تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا وثيقة مادة حفازة SD-WAN مؤسسة تغلف شبكة، tracker إستخدام وحالات إستخدام.
تتفاعل شبكات Catalyst SD-WAN المؤسسية بشكل نموذجي مع مجموعة متنوعة واسعة من أحمال العمل والتطبيقات والخدمات الخارجية. يمكن العثور على أي منها في السحابة أو مراكز البيانات/المحاور أو الفروع البعيدة. ويعتبر مستوى التحكم في شبكة SD-WAN مسؤولا عن طرق الإعلان تجاه هذه الخدمات عبر التغشية بطريقة قابلة للتطوير. في الحالات التي يتعذر فيها الوصول إلى التطبيقات والخدمات الحيوية على مسار معين، يجب أن تكون مشغلات الشبكة قادرة عادة على اكتشاف هذه الأحداث وإعادة توجيه حركة مرور المستخدم إلى مسارات أكثر ملاءمة لمنع التعتيم غير المحدد لحركة المرور. لاكتشاف هذه الأنواع من حالات فشل الشبكة وتصحيحها، يعتمد مستوى التحكم في Catalyst SD-WAN على أجهزة التعقب لمراقبة سلامة الخدمات الخارجية وإجراء تغييرات التوجيه المناسبة.
المتعقب هو آلية اكتشاف إمكانية الوصول إلى مستوى التحكم التي ترسل حزم المسبار نحو نقطة نهاية معينة وتخطر بتغييرات حالة إمكانية الوصول (لأعلى أو لأسفل) إلى الوحدات النمطية المهتمة. تم تصميم أجهزة التتبع لتكون بمثابة تجريد على مستوى عال وقابل للتطوير لميزة IP SLA الأصلية من Cisco IOS-XE®، والتي يمكن أن تشكل مجموعة متنوعة من الاختبارات (بما في ذلك HTTP و ICMP و DNS). عندما يقوم جهاز التعقب بإعلام وحدة عميل بتغيير الحالة، يمكن أن تتخذ هذه الوحدة النمطية الإجراء المناسب لمنع تعتيم حركة المرور، مثل تثبيت مسار أو مجموعة من المسارات أو إلغاء تثبيتها. تتضمن التطبيقات الحالية للمتتبعين داخل كل من حلول SD-WAN و SD-routing، على سبيل المثال لا الحصر: متتبع DIA (الوصول المباشر إلى الإنترنت)، متتبع SIG (بوابة الإنترنت الآمنة)، متتبع الخدمة، متتبع المسار الثابت، مجموعات المتتبع، وهلم جرا.
لبناء شبكات عالية التوفر تتميز بالمرونة في مواجهة أعطال الخدمة، فمن الأهمية بمكان فهم متى يمكن إستخدام كل نوع من أنواع تكوين/نموذج المتعقب. الهدف من هذه المقالة هو شرح مكان وكيفية إستعمال كل نوع من أجهزة التعقب. يتم التطرق إلى المتعقبين المختلفين هنا، بالإضافة إلى حالة الاستخدام الأساسي لكل متعقب، وتدفق عمل التكوين الأساسي لتنفيذ كل حل. وأخيرا، تقدم هذه المقالة عرضا للتفتيشات العامة التي تتضمن المتعقبين في Cisco IOS-XE®.
تميز هذه المقالة بين حلول متتبع نقاط النهاية (SD-WAN and SD-routing specific) ومتتبع الكائنات (IOS-XE الأصلي)، التي تعالج حالات إستخدام مختلفة.
يوفر هذا المخطط نظرة عامة مختصرة على جميع أنواع المتعقبين المتوفرة في حل Cisco Catalyst SD-WAN:
من المخطط السابق، هناك أربعة مناطق يمكن فيها تصنيف المتعقبين: Tracker Association، Tracker OS، Tracker Positioning،تطبيق Tracker. يصف القسم التالي كل تصنيف:
كل من متتبع نقاط النهاية وميزات تعقب العبارة مخصصة لحالات إستخدام وضع التحكم (SD-WAN)، في حين أن متتبع الكائنات مخصص لحالات إستخدام الوضع الذاتي (SD-Routing).
3. وضع المتعقب: يصف هذا التصنيف الموقع الذي تم تكوين المتعقب فيه. حاليا، يساند Cisco Catalyst SD-WAN تطبيق متعقب على إما قارن، مسارات ثابتة، أو خدمات.
4. تطبيق Tracker: يصف هذا التصنيف حالات وميزات الاستخدام عالية المستوى المدعومة من قبل Cisco Catalyst SD-WAN. في حين أن هناك مجالات عديدة لتطبيقات المتسللين، بعضها يشمل: الوصول المباشر إلى الإنترنت (DIA)، وبوابة الإنترنت الآمنة (SIG)، وحاوية الخدمة الآمنة (SSE)، وتتبع الشبكة الخاصة الظاهرية (VPN) من جانب الخدمة، وما إلى ذلك.
فيما يلي وصف مرئي لحركة مرور بيانات مسبار Tracker عبر شبكات VPN للخدمة/النقل للعديد من حالات الاستخدام على حافة Cisco Catalyst SD-WAN (والتي يمكن الإشارة إليها أيضا باسم cEdge أو vEdge):
أثناء إستخدام مجموعات التكوين، تم إستبدال المصطلح Endpoint Tracker ب Tracker. في التكوين القديم، لا تزال المصطلحات القديمة قيد الاستخدام، كما هو موضح من مخطط التصنيف السابق.
تعقب العبارة هي منهجية تعقب ضمنية تستخدم من قبل Cisco Catalyst SD-WAN لأي/جميع المسارات الثابتة الافتراضية التي تم تكوينها على الأنظمة الأساسية لحافة SD-WAN على شبكة VPN لجانب النقل. بشكل افتراضي، يتم تمكين هذا ضمن تكوينات ملف تعريف النظام الأساسي (تتبع البوابة الافتراضية) تحت مدير Catalyst SD-WAN. وهذا يساعد على المراقبة المستمرة لعنوان الخطوة التالية المحدد ضمن كل مسار ساكن إستاتيكي افتراضي في شبكة VPN للنقل، لضمان تجاوز فشل الارتباط/المسار، في حالة فشل الوصول إلى الخطوة التالية (والتي تسمى أيضا البوابة، ومن هنا اسم تعقب العبارة). لمعرفة المزيد حول تعقب البوابة، يرجى زيارة دليل التكوين.
نوع المسابير المستخدمة هنا هي حزم ARP غير معروفة-unicast التي تم تدفقها. الفترات المستخدمة هي:
بجانب تعقب البوابة، يستخدم أيضا تعقب النقل على حواف SD-WAN للتحقق من المسار الموجه بين الجهاز المحلي وأداة التحقق من صحة Cisco Catalyst SD-WAN. ويتم القيام بذلك باستخدام مستكشفات ICMP في الفترة العادية من 3s. يتم تكوين هذا باستخدام الكلمة الأساسية "track-transport" ضمن وضع تكوين نظام SD-WAN. يساعد هذا في المراقبة المنتظمة لاتصال DTLS إلى أداة التحقق من صحة Cisco Catalyst SD-WAN من حافة شبكة WAN المقابلة. لمعرفة المزيد حول تعقب النقل، يرجى زيارة دليل التكوين.
تعقب العبارة هي ميزة يتم تكوينها ضمنيا على الافتراضي على SD-WAN لجميع الموجهات الافتراضية الثابتة التي تنتمي إلى شبكة VPN للنقل أو جدول التوجيه العام (GRT). لا ينشأ إستخدام الميزة دائما من وجهة نظر تكوين قالب الإدارة، ولكن يمكن أيضا التطور من المسارات الثابتة الافتراضية المستلمة/التي تم الحصول عليها في سيناريوهات إستخدام خادم DHCP مع الخيارات #3 و#81 وما إلى ذلك.
مطبق بشكل افتراضي في Cisco Catalyst SD-WAN:
!
system
track-transport
track-default-gateway
!
