CISCO SD-WAN Catalyst Segmentation
ການແບ່ງສ່ວນ
ໝາຍເຫດ ເພື່ອບັນລຸຄວາມງ່າຍດາຍແລະຄວາມສອດຄ່ອງ, ການແກ້ໄຂ Cisco SD-WAN ໄດ້ຖືກປ່ຽນຊື່ເປັນ Cisco Catalyst SD-WAN. ນອກຈາກນັ້ນ, ຈາກ Cisco IOS XE SD-WAN Release 17.12.1a ແລະ Cisco Catalyst SD-WAN Release 20.12.1, ການປ່ຽນແປງອົງປະກອບຕໍ່ໄປນີ້ແມ່ນໃຊ້ໄດ້: Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalyticsto Cisco Analytics CatalystSD-WAN Cisco vBondto Cisco CatalystSD-WAN Validator, ແລະ Cisco vSmart ກັບ Cisco Catalyst SD-WAN Controller. ເບິ່ງບັນທຶກການປ່ອຍຫລ້າສຸດສໍາລັບບັນຊີລາຍຊື່ທີ່ສົມບູນແບບຂອງການປ່ຽນແປງຊື່ຍີ່ຫໍ້ອົງປະກອບທັງຫມົດ. ໃນຂະນະທີ່ພວກເຮົາປ່ຽນໄປຫາຊື່ໃຫມ່, ບາງຄວາມບໍ່ສອດຄ່ອງອາດຈະມີຢູ່ໃນເອກະສານທີ່ກໍານົດໄວ້ເນື່ອງຈາກວິທີການເປັນຂັ້ນຕອນຂອງການອັບເດດສ່ວນຕິດຕໍ່ຜູ້ໃຊ້ຂອງຜະລິດຕະພັນຊອບແວ.
ການແບ່ງສ່ວນເຄືອຂ່າຍມີມາເປັນເວລາຫຼາຍກວ່າໜຶ່ງທົດສະວັດ ແລະໄດ້ຮັບການຈັດຕັ້ງປະຕິບັດໃນຫຼາຍຮູບແບບ ແລະຫຼາຍຮູບຫຼາຍແບບ.
ໃນລະດັບພື້ນຖານທີ່ສຸດຂອງມັນ, ການແບ່ງສ່ວນສະຫນອງການໂດດດ່ຽວການຈະລາຈອນ. ຮູບແບບທົ່ວໄປທີ່ສຸດຂອງການແບ່ງສ່ວນເຄືອຂ່າຍແມ່ນ virtual LANs, ຫຼື VLANs, ສໍາລັບ Layer 2 solutions, ແລະ virtual routing and forwarding, ຫຼື VRF, ສໍາລັບ Layer 3 solutions.
ມີຫຼາຍກໍລະນີທີ່ໃຊ້ສໍາລັບການແບ່ງສ່ວນ:
ໃຊ້ກໍລະນີສໍາລັບການແບ່ງສ່ວນ
- ວິສາຫະກິດຕ້ອງການທີ່ຈະຮັກສາເສັ້ນທີ່ແຕກຕ່າງກັນຂອງທຸລະກິດ (ສໍາລັບການ example, ເຫດຜົນດ້ານຄວາມປອດໄພ ຫຼືການກວດສອບ).
- ພະແນກ ໄອທີ ຕ້ອງການໃຫ້ຜູ້ໃຊ້ທີ່ຮັບຮອງຄວາມຖືກຕ້ອງແຍກອອກຈາກຜູ້ໃຊ້ແຂກ.
- ຮ້ານຂາຍຍ່ອຍຕ້ອງການແຍກການຈະລາຈອນການເຝົ້າລະວັງວິດີໂອອອກຈາກການຈະລາຈອນທາງທຸລະກໍາ.
- ວິສາຫະກິດຕ້ອງການທີ່ຈະໃຫ້ຄູ່ຮ່ວມງານທາງທຸລະກິດມີການຄັດເລືອກພຽງແຕ່ບາງສ່ວນຂອງເຄືອຂ່າຍ.
- ການບໍລິການຫຼືທຸລະກິດຕ້ອງການບັງຄັບໃຫ້ປະຕິບັດຕາມກົດລະບຽບ, ເຊັ່ນ: ການປະຕິບັດຕາມ HIPAA, ສະຫະລັດ
ກົດໝາຍວ່າດ້ວຍຄວາມຮັບຜິດຊອບ ແລະຄວາມຮັບຜິດຊອບຂອງປະກັນໄພສຸຂະພາບ, ຫຼືດ້ວຍມາດຕະຖານຄວາມປອດໄພຂອງອຸດສາຫະກຳບັດຊຳລະ (PCI). - ຜູ້ໃຫ້ບໍລິການຕ້ອງການໃຫ້ບໍລິການ VPN ແກ່ວິສາຫະກິດຂະຫນາດກາງຂອງຕົນ.
ຂໍ້ຈໍາກັດຂອງການແບ່ງສ່ວນ
ຫນຶ່ງໃນຂໍ້ຈໍາກັດທີ່ມີຢູ່ແລ້ວຂອງການແບ່ງສ່ວນແມ່ນຂອບເຂດຂອງມັນ. ການແກ້ໄຂການແບ່ງສ່ວນແມ່ນສັບສົນ ຫຼືຖືກຈຳກັດຢູ່ໃນອຸປະກອນດຽວ ຫຼືອຸປະກອນຄູ່ທີ່ເຊື່ອມຕໍ່ໂດຍໃຊ້ອິນເຕີເຟດ. ເປັນ example, ການແບ່ງຊັ້ນຊັ້ນ 3 ສະໜອງສິ່ງຕໍ່ໄປນີ້:
- ຄວາມສາມາດໃນການຈັດກຸ່ມຄໍານໍາຫນ້າເຂົ້າໄປໃນຕາຕະລາງເສັ້ນທາງທີ່ເປັນເອກະລັກ (RIB ຫຼື FIB).
- ຄວາມສາມາດໃນການເຊື່ອມໂຍງສ່ວນຕິດຕໍ່ກັບຕາຕະລາງເສັ້ນທາງເພື່ອໃຫ້ການຈະລາຈອນທີ່ຂ້າມຜ່ານສ່ວນຕິດຕໍ່ແມ່ນເປັນເສັ້ນທາງໂດຍອີງໃສ່ຄໍານໍາຫນ້າໃນຕາຕະລາງເສັ້ນທາງນັ້ນ.
ນີ້ແມ່ນຫນ້າທີ່ທີ່ເປັນປະໂຫຍດ, ແຕ່ຂອບເຂດຂອງມັນຖືກຈໍາກັດຢູ່ໃນອຸປະກອນດຽວ. ເພື່ອຂະຫຍາຍການທໍາງານໃນທົ່ວເຄືອຂ່າຍ, ຂໍ້ມູນການແບ່ງສ່ວນຈໍາເປັນຕ້ອງຖືກປະຕິບັດໄປຫາຈຸດທີ່ກ່ຽວຂ້ອງໃນເຄືອຂ່າຍ.
ວິທີການເປີດໃຊ້ການແບ່ງສ່ວນກ້ວາງເຄືອຂ່າຍ
ມີສອງວິທີໃນການສະຫນອງການແບ່ງສ່ວນໃນທົ່ວເຄືອຂ່າຍນີ້:
- ກຳນົດນະໂຍບາຍການຈັດກຸ່ມຢູ່ທຸກອຸປະກອນ ແລະໃນທຸກລິ້ງໃນເຄືອຂ່າຍ (ໂດຍພື້ນຖານແລ້ວ, ທ່ານປະຕິບັດຂັ້ນຕອນທີ 1 ແລະ 2 ຂ້າງເທິງໃນທຸກອຸປະກອນ).
- ກໍານົດນະໂຍບາຍການຈັດກຸ່ມຢູ່ຂອບຂອງສ່ວນ, ແລະຫຼັງຈາກນັ້ນປະຕິບັດຂໍ້ມູນການແບ່ງສ່ວນໃນແພັກເກັດສໍາລັບຂໍ້ກາງເພື່ອຈັດການ.
