思科标志用户指南

CISCO SD-WAN Catalyst 应用智能引擎流程 - 图 1

内容 隐藏
1 Cisco Catalyst SD-WAN 应用智能引擎流程
2 Cisco Catalyst SD-WAN 应用智能引擎流过view
3 监控正在运行的应用程序
4 View SAIE申请
5 使用 NBAR 进行流量分类
6 关于NBAR的信息
7 使用 NBAR 的好处
8 文件/资源
8.1 参考
9 相关文章

Cisco Catalyst SD-WAN 应用智能引擎流程

CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1 笔记
为了实现简化和一致性,思科 SD-WAN 解决方案已更名为思科 Catalyst SD-WAN。 此外,从 Cisco IOS XE SD-WAN 版本 17.12.1a 和 Cisco Catalyst SD-WAN 版本 20.12.1 开始,以下组件更改适用:Cisco vManage 到 Cisco Catalyst SD-WAN Manager、Cisco vAnalytics 到 Cisco Catalyst SD-WAN Analytics、Cisco vBond 到 Cisco Catalyst SD-WAN 验证器以及 Cisco vSmart 到 Cisco Catalyst SD-WAN 控制器。 有关所有组件品牌名称更改的完整列表,请参阅最新的发行说明。 当我们过渡到新名称时,由于软件产品的用户界面更新采用分阶段方法,文档集中可能会出现一些不一致的情况。
本节中的主题提供了超过view 有关 Cisco Catalyst SD-WAN 应用智能引擎 (SAIE) 流以及如何使用 Cisco SD-WAN Manager 或 CLI 配置流的信息。

  • Cisco Catalyst SD-WAN 应用智能引擎流过view,第 1 页
  • 使用 Cisco SD-WAN Manager 配置 Cisco Catalyst SD-WAN 应用智能引擎流,第 2 页
  • 使用 CLI 配置 SD-WAN 应用程序智能引擎流,第 6 页
  • 使用 NBAR 进行流量分类,第 8 页

Cisco Catalyst SD-WAN 应用智能引擎流过view

Cisco Catalyst SD-WAN 应用智能引擎 (SAIE) 流能够查看基本标头信息之外的数据包。 SAIE 流确定特定数据包的内容,然后记录该信息以用于统计目的或对数据包执行操作。
CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1 笔记
在 Cisco vManage 版本 20.7.1 及更早版本中,SAIE 流称为深度数据包检测 (DPI) 流。

好处包括提高网络流量的可见性,使网络运营商能够了解使用模式并关联网络性能信息,同时提供使用基础计费甚至可接受的使用监控。 SAIE流程还可以降低网络的总体成本。
您可以使用集中式数据策略配置 SAIE 流。 您可以在 Cisco SD-WAN Manager 策略列表中或使用策略列表 app-list CLI 命令定义感兴趣的应用程序,并在策略 data-policy 命令中调用这些列表。 您可以通过在数据策略的操作部分中定义本地 TLOC 或远程 TLOC 来控制应用程序流量通过网络的路径,或者为了严格控制,您可以同时定义两者。

SAIE 流不支持以下协议列表:

  • 开放最短路径优先 (OSPF)
  • 边界网关协议 (BGP)
  • Internet控制消息协议(ICMP)
  • 双向转发检测 (BFD)

配置 Cisco Catalyst SD-WAN 应用智能
使用 Cisco SD-WAN Manager 的引擎流程
要配置 Cisco Catalyst SD-WAN 应用智能引擎 (SAIE) 流,请使用 Cisco SD-WAN Manager 策略配置向导。
该向导由以下连续屏幕组成,指导您完成创建和编辑策略组件的过程:

  • 创建感兴趣的应用程序或组 - 创建将相关项目分组在一起并在策略的匹配或操作组件中调用的列表。 有关配置详细信息,请参阅配置感兴趣的组。
  • 配置流量规则 - 创建策略的匹配和操作条件。 有关配置详细信息,请参阅配置流量规则。
  • 将策略应用于站点和 VPN - 将策略与覆盖网络中的站点和 VPN 关联。