فيما يلي طرق للتحقق من ذلك وفقا لمجموعة التكوين والتكوين القديمة:
تم إدخال الخدمة 1.0 في التعقب في الإصدار 20.3/17.3 وهو ميزة تهدف إلى ضمان إمكانية الوصول إلى عنوان الخدمة (أو عنوان إعادة التوجيه) أو توفره. تساعد هذه المعلومات Edge على إضافة معلومات الخطوة التالية أو سحبها بشكل ديناميكي من نهج التحكم/البيانات. مع تشكيل إدخال الخدمة 1.0، يتم تمكين المتعقب (أو عنوان التعقب) بشكل افتراضي باتجاه عنوان الخدمة. استنادا إلى هذا، فإن عنوان إعادة التوجيه وعنوان الخدمة متشابهان في 1.0. وعلى الرغم من تكوين متتبع الخدمة تلقائيا باستخدام الخدمات، إلا أنه يمكن تعطيل متتبع الارتباطات هذا باستخدام الأمر no track-enable، أو من خلال تعطيل مقبض tracker في مجموعة التكوين/التكوين القديم. بما أن هاتين هما العمليتان المحتملتان الوحيدتان (enable/disable) مع المتعقبين المقترنين بالخدمات ضمن "إدخال الخدمة 1.0"، فلا توجد معلمات أخرى يمكن نسخها (مثل الحد والمضرب والفاصل الزمني). نوع المسابر المستخدمة هنا هي حزم ICMP Echo-request.
لمعرفة المزيد حول تعقب إدخال الخدمة 1. 0، يرجى زيارة دليل التكوين. الفترات الزمنية الافتراضية المستخدمة في تعقب إدخال الخدمة 1. 0 هي:
يأتي تعقب بنية الخدمة 2.0 كجزء من عرض الميزة إدخال الخدمة 2.0 في برنامج Cisco Catalyst SD-WAN الذي تم تقديمه من الإصدار 20.13/17.13 وما بعده. في هذا المتغير الجديد لإدخال الخدمة، لا تزال الطريقة الافتراضية التي تستخدمها ملفات تعريف التكوين والقوالب تحتوي على متعقب ضمني يشير إلى كل عنوان خدمة محدد (أو عنوان إعادة توجيه) في زوج خدمة HA لكل واجهة rx/tx. ومع ذلك، مع Service Fabric 2.0، يمكنك الآن تقسيم عنوان إعادة التوجيه من عنوان التعقب. ويمكن القيام بذلك ببساطة من خلال تعريف متعقبي نقاط نهاية منفصلين لتعقب عنوان نقطة نهاية مختلف عن عنوان الخدمة نفسه. ويجري توسيع نطاق هذا الموضوع في الأقسام التالية.
تتمثل حالة الاستخدام الرئيسية لمقتفي الخدمات في إمكانية المراقبة القابلة للتطوير لقابلية الوصول إلى الخدمة، وخاصة فيما يتعلق بتوصيل الخدمات. يمكن نشر سلاسل الخدمات في شبكة تتكون من شبكات VPN متعددة، حيث تمثل كل شبكة VPN وظيفة أو مؤسسة مختلفة، لضمان تدفق حركة مرور البيانات بين شبكات VPN عبر جدار حماية. على سبيل المثال، في شبكة مجمع كبيرة، يمكن أن تمر حركة المرور بين الإدارات عبر جدار حماية، بينما يمكن توجيه حركة المرور بين الإدارات مباشرة. يمكن ملاحظة سلسلة الخدمات في السيناريوهات التي يجب أن يحقق فيها المشغل التوافق مع الإشعارات التنظيمية، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، حيث يجب تدفق حركة مرور PCI عبر جدران الحماية في مركز بيانات مركزي أو مركز إقليمي:
التكوينات هي نفسها سير العمل العادي لإعداد إدخال الخدمة 1.0 على SD-WAN. سيتم تمكين متتبع إدخال الخدمة 1.0 بشكل افتراضي على جميع عناوين الخدمة.
1. انقر فوق الزر إضافة خدمة.
2. أختر نوع الخدمة.
3. قم بإدخال عنوان الخدمة (الحد الأقصى 4 ممكن، مفصولة بفاصلة).
4. تحقق من تمكين مقبض التعقب (بشكل افتراضي). يمكن تعطيل هذا، إذا كان مطلوبا.
1. انقر فوق الزر خدمة جديدة
2. أختر نوع الخدمة.
3. قم بإدخال عنوان الخدمة (الحد الأقصى 4 ممكن، مفصولة بفاصلة).
4. تحقق من تمكين مقبض التعقب (بشكل افتراضي). يمكن تعطيل هذا، إذا كان مطلوبا.
ملاحظة: في اللحظة التي يتم فيها تكوين الخطوة 3 (من مجموعة التكوين أو التكوين القديم)، يتم بدء تشغيل المتعقب تلقائيا إلى عناوين الخدمة المحددة المتنوعة
من وجهة نظر واجهة سطر الأوامر (CLI)، يظهر تكوين إدخال الخدمة 1.0 كما يلي:
!
sdwan
service firewall vrf 1
ipv4 address 10.10.1.4
!
تمتد خطوات التحقق إلى الخطوات المماثلة التي يتم اتباعها كجزء من متعقبي نقاط النهاية المستندة إلى الواجهة المستخدمين في الأقسام السابقة.
هناك خياران للتحقق من متتبع نقاط النهاية الذي تم تكوينه بشكل صريح.
قم بالتدقيق تحت المتعقب الفردي وأعرض إحصائيات المتعقب (أنواع المتعقب، الحالة، نقطة النهاية، نوع نقطة النهاية، فهرس VPN، اسم المضيف، وقت الذهاب والعودة) بناء على اسم المتعقب الذي قمت بتكوينه.
في حالة الحزم التي تم اكتشافها على المتعقب، يتم تعميم السجلات المقابلة في هذا القسم مع تفاصيل مثل اسم المضيف، اسم نقطة الإرفاق، اسم المتعقب، حالة جديدة، عائلة العنوان، ومعرف VPN.
على CLI من Edge:
Router#show endpoint-tracker
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
1:1:9:10.10.1.4 1:10.10.1.4 Up IPv4 1 5 10.10.1.4
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
1:10.10.1.4 10.10.1.4 IP 300 3 60 service
Router#show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*5 icmp-echo 10.10.1.4 RTT=1 OK 51 seconds ago
يتم تخصيص أجهزة تعقب نقاط النهاية من NAT DIA بشكل أساسي لمراقبة إمكانية الوصول إلى التطبيقات عبر واجهة NAT DIA على الأنظمة الأساسية SD-WAN Edge.
في حالات إستخدام الوصول المباشر إلى الإنترنت (DIA)، يستخدم متعقبو NAT DIA في المقام الأول لتعقب الواجهة الجانبية للنقل وتمهيد عملية تجاوز الأعطال لأي واجهة جانبية أخرى متوفرة للنقل أو عبر أنفاق تغشية SD-WAN (باستخدام سياسة البيانات). تم إدخال هذه الميزة من الإصدار 20.3/17.3 فصاعدا، ويتوفر خيار ميزة "تعيين مستوى الشبكة (NAT) الاحتياطية" من الإصدار 20.4/17.4. إذا حدد المتعقب أن الإنترنت المحلي غير متوفر عبر واجهة NAT DIA، فإن الموجه يسحب مسار NAT من شبكة VPN الخاصة بالخدمة، ويعيد توجيه حركة مرور البيانات استنادا إلى تكوين التوجيه المحلي. يستمر المتعقب في التحقق بشكل دوري من حالة المسار إلى الواجهة. عندما يكتشف أن المسار يعمل مرة أخرى، يقوم الموجه بإعادة تثبيت مسار NAT إلى الإنترنت. لمعرفة المزيد حول متتبع DIA، الرجاء زيارة دليل التكوين.
في تعريف المتعقب، يمكنك إختيار إما إعطاء عنوان IP لنقطة نهاية يمكن الوصول إليها عبر واجهة NAT DIA (التي تم تكوينها على أنها "endpoint-ip") أو توفير اسم مجال مؤهل بالكامل (FQDN) لنقطة النهاية (التي تم تكوينها على أنها "endpoint-dns-name").