ວິທີການທໍາອິດແມ່ນເປັນປະໂຫຍດຖ້າອຸປະກອນທຸກແມ່ນຈຸດເຂົ້າຫຼືອອກສໍາລັບສ່ວນ, ເຊິ່ງໂດຍທົ່ວໄປບໍ່ແມ່ນກໍລະນີໃນເຄືອຂ່າຍຂະຫນາດກາງແລະຂະຫນາດໃຫຍ່. ວິທີການທີສອງແມ່ນສາມາດຂະຫຍາຍໄດ້ຫຼາຍກວ່າເກົ່າແລະຮັກສາເຄືອຂ່າຍການຂົນສົ່ງທີ່ບໍ່ມີສ່ວນແລະຄວາມສັບສົນ.
- ການແບ່ງສ່ວນໃນ Cisco Catalyst SD-WAN,
- VRFs ທີ່ໃຊ້ໃນ Cisco Catalyst SD-WAN Segmentation,
- ຕັ້ງຄ່າ VRF ໂດຍໃຊ້ Cisco SD-WAN Manager Templates,
- ຕັ້ງຄ່າ VPN ໂດຍໃຊ້ Cisco SD-WAN Manager Templates,
- ຕັ້ງຄ່າການແບ່ງສ່ວນໂດຍໃຊ້ CLI,
- ການອ້າງອິງ CLI Segmentation,
ການແບ່ງສ່ວນໃນ Cisco Catalyst SD-WAN
ໃນເຄືອຂ່າຍຊ້ອນກັນ Cisco Catalyst SD-WAN, VRFs ແບ່ງເຄືອຂ່າຍອອກເປັນສ່ວນຕ່າງໆ.
Cisco Catalyst SD-WAN ໃຊ້ຕົວແບບທີ່ແຜ່ຫຼາຍ ແລະສາມາດຂະຫຍາຍໄດ້ໃນການສ້າງພາກສ່ວນຕ່າງໆ. ໂດຍພື້ນຖານແລ້ວ,
ການແບ່ງສ່ວນແມ່ນເຮັດຢູ່ແຄມຂອງ router, ແລະຂໍ້ມູນການແບ່ງສ່ວນແມ່ນປະຕິບັດຢູ່ໃນຊຸດໃນ.
ຮູບແບບຂອງຕົວລະບຸ.
ຕົວເລກສະແດງໃຫ້ເຫັນການແຜ່ຂະຫຍາຍຂອງຂໍ້ມູນການເສັ້ນທາງໃນ VRF ໄດ້.
ຮູບທີ 1: ການຂະຫຍາຍຂໍ້ມູນເສັ້ນທາງພາຍໃນ VRF
ໃນຮູບນີ້:
- Router-1 ຈອງສອງ VRFs, ສີແດງແລະສີຟ້າ.
- VRF ສີແດງຕອບສະໜອງກັບຄຳນຳໜ້າ 10.1.1.0/24 (ໂດຍກົງຜ່ານອິນເຕີເຟດທີ່ເຊື່ອມຕໍ່ ຫຼືຮຽນຮູ້ໂດຍໃຊ້ IGP ຫຼື BGP).
- VRF ສີຟ້າຕອບສະໜອງກັບຄຳນຳໜ້າ 10.2.2.0/24 (ໂດຍກົງຜ່ານອິນເຕີເຟດທີ່ເຊື່ອມຕໍ່ ຫຼືຮຽນຮູ້ໂດຍໃຊ້ IGP ຫຼື BGP).
- Router-2 ສະໝັກໃຊ້ VRF ສີແດງ.
- VRF ນີ້ຮອງຮັບກັບຄຳນຳໜ້າ 192.168.1.0/24 (ໂດຍກົງຜ່ານອິນເຕີເຟດທີ່ເຊື່ອມຕໍ່ ຫຼືຮຽນຮູ້ໂດຍໃຊ້ IGP ຫຼື BGP).
- Router-3 ສະໝັກໃຊ້ VRF ສີຟ້າ.
- VRF ນີ້ຮອງຮັບກັບຄຳນຳໜ້າ 192.168.2.0/24 (ໂດຍກົງຜ່ານອິນເຕີເຟດທີ່ເຊື່ອມຕໍ່ ຫຼືຮຽນຮູ້ໂດຍໃຊ້ IGP ຫຼື BGP).
ເນື່ອງຈາກວ່າແຕ່ລະ router ມີການເຊື່ອມຕໍ່ Overlay Management Protocol (OMP) ຜ່ານອຸໂມງ TLS ກັບ Cisco SD-WAN Controller, ມັນກະຈາຍຂໍ້ມູນເສັ້ນທາງຂອງມັນໄປຫາ Cisco SD-WAN Controller. ໃນ Cisco SD-WAN Controller, ຜູ້ບໍລິຫານເຄືອຂ່າຍສາມາດບັງຄັບໃຊ້ນະໂຍບາຍທີ່ຈະລຸດເສັ້ນທາງ, ເພື່ອປ່ຽນ TLOCs, ເຊິ່ງແມ່ນ overlay hops ຕໍ່ໄປ, ສໍາລັບວິສະວະກໍາການຈະລາຈອນຫຼືລະບົບຕ່ອງໂສ້ການບໍລິການ. ຜູ້ບໍລິຫານເຄືອຂ່າຍສາມາດນຳໃຊ້ນະໂຍບາຍເຫຼົ່ານີ້ເປັນນະໂຍບາຍຂາເຂົ້າ ແລະ ຂາອອກໃນ Cisco SD-WAN Controller.
ຄຳນຳໜ້າທັງໝົດທີ່ເປັນຂອງ VRF ດຽວແມ່ນເກັບໄວ້ໃນຕາຕະລາງເສັ້ນທາງແຍກຕ່າງຫາກ. ນີ້ສະຫນອງການໂດດດ່ຽວ Layer 3 ທີ່ຕ້ອງການສໍາລັບພາກສ່ວນຕ່າງໆໃນເຄືອຂ່າຍ. ດັ່ງນັ້ນ, Router-1 ມີສອງຕາຕະລາງເສັ້ນທາງ VRF, ແລະ Router-2 ແລະ Router-3 ແຕ່ລະຄົນມີຕາຕະລາງເສັ້ນທາງຫນຶ່ງ. ນອກຈາກນັ້ນ, Cisco SD-WAN Controller ຮັກສາສະພາບການ VRF ຂອງແຕ່ລະຄໍານໍາຫນ້າ.
ຕາຕະລາງເສັ້ນທາງແຍກຕ່າງຫາກສະຫນອງການໂດດດ່ຽວຢູ່ໃນໂຫນດດຽວ. ດັ່ງນັ້ນວິທີການຂໍ້ມູນເສັ້ນທາງຖືກເຜີຍແຜ່ໃນທົ່ວເຄືອຂ່າຍແນວໃດ?
ໃນການແກ້ໄຂ Cisco Catalyst SD-WAN, ນີ້ແມ່ນເຮັດໄດ້ໂດຍໃຊ້ຕົວລະບຸ VRF, ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້. A VRF ID, ເຊິ່ງບັນຈຸຢູ່ໃນຊຸດ, ກໍານົດແຕ່ລະ VRF ໃນການເຊື່ອມຕໍ່. ໃນເວລາທີ່ທ່ານ configure VRF ໃນ router, VRF ມີປ້າຍຊື່ທີ່ກ່ຽວຂ້ອງກັບມັນ. router ສົ່ງປ້າຍຊື່, ພ້ອມກັບ VRFID, ໄປໃຫ້ Cisco SD-WAN Controller. Cisco SD-WAN Controller ເຜີຍແຜ່ຂໍ້ມູນການສ້າງແຜນທີ່ Router-to- VRF ID ໄປຫາເຣົາເຕີອື່ນໆໃນໂດເມນ. routers ຫ່າງໄກສອກຫຼີກຫຼັງຈາກນັ້ນໃຊ້ປ້າຍຊື່ນີ້ເພື່ອສົ່ງການຈະລາຈອນໄປຫາ VRF ທີ່ເຫມາະສົມ. routers ທ້ອງຖິ່ນ, ໃນການຮັບຂໍ້ມູນດ້ວຍປ້າຍ ID VRF, ໃຊ້ປ້າຍຊື່ເພື່ອ demultiplex ການຈະລາຈອນຂໍ້ມູນ. ນີ້ແມ່ນຄ້າຍຄືກັນກັບວິທີການໃຊ້ປ້າຍ MPLS. ການອອກແບບນີ້ແມ່ນອີງໃສ່ RFCs ມາດຕະຖານແລະປະຕິບັດຕາມລະບຽບການເຊັ່ນ PCI ແລະ HIPAA.
