• SD-WAN 本地策略与中心策略配置(三)



    1. Localized Policy配置

    重点说明:Localized Policy是直接推送策略到vEdge。

    创建入口: Configuration -> Policies -> Custom Options -> Localized Policy ->CLI Policy,Add Policy:

    添加策略,定义策略名称和描述:

    #配置命令
    policy
     app-visibility
     flow-visibility
    

    策略关联到模板:Configuration->Templates->Edit:

    点击"Additional Templates",在Policy里面选中刚创建好的策略,然后update:

    前后对比下配置(要养成良好的习惯去验证下配置):

    没问题就勾选,点击"OK",开始批量下发配置(算是实现自动化配置了):

    执行的过程:

    登陆设备查看配置已经下发成功:

    2. Centralized Policy配置

    重点说明:Centralized Policy是先推送策略到vSmart,vSmart再推送给vEdge。

    创建入口: Configuration -> Policies -> ->Centralized Policy,Add Policy:

    1)Creat Groups of Interest:

    定义Application:

    定义Color(不同线路类型进行着色区分):

    备注:mpls线路着色为mpls,internet线路着色为public-internet.

    定义Site:

    备注:两个站点:站点A(id=100)和站点B(id=101)

    定义SLA:

    备注:SLA针对丢包、延时、抖动定义不同的阈值,用于关联应用策略探测链路的质量。

    定义TLOC(类似路由的下一跳):

    # TLOCs的定义:
    OMP adverties to its peers the routes and servies that it has learned from its local site,along with their corresponding transport location mappings,which are called TLOCs。
    # TLOC包含4个元素:
    - system ip: 可看作Router id;
    - color:对广域网线路着色,可看作标记;
    - encap:支持ipsec和gre,建议用ipsec;
    - preference: 缺省为0,值越大越优先;
    

    定义VPN:

    2)Configure Topology and VPN Membership:

    点击"Topology"->Custom Control(Route & TLOC):

    选择Route,先定义路由:

    选择TLOC,定义访问关系:


    备注:默认动作有个action是reject,所以要创建TLOC。

    3)Configure Traffic Rules:

    点击“Next”,进入到到第三环节:配置流规则

    备注:为什么是应用在outbound方向呢?因为是vSmart推送策略给Site的,是out方向。

    预览下配置:

    接下来,先把vSmart纳管到vManage,要不然的话,是无法正常推送策略:

    备注:把vSmart设备里面的show run配置copy过来,通过CLI模板创建,然后推送模板。

    4)Apply Policies to Sites and VPNs:

    开始推送策略,点击如下图的Active:

    验证策略是否推送成功:
    从vEdge1去往172.16.2.0的两条广域网线路已经打上了优先级200和100

    选择最优路径为mpls线路(另一条作为备份)

    模拟中断mpls线路,立马切换到internet线路(丢2包):

    3. Application Route and Traffice Policy

    测试场景:

    场景1:vEdge-2去往vEdge-1的WEB流量在满足SLA需求的前提下走public-internet;

    场景2:vEdge-2去往2.2.2.2的 telnet 流量被安全策略阻止掉;

    1)在vEdge-2验证去往1.1.1.1和2.2.2.2均为负载的(前提条件)

    2)创建web应用条件:Centralized Policy->Application Aware Routing->Add Policy:

    3)创建telnet应用条件:Centralized Policy->Traffic Data->Add Policy:

    4)在"Traffic Rules"里导入已创建好的 web 和 telnet 应用:
    入口:Policy->Centralized Policy->Edit->Traffic Rules

    备注:如果这步没有做,直接在"Policy Application"点击"Application Aware Routing" , "Traffic Data",里面是空的。

    5)新建Application-Aware-Routing策略:

    6)新建Traffic Data策略:

    备注:app route默认action none,traffice policy默认action accept

    7)验证下效果

    可以从vEdge-2的PC能够正常访问vEdge-1下的2.2.2.2的http流量,但到2.2.2.2的telnet流量异常:

    可视化实时看下接口应用的流量:

    至此,整个SD-WAN的实验就告一段落了,这里也感谢XX培训机构提供的实验平台,能够给大家演示一轮SD-WAN实验,也过上一把瘾哈。

    希望理论的知识点大家多多研究下,然后结合这几次的实验好好巩固。

    如果大家喜欢我的文章,请分享给身边需要的人,并多多支持哈,感激不尽。

    SD-WAN实验文章链接如下:

    SD-WAN控制器安装与初始化(一)

    SD-WAN配置及应用模板配置(二)

    SD-WAN本地策略与中心策略配置(三)


    如果喜欢的我的文章,欢迎关注我的公众号:点滴技术,扫码关注,不定期分享

    点滴技术

  • 相关阅读:
    软件安装的list(0918)
    putty配色备份
    曹工谈Spring Boot:Spring boot中怎么进行外部化配置,一不留神摔一跤;一路debug,原来是我太年轻了
    使用Hystrix的插件机制,解决在使用线程隔离时,threadlocal的传递问题
    曹工谈并发:Synchronized升级为重量级锁后,靠什么 API 来阻塞自己
    曹工力荐:调试 jdk 中 rt.jar 包部分的源码(可自由增加注释,修改代码并debug)
    曹工杂谈--只用一个命令,centos系统里装了啥软件,啥时候装的,全都清清楚楚
    曹工说Redis源码(7)-- redis server 的周期执行任务,到底要做些啥
    曹工说Redis源码(6)-- redis server 主循环大体流程解析
    曹工说Redis源码(5)-- redis server 启动过程解析,以及EventLoop每次处理事件前的前置工作解析(下)
  • 原文地址:https://www.cnblogs.com/singvis/p/11874812.html
Copyright © 2020-2023  润新知