نوع المسابير المستخدمة هنا هي حزمة طلب HTTP، مشابهة جدا لمكدس PDU لطلب HTTP. الفترات المستخدمة هي:
غالبا ما يتم نشر خدمة DIA كميزة تحسين في مواقع الفروع لتجنب تحويل أي حركة مرور فرعية موجهة نحو الإنترنت إلى مركز بيانات. ومع ذلك، عند إستخدام DIA في مواقع الفروع، فإن أي نقص في إمكانية الوصول على طول طرق NAT DIA يجب أن يرجع إلى مسارات بديلة لتجنب انقطاع التيار الكهربائي وفقدان الخدمة. بالنسبة للمواقع التي ترغب في إستخدام ميزة النسخ الاحتياطي على وحدة التحكم بالمجال DC (من خلال تغشية شبكة WAN المعرفة عن طريق تقنية SD باستخدام وحدة التخزين الاحتياطية عبر الشبكة (NAT)) في حالة حدوث فشل في خروج وحدة التحكم في الوصول للبنية الأساسية (DIA) المحلية. يمكنك الاستفادة من أجهزة تعقب نقاط النهاية هذه القائمة على الواجهة على الواجهات المزودة بتقنية DIA على الحواف الجانبية الفرعية لاكتشاف حالات الفشل لبدء تجاوز الفشل إلى مسار النسخ الاحتياطي/التيار المستمر. بهذه الطريقة، يتم تحقيق التوفر العالي لخدمة الإنترنت بأقل قدر من التعطيل في المؤسسة مع الاستمرار في تحسين حركة مرور الإنترنت باستخدام DIA:
يجب تكوين متتبع نقاط النهاية المستندة إلى الواجهة هذا يدويا لتمكين مجموعة الميزات هذه. فيما يلي طرق تكوينها، استنادا إلى نوع طريقة التكوين المفضلة من قبل المستخدم.
1. قم بتحديد اسم متعقب نقطة نهاية.
2. أختر نوع متتبع نقطة نهاية (بين تقصير HTTP و ICMP).
ملاحظة: تم إدخال نوع متعقب نقطة نهاية ICMP منذ الإصدار 20.13/17.13 وما بعده.
3. حدد نقطة النهاية (بين نقطة النهاية IP-default واسم DNS لنقطة النهاية).
ملاحظة: إذا تم إختيار اسم DNS لنقطة النهاية، فيرجى التأكد من تعريف خادم DNS أو خادم أسماء صالح تحت ملف تعريف تكوين Transport VPN/VRF باستخدام ملف تعريف تكوين Trasnport VPN.
4. أدخل العنوان أو اسم DNS (FQDN) حيث يجب إرسال مستكشفات Tracker نحوه (يعتمد التنسيق على الخطوة السابقة).
5. (إختياري) يمكنك إختيار تغيير الفاصل الزمني للتحقيق (الافتراضي = 60 ثانية) وعدد عمليات إعادة المحاولة (الافتراضي = 3 مرات) لزيادة وقت اكتشاف الفشل.
الخطوة 1. تعريف متعقب نقطة النهاية المستند إلى الواجهة: التكوين > قوالب > قوالب ميزة > قالب النظام > قسم Tracker:
1. تحت القسم الفرعي Tracker، حدد زر متتبع نقطة النهاية الجديد.
2. تحديد اسم متعقب نقطة نهاية.
3. أختر نوع Tracker (بين interface-default & static-route) كواجهة، نظرا لأن حالات إستخدام DIA هي مصدر قلق هنا.
4. أختر نوع نقطة النهاية (بين الإعداد الافتراضي لعنوان IP واسم DNS).
5. أدخل عنوان IP لنقطة النهاية أو اسم DNS لنقطة النهاية حيث يجب إرسال مستكشفات Tracker نحوه (يعتمد التنسيق على الخطوة السابقة).
6. (إختياري) يمكنك إختيار تغيير حد المسبار (الافتراضي = 300 مللي ثانية)، الفاصل الزمني (الافتراضي = 60 ثانية) والمضرب (الافتراضي = 3 مرات).
الخطوة 2. تطبيق متتبع نقاط النهاية المستند إلى الواجهة على واجهة على الشبكة الخاصة الظاهرية (VPN) للنقل: القوالب > قوالب الميزات > إيثرنت واجهة الشبكة الخاصة الظاهرية (VPN) من Cisco > قسم متقدم:
1. أدخل اسم متعقب نقطة النهاية المعرف في الخطوة 1 السابقة في حقل متعقب.
من وجهة نظر واجهة سطر الأوامر (CLI)، تبدو التكوينات كما يلي:
(i) IP Address Endpoint :
!
endpoint-tracker t22
tracker-type interface
endpoint-ip 8.8.8.8
!
interface GigabitEthernet1
endpoint-tracker t22
end
!
(ii) DNS Name Endpoint :
!
endpoint-tracker t44
tracker-type interface
endpoint-dns-name www.cisco.com
!
interface GigabitEthernet1
endpoint-tracker t44
end
!
هناك خياران للتحقق من متتبع نقاط النهاية الذي تم تكوينه بشكل صريح.
قم بالتحقق تحت متعقب فردي وعرض إحصائيات متعقب (أنواع المتعقب، الحالة، نقطة النهاية، نوع نقطة النهاية، فهرس الشبكة الخاصة الظاهرية (VPN)، اسم المضيف، وقت الذهاب والعودة) استنادا إلى اسم متعقب الويب الذي تم تكوينه.
في حالة الحزم التي تم اكتشافها على المتعقب، يتم تعميم السجلات المقابلة في هذا القسم مع تفاصيل مثل اسم المضيف، اسم نقطة الإرفاق، اسم المتعقب، حالة جديدة، عائلة العنوان، ومعرف VPN.
على CLI من Edge:
Router#show endpoint-tracker interface GigabitEthernet1
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
GigabitEthernet1 t22 Up IPv4 2 2 172.21.30.2
Router#sh ip sla sum
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*2 http 8.8.8.8 RTT=4 OK 56 seconds ag
o
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
t22 8.8.8.8 IP 300 3 60 interface
t44 www.cisco.com DNS_NAME 300 3 60 interface
عند إستخدام متعقب نقاط النهاية لحالات إستخدام SIG Tunnel/SSE، يشير ذلك في المقام الأول إلى أن المؤسسة تبحث عن عرض مكدس أمان قائم على السحابة يمكن توفيره بسهولة في الوقت الحالي باستخدام مساعدة موفري "عبارة الإنترنت الآمنة" (SIG) أو Secure Service Edge (SSE)، مثل Cisco و CloudFlare و Netskope و ZScalar وما إلى ذلك. وتأتي كل من أنفاق SIG و SSE كجزء من نموذج نشر أمان السحابة، حيث يستخدم الفرع السحابة لتقديم حلول الأمان اللازمة التي يحتاج إليها. كانت حالة إستخدام أنفاق SIG هي العرض الأولي للغاية لدمج Cisco Catalyst SD-WAN مع موفري SIG هؤلاء (من إصدار 20.4/17.4)، ومع ذلك مع تطور عروض الأمان التي تم تسليمها عبر السحابة - تم إدخال حالة إستخدام SSE (من إصدار 20.13/17.13) لتغطية حالات الاستخدام مع موفرين مثل Cisco (عبر Cisco Secure Access) و ZScalar.
فهي تتطلب نهجا صريحا يمكن الاعتماد عليه للحماية والارتباط بخفة الحركة. أصبح من الشائع الآن تزويد الموظفين عن بعد بإمكانية الوصول المباشر إلى تطبيقات الشبكات مثل Microsoft 365 و Salesforce من خلال توفير أمان إضافي. يتسع الطلب على الشبكات والأمان التي يتم تسليمها عبر السحابة يوميا حيث يتطلب المتعاقدون والشركاء وأجهزة إنترنت الأشياء (IoT) وما إلى ذلك الوصول إلى الشبكة. يعرف تقارب وظائف الشبكة والأمان الأقرب إلى الأجهزة الطرفية، على حافة السحابة، بنموذج خدمة يدعى Cisco SASE. تجمع Cisco SASE بين وظائف الشبكة والأمان التي يتم تسليمها عبر الشبكات لتوفير وصول آمن إلى التطبيقات لجميع المستخدمين أو الأجهزة، من أي مكان وفي أي وقت. يعد Secure Service Edge (SSE) نهج أمان للشبكة يساعد المؤسسات على تحسين حالة الأمان لبيئة عملها مع تقليل تعقيد المستخدمين النهائيين وأقسام تقنية المعلومات. لمعرفة المزيد حول متعقبي SIG Tunnel/SSE، الرجاء زيارة دليل التكوين.