对 SD-WAN 应用智能引擎流应用集中策略
为了确保 SD-WAN 应用智能引擎 (SAIE) 流的集中式数据策略生效,您必须将其应用到覆盖网络中的站点列表。
要在 Cisco SD-WAN Manager 中应用集中策略,请参阅使用 Cisco SD-WAN Manager 配置集中策略。

要在 CLI 中应用集中策略:
vSmart(config)# apply-policy 站点列表 列表名称 数据策略 策略名称(全部 | 来自服务 | 来自隧道)
默认情况下,数据策略适用于通过 Cisco Catalyst SD-WAN 控制器的所有数据流量:该策略评估从本地站点(即从路由器的服务端)进入隧道接口的所有数据流量,并且评估通过隧道接口进入本地站点的所有流量。 您可以通过包含 all 选项来显式配置此行为。 要使数据策略仅应用于从本地站点退出的策略,请包含 from-service 选项。 要使策略仅应用于传入流量,请包含 from-tunnel 选项。
您不能将相同类型的策略应用于包含重叠站点 ID 的站点列表。 也就是说,所有数据策略之间不能有重叠的站点列表。 如果您意外错误配置重叠站点列表,尝试在 Cisco Catalyst SD-WAN 控制器上提交配置将会失败。
一旦您通过发出提交命令成功激活配置,Cisco Catalyst SD-WAN 控制器就会将数据策略推送到位于指定站点的 Cisco vEdge 设备。 到 view 要在 Cisco Catalyst SD-WAN 控制器上配置策略,请在 Cisco Catalyst SD-WAN 控制器上使用 show running-config 命令:
vSmart# 显示运行配置策略
vSmart# 显示运行配置应用策略
到 view 要查看已推送到 Cisco vEdge 设备的策略,请在 Cisco vEdge 设备上使用 show policy from-vsmart 命令。
vEdge# 显示来自-vsmart 的策略

监控正在运行的应用程序

要在 Cisco vEdge 设备上启用 SD-WAN 应用智能引擎 (SAIE) 基础设施,您必须在设备上启用应用程序可见性:
CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1 笔记
在 Cisco vManage 版本 20.7.x 及更早版本中,SAIE 流称为深度数据包检测 (DPI) 流。
vEdge(config)# 策略应用程序可见性
要显示有关正在运行的应用程序的信息,请使用 显示应用程序 dpi 支持的应用程序, 显示应用程序 dpi 应用程序, 和 显示应用 dpi 流量 设备上的命令。

View SAIE申请

你可以 view 使用以下步骤查看路由器上 Cisco Catalyst SD-WAN 软件支持的所有应用程序感知应用程序的列表:

  1. 从 Cisco SD-WAN Manager 菜单中,选择监控 > 设备。
    Cisco vManage 版本 20.6.x 及更早版本:从 Cisco SD-WAN Manager 菜单中,选择监控 > 网络。
  2. 单击 WAN-Edge,选择支持 SD-WAN 应用智能引擎 (SAIE) 流的设备。 将显示 Cisco SD-WAN Manager 控制连接页面。
  3. 在左侧窗格中,选择“实时” view 设备详细信息。
  4. 从设备选项下拉列表中,选择 SAIE 应用程序 view 设备上运行的应用程序列表。
  5. 从设备选项下拉列表中,选择 SAIE 支持的应用程序 view 设备支持的应用程序列表。

用于配置 SD-WAN 应用智能引擎流的操作参数
当数据流量与集中式数据策略的匹配部分中的条件匹配时,可以接受或丢弃该数据包,并且可以对其进行计数。 然后,您可以将参数与接受的数据包关联起来。

从 Cisco SD-WAN Manager 菜单中,您可以从以下位置配置匹配参数:

  • 配置 > 策略 > 集中策略 > 添加策略 > 配置流量规则 > (应用程序感知路由 | 流量数据 | Cflowd)> 序列类型 > 序列规则 > 操作
  • 配置 > 策略 > 自定义选项 > 集中策略 > 流量策略 >(应用程序感知路由 | 流量数据 | Cflowd)> 序列类型 > 序列规则 > 操作。

