Einleitung
In diesem Dokument wird erläutert, wie Sie die Leistung der in Azure bereitgestellten Cisco Catalyst 8000V-Switches verbessern.
Catalyst 8000V: Durchsatzsteigerung in Azure
Mit Cisco Cloud OnRamp für Multicloud können Benutzer virtuelle Cisco Catalyst 8000V-Router in NVA in Azure direkt über den SD-WAN-Manager (UI oder API) bereitstellen.
Die Cloud OnRamp-Automatisierung ermöglicht Benutzern das nahtlose Erstellen und Erkennen virtueller WANs, virtueller Hubs und das Herstellen von Verbindungen zu virtuellen Netzwerken in Azure.
Sobald Cisco Catalyst 8000V in Azure bereitgestellt wurde, können die virtuellen Appliances über den SD-WAN-Manager überwacht und verwaltet werden.
In diesem Dokument wird erklärt, wie Sie die Leistung in Azure aus drei Perspektiven verbessern können:
- Installation der HSEC-Lizenz;
- Durchsatzbeschränkungen am TCP 12346-Port in Azure
- Auto-Negotiated-Geschwindigkeit an der Transportschnittstelle.
Installation der HSEC-Lizenz
Geräte, die die Smart Licensing Using Policy verwenden und einen verschlüsselten Datenverkehrsdurchsatz von 250 Mbit/s oder mehr unterstützen müssen, benötigen eine HSEC-Lizenz.
Dies ist eine Anforderung der US-Exportkontrollverordnung. Sie können Cisco SD-WAN Manager verwenden, um HSEC-Lizenzen zu installieren.
Der Cisco SD-WAN Manager kontaktiert den Cisco Smart Software Manager (SSM), der einen Smart License Authorization Code (SLAC) zum Laden auf ein Gerät bereitstellt.
Durch das Laden der SLAC auf ein Gerät wird eine HSEC-Lizenz aktiviert.
Weitere Informationen zur Installation und Verwaltung der Lizenzen finden Sie unter Managing HSEC Licenses in Cisco Catalyst SD-WAN (HSEC-Lizenzen verwalten).
Durchsatzbeschränkungen für TCP 12346-Port in Azure
Derzeit wird bei der Automatisierung der C8000V mit einer Transportschnittstelle (GigabitEthernet1) und einer Serviceschnittstelle (GigabitEthernet2) bereitgestellt.
Aufgrund von Azure-Beschränkungen für den eingehenden Datenverkehr auf dem SD-WAN-Port TCP 12346 kann der Durchsatz auf Schnittstellenbasis für jeden Datenverkehr beschränkt werden, wenn der Datenverkehr in die Azure-Infrastruktur eingeht.
Der Grenzwert für eingehenden Datenverkehr von 200.000 PPS wird von der Azure-Infrastruktur erzwungen, sodass Benutzer nicht mehr als ~1 Gbit/s pro C8000V NVA-Instanz erreichen können (ein Beispiel: eine Paketgröße von 600 B, Berechnung: 600 B * 8 = 4800 Bit 4800b * 200 Kbit/s = 960 Mbit/s).
Anmerkung: Azure kann das Limit für eingehenden Datenverkehr auf 400.000 PPS pro Ticket (Ticket) erhöhen. Kunden müssen sich direkt an Azure wenden und die Erhöhung beantragen.
Um diese Einschränkung zu überwinden, hat Cisco in Zusammenarbeit mit Azure SD-WAN-Zweigstellen mehrere SD-WAN-Tunnel zu jeder NVA-Instanz erstellt.
Um diese Konfiguration zu ändern, muss der Administrator folgende Schritte ausführen:
- Stellen Sie im SD-WAN-Manager das Cloud-Gateway mit C8000V in Azure mithilfe der Cloud OnRamp-Automatisierung bereit.
- Ändern Sie im Azure-Portal die IP-Einstellungen für die NVA im virtuellen Hub.
- Erstellen Sie im SD-WAN-Manager eine neue Konfigurationsgruppe, die die Einstellungen aus dem Cloud-Portal nutzt, und senden Sie diese per Push.

Schritt 1:
Stellen Sie Cisco Catalyst 8000V in Azure bereit. Gehen Sie dazu wie in diesem YouTube-Kanal oder in den Versionshinweisen beschrieben vor.
Phase 2:
Um die IP-Einstellungen zu ändern, navigieren Sie zu Azure Port > Virtual WANs > Selected Virtual WAN > Virtual Hub > NVA in Virtual Hub.