يتم إستخدام متعقب نقاط النهاية المستندة إلى الواجهة في حالات إستخدام SIG Tunnel/SSE هذه، حيث تريد تعقب نقطة نهاية URL لتطبيق SaaS معروفة أو نقطة نهاية URL معينة محل اهتمام. وفي الوقت الحاضر، أصبح هذا النظام هو السيناريو الأكثر إستخداما منذ تقسيم بنية SSE إلى وظائف أساسية ووظائف SD-WAN. تريد بعد ذلك الاختيار بين الأدوار النشطة والاحتياطية داخل أنفاق IPSec التي تم إنشاؤها من موقع (في هذه الحالة، DC). يحصل المستخدم على الخيار لإرفاق المتعقب تحت واجهة النفق المقابلة.
في حالة موفري SSE، مثل Cisco Secure Access (بواسطة Cisco) - يتم إستخدام متتبع نقاط النهاية الضمني والذي يتم تكوينه بشكل افتراضي. ومع ذلك، فإن المستخدم لديه خيار إنشاء متتبع نقطة نهاية مخصص والحصول على ذلك مرفقا بواجهة نفق IPSec. معلمات متعقب نقاط النهاية الافتراضي/الضمني المستخدمة في SSE هي:
ل Cisco SSE:
اسم المتعقب: DefaultTracker
نقطة النهاية التي يتم تعقبها: http://service.sig.umbrella.com
نوع نقطة النهاية: API_URL
العتبة: 300 مللي ثانية
الضرب: 3
الفاصل الزمني: 60 ثانية
ل ZScaler SSE:
اسم المتعقب: DefaultTracker
نقطة النهاية التي يتم تعقبها: http://gateway.zscalerthree.net/vpnte
نوع نقطة النهاية: API_URL
العتبة: 300 مللي ثانية
المضاعف: 3
الفاصل الزمني: 60 ثانية
في حالة أنفاق SIG، لا يوجد متعقب نقطة نهاية افتراضي/ضمني معرف. وبالتالي، يجب على المستخدم تكوين متتبع نقطة النهاية المستند إلى الواجهة يدويا في حالة رغبته في تعقب واجهة نفق IPSec تجاه سحابة موفر SIG:
في حالة موفري SSE، لا يحتاج المستخدم إلى تعريف أي متعقب نقطة نهاية بشكل صريح (ما لم يكن مطلوبا). ومع ذلك، فإن مهام سير العمل مختلفة استنادا إلى نوع التكوين.
كمتطلب أساسي، يجب عليك تحديد إدارة بيانات اعتماد SIG/SSE > إعدادات > الخدمات الخارجية > بيانات اعتماد الشبكة:
1. تحت بيانات اعتماد مزود السحابة، بدل خيار Umbrella أو Cisco SSE (أو كلا).
2. تحديد المعلمات، مثل معرف المؤسسة ومفتاح واجهة برمجة التطبيقات (API) والسر).
تعيين تكوين مجموعة التكوين > مجموعات السياسات > عبارة الإنترنت الآمنة/حافة الخدمة الآمنة:
1. انقر فوق إضافة بوابة إنترنت آمنة أو إضافة حافة خدمة آمنة.
2. قم بتحديد اسم ووصف.
3. حدد أحد أزرار الاختيار ضمن موفر SIG/SSE (إما Umbrella أو Cisco SSE).
4. تحت قسم Tracker، قم بتعريف عنوان IP المصدر الذي يتم إستخدامه لتحديد مصادر مستكشفات Tracker.
5. إذا أخترت تعريف متعقب نقطة نهاية واضح/مخصص، انقر بعد ذلك إضافة متعقب، ثم قم بتعبئة المعلمات لتتبع نقطة النهاية (الاسم، عنوان API URL لنقطة النهاية، العتبة، فاصل المسبار، والمضاعف).
6. تحت قسم التكوين، قم بإنشاء واجهات النفق حيث يمكنك تحديد المعلمات (مثل اسم الواجهة والوصف ومتتبع المسار وواجهة مصدر النفق ومركز البيانات الأساسي/الثانوي).
ملاحظة: في الخطوة 6 حيث يتم منح المستخدم خيار إرفاق متعقب النقطة الطرفية المحدد بنفق IPSec ذي الصلة. يرجى ملاحظة أن هذا الحقل إختياري.
7. تحت قسم الإتاحة العالية، قم بإنشاء زوج واجهة وتحديد الواجهة النشطة وواجهة النسخ الاحتياطي جنبا إلى جنب مع الأوزان الخاصة بكل منهما. ثم قم بتطبيق مجموعة السياسات السابقة التي تم تكوينها على الحواف ذات الصلة.
ضبط تكوين قديم > قوالب > قوالب ميزات > قالب ميزة عبارة الإنترنت الآمنة من Cisco:
1. حدد أحد أزرار الاختيار ضمن موفر SIG (إما Umbrella أو ZScalar أو عام).
2. تحت قسم Tracker (BETA)، قم بتعريف عنوان IP المصدر الذي يتم إستخدامه كمصدر مستكشفات Tracker.
5. إذا أخترت تعريف متعقب نقطة نهاية واضح/مخصص، انقر فوق متعقب جديد، وقم بتعبئة معلمات متعقب نقطة النهاية (الاسم، عنوان API URL لنقطة النهاية، الحد، الفاصل الزمني، ومضاعف).
6. تحت قسم التكوين، قم بإنشاء واجهات النفق (من خلال النقر فوق إضافة نفق) حيث يمكنك تحديد المعلمات (مثل اسم الواجهة والوصف والتتبع وواجهة مصدر النفق ومركز البيانات الأساسي/الثانوي).
ملاحظة: في الخطوة 6 حيث يتم منح المستخدم خيار إرفاق متعقب النقطة الطرفية المحدد بنفق IPSec ذي الصلة. يرجى ملاحظة أن هذا الحقل إختياري.
7. تحت قسم الإتاحة العالية، قم بتعريف الواجهة النشطة وواجهة النسخ الاحتياطي جنبا إلى جنب مع الأوزان الخاصة بكل منهما.
من وجهة نظر واجهة سطر الأوامر (CLI)، تبدو التكوينات كما يلي:
(i) For the default interface-based endpoint tracker applied with SSE
!
endpoint-tracker DefaultTracker
tracker-type interface
endpoint-api-url http://service.sig.umbrella.com
!
interface Tunnel16000101
description auto primary-dc
ip unnumbered GigabitEthernet1
ip mtu 1400
endpoint-tracker DefaultTracker
end
!
(ii) For the custom interface-based endpoint tracker (can be applied in SIG & SSE use-cases)
!
endpoint-tracker cisco-tracker
tracker-type interface
endpoint-api-url http://www.cisco.com
!
interface Tunnel16000612
ip unnumbered GigabitEthernet1
ip mtu 1400
endpoint-tracker cisco-tracker
end
!
هناك خيارات تحقق من متعقبي نقاط النهاية الذين تم تكوينهم بشكل صريح.
قم بالتدقيق تحت المتعقب الفردي وأعرض إحصائيات المتعقب (أنواع المتعقب، الحالة، نقطة النهاية، نوع نقطة النهاية، فهرس VPN، اسم المضيف، وقت الذهاب والعودة) بناء على اسم المتعقب الذي قمت بتكوينه.
في حالة الحزم التي تم اكتشافها على المتعقب، يتم تعميم السجلات المقابلة في هذا القسم مع تفاصيل مثل اسم المضيف، اسم نقطة الربط، اسم المتعقب، حالة جديدة، عائلة العنوان، ومعرف VPN.
على CLI من Edge:
Router#show endpoint-tracker interface Tunnel16000612
Interface Record Name Status Address Family RTT in msecs Probe ID Nex
t Hop
Tunnel16000612 cisco-tracker Up IPv4 26 31 None
Router#show endpoint-tracker interface Tunnel16000101
Interface Record Name Status Address Family RTT in msecs Probe ID Nex
t Hop
Tunnel16000101 DefaultTracker Up IPv4 1 1059 None
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(
s) Tracker-Type
DefaultTracker http://gateway.zscalerthree.net/vpnte API_URL 300 3 60
interface
cisco-tracker http://www.cisco.com API_URL 300 3 60
interface
يعد برنامج Service Fabric 2.0 Tracking الذي تم تقديمه في الإصدار 20.13/17.13 بمثابة متغير محسن لعملية التعقب من خلال إدخال الخدمة 1.0 - حيث يتمكن المستخدمون من تخصيص أجهزة التعقب على نطاق أوسع. يتم الاحتفاظ بالسلوك الافتراضي من الإصدار السابق من "إدخال الخدمة" (1.0)، وسيتم بدء تشغيل المتعقب بشكل افتراضي مع تعريف كل عنوان خدمة (أو عنوان إعادة توجيه) في زوج خدمة HA لكل rx/tx. ولكن مع إدخال الخدمة 2.0، يمكن فصل عنوان التعقب (IP/نقطة النهاية إلى التعقب) عن عنوان إعادة التوجيه (عادة ما يكون عنوان الخدمة). ويتم القيام بذلك باستخدام متعقب النقطة الطرفية المخصص المحدد على مستوى الشبكة الخاصة الظاهرية (VPN). لمعرفة المزيد حول متتبع بنية الخدمة 2.0، الرجاء زيارة دليل التكوين.