在 CLI 中,您可以在策略 data-policy vpn-list order action 命令下配置操作参数。
集中式数据策略中的每个序列可以包含一个操作条件。
在操作中,您首先指定是接受还是丢弃匹配的数据包,以及是否对其进行计数:

表 1:

描述 思科 SD-WAN 管理器 CLI 命令 值或范围
接受数据包。 接受的数据包可以通过策略配置的操作部分中配置的附加参数进行修改。 单击“接受”。 接受
计算接受或丢弃的数据包。 操作计数器 单击接受,然后单击操作计数器 计数计数器名称 计数器的名称。 在 Cisco 设备上使用 show policy access-lists counters 命令。
丢弃数据包。 这是默认操作。 点击放下 日志
记录数据包。 数据包被放入消息和 vsyslog 系统日志记录 (syslog) 中 files. 操作日志 单击接受,然后单击操作日志 降低 到 view 要查看数据包日志,请使用 show app log flow 和 show log 命令。

到 view 要查看数据包日志,请使用 show app log flow 和 show log 命令。
然后,对于接受的数据包,可以配置以下参数。

表 2:

描述 思科 SD-WAN 管理器 CLI 命令 值或范围
DSCP 值。 单击“接受”,然后单击“DSCP”操作。 设置 dscp 值 值或范围
转发类。 单击“接受”,然后单击“转发类”。 设置转发类别值 转发类名称
将数据包直接匹配到与颜色和封装相匹配的 TLOC 默认情况下,如果 TLOC 不可用,则使用备用 TLOC 转发流量。 单击“接受”,然后执行“本地 TLOC”操作 设置local-tloc color颜色【encap封装】 颜色可以是:3g、biz-internet、蓝色、青铜色、custom1、custom2、custom3、default、金色、
绿色 LTE、城域以太网 mpls、专用 1 至
私人6、公共互联网、红色和银色。 缺省情况下,封装方式为 ipsec。 也可以是gre。
如果 TLOC 与颜色和封装匹配,则将数据包直接匹配到列表中的 TLOC 之一 默认情况下,如果 TLOC 不可用,则使用备用 TLOC 转发流量。 要在 TLOC 不可用时丢弃流量,请包含限制选项。 单击“接受”,然后执行“本地 TLOC”操作 set local-tloc-list color color encap 封装 [限制
设置数据包应转发到的下一跳。 单击“接受”,然后执行“下一跳”操作。 设置下一跳IP地址 IP 地址
申请警察。 单击“接受”,然后单击“监管器”。 设置监管者监管者名称 配置策略监管器的监管器名称
命令。
在将流量传送到最终目的地之前,将数据包直接匹配到名称服务。 TLOC 地址或 TLOC 列表标识流量应重定向到的远程 TLOC 以到达服务。 在多个 TLOC 的情况下,流量在它们之间进行负载平衡。 VPN 标识符是服务所在的位置。 使用 vpn service 配置命令在与服务设备并置的 Cisco 设备上配置服务本身。 单击“接受”,然后单击“操作服务”。 设置服务 服务名称 [tloc ip 地址 | tloc-list 列表名称] [vpn vpn-id] 标准服务:FW、IDS、IDP 自定义服务:netsvc1、netsvc2、netsvc3、netsvc4 TLOC 列表配置有策略列表 tloc-list 列表。
将数据包直接匹配到使用源位于传输 VPN (VPN 0) 中的 RE 隧道可访问的命名服务。 如果用于到达服务的 GRE 隧道关闭,数据包路由将回退到使用标准路由。 要在无法访问服务的 GRE 隧道时丢弃数据包,请包含限制选项。 在业务VPN中,还必须使用service命令发布业务。 您配置
传输 VPN (VPN 0) 中的一个或多个 GRE 接口。		 单击“接受”,然后单击“操作服务”。 设置服务 服务名称 [tloc ip 地址 | tloc-list 列表名称] [vpn vpn-id] 标准服务:FW、IDS、IDP 自定义服务:netsvc1、netsvc2、netsvc3、netsvc4
将流量定向到远程 TLOC。 TLOC 由其 IP 地址、颜色和封装来定义。 单击接受,然后执行 TLOC。 设置local-tloc color颜色【encap封装】 TLOC 地址、颜色和封装
将流量定向到 TLOC 列表中的远程 TLOC 之一。 单击接受,然后执行 TLOC。 设置 tloc-list 列表名称 策略列表的名称 tloc-list list
设置数据包所属的 VPN。 单击“接受”,然后单击“VPN”。 设置 VPN VPN ID 0 至 65530