ຮູບທີ 2: ຕົວລະບຸ VRF
ໝາຍເຫດ ເຄືອຂ່າຍການຂົນສົ່ງທີ່ເຊື່ອມຕໍ່ routers ແມ່ນບໍ່ຮູ້ຫມົດກ່ຽວກັບ VRFs. ພຽງແຕ່ routers ຮູ້ກ່ຽວກັບ VRFs; ສ່ວນທີ່ເຫຼືອຂອງເຄືອຂ່າຍປະຕິບັດຕາມເສັ້ນທາງ IP ມາດຕະຖານ.
VRFs ທີ່ໃຊ້ໃນ Cisco Catalyst SD-WAN Segmentation
ການແກ້ໄຂ Cisco Catalyst SD-WAN ກ່ຽວຂ້ອງກັບການນໍາໃຊ້ VRFs ເພື່ອແຍກການຈະລາຈອນ.
VRF ທົ່ວໂລກ
VRF ທົ່ວໂລກແມ່ນໃຊ້ສໍາລັບການຂົນສົ່ງ. ເພື່ອບັງຄັບໃຊ້ການແຍກຕ່າງຫາກລະຫວ່າງການບໍລິການ (ເຊັ່ນຄໍານໍາຫນ້າທີ່ເປັນຂອງວິສາຫະກິດ) ແລະການຂົນສົ່ງ (ເຄືອຂ່າຍທີ່ເຊື່ອມຕໍ່ routers), ການໂຕ້ຕອບການຂົນສົ່ງທັງຫມົດ, ນັ້ນແມ່ນ, TLOCs ທັງຫມົດ, ຈະຖືກເກັບໄວ້ໃນ VRF ທົ່ວໂລກ. ນີ້ຮັບປະກັນວ່າເຄືອຂ່າຍການຂົນສົ່ງບໍ່ສາມາດບັນລຸເຄືອຂ່າຍການບໍລິການໂດຍຄ່າເລີ່ມຕົ້ນ. ການໂຕ້ຕອບການຂົນສົ່ງຫຼາຍສາມາດຂຶ້ນກັບ VRF ດຽວກັນ, ແລະແພັກເກັດສາມາດສົ່ງຕໍ່ໄປຫາແລະຈາກການໂຕ້ຕອບການຂົນສົ່ງ.
VRF ທົ່ວໂລກມີສ່ວນຕິດຕໍ່ທັງໝົດສຳລັບອຸປະກອນ, ຍົກເວັ້ນສ່ວນຕິດຕໍ່ການຈັດການ, ແລະສ່ວນຕິດຕໍ່ທັງໝົດຖືກປິດໃຊ້ງານ. ສໍາລັບຍົນຄວບຄຸມທີ່ຈະສ້າງຕົວມັນເອງເພື່ອໃຫ້ເຄືອຂ່າຍຊ້ອນກັນສາມາດເຮັດວຽກໄດ້, ທ່ານຕ້ອງກໍາຫນົດຄ່າການໂຕ້ຕອບຂອງອຸໂມງໃນ VRF ທົ່ວໂລກ. ສໍາລັບແຕ່ລະການໂຕ້ຕອບໃນ VRF ທົ່ວໂລກ, ທ່ານຕ້ອງກໍານົດທີ່ຢູ່ IP, ແລະສ້າງການເຊື່ອມຕໍ່ອຸໂມງທີ່ກໍານົດສີແລະ encapsulation ສໍາລັບການເຊື່ອມຕໍ່ການຂົນສົ່ງ WAN. (ການຫຸ້ມຫໍ່ແມ່ນໃຊ້ສໍາລັບການສົ່ງຂໍ້ມູນການຈະລາຈອນ.) ສາມຕົວກໍານົດການເຫຼົ່ານີ້ - ທີ່ຢູ່ IP, ສີ, ແລະ encapsulation - ກໍານົດ TLOC (ສະຖານທີ່ຂົນສົ່ງ) ໃນ router. ເຊດຊັນ OMP ທີ່ແລ່ນຢູ່ໃນແຕ່ລະອຸໂມງຈະສົ່ງ TLOC ໄປໃຫ້ Cisco SD-WAN Controllers ເພື່ອໃຫ້ພວກເຂົາສາມາດຮຽນຮູ້ topology ເຄືອຂ່າຍຊ້ອນກັນໄດ້.
ຮອງຮັບ Dual-Stack ກ່ຽວກັບການຂົນສົ່ງ VPNs
ໃນ VRF ທົ່ວໂລກ, Cisco IOS XE Catalyst SD-WAN ອຸປະກອນແລະ Cisco SD-WAN Controller ສະຫນັບສະຫນູນສອງ stack. ເພື່ອເປີດໃຊ້ສອງ stack, ຕັ້ງຄ່າທີ່ຢູ່ IPv4 ແລະທີ່ຢູ່ IPv6 ໃນການໂຕ້ຕອບອຸໂມງ. ເຣົາເຕີຮຽນຮູ້ຈາກ Cisco SD-WAN Controller ບໍ່ວ່າຈະເປັນປາຍທາງຮອງຮັບທີ່ຢູ່ IPv4 ຫຼື IPv6. ເມື່ອສົ່ງຕໍ່ການຈະລາຈອນ, router ເລືອກ IPv4 ຫຼື IPv6 TLOC, ອີງຕາມທີ່ຢູ່ປາຍທາງ. ແຕ່ IPv4 ເປັນທີ່ມັກສະເໝີເມື່ອມີການກຳນົດຄ່າ.
ການຄຸ້ມຄອງ VRF
Mgmt-Intf ແມ່ນການຈັດການອຸປະກອນ VRFon Cisco IOS XE CatalystSD-WAN. ມັນຖືກຕັ້ງຄ່າແລະເປີດໃຊ້ງານຕາມຄ່າເລີ່ມຕົ້ນ. ມັນປະຕິບັດການຈະລາຈອນການຄຸ້ມຄອງເຄືອຂ່າຍນອກວົງລະຫວ່າງອຸປະກອນໃນເຄືອຂ່າຍຊ້ອນກັນ. ທ່ານສາມາດແກ້ໄຂການຕັ້ງຄ່ານີ້, ຖ້າຕ້ອງການ.
ຕັ້ງຄ່າ VRF ໂດຍໃຊ້ແມ່ແບບຕົວຈັດການ Cisco SD-WAN
ໃນ Cisco SD-WAN Manager, ໃຊ້ແມ່ແບບ CLI ເພື່ອຕັ້ງຄ່າ VRFs ສໍາລັບອຸປະກອນ. ສໍາລັບແຕ່ລະ VRF, configure sub interface ແລະເຊື່ອມຕໍ່ sub interface ກັບ VRF. ທ່ານສາມາດຕັ້ງຄ່າໄດ້ເຖິງ 300 VRFs.
ເມື່ອທ່ານຍູ້ແມ່ແບບ CLI ໄປໃສ່ອຸປະກອນ, Cisco SD-WAN Manager ຈະຂຽນທັບການຕັ້ງຄ່າທີ່ມີຢູ່ແລ້ວໃນອຸປະກອນ ແລະໂຫຼດການຕັ້ງຄ່າທີ່ກຳນົດໄວ້ໃນແມ່ແບບ CLI. ດັ່ງນັ້ນ, ແມ່ແບບບໍ່ສາມາດສະຫນອງພຽງແຕ່ເນື້ອຫາໃຫມ່ທີ່ຖືກຕັ້ງຄ່າ, ເຊັ່ນ VRFs. ແມ່ແບບ CLI ຕ້ອງລວມເອົາລາຍລະອຽດການຕັ້ງຄ່າທັງໝົດທີ່ຕ້ອງການໂດຍອຸປະກອນ. ເພື່ອສະແດງລາຍລະອຽດການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງໃນອຸປະກອນ, ໃຫ້ໃຊ້ຄໍາສັ່ງ show sdwan running-config.