إذا اختار المستخدم إستخدام المتعقب الافتراضي، فإن مواصفات مستكشفات المتعقب هي:
إذا اختار المستخدم إستخدام متعقب مخصص، فإن مواصفات مستكشفات المتعقب هي:
يمكنك أيضا إستخدام حالات "إدخال الخدمة 1.0" المذكورة في الأقسام السابقة.
هناك دعم للتكوين المستند إلى سير العمل لإدخال الخدمة 2.0، وهو نهج موجه بواسطة المعالج، مما يساعد على تبسيط تجربة المستخدم، مع الالتزام بخطوات سير العمل القياسية لمجموعة التكوين في نفس الوقت.
1. قم بتعريف سلسلة الخدمات - مجموعة التكوين ضمن التكوين > إدخال الخدمة > تعريفات سلسلة الخدمة قسم:
أ. انقر فوق الزر إضافة تعريف سلسلة الخدمة.
ب. املأ تفاصيل اسم الخدمة ووصفها.
ج. تعبئة تنسيق قائمة (من خلال الاختيار من القائمة المنسدلة)، نوع الخدمة.
2. حدد مثيل سلسلة الخدمات - مجموعة التكوين ضمن التكوين > إدخال الخدمة > قسم تكوينات سلسلة الخدمة:
أ. انقر فوق إضافة تكوين سلسلة الخدمة.
ب. في خطوة تعريف سلسلة الخدمة، حدد زر الخيار بعنوان تحديد موجود، واختر الخدمة التي تم تعريفها مسبقا.
ج. توفير اسم ووصف لخطوة تكوين سلسلة خدمة البدء.
د. في خطوة تكوين سلسلة الخدمة للخدمات المتصلة يدويا، حدد معرف VPN الخاص بسلسلة الخدمة.
هـ. ثم، لكل خدمة محددة في مثيل سلسلة الخدمة (ممثلة في علامات التبويب الفرعية)، ضمن تفاصيل الخدمة، قم بتوفير نوع المرفق (IPv4 أو IPv6 أو Tunnel Connected).
و. حدد خانة الاختيار خيارات متقدمة. إذا كنت بحاجة إلى حالات إستخدام HA/النسخ الاحتياطي النشط (قم أيضا بتمكين إضافة معلمات لمقبض النسخ الاحتياطي) أو حتى إذا كنت بحاجة إلى تحديد متتبع نقطة نهاية مخصص (قم أيضا بتمكين مقبض التتبع المخصص).
ز. إذا كان لديك سيناريوهات حيث تنتقل حركة مرور المخرج (tx) إلى الخدمة عبر واجهة واحدة وتدخل حركة مرور الإرجاع من الخدمة (rx) عبر واجهة أخرى، فقم بتشغيل حركة مرور البيانات من الخدمة التي يتم إستلامها على مقبض واجهة مختلف.
ح. مع تمكين مقابض المتعقب المتقدم والمخصص، قم بتعريف عنوان IPv4 للخدمة (عنوان إعادة التوجيه) وواجهة موجه SD-WAN (التي يتم توصيل الخدمة بها) ونقطة نهاية Tracker (عنوان التعقب). يمكنك أيضا تعديل معلمات المتعقب المخصصة مثل الفاصل الزمني والمضاعف (بنقر زر التحرير).
ط. كرر الخطوات (ه) و(و) و(ز) و(ح) لكل خدمة محددة لاحقا.
3. قم بإرفاق مثيل سلسلة الخدمة بملف تعريف تكوين Edge - مجموعة التكوين ضمن التكوين > مجموعات التكوين > ملف تعريف الخدمة > VPN للخدمة > إضافة ميزة > بوابة مرفق سلسلة الخدمة:
أ. قم بتوفير اسم ووصف لحزمة عبارة مرفق سلسلة الخدمة هذه.
ب. حدد تعريف سلسلة الخدمة المحدد مسبقا (في الخطوة 1).
ج. قم بإعادة/التحقق من التفاصيل كما تم تنفيذها في الخطوة 2. بالنسبة لتعريف المتعقب، فإن الاختلاف الوحيد عن الخطوة السابقة 2 هو أنك حصلت على فرصة لإعطاء اسم المتعقب وأيضا قم بتحديد نوع المتعقب (من الخدمة-icmp إلى خدمة IPv6-icmp).
من وجهة نظر واجهة سطر الأوامر (CLI)، تبدو التكوينات كما يلي:
!
endpoint-tracker tracker-service
tracker-type service-icmp
endpoint-ip 10.10.1.4
!
service-chain SC1
service-chain-description FW-Insertion-Service-1
service-chain-vrf 1
service firewall
sequence 1
service-transport-ha-pair 1
active
tx ipv4 10.10.1.4 GigabitEthernet3 endpoint-tracker tracker-service
!
قم بالتدقيق تحت المتعقب الفردي وأعرض إحصائيات المتعقب (أنواع المتعقب، الحالة، نقطة النهاية، نوع نقطة النهاية، فهرس VPN، اسم المضيف، وقت الذهاب والعودة) بناء على اسم المتعقب الذي قمت بتكوينه.
في حالة الحزم التي تم اكتشافها على المتعقب، يتم تعميم السجلات المقابلة في هذا القسم مع تفاصيل مثل اسم المضيف، اسم نقطة الربط، اسم المتعقب، حالة جديدة، عائلة العنوان، ومعرف VPN.
على CLI من Edge:
Router#show endpoint-tracker
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
1:101:9:tracker-service tracker-service Up IPv4 10 6 10.10.1.4
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
tracker-service 10.10.1.4 IP 300 3 60 service-icmp
Router#show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*6 icmp-echo 10.10.1.4 RTT=1 OK 53 seconds ago
Router#show platform software sdwan service-chain database
Service Chain: SC1
vrf: 1
label: 1005
state: up
description: FW-Insertion-Service-1
service: FW
sequence: 1
track-enable: true
state: up
ha_pair: 1
type: ipv4
posture: trusted
active: [current]
tx: GigabitEthernet3, 10.10.1.4
endpoint-tracker: tracker-service
state: up
rx: GigabitEthernet3, 10.10.1.4
endpoint-tracker: tracker-service
state: up
ويطلق على النوع الثاني من متعقبي نقاط النهاية اسم متعقب نقاط النهاية الثابتة-المستندة إلى المسار. وكما يشير الاسم نفسه، يتم إستخدام هذه الأنواع من المتعقبين بشكل أساسي لتعقب عنوان الخطوة التالية لأي مسار ثابت معرف تحت شبكة VPN الخاصة بجانب الخدمة. وبشكل افتراضي، يتم الإعلان عن جميع أنواع المسارات "المتصلة" و"الثابتة" في بروتوكول OMP - النشر الذي تصبح جميع المواقع البعيدة التي تحتوي على شبكة VPN الخاصة بالخدمة على علم ببادئة الوجهة هذه (حيث تشير الخطوة التالية إلى وحدة التحكم في الوصول إلى الشبكة الخاصة الظاهرية (TLOC) للموقع الأصلي). الموقع الأصلي هو الموقع الذي تم بدء المسار الثابت المحدد منه.
ومع ذلك، في حال أصبح عنوان الخطوة التالية في المسار الثابت غير قابل للوصول، لا يتوقف المسار عن الإعلان عنه في OMP. قد يتسبب ذلك في حدوث مشاكل في حركة المرور يتم حظرها بشكل مؤقت لتدفقات متجهة إلى الموقع الأصلي. يؤدي هذا إلى الحاجة إلى إرفاق متتبع بالمسار الثابت، لضمان الإعلان عن المسار الثابت إلى OMP فقط عندما يكون عنوان الخطوة التالية قابلا للوصول إليه. تم إدخال هذه الميزة في إصدار 20.3/17.3 لتتبع نقاط النهاية المستندة إلى المسار الثابت لنوع عنوان IP الأساسي. من الإصدار 20.7/17.7 فصاعدا، تمت إضافة دعم لإرسال مستكشفات التعقب إلى منافذ TCP أو UDP معينة فقط لعنوان IP للخطوة التالية (في الحالات التي يتم فيها إستخدام جدران الحماية لفتح منافذ معينة فقط لأغراض التتبع). لمعرفة المزيد حول متتبع المسارات الثابتة، الرجاء زيارة دليل التكوين.
