Konfiguration und Überprüfung von On-Demand-SD-WAN-Tunneln

Download-Optionen

  • PDF     (606.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (433.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (524.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. Juli 2025
Dokument-ID:221652

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Konfigurations- und Verifizierungsschritte zur Erstellung von SD-WAN-On-Demand-Tunneln beschrieben.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Dieses Dokument basiert auf den folgenden Software- und Hardwareversionen:

    • vManage, Version 20.9.3
    • Cisco Edge-Router Version 17.9.3

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Cisco SD-WAN unterstützt dynamische On-Demand-Tunnel zwischen zwei beliebigen Cisco SD-WAN-Spoke-Geräten. Diese Tunnel werden nur dann eingerichtet, wenn Datenverkehr zwischen den beiden Geräten vorhanden ist, wodurch die Bandbreitennutzung und die Geräteleistung optimiert werden.

    Vorteile

    On-Demand-Tunnel bieten folgende Vorteile:

    • Verbesserte Leistung, insbesondere für weniger leistungsfähige Plattformen, die in einem vollständig vermaschten Netzwerk betrieben werden.

    • Höhere Latenz in Hub-and-Spoke-Bereitstellungen, wenn On-Demand-Tunnel zwischen Stationen verwendet werden

    • Geringere Bandbreitennutzung im Netzwerk, da Tunnel im Status "Inaktiv" keine BFD-Tests (Bidirectional Forwarding Detection) erfordern und daher weniger BFD-Datenverkehr im Netzwerk erzeugt wird.

    • Direkte Tunnelverbindungen zwischen Stationen bei gleichzeitiger Optimierung der CPU- und Speichernutzung.

    Konfigurieren

    Konfigurationen

    So konfigurieren Sie On-Demand-Tunnel:


    Schritt 1: Aktivieren Sie Traffic Engineering nur auf den Routern am Hub-Standort unter der VPN 0-Funktionsvorlage. Es wird empfohlen, für Hub-Standorte und Spoke-Standorte eine separate VPN 0-Funktionsvorlage zu verwenden.

    Navigieren Sie zu Konfiguration > Vorlagen > Funktionsvorlage. Suchen Sie nach der richtigen VPN 0-Funktionsvorlage, die Hub-Routern zugewiesen ist, klicken Sie auf die drei Punkte, und wählen Sie Bearbeiten aus.

    1. Klicken Sie im Abschnitt Service auf New Service (Neuer Service).
    2. Wählen Sie TE aus dem Service-Typ aus.
    3. Klicken Sie auf Hinzufügen und dann auf Aktualisieren.
      Enable TETE aktivieren

    Phase 2: Um die OMP-Pfadgrenze auf den empfohlenen Wert 16 für einen Cisco Edge-Router zu erhöhen. 

    Navigieren Sie zu Konfiguration > Vorlage > Funktionsvorlage, suchen Sie nach der OMP-Funktionsvorlage, klicken Sie auf die drei Punkte, und wählen Sie Bearbeiten aus

    Suchen Sie unter Basiskonfiguration nach Anzahl der pro Präfix angekündigten Pfade und nach ECMP Limit, und ändern Sie die Werte in 16
    OMP - ECMP LimitOMP = ECMP Limit

    note-icon

    Hinweis: Wenn Sie die Beschränkung für den Sendepfad in vSmarts OMP auf einen Wert über 4 ändern möchten, wobei der empfohlene Wert 16 ist, finden Sie in den Leitfäden zur Routing-Konfiguration in den Cisco SD-WAN-Konfigurationsleitfäden detaillierte Anweisungen.

    Schritt 3: Erstellen oder klonen Sie eine Systemfunktionsvorlage, um On-Demand Tunnel zu aktivieren und den On-Demand Tunnel Idle-Timeout Timer bei Bedarf zu ändern (Standardwert ist 10 Minuten). Wenden Sie diese Systemvorlage speziell für die On-Demand Spoke-Sites an

    Navigieren Sie zu Configuration > Templates > Feature Templates, suchen Sie nach der System-Funktionsvorlage, klicken Sie auf die drei Punkte, und wählen Sie Edit aus

    Aktivieren Sie im Abschnitt Advanced (Erweitert) On-Demand Tunnel.  Optional können Sie das On-Demand Tunnel Idle-Timeout anpassen, wenn Sie den Tunnel schneller herunterfahren möchten als die Standardzeit von 10 Minuten, wenn kein Datenverkehr zwischen den Standorten übertragen wird.