默认操作
如果正在评估的数据包与数据策略中的任何匹配条件都不匹配,则会对该数据包应用默认操作。 默认情况下,数据包被丢弃。
从 Cisco SD-WAN Manager 菜单中,您可以从配置 > 策略 > 集中策略 > 添加策略 > 配置流量规则 > 应用程序感知路由 > 序列修改默认操作
类型 > 序列规则 > 默认操作。
在 CLI 中,您可以使用策略 data-policy vpn-list default-action Accept 命令修改默认操作。
使用 CLI 配置 SD-WAN 应用程序智能引擎流
以下是为 SD-WAN 应用程序配置集中式数据策略的高级步骤
智能引擎 (SAIE) 流程。
CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1 笔记
在 Cisco vManage 版本 20.7.x 及更早版本中,SAIE 流称为深度数据包检测 (DPI) 流。

  1. 使用 apply-policy 命令创建要应用数据策略的覆盖网络站点列表:
    vSmart(config)# 策略 vSmart(config-policy)# 列出站点列表列表名称 vSmart(config-lists-list-name)# 站点 ID 站点 ID
    该列表可以根据需要包含任意多个站点 ID。 为每个站点 ID 包含一个 site-id 命令。 对于连续站点 ID,您可以指定用破折号 (–) 分隔的数字范围。
    根据需要创建其他站点列表。
  2. 创建要遵守数据策略的应用程序和应用程序系列的列表。 每个列表可以包含一个或多个应用程序名称,或者一个或多个应用程序系列。 单个列表不能同时包含应用程序和应用程序系列。
    vSmart(config)# 策略列表 vSmart(config-lists)# app-list 列表名称 vSmart(config-app-list)# app 应用程序名称 vSmart(config)# 策略列表 vSmart(config-lists)# app-list列表名称 vSmart(config-applist)# app-family 系列名称
  3. 根据需要创建 IP 前缀和 VPN 列表:
    vSmart(config)# 策略列表 vSmart(config-lists)# data-prefix-list 列表名称 vSmart(config-lists-list-name)# ip 前缀前缀/长度 vSmart(config)# 策略列表 vSmart(config-列表)# vpn-list 列表名称 vSmart(config-lists-list-name)# vpn vpn-id
  4. 根据需要创建 TLOC 列表: vSmart(config)#policy vSmart(config-policy)#lists tloc-list list-name vSmart(config-lists-list-name)#tloc ip-address color color encap encapsulation [首选项编号]
  5. 根据需要定义监管参数: vSmart(config-policy)# 监管器监管器名称 vSmart(config-policer)# 速率带宽 vSmart(config-policer)# 突发字节数 vSmart(config-policer)# 超出操作
  6. 创建数据策略实例并将其与 VPN 列表关联: vSmart(config)# policy data-policy policy-name vSmart(config-data-policy-policy-name)# vpn-list list-name
  7. 创建一系列匹配对序列: vSmart(config-vpn-list)# 序列号 vSmart(config-sequence-number)#
    匹配-动作对按序列号按顺序进行评估,从编号最小的对开始,当路由与其中一对中的条件匹配时结束。 或者,如果没有匹配,则采取默认操作(拒绝路由或按原样接受)。
  8. 根据应用定义匹配参数: vSmart(config-sequence-number)# match app-list list-name
  9. 为数据包定义额外的匹配参数:vSmart(config-sequence-number)#匹配参数
  10. 定义匹配发生时要采取的操作: vSmart(config-sequence-number)# action (accept | drop) [count]
  11. 对于接受的数据包,定义要采取的操作。 要控制数据包传输的隧道,请定义远程或本地 TLOC,或者要严格控制隧道路径,请设置两者: vSmart(config-action)# set tloc ip-address color color encap encapsulation vSmart(config-action )# set tloc-list list-name vSmart(config-action)# 设置 local-tloc color color encap 封装 vSmart(config-action)# set local-tloc-list color color encap 封装 [restrict]
  12. 定义要采取的其他操作。
  13. 根据需要在数据策略中创建匹配操作对的附加编号序列。
  14. 如果路由与其中一个序列中的任何条件都不匹配,则默认情况下会拒绝该路由。 如果您希望接受不匹配的前缀,请配置策略的默认操作: vSmart(config-policy-name)# default-action Accept
  15. 将策略应用到覆盖网络中的一个或多个站点: vSmart(config)# apply-policy site-list list-name data-policy policy-name (all | from-service | from-tunnel) vEdge(config)# policy app-visibility 使用以下 show 命令查看流量分类的可见性:
    • 显示应用程序 dpi 流量
    • 显示支持 dpi 流的活动详细信息
    • 显示应用程序 dpi 应用程序
    • 显示支持 dpi 流过期详细信息
    • 显示支持dpi统计

