المقدمة
يصف هذا المستند كيفية تكوين تكامل SSE النشط على Catalyst SD-WAN وأدلة أستكشاف الأخطاء وإصلاحها.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- شبكة منطقة واسعة معرفة بالبرامج من Cisco (SD-WAN)
- مجموعات التكوين
- مجموعات السياسات
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C8000V الإصدار 17.15.02
- vManage الإصدار 20.15.02
-
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
Cisco Secure Access
Cisco Secure Access هو حل لحافة خدمة الأمان (SSE) القائم على السحابة يقوم بتجميع خدمات أمان الشبكة المتعددة، لتقديمها من السحابة لدعم قوة عمل هجينة. يستغل Cisco SD-WAN APIs لاسترداد معلومات السياسة من Cisco Secure Access ويوزع هذه المعلومات على أجهزة Cisco IOS XE SD-WAN. يتيح هذا الدمج للمستخدمين إمكانية الوصول المباشر إلى الإنترنت (DIA) بسلاسة تامة وشفافية تامة وأمان تام، مما يتيح لهم إمكانية الاتصال من أي جهاز، في أي مكان، وبشكل آمن.
تسمح Cisco SSE لأجهزة SD-WAN بإنشاء إتصالات مع موفري SSE باستخدام أنفاق IPSec. مخصص هذا المستند لمستخدمي Cisco Secure Access.
التكوينات الأولية
- تمكين بحث المجال للجهاز: انتقل إلى مجموعات التكوين > ملف تعريف النظام > عمومي وتمكين البحث عن المجال.
ملاحظة: بشكل افتراضي، يتم تعطيل البحث عن المجال.
- تكوين DNS: يمكن للموجه حل DNS والوصول إلى الإنترنت على VPN 0.
- تكوين NAT DIA: يلزم وجود تكوين DIA على الموجه الذي يتم إنشاء نفق SSE به.
إنشاء واجهات الاسترجاع
إذا تم توصيل كلا النفقين في تكوين نشط/نشط إلى مركز البيانات الوجهة نفسها وباستخدام واجهة WAN نفسها كالمصدر، فيجب إنشاء عنواني IP للإعادة إلى المسار السابق.
ملاحظة: عندما يتم تكوين نفقين باستخدام نفس المصدر والوجهة، يشكل IKEv2 زوج هوية يتكون من معرف محلي ومعرف بعيد. بشكل افتراضي، يكون المعرف المحلي هو عنوان IP الخاص بواجهة مصدر النفق. يجب أن يكون زوج الهوية هذا فريدا ولا يمكن مشاركته بين نفقين. لمنع الارتباك داخل حالة IKEv2، يستخدم كل نفق واجهة إسترجاع مختلفة كمصدر لها. على الرغم من ترجمة حزم IKE (NATed) على واجهة DIA، يظل المعرف المحلي دون تغيير ويحافظ على عنوان IP للاسترجاع الأصلي.
1. انتقل إلى التكوين>مجموعات التكوين>اسم مجموعة التكوين>ملف تعريف النقل والإدارة>انقر على التحرير.
2. انقر على علامة plus (+) على الجانب الأيمن من ملف تعريف VPN للنقل (ملف التعريف الرئيسي). يؤدي هذا إلى فتح قائمة ميزات إضافة الموجودة في أقصى اليمين.
3. انقر فوق واجهة إيثرنت. يضيف واجهة إنترنت جديدة تحت Transport VPN.

4. قم بإنشاء واجهتي الاسترجاع باستخدام عناوين IPv4 ل RFC1918، كمثال Loopback0 في الصورة.


- بعد تطبيق تكوين الاسترجاع، قم بالمتابعة لنشر تغيير التكوين على الجهاز. لاحظ أن حالة التوفير تتغير من 1/1إلى 0/1.

تكوين مفاتيح API جديدة على بوابة SSE
1 - الوصول إلى بوابة SSE https://login.sse.cisco.com/
2. انتقل إلى Admin > مفاتيح API

3. انقر فوق Add + وإنشاء مفتاح واجهة برمجة تطبيقات جديد

4. تأكد من توفر وصول للقراءة/الكتابة إلى مجموعة نفق الشبكة

5. انقر فوق إنشاء المفتاح
6. انسخ مفتاح API وسر المفتاح في مفكرة وحدد قبول وإغلاق

7. تحت عنوان URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikeys، يكون#some-number# هو معرف مؤسستك. انسخ هذه المعلومات إلى مفكرتك أيضا.

تكوين SSE على مدير Catalyst
إعداد بيانات اعتماد السحابة
1. انتقل إلى الإدارة>الإعدادات>بيانات اعتماد السحابة>بيانات اعتماد موفر السحابة، وتمكين Cisco Secure Access
وادخل التفاصيل.

2. إختياري: يمكنك تمكين مشاركة السياق للوظائف المحسنة. لمزيد من المعلومات، يرجى الرجوع إلى دليل مستخدم Cisco SSE حول مشاركة السياق.
تكوين أنفاق SSE باستخدام مجموعة السياسات
في برنامج SD-WAN Manager، انتقل إلى التكوين>مجموعات السياسات>عبارة الإنترنت الآمنة/حافة الخدمة الآمنة وانقر فوق إضافة حافة الخدمة الآمنة (SSE).