    On-demand Tunnel EnableOn-Demand-Tunnelaktivierung

    Schritt 4: Sie müssen eine benutzerdefinierte Topologierichtlinie erstellen, indem Sie eine Routensequenz auf der Registerkarte "Match" (Übereinstimmung mit On-Demand-Spoke-Standorten) und auf der Registerkarte "Action" (Übereinstimmung mit den Hub-TLOCs) für das Backup festlegen. 


    Erstellen Sie die On-Demand-Spoke-Liste und die HUB-Backup-TLOC-Liste. 

    Navigieren Sie zu Konfiguration > Richtlinien > Benutzerdefinierte Optionen aus dem Dropdown-Menü, wählen Sie Zentrale Richtlinie > Listen, erstellen Sie die Interessengruppen:

    • Durch Klicken auf Site wird eine neue Site-Liste erstellt, die alle Site-IDs für alle On-Demand-Sites enthält.
    • Erstellen Sie auf TLOC eine TLOC-Liste, die alle HUB-TLOCs enthält, die als Backup verwendet werden.   

    Nachdem Sie die Liste der Interessengruppen erstellt haben, navigieren Sie zu Custom Options (Benutzerdefinierte Optionen) und wählen Sie im Dropdown-Menü Centralized Policy (Zentrale Richtlinie) > Topology (Topologie) > Topology (Topologie hinzufügen) > Custom Control (Benutzerdefinierte Steuerung (Route und TLOC)).

    • Geben Sie einen Namen und eine Beschreibung für die Topologie an.
    • Ändern Sie die Standardaktion in Akzeptieren, indem Sie auf das Bleistiftsymbol klicken und dann auf Übereinstimmung und Aktion speichern
    • Klicken Sie auf Sequence Type (Sequenztyp), und wählen Sie Route (Route). Klicken Sie auf Sequenzregel, um eine neue Sequenz hinzuzufügen.
    • Klicken Sie auf der Registerkarte Match (Übereinstimmung) auf Site, und wählen Sie die richtige Standortliste aus.

    Creating SequenceSequenz erstellen

    • Klicken Sie auf der Registerkarte Aktion auf Akzeptieren, wählen Sie dann für die TLOC-Aktion Sicherung und für die TLOC die richtige TLOC-Liste aus. Klicken Sie anschließend auf Save Match and Actions (Übereinstimmung und Aktionen speichern).


    Action Policy SetAktionsrichtliniensatz


    Verknüpfen Sie die Topologie-Kontrollrichtlinie mit der Hauptrichtlinie. Navigieren Sie zu Konfiguration > Richtlinien > Zentrale Richtlinie

    Suchen Sie die aktive Richtlinie, klicken Sie auf die drei Punkte, und wählen Sie Bearbeiten aus.

    Klicken Sie auf :

    1. Topologie

    2. Topologie

    3. Topologie hinzufügen

    4. Vorhandene importieren

    5. Benutzerdefinierte Steuerung (Route und TLOC)

    6. Suchen Sie Ihre Richtlinie aus dem Dropdown-Menü, und klicken Sie dann auf Importieren.

    Import Existing PolicyVorhandene Richtlinie importieren

    Klicken Sie auf Richtlinienanwendung > Topologie > Liste neuer Standort/Region.

    In der Liste ausgehender Standorte. Wählen Sie den richtigen Namen für die Standortliste aus.

    Apply the Poicy OutbandWenden Sie den Policy Outband an.

    Klicken Sie auf Hinzufügen und Richtlinienänderungen speichern. Da es sich um eine aktive Richtlinie handelt, werden Änderungen an vSmarts weitergeleitet.

    note-icon

    Anmerkung: Informationen zur Konfiguration einer Richtlinie für die zentrale Kontrolle des Cisco vSmart Controllers finden Sie in den Cisco SD-WAN-Konfigurationsleitfäden.

    Überprüfung

    Führen Sie zum Überprüfen den Befehl show sdwan system on-demand remote-system aus. Von der Ausgabe aus können Sie On-demand:yes suchen. Wenn der Status inactive anzeigt, bedeutet dies, dass der Tunnel zwischen den Standorten ausgefallen ist.  

    Spoke#show sdwan system on-demand remote-system
    SITE-ID    SYSTEM-IP     ON-DEMAND       STATUS     IDLE-TIMEOUT-EXPIRY(sec)
    ---------------------------------------------------------------------------
    100      192.168.0.70       no           -                   -
    100      192.168.0.71       no           -                   -
    1000     192.168.0.72       yes          inactive            -
    1000     192.168.0.73       yes          inactive            -
    200      192.168.0.80       no           -                   -

    Nachdem ein Teil des Datenverkehrs zwischen On-Demand-Standorten generiert wurde, können Sie die gleiche Ausgabe überprüfen. In diesem Fall zeigt der Status "Aktiv" an. Er zeigt die Anzahl der Sekunden an, die noch verbleiben, bevor der Tunnel ausfällt.