使用 NBAR 进行流量分类

表 3:功能历史记录

特征 发布信息 描述
使用 NBAR 进行流量分类 思科 SD-WAN 版本 20.6.1
思科 vManage 版本 20.6.1		 该功能扩展了
基于网络的应用
认可 (NBAR) 支持
思科 SD-WAN vEdge 设备。

关于NBAR的信息

从思科 SD-WAN 版本 20.6.1 开始,思科 vEdge 设备使用基于网络的应用识别作为 SD-WAN 应用智能引擎 (SAIE)。
CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1 笔记
在 Cisco vManage 版本 20.7.x 及更早版本中,SAIE 流称为深度数据包检测 (DPI) 流。
Cisco NBAR 是一个分类引擎,可以识别各种协议和应用程序并对其进行分类。 它对网络流量执行 SAIE 流,以根据网络应用程序的流量特征来识别网络应用程序。
网络应用程序的特定流量特征称为应用程序签名。 思科将应用程序的签名与其他信息一起打包为协议。 Cisco 将大量协议打包为协议包,涵盖众多常见的网络应用。 思科定期更新和分发协议包。 它们为 NBAR 提供网络应用程序签名数据库,用于识别网络应用程序流量。
术语网络应用程序的定义很广泛,可能包括以下所有内容以及更多内容:

  • 社交媒体 web站点
  • IP 语音 (VoIP) 应用
  • 流式音频和视频,例如 Cisco Webex
  • 云应用,例如云存储
  • SaaS 应用程序
  • 特定于组织的自定义网络应用程序

识别应用程序对于监控网络流量、配置应用程序感知的流量策略等非常有用。 总结网络应用程序签名、协议和协议包以及 NBAR 如何使用它们:

  • 网络应用程序的流量具有独特的特征,可用于将流量识别为属于该特定应用程序。 这些特征称为应用程序签名。
  • Cisco 将特定网络应用程序的签名打包为协议。
  • 思科将大量协议打包为协议包,涵盖常见的互联网应用。
  • Cisco NBAR 对流量执行深度数据包检查,以收集识别流量来源所需的信息,并使用协议(例如协议包中提供的协议)将该信息与特定网络应用相匹配。 结果是 NBAR 识别在网络中产生流量的网络应用程序。

与 NBAR 集成
将思科 SD-WAN 控制器和思科 vEdge 设备升级到思科 SD-WAN 版本 20.6.1 可以使用 NBAR。 在此版本中引入 NBAR 作为 SD-WAN 应用智能引擎 (SAIE) 可能会影响应用程序感知的集中式策略。 我们建议按以下顺序进行升级。 对于每个步骤,请参阅有关 NBAR 和应用程序感知策略的注释。
CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1 笔记
在 Cisco vManage 版本 20.7.x 及更早版本中,SAIE 流称为深度数据包检测 (DPI) 流。