ສໍາລັບລາຍລະອຽດກ່ຽວກັບການສ້າງແລະນໍາໃຊ້ແມ່ແບບ CLI, ແລະສໍາລັບ exampໃນການຕັ້ງຄ່າ VRFs, ເບິ່ງ CLI Templates ສໍາລັບ Cisco IOS XE Catalyst SD-WAN Routers ບົດຂອງ ຄູ່ມືການຕັ້ງຄ່າລະບົບ ແລະການໂຕ້ຕອບ, Cisco IOS XE Release 17.x.
ຕໍ່ໄປນີ້ແມ່ນອຸປະກອນທີ່ຮອງຮັບ:
- Cisco ASR1001-HX
- ASR1002-HX
ຕັ້ງຄ່າ VPN ໂດຍໃຊ້ແມ່ແບບຕົວຈັດການ Cisco SD-WAN
ສ້າງແມ່ແບບ VPN
ໝາຍເຫດ Cisco IOS XE Catalyst SD-WAN ອຸປະກອນໃຊ້ VRFs ສໍາລັບການແບ່ງແຍກ ແລະແຍກເຄືອຂ່າຍ. ຢ່າງໃດກໍຕາມ, ຂັ້ນຕອນຕໍ່ໄປນີ້ຍັງໃຊ້ໄດ້ຫາກທ່ານກໍາລັງຕັ້ງຄ່າການແບ່ງສ່ວນສໍາລັບອຸປະກອນ Cisco IOS XE Catalyst SD-WAN ຜ່ານ Cisco SD-WAN Manager. ເມື່ອທ່ານເຮັດສຳເລັດການຕັ້ງຄ່າ, ລະບົບຈະປ່ຽນ VPNs ເປັນ VRFs ໂດຍອັດຕະໂນມັດສຳລັບອຸປະກອນ Cisco IOS XE Catalyst SD-WAN.
ໝາຍເຫດ ທ່ານສາມາດຕັ້ງຄ່າເສັ້ນທາງຄົງທີ່ຜ່ານແມ່ແບບ VPN.
- ຂັ້ນຕອນທີ 1 ຈາກ Cisco SD-WAN Manager ເມນູ, ເລືອກການຕັ້ງຄ່າ > ແມ່ແບບ.
- ຂັ້ນຕອນທີ 2 ກົດ Device Templates, ແລະຄລິກ ສ້າງ Template.
ໝາຍເຫດໃນ Cisco vManage Release 20.7.x ແລະລຸ້ນກ່ອນໜ້ານີ້ Device Templates ເອີ້ນວ່າ Device. - ຂັ້ນຕອນທີ 3 ຈາກລາຍການແບບເລື່ອນລົງ ສ້າງແມ່ແບບ, ເລືອກ ຈາກແມ່ແບບຄຸນສົມບັດ.
- ຂັ້ນຕອນທີ 4 ຈາກບັນຊີລາຍການແບບເລື່ອນລົງຮູບແບບອຸປະກອນ, ເລືອກປະເພດຂອງອຸປະກອນທີ່ທ່ານຕ້ອງການທີ່ຈະສ້າງແມ່ແບບ.
- ຂັ້ນຕອນທີ 5 ເພື່ອສ້າງແມ່ແບບສໍາລັບ VPN 0 ຫຼື VPN 512:
a. ຄລິກ Transport & Management VPN, ຫຼືເລື່ອນໄປຫາພາກສ່ວນ Transport & Management VPN.
b. ຈາກລາຍການເລື່ອນລົງ VPN 0 ຫຼື VPN 512, ຄລິກ ສ້າງແມ່ແບບ. ແບບຟອມແມ່ແບບ VPN ປາກົດຂຶ້ນ.
ແບບຟອມປະກອບມີຊ່ອງຂໍ້ມູນສໍາລັບການຕັ້ງຊື່ແມ່ແບບ, ແລະຊ່ອງຂໍ້ມູນສໍາລັບກໍານົດພາລາມິເຕີ VPN. - ຂັ້ນຕອນທີ 6 ເພື່ອສ້າງແມ່ແບບສໍາລັບ VPNs 1 ເຖິງ 511, ແລະ 513 ຫາ 65527:
a. ກົດການບໍລິການ VPN, ຫຼືເລື່ອນໄປຫາພາກການບໍລິການ VPN.
b. ຄລິກລາຍການເລື່ອນລົງການບໍລິການ VPN.
c. ຈາກບັນຊີລາຍຊື່ເລື່ອນລົງ VPN, ໃຫ້ຄລິກໃສ່ສ້າງແມ່ແບບ. ແບບຟອມແມ່ແບບ VPN ສະແດງ.
ແບບຟອມປະກອບມີຊ່ອງຂໍ້ມູນສໍາລັບການຕັ້ງຊື່ແມ່ແບບ, ແລະຊ່ອງຂໍ້ມູນສໍາລັບກໍານົດພາລາມິເຕີ VPN. - ຂັ້ນຕອນທີ 7 ໃນຊື່ແມ່ແບບ, ໃສ່ຊື່ສໍາລັບແມ່ແບບ. ຊື່ສາມາດມີເຖິງ 128 ຕົວອັກສອນ ແລະສາມາດມີຕົວອັກສອນທີ່ເປັນຕົວເລກ.
- ຂັ້ນຕອນທີ 8 ໃນຄໍາອະທິບາຍແມ່ແບບ, ໃສ່ຄໍາອະທິບາຍຂອງແມ່ແບບ. ຄໍາອະທິບາຍສາມາດສູງເຖິງ 2048 ຕົວອັກສອນແລະສາມາດມີພຽງແຕ່ຕົວອັກສອນທີ່ເປັນຕົວເລກ.
ຕັ້ງຄ່າພາລາມິເຕີ VPN ພື້ນຖານ
ເພື່ອກຳນົດຄ່າພາຣາມີເຕີ VPN ພື້ນຖານ, ເລືອກການຕັ້ງຄ່າພື້ນຖານ ແລະ ຈາກນັ້ນກຳນົດຄ່າພາລາມິເຕີຕໍ່ໄປນີ້.
ພາຣາມິເຕີທີ່ໝາຍດ້ວຍເຄື່ອງໝາຍດາວແມ່ນຕ້ອງການເພື່ອກຳນົດຄ່າ VPN.
| ຊື່ພາລາມິເຕີ | ລາຍລະອຽດ |
| VPN | ໃສ່ຕົວລະບຸຕົວເລກຂອງ VPN. ຊ່ວງສຳລັບອຸປະກອນ Cisco IOS XE Catalyst SD-WAN: 0 ຫາ 65527 ຄ່າຂອງ Cisco Catalyst SD-WAN Controller ແລະ Cisco SD-WAN Manager ອຸປະກອນ: 0, 512 |
| ຊື່ | ໃສ່ຊື່ສໍາລັບ VPN. ໝາຍເຫດ ສໍາລັບອຸປະກອນ Cisco IOS XE Catalyst SD-WAN, ທ່ານບໍ່ສາມາດໃສ່ຊື່ອຸປະກອນສະເພາະສໍາລັບ VPN ໄດ້. |
| ປັບປຸງການກົດປຸ່ມ ECMP | ກົດ On ເພື່ອເຮັດໃຫ້ການນໍາໃຊ້ໃນລະຫັດ ECMP hash ຂອງຊັ້ນ 4 ພອດແຫຼ່ງແລະຈຸດຫມາຍປາຍທາງ, ນອກເຫນືອໄປຈາກການປະສົມປະສານຂອງແຫຼ່ງ, ແລະທີ່ຢູ່ IP ປາຍທາງ, ເປັນລະຫັດ ECMP hash. ECMP keying ແມ່ນ ປິດ ໂດຍຄ່າເລີ່ມຕົ້ນ. |
ໝາຍເຫດ ເພື່ອເຮັດສຳເລັດການຕັ້ງຄ່າ VPN ການຂົນສົ່ງໃນເຣົາເຕີ, ທ່ານຕ້ອງກຳນົດຄ່າຢ່າງໜ້ອຍໜຶ່ງສ່ວນຕິດຕໍ່ໃນ VPN 0.
ເພື່ອບັນທຶກແມ່ແບບຄຸນສົມບັດ, ຄລິກບັນທຶກ.