    Spoke#show sdwan system on-demand remote-system
    SITE-ID    SYSTEM-IP     ON-DEMAND       STATUS     IDLE-TIMEOUT-EXPIRY(sec)
    ---------------------------------------------------------------------------
    100      192.168.0.70       no           -                   -
    100      192.168.0.71       no           -                   -
    1000     192.168.0.72       yes          active              105
    1000     192.168.0.73       yes          active              105
    200      192.168.0.80       no           -                   -

    In diesem Beispiel sehen Sie, dass die BFD mit den Standorten 192.168.0.72 und 192.168.0.73 fehlen, während der Tunnel ausgefallen ist.

    Spoke#show sdwan bfd sessions
                                          SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX
    SYSTEM IP        SITE ID     STATE       COLOR            COLOR            SOURCE IP                    IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec  UPTIME       TRANSITIONS
    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    192.168.0.70     100         up          public-internet  public-internet                                            12346       ipsec  5           2000           0:03:22:04      2
    192.168.0.71     100         up          public-internet  public-internet                                            12346       ipsec  5           2000           0:03:22:03      2
    192.168.0.80     200         up          public-internet  public-internet                                            12346       ipsec  5           2000           0:03:22:04      2
    192.168.0.70     100         up          mpls             mpls                                                       12346       ipsec  5           2000           0:03:22:03      2
    192.168.0.71     100         up          mpls             mpls                                                       12346       ipsec  5           2000           0:03:22:04      2
    192.168.0.80     200         up          mpls             mpls                                                       12346       ipsec  5           2000           0:03:22:03      2

    Wenn der Tunnel zwischen den Standorten aktiv ist, stellen Sie fest, dass BFD mit den Standorten 192.168.0.72 und 192.168.0.73 aktiv ist.

    Spoke#show sdwan bfd sessions
                                          SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX
    SYSTEM IP        SITE ID     STATE       COLOR            COLOR            SOURCE IP                    IP                              PORT                ENCAP  MULTIPLIER  INTERVAL(msec  UPTIME          TRANSITIONS
    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    192.168.0.70     100         up          public-internet  public-internet  <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:27      2
    192.168.0.71     100         up          public-internet  public-internet  <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
    192.168.0.80     200         up          public-internet  public-internet  <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:27      2
    192.168.0.73     1000        up          public-internet  public-internet                                                         5063        ipsec  5           2000           0:00:00:03     3
    192.168.0.72     1000        up          public-internet  public-internet                                                         12346       ipsec  5           2000           0:00:00:03      2
    192.168.0.70     100         up          mpls             mpls             <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:26      2
    192.168.0.71     100         up          mpls             mpls             <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
    192.168.0.80     200         up          mpls             mpls             <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
    192.168.0.73     1000        up          mpls             mpls                                                                  12346       ipsec  5           2000           0:00:00:03        3
    192.168.0.72     1000        up          mpls             mpls                                                                   12346       ipsec  5           2000           0:00:00:03      2

    Die gleichen Ergebnisse erhalten Sie über die grafische Benutzeroberfläche von vManage, indem Sie zu Monitor > Device oder Monitor > Network (ab Code 20.6 und früher) navigieren, Ihr Gerät finden und zu WAN > Tunnel navigieren, wobei Sie sich auf die Down-Nummer konzentrieren.

    Monitoring On-demand TunnelsOn-Demand-Tunnelüberwachung

    Scrollen Sie im gleichen Menü nach unten, und klicken Sie auf Echtzeit. Suchen Sie unter Geräteoptionen nach On Demand Remote.

    Dieses Beispiel zeigt die Ausgabe bei ausgefallenen On-Demand-Tunneln.

    On-demand Tunnels DownOn-Demand-Tunnel ausgefallen
    Dieses Beispiel zeigt die Ausgabe bei aktivierten On-Demand-Tunneln.


    On-demand Tunnels UpOn-Demand-Tunnel verfügbar

    Fehlerbehebung

    Detailliertere Schritte finden Sie unter Fehlerbehebung bei dynamischen SD-WAN-On-Demand-Tunneln.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    25-Jul-2025
    Aktualisierte Abschnittstitel und Formatierung.
    1.0
    08-Feb-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Eris Bleta
      Cisco Escalation Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.