نوع المسابير المستخدمة هنا هي حزمة ICMP Echo-Request بسيطة. الفترات المستخدمة هي:
يتم إستخدام هذا النوع من أجهزة تعقب نقاط النهاية المستندة إلى المسار الثابت لتعقب جانب الخدمة لعناوين الخطوة التالية في المسارات الثابتة. أحد هذه السيناريوهات الشائعة هو تعقب عنوان الخطوة التالية على جانب شبكة LAN المقابلة لزوج من جدران الحماية النشطة/الاحتياطية، والتي تشارك عنوان IP الخارجي بناء على الذي تقوم الواجهة الخارجية على أساسه بدور جدار الحماية "النشط". في الحالات التي تبدو فيها قواعد جدار الحماية شديدة التقييد، حيث يتم فتح منافذ معينة فقط للأغراض المستندة إلى حالة الاستخدام، يمكن إستخدام متتبع المسار الثابت لتعقب منفذ TCP/UDP المحدد إلى عنوان IP للخطوة التالية التي تنتمي إلى جدار الحماية الموجود على واجهة الشبكة المحلية (LAN) الخارجية.
يجب تكوين متعقبي نقاط النهاية هؤلاء الذين يعملون على أساس المسار الثابت يدويا لتمكين مجموعة الميزات هذه. فيما يلي طرق تكوينها، استنادا إلى نوع طريقة التكوين المفضلة من قبل المستخدم.
1. قم بتوفير اسم ووصف واسم المتعقب للمتتبع الجديد (نقطة النهاية) الذي يتم تعريفه.
2. أختر نوع نقطة النهاية، بناء على ما إذا كنت تحتاج فقط إلى تعقب عنوان IP للخطوة التالية (أختر زر عنوان الراديو)، أو حتى منافذ TCP/UDP معينة (أختر زر بروتوكول الراديو).
3. أدخل العنوان، بتنسيق عنوان IP. أدخل أيضا البروتوكول (TCP أو UDP) ورقم المنفذ، في حالة إختيار البروتوكول كنوع نقطة النهاية الخاصة بك في الخطوة السابقة.
4. يمكنك تغيير القيم الافتراضية المحددة للفاصل الزمني للتحقيق وعدد عمليات إعادة المحاولة وحد زمن الوصول، إذا لزم الأمر.
1. حدد زر توجيه ثابت IPv4/IPv6.
2. قم بتعبئة التفاصيل، مثل عنوان الشبكة، قناع الشبكة الفرعية، الخطوة التالية، العنوان، AD.
3. انقر فوق إضافة الخطوة التالية باستخدام زر Tracker.
4. أعد إدخال عنوان الخطوة التالية، AD واختر من القائمة المنسدلة اسم متتبع (نقطة النهاية) الذي تم إنشاؤه سابقا.
1. حدد الزر "متعقب نقطة النهاية" الجديد.
2. قم بتوفير اسم للمتتبع الجديد (نقطة النهاية) الذي يتم تعريفه.
3. قم بتغيير زر إختيار نوع Tracker إلى مسار ثابت.
4. أختر نوع نقطة النهاية، كعنوان IP للخطوة التالية (أختر زر راديو عنوان IP).
5. أدخل نقطة النهاية IP، بتنسيق عنوان IP.
6. يمكنك تغيير القيم الافتراضية المحددة للفاصل الزمني للتحقيق وعدد عمليات إعادة المحاولة وحد زمن الوصول، إذا لزم الأمر.
1. حدد زر مسار IPv4/IPv6 الجديد.
2. املأ التفاصيل، مثل البادئة، البوابة.
3. انقر فوق زر إضافة الخطوة التالية باستخدام Tracker.
4. قم بإعادة إدخال عنوان الخطوة التالية، AD (المسافة) وأدخل يدويا اسم متتبع الخطوة السابقة التي تم إنشاؤها (نقطة النهاية).
من وجهة نظر واجهة سطر الأوامر (CLI)، تبدو التكوينات كما يلي:
(i) For the static-route-based endpoint tracker being used with IP address :
!
endpoint-tracker nh10.10.1.4-s10.20.1.0
tracker-type static-route
endpoint-ip 10.10.1.4
!
track nh10.10.1.4-s10.20.1.0 endpoint-tracker
!
ip route vrf 1 10.20.1.0 255.255.255.0 10.10.1.4 track name nh10.10.1.4-s10.20.1.0
!
(ii) For the static-route-based endpoint tracker being used with IP address along with TCP/UDP port :
!
endpoint-tracker nh10.10.1.4-s10.20.1.0-tcp-8484
tracker-type static-route
endpoint-ip 10.10.1.4 tcp 8484
!
track nh10.10.1.4-s10.20.1.0-tcp-8484 endpoint-tracker
!
ip route vrf 1 10.20.1.0 255.255.255.0 10.10.1.4 track name nh10.10.1.4-s10.20.1.0-tcp-8484
!
هناك منطقتان للتحقق من متتبع نقاط النهاية الذي تم تكوينه بشكل صريح.
1. تحت خيارات الجهاز، اكتب في "معلومات متعقب نقطة النهاية".
2. راجع متتبع فردي (اسم نقطة الملحق) وأعرض إحصائيات Tracker (حالة Tracker، اسم سجل Tracker المرتبط، زمن الانتقال في mx من الجهاز إلى نقطة النهاية، آخر طابع زمني تم تحديثه) استنادا إلى اسم متتبع التكوين الخاص بك.
في حالة الحزم التي تم اكتشافها على المتعقب، يتم تعميم السجلات المقابلة في هذا القسم مع تفاصيل مثل اسم المضيف، اسم نقطة الإرفاق، اسم المتعقب، حالة جديدة، عائلة العنوان، ومعرف VPN.
على CLI من Edge:
Router#sh endpoint-tracker static-route
Tracker Name Status RTT in msec Probe ID
nh10.10.1.4-s10.20.1.0 UP 1 3
Router#show track endpoint-tracker
Track nh10.10.1.4-s10.20.1.0
Ep_tracker-object
State is Up
2 changes, last change 00:01:54, by Undefined
Tracked by:
Static IP Routing 0
Router#sh endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
nh10.10.1.4-s10.20.1.0 10.10.1.4 IP 300 3 60 static-route
Router#sh ip sla summ
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*3 icmp-echo 10.10.1.4 RTT=1 OK 58 seconds ago
EFT-BR-11#sh ip static route vrf 1
Codes: M - Manual static, A - AAA download, N - IP NAT, D - DHCP,
G - GPRS, V - Crypto VPN, C - CASA, P - Channel interface processor,
B - BootP, S - Service selection gateway
DN - Default Network, T - Tracking object
L - TL1, E - OER, I - iEdge
D1 - Dot1x Vlan Network, K - MWAM Route
PP - PPP default route, MR - MRIPv6, SS - SSLVPN
H - IPe Host, ID - IPe Domain Broadcast
U - User GPRS, TE - MPLS Traffic-eng, LI - LIIN
IR - ICMP Redirect, Vx - VXLAN static route
LT - Cellular LTE, Ev - L2EVPN static route
Codes in []: A - active, N - non-active, B - BFD-tracked, D - Not Tracked, P - permanent, -T Default Track
Codes in (): UP - up, DN - Down, AD-DN - Admin-Down, DL - Deleted
Static local RIB for 1
M 10.20.1.0/24 [1/0] via 10.10.1.4 [A]
T [1/0] via 10.10.1.4 [A]
متتبع الكائنات هي متعقب مصمم لاستهلاك الوضع الذاتي (حالات الاستخدام). وتختلف حالات إستخدام المتعقبين هذه من تعقب الواجهة/النفق المستند إلى VRRP إلى تعقب شبكة الشبكة الخاصة الظاهرية (NAT) الخاصة بالخدمة-VPN.