ຕັ້ງຄ່າລະບົບການດຸ່ນດ່ຽງການໂຫຼດໂດຍໃຊ້ CLI
ໝາຍເຫດ
ເລີ່ມຕົ້ນຈາກ Cisco IOS XE Catalyst SD-WAN Release 17.8.1a, ທ່ານຕ້ອງການແມ່ແບບ CLI ເພື່ອກໍາຫນົດຄ່າ src-only load-sharing algorithm ສໍາລັບ IPv4 ແລະ IPv6 Cisco CatalystSD-WAN ແລະບໍ່ແມ່ນ Cisco CatalystSD-WAN traffic. ສໍາລັບລາຍລະອຽດຄົບຖ້ວນສົມບູນກ່ຽວກັບ algorithm ການແບ່ງປັນການໂຫຼດ CLI, ເບິ່ງ ຄໍາສັ່ງ IP ບັນຊີລາຍຊື່.
ຕໍ່ໄປນີ້ແມ່ນໃຫ້ການຕັ້ງຄ່າ CLI ສໍາລັບການເລືອກລະບົບການດຸ່ນດ່ຽງການໂຫຼດຂອງ Cisco ExpressForwarding ສໍາລັບການຈະລາຈອນທີ່ບໍ່ແມ່ນ Cisco CatalystSD-WAN IPv4 ແລະ IPv6. ທ່ານສາມາດເປີດໃຊ້ ECMPkeying ເພື່ອສົ່ງການຕັ້ງຄ່າສໍາລັບທັງ IPv4 ແລະ IPv6.
Device# config-transaction
Device(config)# ip cef load-sharing algorithm {universal [id] | include-ports [ source [id]
| destination [id]] |
src-only [id]}
Device# config-transaction
Device(config)# ipv6 cef load-sharing algorithm {universal [id] | include-ports [ source
[id] | destination [id]] |
src-only [id]}
ຕໍ່ໄປນີ້ສະຫນອງການຕັ້ງຄ່າ CLI ສໍາລັບການເຮັດໃຫ້ລະບົບການດຸ່ນດ່ຽງການໂຫຼດໃນການໂຕ້ຕອບສໍາລັບ Cisco Catalyst SD-WAN IPv4 ແລະ IPv6 traffic. ທ່ານສາມາດເປີດໃຊ້ ECMP keying ເພື່ອສົ່ງການຕັ້ງຄ່າສໍາລັບທັງ IPv4 ແລະ IPv6.
Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ip load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}
Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ipv6 load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}
ຕັ້ງຄ່າການທໍາງານຂອງການໂຕ້ຕອບພື້ນຖານ
ເພື່ອຕັ້ງຄ່າການທໍາງານຂອງການໂຕ້ຕອບພື້ນຖານໃນ VPN, ເລືອກການຕັ້ງຄ່າພື້ນຖານ ແລະກໍານົດພາລາມິເຕີຕໍ່ໄປນີ້:
ໝາຍເຫດ ພາຣາມິເຕີທີ່ໝາຍດ້ວຍເຄື່ອງໝາຍດາວແມ່ນຕ້ອງການເພື່ອກຳນົດຄ່າສ່ວນຕິດຕໍ່.
| ຊື່ພາລາມິເຕີ | IPv4 ຫຼື IPv6 | ທາງເລືອກ | ລາຍລະອຽດ |
| ປິດລົງ* | ກົດ ບໍ່ ເພື່ອເປີດໃຊ້ການໂຕ້ຕອບ. | ||
| ຊື່ໂຕ້ຕອບ* | ໃສ່ຊື່ສໍາລັບການໂຕ້ຕອບ.
ສໍາລັບອຸປະກອນ Cisco IOS XE Catalyst SD-WAN, ທ່ານຕ້ອງ:
|
||
| ລາຍລະອຽດ | ໃສ່ຄຳອະທິບາຍສຳລັບສ່ວນຕິດຕໍ່. | ||
| IPv4/IPv6 | ກົດ IPv4 ເພື່ອຕັ້ງຄ່າການໂຕ້ຕອບ IPv4 VPN. ກົດ IPv6 ເພື່ອຕັ້ງຄ່າການໂຕ້ຕອບ IPv6. | ||
| ໄດນາມິກ | ກົດ ໄດນາມິກ ເພື່ອກໍານົດການໂຕ້ຕອບເປັນລູກຄ້າ Dynamic Host Configuration Protocol (DHCP), ດັ່ງນັ້ນອິນເຕີເຟດໄດ້ຮັບທີ່ຢູ່ IP ຂອງມັນຈາກເຄື່ອງແມ່ຂ່າຍ DHCP. | ||
| ທັງສອງ | DHCP
ໄລຍະທາງ |
ທາງເລືອກອື່ນ, ໃສ່ຄ່າໄລຍະທາງບໍລິຫານສຳລັບເສັ້ນທາງທີ່ໄດ້ຮຽນຮູ້ຈາກເຊີບເວີ DHCP. ຄ່າເລີ່ມຕົ້ນແມ່ນ 1. | |
| IPv6 | DHCP
ຄຳ ໝັ້ນ ສັນຍາຢ່າງໄວວາ |
ທາງເລືອກອື່ນ, ຕັ້ງຄ່າເຊີບເວີທ້ອງຖິ່ນ DHCP IPv6 ເພື່ອຮອງຮັບ DHCP Rapid Commit, ເພື່ອເຮັດໃຫ້ການຕັ້ງຄ່າລູກຄ້າໄວຂຶ້ນ ແລະຢືນຢັນໃນສະພາບແວດລ້ອມທີ່ຫຍຸ້ງຢູ່. ກົດ On ເພື່ອເປີດໃຊ້ DHCP ຄໍາຫມັ້ນສັນຍາຢ່າງໄວວາ. ກົດ ປິດ ເພື່ອສືບຕໍ່ນໍາໃຊ້ຂະບວນການສັນຍາປົກກະຕິ. |
|
| ສະຖິດ | ກົດ ສະຖິດ ເພື່ອໃສ່ທີ່ຢູ່ IP ທີ່ບໍ່ປ່ຽນແປງ. | ||
| IPv4 | IPv4 ທີ່ຢູ່ | ໃສ່ທີ່ຢູ່ IPv4 ແບບຄົງທີ່. | |
| IPv6 | IPv6 ທີ່ຢູ່ | ໃສ່ທີ່ຢູ່ IPv6 ແບບຄົງທີ່. | |
| ທີ່ຢູ່ IP ທີສອງ | IPv4 | ກົດ ເພີ່ມ ເພື່ອປ້ອນເຖິງສີ່ທີ່ຢູ່ IPv4 ທີສອງສໍາລັບການໂຕ້ຕອບດ້ານການບໍລິການ. | |
| ທີ່ຢູ່ IPv6 | IPv6 | ກົດ ເພີ່ມ ເພື່ອປ້ອນເຖິງສອງທີ່ຢູ່ IPv6 ທີສອງສໍາລັບການໂຕ້ຕອບດ້ານການບໍລິການ. | |
| ຜູ້ຊ່ວຍ DHCP | ທັງສອງ | ເພື່ອກໍານົດສ່ວນຕິດຕໍ່ຜູ້ໃຊ້ເປັນຕົວຊ່ວຍ DHCP ໃນເຣົາເຕີ, ໃຫ້ໃສ່ເຖິງແປດທີ່ຢູ່ IP, ແຍກດ້ວຍເຄື່ອງໝາຍຈຸດ, ສໍາລັບເຊີບເວີ DHCP ໃນເຄືອຂ່າຍ. ການໂຕ້ຕອບຜູ້ຊ່ວຍ DHCP ສົ່ງຕໍ່ Boot P (ອອກອາກາດ) DHCP ຮ້ອງຂໍໃຫ້ມັນໄດ້ຮັບຈາກເຄື່ອງແມ່ຂ່າຍ DHCP ທີ່ລະບຸ. | |
| ຕັນ IP ທີ່ບໍ່ແມ່ນແຫຼ່ງ | ແມ່ນແລ້ວ / ບໍ່ | ກົດ ແມ່ນແລ້ວ ເພື່ອໃຫ້ມີການໂຕ້ຕອບການສົ່ງຕໍ່ພຽງແຕ່ຖ້າທີ່ຢູ່ IP ແຫຼ່ງຂອງການຈາລະຈອນກົງກັບລະດັບຄໍານໍາຫນ້າ IP ຂອງອິນເຕີເຟດ. ກົດ ບໍ່ ເພື່ອອະນຸຍາດໃຫ້ການຈະລາຈອນອື່ນໆ. | |
ສ້າງການໂຕ້ຕອບ Tunnel
ໃນອຸປະກອນ Cisco IOS XE Catalyst SD-WAN, ທ່ານສາມາດຕັ້ງຄ່າໄດ້ເຖິງແປດ tunnel interfaces. ນີ້ຫມາຍຄວາມວ່າແຕ່ລະອຸປະກອນ Cisco IOS XE Catalyst SD-WAN router ສາມາດມີເຖິງແປດ TLOCs. ໃນ Cisco Catalyst SD-WAN Controllers ແລະ Cisco SD-WAN Manager, ທ່ານສາມາດ configure ຫນຶ່ງ tunnel interface.