  1. 思科 vManage 升级
    笔记
    在升级到 Cisco vManage 版本 20.6.1 期间,Cisco vManage 通过警告消息指示不受支持的应用程序或配置中缺少的任何映射。 升级后,当您登录时,将出现一个对话框,其中显示策略、应用程序列表名称、不支持的应用程序以及应用程序列表中缺少的映射。 您可以下载信息重新view 并修改应用程序感知策略。
  2. 思科 vSmart 控制器和思科 vBond 控制器升级
    CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1笔记
    思科 SD-WAN 控制器的升级过程会检查任何现有的应用程序感知集中策略,以确定它们是否使用 NBAR 不支持的应用程序。 如果是这样,升级过程会提示您有关如何更新策略以与 NBAR 兼容的信息。
  3. 思科 vEdge 设备升级
    笔记
    升级到思科 SD-WAN 版本 20.6.1 后,思科 vEdge 设备对 SAIE 流使用 NBAR。 cFlowd 记录中的应用程序 ID 从 Cisco vEdge 设备导出到外部收集器。 应用程序 ID 对应于 NBAR 并相应地映射到应用程序名称。 应用程序 ID 到应用程序名称的映射可在 NBAR 协议包或 Cisco vEdge device show 命令中使用,show app dpisupported-applications app-id。
    有关升级软件和最佳实践的信息,请参阅升级软件。

在 Cisco vManage 中,您可以使用以下两种方法之一配置策略:

  1. 策略生成器:您可以从支持的应用程序列表中选择所需的应用程序以在策略中使用。 Cisco vManage 将这些应用程序名称映射到与 NBAR 兼容的应用程序,并生成与 SAIE 兼容的应用程序名称。
  2. 模板:使用策略和设备 CLI 模板,您可以创建自定义策略,其中可以包含特定于 SAIE 的应用程序名称。

当您升级思科 vSmart 控制器并推送任何策略或模板时,设备会针对任何应用程序不匹配生成系统日志、SNMP 陷阱和 Netconf 通知。 你可以 view 监控 > 事件页面上的通知。 通知消息列出了应用程序名称和重命名的应用程序名称。
你可以 view 在“监控 > 报警”页面查看与不支持的应用程序相关的报警以及需要重命名的应用程序。 警报消息列出了不支持的应用程序名称。
你可以 view 使用 show app dpi applications 命令由应用程序感知策略指定的应用程序。 有关此命令的信息,请参阅 show app dpi applications。

支持使用 NBAR 进行流量分类的平台
以下是支持 NBAR 的 Cisco vEdge 设备列表:

  • 边缘 100b
  • 边缘100m
  • 边缘1000
  • 边缘2000
  • 边缘5000
  • vEdge云路由器
  • ISR1100-4G
  • ISR1100-6G

使用 NBAR 的好处

  • 跨思科 SD-WAN 平台和混合部署的一致应用程序分类行为。
  • 通过 Cisco vManage 访问所有 NBAR 支持的应用程序。
  • NBAR 提供更好的性能和吞吐量。
  • NBAR 支持企业级应用程序更好的子分类。

NBAR流分类的限制

  • Cisco SD-WAN 版本 20.6.1 中的 Cisco vEdge 设备不支持以下功能:
  • 定制应用程序
  • 思科软件定义的应用可视性和控制 (SD-AVC)
    CISCO SD-WAN Catalyst 应用智能引擎流程 - 图标 1笔记
    早期版本的 Cisco vEdge 设备也不支持这些功能。
  • Cisco vManage 在自定义应用程序的监控 > 警报页面上显示警报,以指示 Cisco vEdge 设备不支持自定义应用程序。

文件/资源

CISCO SD-WAN Catalyst 应用智能引擎流程 [pdf] 用户指南
SD-WAN Catalyst 应用智能引擎流程、SD-WAN、Catalyst 应用智能引擎流程、应用智能引擎流程、智能引擎流程、引擎流程、流程

参考

相关文章

发表评论

您的电子邮件地址不会被公开。 必填字段已标记 *