthernet1
    tunnel source GigabitEthernet1
    tunnel mode sdwan
    exit
  3. Mura h-eil an router ceangailte ri frithealaiche DHCP, rèitich seòladh IP an eadar-aghaidh WAN.
    interface Gigabi tEthernet 1
    no shutdown
    ip address dhcp
  4. Dèan rèiteachadh air crìochan tunail.
    config-gnothaich
    sdwan
    interface GigabitEthernet 2
    tunnel-interface
    encapsulation ipsec
    color lte
    end
    samhladh Thoir an aire
    Ma tha seòladh IP air a rèiteachadh le làimh air an router, cuir air dòigh slighe bunaiteach mar a chithear gu h-ìosal. An seòladh IP
    gu h-ìosal a 'sealltainn seòladh IP next-hop.
    config-transaction
    ip route 0.0.0.0 0.0.0.0 192.0.2.25
  5. Dèan comas do OMP sanasachd a dhèanamh air vroutes earrann VRF.
    sdwan
    omp
    no shutdown
    graceful-restart
    no as-dot-notation
    timers
    holdtime 15
    graceful-restart-timer 120
    exit
    address-family ipv4
    advertise ospf external
    advertise connected
    advertise static
    exit
    address-family ipv6
    advertise ospf external
    advertise connected
    advertise static
    exit
    address-family ipv4 vrf 1
    advertise bgp
    exit
    exit
  6. Dèan rèiteachadh air an eadar-aghaidh seirbheis VRF.
    config-transaction
    interface GigabitEthernet 2
    no shutdown
    vrf forwarding 10
    ip address 192.0.2.2 255.255.255.0
    exit

Dearbhaich Configuration

Ruith an taisbeanadh ip vrf àithne goirid gu view fiosrachadh mun eadar-aghaidh VRF.

Inneal # sh ip vrf goirid

Ainm Rd bunaiteach Eadar-aghaidhean
10 1:10 Gi4
11 1:11 Gi3
30 1:30
65528 Lo65528

Segmentation (VRFs) Configuration Examples

Cuid de exampnas lugha de bhith a’ cruthachadh agus a’ rèiteachadh VRFn gus do chuideachadh le bhith a’ tuigsinn a’ mhodh rèiteachaidh airson lìonraidhean a sgaradh.

Rèiteachadh air Rianadair SD-WAN Cisco Catalyst

Air Rianadair Cisco Catalyst SD-WAN, bidh thu a’ rèiteachadh paramadairean siostam coitcheann agus an dà VPN - VPN 0 airson còmhdhail WAN agus VPN 512 airson riaghladh lìonra - mar a rinn thu airson inneal Cisco IOS XE Catalyst SD-WAN. Cuideachd, mar as trice bidh thu a’ cruthachadh poileasaidh smachd meadhanaichte a bhios a’ cumail smachd air mar a thèid trafaic VPN a ghluasad tron ​​​​chòrr den lìonra. Anns an example, bidh sinn a’ cruthachadh poileasaidh meadhanach, a chithear gu h-ìosal, gus ro-leasachain nach eileas ag iarraidh a leigeil sìos bho bhith a’ gluasad tron ​​chòrr den lìonra. Faodaidh tu aon phoileasaidh Rianadair SD-WAN Cisco Catalyst a chleachdadh gus poileasaidhean a chuir an gnìomh air feadh an lìonra.

Seo na ceumannan airson am poileasaidh smachd a chruthachadh air Rianadair Cisco Catalyst SD-WAN:

  1. Cruthaich liosta de IDan làraich airson na làraich far a bheil thu airson ro-leasachain nach eileas ag iarraidh a leigeil sìos:
    vSmart(config)# policy lists site-list 20-30 site-id 20
    vSmart(config-site-list-20-30)# site-id 30
  2. Cruthaich liosta ro-leasachan airson na ro-leasachain nach eil thu airson a ghluasad:
    vSmart(config)# policy lists prefix-list drop-list ip-prefix 10.200.1.0/24
  3. Cruthaich am poileasaidh smachd:
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 match route
    prefix-list drop-list
    vSmart(config-match)# top
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 action reject
    vSmart(config-action)# top
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 default-action
    accept
    vSmart(config-default-action)# top
  4. Cuir am poileasaidh an sàs ann an ro-leasachain a-steach gu rianadair Cisco Catalyst SD-WAN Controller:
    vSmart(config)# apply-policy site-list 20-30 control-policy drop-unwanted-routes in

Seo an rèiteachadh poileasaidh iomlan air rianadair Cisco Catalyst SD-WAN Controller:

apply-policy
site-list 20-30
control-policy drop-unwanted-routes in
!
!
policy
lists
site-list 20-30
site-id 20
site-id 30
!
prefix-list drop-list
ip-prefix 10.200.1.0/24
!
!
control-policy drop-unwanted-routes
sequence 10
match route
prefix-list drop-list
!
action reject
!
!
default-action accept
!
!

Iomradh CLI Segmentation

Òrdughan CLI airson sùil a chumail air sgaradh (VRFn).

  • seall dhcp
  • Seall ipv6 dhcp
  • seall ip vrf goirid
  • seall òrdughan igmp
  • seall buidhnean ip igmp
  • seall òrdughan pim

Sgrìobhainnean/Goireasan

Segmentation Catalyst CISCO SD-WAN [pdfStiùireadh Cleachdaiche
SD-WAN, Segmentation Catalyst SD-WAN, Segmentation Catalyst, Segmentation

Iomraidhean

Puist Co-cheangailte

Fàg beachd

Cha tèid do sheòladh puist-d fhoillseachadh. Tha raointean riatanach air an comharrachadh *