ສໍາລັບຍົນຄວບຄຸມທີ່ຈະສ້າງຕົວມັນເອງເພື່ອໃຫ້ເຄືອຂ່າຍຊ້ອນກັນສາມາດເຮັດວຽກໄດ້, ທ່ານຕ້ອງກໍາຫນົດຄ່າສ່ວນຕິດຕໍ່ການຂົນສົ່ງ WAN ໃນ VPN 0. ການໂຕ້ຕອບ WAN ຈະເຮັດໃຫ້ການໄຫຼວຽນຂອງການຈະລາຈອນອຸໂມງໄປສູ່ການຊ້ອນກັນ. ທ່ານສາມາດເພີ່ມຕົວກໍານົດການອື່ນໆທີ່ສະແດງຢູ່ໃນຕາຕະລາງຂ້າງລຸ່ມນີ້ພຽງແຕ່ຫຼັງຈາກທີ່ທ່ານ configure WAN interface ເປັນ tunnel interface.
ເພື່ອກຳນົດຄ່າອິນເຕີເຟດອຸໂມງ, ເລືອກອຸໂມງອິນເຕີເຟດ ແລະກຳນົດຄ່າພາລາມິເຕີຕໍ່ໄປນີ້:
| ຊື່ພາລາມິເຕີ | ລາຍລະອຽດ |
| ການໂຕ້ຕອບອຸໂມງ | ກົດ On ເພື່ອສ້າງການໂຕ້ຕອບ tunnel. |
| ສີ | ເລືອກສີສໍາລັບ TLOC. |
| Port Hop | ກົດ On ເພື່ອເປີດໃຊ້ງານພອດ hopping, ຫຼືຄລິກ ປິດ ເພື່ອປິດການທໍາງານມັນ. ຖ້າ port hopping ຖືກເປີດໃຊ້ທົ່ວໂລກ, ທ່ານສາມາດປິດມັນຢູ່ໃນ TLOC ສ່ວນບຸກຄົນ (ການໂຕ້ຕອບຂອງອຸໂມງ). ເພື່ອຄວບຄຸມພອດ hopping ໃນລະດັບໂລກ, ໃຫ້ໃຊ້ ລະບົບ ແມ່ແບບການຕັ້ງຄ່າ.
ຄ່າເລີ່ມຕົ້ນ: ເປີດໃຊ້ງານ Cisco SD-WAN Manager ແລະ Cisco Catalyst SD-WAN Controller ຄ່າເລີ່ມຕົ້ນ: ປິດໃຊ້ງານ |
| TCP MSS | TCP MSS ມີຜົນກະທົບຕໍ່ແພັກເກັດໃດນຶ່ງທີ່ມີສ່ວນຫົວ TCP ເບື້ອງຕົ້ນທີ່ໄຫລຜ່ານ router. ເມື່ອຕັ້ງຄ່າ, TCP MSS ຈະຖືກກວດສອບຕໍ່ກັບ MSS ທີ່ແລກປ່ຽນຢູ່ໃນການຈັບມືສາມທາງ. MSS ໃນສ່ວນຫົວແມ່ນຫຼຸດລົງຖ້າການຕັ້ງຄ່າ TCP MSS ທີ່ຖືກຕັ້ງຄ່າຕ່ໍາກວ່າ MSS ໃນສ່ວນຫົວ. ຖ້າຄ່າສ່ວນຫົວຂອງ MSS ແມ່ນຕໍ່າກວ່າ TCP MSS ແລ້ວ, ແພັກເກັດຈະໄຫຼຜ່ານແບບບໍ່ປ່ຽນແປງ. ເຈົ້າພາບຢູ່ໃນຕອນທ້າຍຂອງອຸໂມງໃຊ້ການຕັ້ງຄ່າຕ່ໍາຂອງສອງເຈົ້າພາບ. ຖ້າ TCP MSS ຈະຖືກຕັ້ງຄ່າ, ມັນຄວນຈະຖືກຕັ້ງຢູ່ທີ່ 40 bytes ຕ່ໍາກວ່າເສັ້ນທາງຕໍາ່ສຸດທີ່ MTU. ລະບຸແພັກເກັດ MSS ຂອງ TPC SYN ຜ່ານອຸປະກອນ Cisco IOS XE Catalyst SD-WAN. ໂດຍຄ່າເລີ່ມຕົ້ນ, MSS ແມ່ນຖືກປັບແບບເຄື່ອນໄຫວໂດຍອີງໃສ່ການໂຕ້ຕອບຫຼືອຸໂມງ MTU ເຊັ່ນວ່າແພັກເກັດ TCP SYN ບໍ່ເຄີຍຖືກແບ່ງອອກ. ຊ່ວງ: 552 ຫາ 1460 bytes ຄ່າເລີ່ມຕົ້ນ: ບໍ່ມີ |
| Clear-Dont-Fragment | ຕັ້ງຄ່າ Clear-Dont-Fragment ສໍາລັບແພັກເກັດທີ່ມາຮອດອິນເຕີເຟດທີ່ມີການຕັ້ງຄ່າ Don't Fragment. ຖ້າແພັກເກັດເຫຼົ່ານີ້ມີຂະຫນາດໃຫຍ່ກວ່າສິ່ງທີ່ MTU ອະນຸຍາດໃຫ້, ພວກມັນຈະຖືກຫຼຸດລົງ. ຖ້າຫາກວ່າທ່ານລົບລ້າງບໍ່ໄດ້ Fragment bit, packets ໄດ້ fragmented ແລະສົ່ງ.
ກົດ On ເພື່ອລ້າງບິດ Dont Fragment ໃນຫົວຊຸດ IPv4 ສໍາລັບແພັກເກັດທີ່ຖືກສົ່ງອອກຈາກອິນເຕີເຟດ. ເມື່ອບິດ Dont Fragment ຖືກລຶບລ້າງ, ແພັກເກັດທີ່ໃຫຍ່ກວ່າ MTU ຂອງອິນເຕີເຟດຖືກແບ່ງອອກກ່ອນທີ່ຈະຖືກສົ່ງ. ໝາຍເຫດ Clear-Dont-Fragment ລຶບບິດ Dont Fragment ແລະ Dont Fragment bit ຖືກຕັ້ງໄວ້. ສໍາລັບແພັກເກັດທີ່ບໍ່ຮຽກຮ້ອງໃຫ້ມີການແບ່ງສ່ວນ, ບິດ Dont Fragment ບໍ່ໄດ້ຮັບຜົນກະທົບ. |
| ອະນຸຍາດໃຫ້ບໍລິການ | ເລືອກ On or ປິດ ສໍາລັບແຕ່ລະບໍລິການອະນຸຍາດໃຫ້ຫຼືບໍ່ອະນຸຍາດໃຫ້ບໍລິການໃນການໂຕ້ຕອບ. |
ເພື່ອປັບຄ່າຕົວກໍານົດການໂຕ້ຕອບອຸໂມງເພີ່ມເຕີມ, ຄລິກຕົວເລືອກຂັ້ນສູງ:
| ຊື່ພາລາມິເຕີ | ລາຍລະອຽດ |
| ຜູ້ໃຫ້ບໍລິການ | ເລືອກຊື່ຜູ້ໃຫ້ບໍລິການ ຫຼືຕົວລະບຸເຄືອຂ່າຍສ່ວນຕົວເພື່ອເຊື່ອມໂຍງກັບອຸໂມງ.