ملاحظة: إذا لم يتم تكوين بيانات اعتماد مجموعة النظراء بعد، فيمكنك إضافتها في هذه الخطوة. إذا كانت بيانات الاعتماد قد تم تكوينها بالفعل، فسيتم تحميلها تلقائيا.

1. قم بتكوين متتبع SSE. في هذا المثال، يتم تعيين عنوان URL الخاص بالتتبع على http://www.cisco.com، ويتم تعيين عنوان IP المصدر من إحدى واجهات الاسترجاع.


إختياريا، بما أن مشاركة السياق تم تمكينها عندما تم تكوين بيانات اعتماد السحابة، يتم تحديد VPN كخيار في هذا المثال.
2. انقر فوق إضافة نفق

3. في هذا المثال، يتم إستخدام واجهة Loopback0 كمصدر النفق، بينما تعمل واجهة GigabitEthernet1 كواجهة WAN لتوجيه حركة المرور.

منذ أن تم تكوين المتعقب في هذا المثال، يتم تغيير الإعداد إلى عام، ويتم تحديد Cisco-tracker الذي تم تكوينه مسبقا.
4. بالنسبة للنفق الثاني، كرر الخطوات نفسها باستخدام نفس المعلمات، ولكن قم بتغيير اسم الواجهة من IPsec1 إلى IPsec2 واسم واجهة المصدر إلى Loopback1.

تم تكوين كلا النفقين لتكون نشطة في نفس الوقت، بدون نسخ إحتياطي.
5. انقر فوق إضافة زوج واجهة.
6. انقر فوق إضافة. تم تعيين الواجهة النشطة على IPsec1، ولم يتم تحديد واجهة نسخ إحتياطي.

7. يتم تكرار نفس العملية في النفق الثاني، IPSec2.

8. احفظ التكوين.
تكوين مجموعة النهج
1. يمكنك فقط تحديد النهج الذي تم إنشاؤه مسبقا ضمن مجموعة النهج وحفظه.

2. بمجرد إقران الجهاز أو الأجهزة بمجموعة النهج، قم بالمتابعة لنشر مجموعة النهج.

تكوين مجموعة النهج لإعادة توجيه حركة المرور إلى SSE
1. في مدير شبكة SD-WAN، انتقل إلى التكوين > مجموعات السياسات > أولوية التطبيق واتفاقية مستوى الخدمة (SLA).
- حدد إضافة أولوية التطبيق ونهج SLA
- حدد اسما للنهج.

2. بمجرد عرض النهج الجديد، حدد تبديل التخطيط المتقدم.

3. حدد إضافة قائمة بسياسات حركة المرور.
- قم بتكوين شبكات VPN لإعادة توجيه حركة مرور البيانات إلى نفق SSE.
- قم بتعيين الإتجاه والإجراء الافتراضي حسب الحاجة وحفظ.

4. حدد + إضافة قاعدة.

5. قم بتكوين معايير حركة المرور المطابقة لإعادة توجيه حركة المرور إلى SSE.
6. حدد قبول كإجراء أساسي، ثم انقر فوق + إجراء.
7. ابحث عن الإجراء Secure Internet Gateway / Secure Service Edge وقم بتعيينه إلى Secure Service Edge.


8. انقر فوق حفظ التطابق والإجراءات

9. انقر فوق حفظ.
10. انتقل إلى التكوين > مجموعات السياسات وحدد سياسة أولوية التطبيق التي قمت بإنشائها للتو. حفظ ثم نشر.

التحقق من الصحة
المدير
1. مراقبة > السجلات > سجلات المراجعة والبحث عن "sse".

2. يمكنك التحقق من تمكين شبكة VPN الخاصة بمشاركة السياق بنجاح من خلال التحقق من المدير.

لوحة معلومات الوصول الآمن
مشاركة السياق
يمكنك التحقق مما إذا تم تمكين شبكة VPN الخاصة بمشاركة السياق بنجاح من خلال التحقق من لوحة معلومات SSE،الموارد > معرفات VPN لخدمة SD-WAN

نفق للأعلى
عندما يكون النفق قيد التشغيل ويكون المتعقب قيد التشغيل مع حركة المرور المتدفقة عبر النفق، يمكنك التحقق من ذلك بالتنقل إلى مراقبة > البحث عن النشاط. على هذه الشاشة، ترى حركة مرور تمر عبر النفق، مثل الطلبات إلى www.cisco.com التي تم إنشاؤها بواسطة المتعقب. تؤكد هذه الرؤية أن المتعقب يعمل ويرصد حركة المرور عبر النفق

أوامر واجهة سطر الأوامر (CLI)
Hub2-SIG#show sse all
***************************************
SSE Instance Cisco-Secure-Access
***************************************
Tunnel name : Tunnel16000001
Site id: 2
Tunnel id: 655184839
SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
HA role: Active
Local state: Up
Tracker state: Up
Destination Data Center: 44.217.195.188
Tunnel type: IPSEC
Provider name: Cisco Secure Access
Context sharing: CONTEXT_SHARING_SRC_VPN
معلومات ذات صلة