بالنسبة لحالات إستخدام تعقب VRRP، يتم تحديد حالة VRRP استنادا إلى حالة إرتباط النفق. إن يكون النفق أو قارن أسفل على VRRP أساسي، الحركة مرور وجهت إلى الثانوي VRRP. يصبح الموجه VRRP الثانوي في مقطع الشبكة المحلية VRRP الأساسي لتوفير عبارة لحركة مرور جانب الخدمة. تنطبق حالة الاستخدام هذه فقط على شبكة VPN الخاصة بالخدمة، وتساعد على الفشل عبر دور VRRP على جانب الشبكة المحلية (LAN) في حالة الفشل على تغشية SD-WAN (الواجهة أو الأنفاق في حالة SSE). بالنسبة لتوصيل المتعقبين إلى مجموعات VRRP، يمكن إستخدام متعقب الكائنات فقط (وليس متعقب نقاط النهاية). تم تقديم هذه الميزة من إصدار 20.7/17.7 لحواف Cisco Catalyst SD-WAN.
لا توجد مسابر مستخدمة هنا من قبل المتعقب. بدلا من ذلك، فإنه يستخدم حالة بروتوكول الخط ليقرر على حالة المتعقب (أعلى/أسفل). لا توجد فواصل تفاعل في أجهزة التتبع المستندة إلى بروتوكول خط الواجهة - في اللحظة التي يتم فيها تعطيل بروتوكول خط الواجهة/النفق، يتم أيضا جلب حالة المسار إلى حالة "أسفل". ثم بناء على إجراء إيقاف التشغيل أو الاقتطاع، ستعيد مجموعة VRRP وفقا لذلك التقارب. لمعرفة المزيد حول متعقبي واجهة VRRP، الرجاء زيارة دليل التكوين.
توجد حالات إستخدام متعددة استنادا إلى المعايير المطلوبة لتنفيذ تعقب الواجهة المستندة إلى VRRP. حاليا، ال إثنان أسلوب يساند (i) قارن (يعني أي نفق قارن يكون ربطت مع TLOC محلي) أو (ii) SIG قارن (يربط إلى SIG نفق قارن). في كل حالة، الجزء الذي يتم تعقبه هو بروتوكول خط الواجهة.
موجه ثنائي مع الإنترنت: يرتبط كائن المسار بمجموعة VRRP. في حالة انخفاض كائن المتعقب (والذي في هذه الحالة هو واجهة نفق SIG)، يقوم هذا بإعلام الموجه الأساسي VRRP لتشغيل انتقال الحالة من الأساسي إلى النسخ الاحتياطي وموجه النسخ الاحتياطي ليصبح أساسي. يمكن التأثير على تغيير الحالة هذا أو إطلاقه من خلال نوعين من العمليات :
تفضيل تغيير TLOC: لتجنب حركة المرور غير المتماثلة الواردة من مواقع SDWAN الأخرى إلى الموقع الذي يتم فيه تشغيل VRRP على شبكة VPN الخاصة بالخدمة، يتم تعزيز تفضيل TLOC الخاص بالموجه الأساسي VRRP بواسطة 1 إذا تم تكوينه. يمكنك حتى تعديل هذه القيمة ضمن مجموعات التكوين. وهذا يضمن جذب حركة المرور من شبكة WAN إلى شبكة LAN بواسطة الموجه الأساسي VRRP نفسه. يتم جذب حركة المرور من شبكة LAN إلى شبكة WAN بواسطة آلية VRRP الخاصة ب VRRP الأساسي. هذه الميزة مستقلة عن متعقب واجهة VRRP. هذا أمر إختياري (tloc-change-pref) من وجهة نظر واجهة سطر الأوامر.
يتم تكوين متتبع الكائنات عبر قوالب النظام في التكوين القديم، ثم يتم إرفاق متتبع الكائنات بعد ذلك بمجموعة VRRP المقابلة ضمن قالب ميزة واجهة إيثرنت الخاصة بالخدمة-VPN. في مجموعة التكوين، تم تبسيط هذه الآلية عن طريق الحصول مباشرة على خيار لإضافة متتبع الكائنات إلى ملف تعريف واجهة إيثرنت الخاص بملف تعريف الخدمة. فيما يلي طرق تكوينها، بناء على نوع طريقة التكوين التي يفضلها المستخدم.
من وجهة نظر واجهة سطر الأوامر (CLI)، تبدو التكوينات كما يلي:
(i) Using interface (Tunnel) Object Tracking :
!
track 10 interface Tunnel1 line-protocol
!
interface GigabitEthernet3
description SERVICE VPN 1
no shutdown
vrrp 10 address-family ipv4
vrrpv2
address 10.10.1.1
priority 120
timers advertise 1000
track 10 decrement 40
tloc-change increase-preference 120
exit
exit
!
(ii) Using SIG interface Object Tracking :
!
track 20 service global
!
interface GigabitEthernet4
description SERVICE VPN 1
no shutdown
vrrp 10 address-family ipv4
vrrpv2
address 10.10.2.1
priority 120
timers advertise 1000
track 20 decrement 40
tloc-change increase-preference 120
exit
exit
!
هناك خياران للتحقق من متتبع الكائنات الذي تم تكوينه بشكل صريح لحالات إستخدام VRRP.
1. تحت خيارات الجهاز، اكتب في "معلومات VRRP".
2. تحقق تحت مجموعة VRRP الفردية (معرف المجموعة) وأعرض إحصائيات Tracker (اسم بادئة المسار، حالة المسار، وقت عدم الاستمرارية، ووقت تغيير الحالة الأخيرة) استنادا إلى معرفات متتبع الكائنات التي تم تكوينها.
في حالة اكتشاف تغيير حالة على متتبع الكائنات، فإن مجموعة VRRP المرافقة لها والمرفقة تغير حالتها. سيتم ملء السجلات ذات الصلة في هذا القسم (مع الاسم كتغيير حالة مجموعة VRRP) بتفاصيل مثل اسم المضيف، إذا الرقم، معرف GRP، نوع العنوان، إذا كان الاسم، vrrp group-state، سبب تغيير الحالة، ومعرف VPN.
على CLI من Edge:
Router#show vrrp 10 GigabitEthernet 3
GigabitEthernet3 - Group 10 - Address-Family IPv4
State is MASTER
State duration 59 mins 56.703 secs
Virtual IP address is 10.10.1.1
Virtual MAC address is 0000.5E00.010A
Advertisement interval is 1000 msec
Preemption enabled
Priority is 120
State change reason is VRRP_TRACK_UP
Tloc preference configured, value 120
Track object 10 state UP decrement 40
Master Router is 10.10.1.3 (local), priority is 120
Master Advertisement interval is 1000 msec (expires in 393 msec)
Master Down interval is unknown
FLAGS: 1/1
Router#show track 10
Track 10
Interface Tunnel1 line-protocol
Line protocol is Up
7 changes, last change 01:00:47
Tracked by:
VRRPv3 GigabitEthernet3 IPv4 group 10
Router#show track 10 brief
Track Type Instance Parameter State Last Change
10 interface Tunnel1 line-protocol Up 01:01:02
Router#show interface Tunnel1
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Interface is unnumbered. Using address of GigabitEthernet1 (172.25.12.1)
MTU 9980 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 2/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel linestate evaluation up
Tunnel source 172.25.12.1 (GigabitEthernet1)
كان متعقب الكائنات NAT من جانب الخدمة ميزة تم تقديمها في الإصدار 20.8/17.8، حيث يتم الإعلان عن العنوان العالمي الداخلي المستخدم في شبكة NAT من فئة الخدمة-VPN (داخل NAT الثابت وداخل NAT الديناميكي) فقط في بروتوكول إدارة الشبكة (OMP) إذا (i) تم العثور على العنوان المحلي الداخلي قابلا للوصول إليه أو (ii) يكون بروتوكول الخط الخاص بواجهة شبكة LAN/الخدمة أعلى وفقا لتتبع الكائنات المرفق. وبالتالي، فإن أنواع متتبع الكائنات التي يمكن إستخدامها هي (i) مسار أو واجهة (ii). وفقا لحالة بادئة شبكة LAN أو واجهة شبكة LAN، تتم إضافة إعلانات مسار NAT من خلال بروتوكول OMP أو إزالتها. يمكنك عرض سجلات الأحداث في Cisco SD-WAN Manager لمراقبة أي إعلانات مسار الشبكة (NAT) تتم إضافتها أو إزالتها.