ຄ່າ: carrier1, carrier2, carrier3, carrier4, carrier5, carrier6, carrier7, carrier8, default |
| NAT ໄລຍະການໂຫຼດຂໍ້ມູນຄືນໃໝ່ | ໃສ່ໄລຍະຫ່າງລະຫວ່າງແພັກເກັດຣີເຟຣຊ NAT ທີ່ສົ່ງໃນການເຊື່ອມຕໍ່ການຂົນສົ່ງ DTLS ຫຼື TLS WAN. ໄລຍະ: 1 ຫາ 60 ວິນາທີ ຄ່າເລີ່ມຕົ້ນ: 5 ວິນາທີ |
| ສະບາຍດີ Interval | ໃສ່ໄລຍະຫ່າງລະຫວ່າງແພັກເກັດສະບາຍດີທີ່ສົ່ງໃນການເຊື່ອມຕໍ່ການຂົນສົ່ງ DTLS ຫຼື TLS WAN. ໄລຍະ: 100 ຫາ 10000 ມິນລິວິນາທີ ຄ່າເລີ່ມຕົ້ນ: 1000 ມິນລິວິນາທີ (1 ວິນາທີ) |
| ສະບາຍດີ Tolerance | ໃສ່ເວລາລໍຖ້າແພັກເກັດ Hello ໃນການເຊື່ອມຕໍ່ການຂົນສົ່ງ DTLS ຫຼື TLS WAN ກ່ອນທີ່ຈະປະກາດອຸໂມງຂົນສົ່ງນັ້ນລົງ. ໄລຍະ: 12 ຫາ 60 ວິນາທີ ຄ່າເລີ່ມຕົ້ນ: 12 ວິນາທີ |
ຕັ້ງຄ່າ DNS ແລະແຜນທີ່ຊື່ເຈົ້າພາບຄົງທີ່
ເພື່ອຕັ້ງຄ່າທີ່ຢູ່ DNS ແລະການສ້າງແຜນທີ່ຊື່ໂຮດຄົງທີ່, ຄລິກ DNS ແລະຕັ້ງຄ່າພາລາມິເຕີຕໍ່ໄປນີ້:
| ຊື່ພາລາມິເຕີ | ທາງເລືອກ | ລາຍລະອຽດ |
| ທີ່ຢູ່ DNS ຕົ້ນຕໍ | ຄລິກບໍ່ວ່າຈະ IPv4 or IPv6, ແລະໃສ່ທີ່ຢູ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍ DNS ຕົ້ນຕໍໃນ VPN ນີ້. | |
| ທີ່ຢູ່ DNS ໃໝ່ | ກົດ ທີ່ຢູ່ DNS ໃໝ່ ແລະໃສ່ທີ່ຢູ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍ DNS ທີສອງໃນ VPN ນີ້. ຊ່ອງຂໍ້ມູນນີ້ປາກົດຂຶ້ນພຽງແຕ່ຖ້າທ່ານໄດ້ລະບຸທີ່ຢູ່ DNS ຕົ້ນຕໍເທົ່ານັ້ນ. | |
| ໝາຍເປັນແຖວທາງເລືອກ | ກວດເບິ່ງ ໝາຍເປັນແຖວທາງເລືອກ ປ່ອງໝາຍເພື່ອໝາຍອັນນີ້
ການຕັ້ງຄ່າເປັນອຸປະກອນສະເພາະ. ເພື່ອລວມເອົາການຕັ້ງຄ່ານີ້ສໍາລັບອຸປະກອນ, ໃສ່ຄ່າຕົວແປທີ່ຮ້ອງຂໍເມື່ອທ່ານແນບແມ່ແບບອຸປະກອນໃສ່ອຸປະກອນ, ຫຼືສ້າງຕາຕະລາງຕົວແປຂອງແມ່ແບບເພື່ອນໍາໃຊ້ຕົວແປ. |
|
| ຊື່ເຈົ້າພາບ | ໃສ່ຊື່ໂຮດຂອງເຄື່ອງແມ່ຂ່າຍ DNS. ຊື່ສາມາດມີເຖິງ 128 ຕົວອັກສອນ. | |
| ລາຍຊື່ທີ່ຢູ່ IP | ໃສ່ທີ່ຢູ່ IP ສູງສຸດແປດເພື່ອເຊື່ອມໂຍງກັບຊື່ເຈົ້າພາບ. ແຍກລາຍການດ້ວຍເຄື່ອງໝາຍຈຸດ. | |
| ເພື່ອບັນທຶກການຕັ້ງຄ່າ DNS server, ຄລິກ ເພີ່ມ. | ||
ເພື່ອບັນທຶກແມ່ແບບຄຸນສົມບັດ, ຄລິກບັນທຶກ.
ການສ້າງແຜນທີ່ຊື່ເຈົ້າພາບກັບທີ່ຢູ່ IP
! IP DNS-based host name-to-address translation is enabled ip domain lookup
! Specifies hosts 192.168.1.111 and 192.168.1.2 as name servers ip name-server 192.168.1.111 192.168.1.2
! Defines cisco.com as the default domain name the device uses to complete
! Set the name for unqualified host names ip domain name cisco.com
ຕັ້ງຄ່າການແບ່ງສ່ວນໂດຍໃຊ້ CLI
ຕັ້ງຄ່າ VRFs ໂດຍໃຊ້ CL
ເພື່ອແບ່ງເຄືອຂ່າຍຜູ້ໃຊ້ ແລະຂໍ້ມູນຜູ້ໃຊ້ຢູ່ໃນທ້ອງຖິ່ນໃນແຕ່ລະເວັບໄຊ ແລະເຊື່ອມຕໍ່ສະຖານທີ່ຜູ້ໃຊ້ໃນທົ່ວເຄືອຂ່າຍຊ້ອນກັນ, ເຈົ້າສ້າງ VRF ເທິງອຸປະກອນ Cisco IOS XE Catalyst SD-WAN. ເພື່ອເປີດໃຊ້ການໄຫຼເຂົ້າຂອງຂໍ້ມູນ, ທ່ານເຊື່ອມໂຍງການໂຕ້ຕອບກັບແຕ່ລະ VRF, ມອບຫມາຍທີ່ຢູ່ IP ໃຫ້ກັບແຕ່ລະສ່ວນຕິດຕໍ່. ການໂຕ້ຕອບເຫຼົ່ານີ້ເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍທ້ອງຖິ່ນ, ບໍ່ແມ່ນເພື່ອ WAN ຟັງ. ສໍາລັບແຕ່ລະ VRFs ເຫຼົ່ານີ້, ທ່ານສາມາດກໍານົດຄຸນສົມບັດການໂຕ້ຕອບສະເພາະອື່ນໆ, ແລະທ່ານສາມາດ configure ລັກສະນະສະເພາະສໍາລັບພາກສ່ວນຜູ້ໃຊ້, ເຊັ່ນ BGP ແລະ OSPF routing, VRRP, QoS, ຮູບຮ່າງການຈະລາຈອນ, ແລະ policing.
ໃນອຸປະກອນ Cisco IOS XE Catalyst SD-WAN, VRF ທົ່ວໂລກແມ່ນໃຊ້ສໍາລັບການຂົນສົ່ງ. ອຸປະກອນ Cisco IOS XE Catalyst SD-WAN ທັງໝົດມີ Mgmt-intf ເປັນ VRF ການຈັດການເລີ່ມຕົ້ນ.
ເພື່ອຕັ້ງຄ່າ VRFs ໃນອຸປະກອນ Cisco IOS XE Catalyst SD-WAN, ປະຕິບັດຕາມຂັ້ນຕອນເຫຼົ່ານີ້.
ໝາຍເຫດ
- ໃຊ້ຄໍາສັ່ງ config-transaction ເພື່ອເປີດໂຫມດການຕັ້ງຄ່າ CLI. ຄຳສັ່ງ config terminal ບໍ່ຮອງຮັບໃນອຸປະກອນ Cisco IOS XE Catalyst SD-WAN.
- VRF ID ສາມາດເປັນຕົວເລກລະຫວ່າງ 1 ຫາ 511 ແລະ 513 ຫາ 65535. ຕົວເລກ 0 ແລະ 512 ແມ່ນສະຫງວນໄວ້ສໍາລັບ Cisco SD-WAN Manager ແລະ Cisco SD-WAN Controller.