Navigieren Sie in der NVA-Ansicht für virtuelle Hubs zu Drittanbieter > Konfigurationen verwalten.

Navigieren Sie in der NVA-Konfiguration zu Schnittstellen-IP-Konfigurationen, und fügen Sie Konfigurationen hinzu. Die Zuweisung von IP-Adressen kann bis zu 30 Minuten dauern.

Schritt 3:
Notieren Sie sich die zugewiesenen Adressen, und wechseln Sie zum SD-WAN-Manager. Alle C8000Vs benötigen diese Konfigurationsaktualisierung.
Dies kann über CLI Addon erfolgen (es werden alle Einträge in den Vorlagen/Konfigurationsprofilen angefügt). Weitere Informationen finden Sie in der Beispielkonfiguration:
interface Loopback 1000
ip address 10.0.0.244 255.255.255.255
no shut
exit
interface Loopback 2000
ip address 10.0.0.246 255.255.255.255
no shut
exit
interface Loopback 3000
ip address 10.0.0.247 255.255.255.255
no shut
exit
interface GigabitEthernet1
speed 10000
no ip dhcp client default-router distance 1
no ip address dhcp client-id GigabitEthernet1
ip unnumbered Loopback1000
exit
interface GigabitEthernet2
speed 10000
exit
ip route 0.0.0.0 0.0.0.0 10.0.0.241 → 10.0.0.241 IP is Loopback 1000 IP -3
ip route 10.0.0.241 255.255.255.255 GigabitEthernet1 → 10.0.0.241 IP is Loopback 1000 IP -3
interface Tunnel1
no shutdown
ip unnumbered Loopback1000
ipv6 unnumbered Loopback1000
tunnel source Loopback1000
tunnel mode sdwan
interface Tunnel2
no shutdown
ip unnumbered Loopback2000
ipv6 unnumbered Loopback2000
tunnel source Loopback2000
tunnel mode sdwan
interface Tunnel3
no shutdown
ip unnumbered Loopback3000
ipv6 unnumbered Loopback3000
tunnel source Loopback3000
tunnel mode sdwan
sdwan
interface Loopback1000
tunnel-interface
encapsulation ipsec weight 1
no border
color biz-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback2000
tunnel-interface
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 4
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback3000
tunnel-interface
encapsulation ipsec weight 1
no border
color custom1
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 3
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface GigabitEthernet1
no tunnel-interface
exit
exit
Auto-Negotiated-Geschwindigkeit an der Transportschnittstelle
Die Cisco Transport-Schnittstelle auf dem Cisco Catalyst 8000V, die in Standardvorlagen oder automatisch generierten Konfigurationsgruppen (GigabitEthernet1) verwendet wird, wird mit Negotiate Auto konfiguriert, um sicherzustellen, dass die Verbindung hergestellt wird.
Um eine bessere Leistung (über 1 Gb) zu erzielen, wird empfohlen, die Geschwindigkeit an Schnittstellen auf 10 Gb festzulegen. Dies gilt auch für die Service-Schnittstelle (GigabitEthernet2). Führen Sie die folgenden Befehle aus, um die vereinbarte Geschwindigkeit zu überprüfen:
azure-central-us-1#sh int gi1
GigabitEthernet1 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.e2ff (bia 000d.3a92.e2ff)
Internet address is 10.48.0.244/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
…
azure-central-us-1#sh int gi2
GigabitEthernet2 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.ea8a (bia 000d.3a92.ea8a)
Internet address is 10.48.0.229/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
Anmerkung: Obwohl sich dieser Artikel auf die C8000V-Bereitstellung in Azure mit Cloud OnRamp-Automatisierung (NVA) konzentriert, gilt die automatisch ausgehandelte Geschwindigkeit auch für Azure-Bereitstellungen in VNets-, AWS- und Google-Bereitstellungen.
Um dies zu ändern, nehmen Sie Änderungen in der Vorlage (Konfiguration > Vorlagen > Funktionsvorlage > Cisco VPN-Schnittstellen-Ethernet)/Konfigurationsgruppe vor (siehe Anleitung). Alternativ können Administratoren dies in der CLI bearbeiten, wenn das Gerät über die CLI verwaltet wird.