لا توجد مسابر مستخدمة هنا من قبل المتعقب. بدلا من ذلك، فإنه يستخدم (i) وجود إدخال توجيه في جدول التوجيه أو (ii) حالة بروتوكول الخط لتحديد حالة المتعقب (أعلى/أسفل). لا توجد فواصل تفاعل في وجود إدخال توجيه أو متعقبين مستندين إلى بروتوكول خط الواجهة - في اللحظة التي يتم فيها إيقاف إدخال التوجيه أو بروتوكول خط الواجهة، يتم أيضا جلب حالة المسار إلى حالة DOWN. على الفور، تم إيقاف الإعلان عن العنوان العمومي الداخلي المستخدم في بيان NAT المرتبط بمتتبع الكائنات في OMP. لمعرفة المزيد حول متتبع VPN للخدمة، الرجاء زيارة دليل التكوين.
إذا كانت واجهة شبكة LAN أو بادئة شبكة LAN معطلة، فإن متتبع كائن NAT الخاص بجانب الخدمة يتم تخفيضه تلقائيا. يمكنك عرض سجلات الأحداث في مدير SD-WAN من Cisco لمراقبة إعلانات مسار NAT التي يتم إضافتها أو إزالتها. في حالة الاستخدام التالية، يلزم على العميل الوصول إلى الخادم الموجود في الفرع الكبير. ومع ذلك، تنشأ المشكلة في الحالات التي يتم فيها إزالة المسار الذي يشير إلى الخادم الموجود على حواف الفرع الكبيرة (في HA) أو عندما تنزل واجهة LAN (جانب الخدمة) على أي حافة واحدة في الفرع الكبير. في مثل هذه الحالات، عندما تقوم بتطبيق NAT الخاص بجانب الخدمة مع متتبع الكائنات، تأكد من أن حركة المرور الواردة من العميل يتم توجيهها دائما إلى الحافة الصحيحة الموجودة في الفرع الكبير عن طريق التحكم في إعلان العنوان العام الداخلي في OMP. في حالة عدم فرض هذا التحكم على إعلان المسار إلى بروتوكول OMP، ينتهي الأمر بحركة المرور إلى التعتيم بسبب عدم إمكانية الوصول من الحافة المعنية إلى الخادم في الفرع الكبير.
يتم تكوين متتبع الكائنات عبر قوالب النظام في التكوين القديم، ثم يتم إرفاق متتبع الكائنات بعد ذلك بجملة NAT المعنية (داخل ثابت أو داخل ديناميكي) في قالب ميزة الخدمة-VPN. في مجموعة التكوين، تم تبسيط هذه الآلية عن طريق الحصول مباشرة على خيار لإضافة متتبع الكائنات إلى ملف تعريف واجهة إيثرنت الخاص بملف تعريف الخدمة. فيما يلي طرق تكوينها، بناء على نوع طريقة التكوين التي يفضلها المستخدم.
1. قم بإنشاء تجمع NAT (إلزامي لتشغيل SSNAT) بالنقر فوق الزر إضافة تجمع nat.
2. قم بتوفير تفاصيل تجمع NAT، مثل اسم تجمع NATpool، وطول البادئة، وبداية النطاق، ونهاية النطاق، والاتجاه.
3. انتقل إلى NAT ساكن إستاتيكي في نفس القسم وطقطقة ال add جديد ساكن إستاتيكي nat زر. (يمكنك أيضا إختيار إرفاق متتبع الكائنات إلى داخل التجمع الديناميكي NAT).
4. توفر التفاصيل مثل مصدر IP، ومصدر IP مترجم، واتجاه NAT ثابت.
5. تحت حقل إقران متتبع الكائنات، أختر من القائمة المنسدلة متتبع الكائنات الذي تم إنشاؤه مسبقا.
1. قم بإنشاء تجمع NAT (إلزامي لإطلاق SSNAT) بالنقر فوق زر تجمع NAT جديد.
2. قم بتوفير تفاصيل تجمع NAT، مثل اسم تجمع NAT، وطول بادئة تجمع NAT، وبدء نطاق تجمع NAT، ونهاية نطاق تجمع NAT، واتجاه NAT.
3. انتقل إلى NAT ساكن إستاتيكي في نفس القسم وطقطقت الجديد ساكن إستاتيكي nat زر. (يمكنك أيضا إختيار إرفاق متتبع الكائنات إلى داخل التجمع الديناميكي NAT).
4. يوفر التفاصيل مثل مصدر عنوان، يترجم مصدر عنوان، ساكن إستاتيكي nat إتجاه.
5. تحت حقل إضافة متتبع الكائنات، اكتب اسم متتبع الكائنات الذي تم إنشاؤه مسبقا.
من وجهة نظر واجهة سطر الأوامر (CLI)، تبدو التكوينات كما يلي:
(i) Using route-based object tracking on SSNAT (inside static or inside dynamic) :
!
track 20 ip route 192.168.10.4 255.255.255.255 reachability
ip vrf 1
!
ip nat pool natpool10 14.14.14.1 14.14.14.5 prefix-length 24
ip nat inside source list global-list pool natpool10 vrf 1 match-in-vrf overload
ip nat inside source static 10.10.1.4 15.15.15.1 vrf 1 match-in-vrf track 20
!
(ii) Using interface-based object tracking on SSNAT (inside static or inside dynamic) :
!
track 20 interface GigabitEthernet3 line-protocol
!
ip nat pool natpool10 14.14.14.1 14.14.14.5 prefix-length 24
ip nat inside source list global-list pool natpool10 vrf 1 match-in-vrf overload
ip nat inside source static 10.10.1.4 15.15.15.1 vrf 1 match-in-vrf track 20
!
هناك منطقتان للتحقق من متتبع الكائنات الذي تم تكوينه بشكل صريح لحالات إستخدام NAT.
1. تحت خيارات الجهاز، اكتب في "ترجمة IP nat".
2. راجع تحت ترجمة NAT الفردية وأعرض إحصائيات الإدخال (داخل العنوان/المنفذ المحلي، العنوان/المنفذ العالمي الداخلي، العنوان/المنفذ المحلي الخارجي، العنوان/المنفذ العالمي الخارجي، معرف VRF، اسم VRF والبروتوكول) استنادا إلى معرفات متتبع الكائنات التي تم تكوينها.
في حالة اكتشاف تغيير في الحالة على متتبع الكائن المطابق لتوجيه NAT الذي يتم تنقيحه إلى OMP، تظهر الأحداث المسماة "تغيير مسار NAT"، والتي تحتوي على تفاصيل مثل اسم المضيف ومتتبع الكائن والعنوان والقناع ونوع المسار والتحديث. هنا، العنوان وقناع خريطة إلى الداخل شامل عنوان كما شكلت تحت الساكن إستاتيكي nat عبارة.
على CLI من Edge:
Router#show ip nat translations vrf 1
Pro Inside global Inside local Outside local Outside global
--- 15.15.15.1 10.10.1.4 --- ---
icmp 15.15.15.1:4 10.10.1.4:4 20.20.1.1:4 20.20.1.1:4
Total number of translations: 2
Router#show track 20
Track 20
IP route 192.168.10.4 255.255.255.255 reachability
Reachability is Up (OSPF)
4 changes, last change 00:02:56
VPN Routing/Forwarding table "1"
First-hop interface is GigabitEthernet3
Tracked by:
NAT 0
Router#show track 20 brief
Track Type Instance Parameter State Last Change
20 ip route 192.168.10.4/32 reachability Up 00:03:04
Remote-Router#show ip route vrf 1 15.15.15.1
Routing Table: 1
Routing entry for 15.15.15.1/32
Known via "omp", distance 251, metric 0, type omp
Redistributing via ospf 1
Advertised by ospf 1 subnets
Last update from 10.10.10.12 on Sdwan-system-intf, 00:03:52 ago
Routing Descriptor Blocks:
* 10.10.10.12 (default), from 10.10.10.12, 00:03:52 ago, via Sdwan-system-intf
Route metric is 0, traffic share count is 1
Remote-Router#show sdwan omp routes 15.15.15.1/32
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 1 15.15.15.1/32 1.1.1.3 1 1003 C,I,R installed 10.10.10.12 mpls ipsec - None None -
1.1.1.3 2 1003 Inv,U installed 10.10.10.12 biz-internet ipsec - None None -
1.1.1.3 3 1003 C,I,R installed 10.10.10.12 public-internet ipsec - None None -
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
2.0 |
17-Feb-2025
|
مساهم مضاف. |
1.0 |
11-Feb-2025
|
الإصدار الأولي |