- ກຳນົດຄ່າບໍລິການ VRFs.
config-transaction
vrf definition10
rd1:10
address-family ipv4
exit-address-family
exit
address-family ipv6
exit-address-family
exit
exit - ຕັ້ງຄ່າສ່ວນຕິດຕໍ່ອຸໂມງເພື່ອໃຊ້ສໍາລັບການເຊື່ອມຕໍ່ຊ້ອນກັນ. ແຕ່ລະອິນເຕີເຟດອຸໂມງຜູກມັດກັບອັນດຽວ
ການໂຕ້ຕອບ WAN. ຕົວຢ່າງampຖ້າຫາກວ່າການໂຕ້ຕອບ router ແມ່ນ Gig0/0/2, ຈໍານວນການໂຕ້ຕອບ tunnel ແມ່ນ 2.
config-transaction
interface Tunnel 2
no shutdown
ip unnumbered GigabitEthernet1
tunnel source GigabitEthernet1
tunnel mode sdwan
exit - ຖ້າ router ບໍ່ໄດ້ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ DHCP, ຕັ້ງຄ່າທີ່ຢູ່ IP ຂອງການໂຕ້ຕອບ WAN.
interface Gigabi tEthernet 1
no shutdown
ip address dhcp - ກຳນົດຄ່າພາລາມິເຕີອຸໂມງ.
config-ທຸລະກໍາ
sdwan
interface GigabitEthernet2
tunnel-interface
encapsulation ipsec
colorlte
end
ໝາຍເຫດ
ຖ້າທີ່ຢູ່ IP ຖືກຕັ້ງຄ່າດ້ວຍຕົນເອງໃນ router, ຕັ້ງຄ່າເສັ້ນທາງເລີ່ມຕົ້ນຕາມຮູບຂ້າງລຸ່ມນີ້. ທີ່ຢູ່ IP
ຂ້າງລຸ່ມນີ້ຊີ້ໃຫ້ເຫັນທີ່ຢູ່ IP hop ຕໍ່ໄປ.
config-transaction
ip route 0.0.0.0 0.0.0.0192.0.2.25 - ເປີດໃຊ້ OMP ເພື່ອໂຄສະນາ vroutes ພາກສ່ວນ VRF.
sdwan
omp
no shutdown
graceful-restart
no as-dot-notation
timers
holdtime 15
graceful-restart-timer 120
exit
address-family ipv4
advertise ospf external
advertise connected
advertise static
exit
address-family ipv6
advertise ospf external
advertise connected
advertise static
exit
address-family ipv4 vrf 1
advertise bgp
exit
exit - ຕັ້ງຄ່າການໂຕ້ຕອບ VRF ການບໍລິການ.
config-transaction
interface GigabitEthernet 2
no shutdown
vrf forwarding 10
ip address 192.0.2.2 255.255.255.0
exit
ຢືນຢັນການຕັ້ງຄ່າ
ດໍາເນີນການຄໍາສັ່ງສັ້ນໆ show ip vrf ກັບ view ຂໍ້ມູນກ່ຽວກັບການໂຕ້ຕອບ VRF.
ອຸປະກອນ# sh ip vrf ໂດຍຫຍໍ້
| ຊື່ | RD ເລີ່ມຕົ້ນ | ການໂຕ້ຕອບ |
| 10 | 1:10 | Gi4 |
| 11 | 1:11 | Gi3 |
| 30 | 1:30 | |
| 65528 | lo65528 |
ການຕັ້ງຄ່າການແບ່ງສ່ວນ (VRFs) Examples
ບາງຄົນກົງໄປກົງມາ examples ຂອງການສ້າງແລະກໍາຫນົດຄ່າ VRFs ເພື່ອຊ່ວຍໃຫ້ທ່ານເຂົ້າໃຈຂັ້ນຕອນການຕັ້ງຄ່າສໍາລັບການແບ່ງສ່ວນເຄືອຂ່າຍ.
ການຕັ້ງຄ່າໃນ Cisco Catalyst SD-WAN Controller
ໃນ Cisco Catalyst SD-WAN Controller, ທ່ານກໍານົດຕົວກໍານົດການລະບົບທົ່ວໄປແລະສອງ VPNs— VPN 0 ສໍາລັບການຂົນສົ່ງ WAN ແລະ VPN 512 ສໍາລັບການຄຸ້ມຄອງເຄືອຂ່າຍ—ດັ່ງທີ່ທ່ານໄດ້ເຮັດສໍາລັບອຸປະກອນ Cisco IOS XE Catalyst SD-WAN. ນອກຈາກນີ້, ໂດຍທົ່ວໄປແລ້ວທ່ານສ້າງນະໂຍບາຍການຄວບຄຸມສູນກາງທີ່ຄວບຄຸມວິທີການກະຈາຍການຈະລາຈອນ VPN ໂດຍຜ່ານສ່ວນທີ່ເຫຼືອຂອງເຄືອຂ່າຍ. ໃນນີ້ໂດຍສະເພາະ example, ພວກເຮົາສ້າງນະໂຍບາຍສູນກາງ, ສະແດງໃຫ້ເຫັນຂ້າງລຸ່ມນີ້, ເພື່ອລຸດລົງຄໍານໍາຫນ້າທີ່ບໍ່ຕ້ອງການຈາກການເຜີຍແຜ່ຜ່ານສ່ວນທີ່ເຫຼືອຂອງເຄືອຂ່າຍ. ທ່ານສາມາດໃຊ້ Cisco Catalyst SD-WAN Controller ນະໂຍບາຍດຽວເພື່ອບັງຄັບໃຊ້ນະໂຍບາຍໃນທົ່ວເຄືອຂ່າຍ.
ນີ້ແມ່ນຂັ້ນຕອນໃນການສ້າງນະໂຍບາຍການຄວບຄຸມຢູ່ໃນ Cisco Catalyst SD-WAN Controller:
- ສ້າງລາຍຊື່ຂອງ ID ເວັບໄຊທ໌ສໍາລັບເວັບໄຊທ໌ທີ່ທ່ານຕ້ອງການທີ່ຈະລຸດລົງຄໍານໍາຫນ້າທີ່ບໍ່ຕ້ອງການ:
vSmart(config)# policy lists site-list 20-30 site-id 20
vSmart(config-site-list-20-30)# site-id 30 - ສ້າງລາຍຊື່ຄໍານໍາຫນ້າສໍາລັບຄໍານໍາຫນ້າທີ່ທ່ານບໍ່ຕ້ອງການທີ່ຈະເຜີຍແຜ່:
vSmart(config)# policy lists prefix-list drop-list ip-prefix 10.200.1.0/24 - ສ້າງນະໂຍບາຍການຄວບຄຸມ:
vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 match route
prefix-list drop-list
vSmart(config-match)# top
vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 action reject
vSmart(config-action)# top
vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 default-action
accept
vSmart(config-default-action)# top - ນຳໃຊ້ນະໂຍບາຍເພື່ອນຳໜ້າຕົວເຂົ້າໄປຫາຕົວຄວບຄຸມ Cisco Catalyst SD-WAN Controller:
vSmart(config)# apply-policy site-list 20-30 control-policy drop-unwanted-routes in
ນີ້ແມ່ນການຕັ້ງຄ່ານະໂຍບາຍເຕັມຢູ່ໃນຕົວຄວບຄຸມ Cisco Catalyst SD-WAN Controller:
apply-policy
site-list 20-30
control-policy drop-unwanted-routes in
!
!
policy
lists
site-list 20-30
site-id 20
site-id 30
!
prefix-list drop-list
ip-prefix 10.200.1.0/24
!
!
control-policy drop-unwanted-routes
sequence 10
match route
prefix-list drop-list
!
action reject
!
!
default-action accept
!
!
ການອ້າງອິງ CLI Segmentation
ຄໍາສັ່ງ CLI ສໍາລັບການຕິດຕາມການແບ່ງສ່ວນ (VRFs).
- ສະແດງ dhcp
- ສະແດງ ipv6 dhcp
- ສະແດງ ip vrf ໂດຍຫຍໍ້
- ສະແດງຄໍາສັ່ງ igmp
- ສະແດງກຸ່ມ ip igmp
- ສະແດງຄໍາສັ່ງ pim
ເອກະສານ / ຊັບພະຍາກອນ
 |
CISCO SD-WAN Catalyst Segmentation [pdf] ຄູ່ມືຜູ້ໃຊ້ SD-WAN, SD-WAN Catalyst Segmentation, ການແບ່ງສ່ວນ Catalyst, ການແບ່ງສ່ວນ |
