In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird eine Kurzreferenz für eine vereinfachte Konfiguration und Richtlinien in Catalyst SD-WAN beschrieben.
Mit der Cisco Catalyst SD-WAN-Softwareversion 20.12/17.12 wird empfohlen, dass Benutzer die Migration von der herkömmlichen Konfiguration auf der Grundlage von Geräte- und Funktionsvorlagen zum neuen Konfigurationsansatz auf der Grundlage von Konfigurationsgruppen und Richtliniengruppen durchführen. In diesem Dokument werden wichtige Details für den neuen Konfigurationsansatz beschrieben.
Das Hauptziel dieses Dokuments besteht darin, als Leitfaden für den Beginn der Verwendung neuer Konstrukte für Konfiguration, Richtlinien und Onboarding mit der goldenen Version 20.12 zu dienen. Das Dokument enthält keine Erläuterungen zu einzelnen Funktionen.
Um den neuen Konfigurationsansatz erfolgreich zu nutzen, müssen Sie folgende Schritte ausführen:
Flussdiagramm für neue Bereitstellungen
Cisco Catalyst SD-WAN bietet ein verbessertes Anwendererlebnis und vereinfacht den Betrieb.
Vorteile:
Benutzerfreundlichkeit |
Intuitive und geführte Workflows |
Konfigurationsüberkapazität |
Weniger Überkapazitäten (unabhängig vom Modell, Wiederverwendung, Struktur) |
Erstellung von Konfigurationen |
Schneller und einfacher mit intelligenten Standardeinstellungen |
Konfigurationsänderung |
Jetzt ändern, später selektiv bereitstellen |
Transparenz |
Neue Dashboards, Leistungsüberwachung von Anwendungen/Standorten |
Anleitung zur Fehlerbehebung |
Anleitung zu Standorttopologie und Tools zur Fehlerbehebung |
Stellt eine "Hierarchie" für das Netzwerk bereit, d. h. Standorte, Regionen und Bereiche. Sie können dies auf Grundlage Ihres Netzwerks erstellen.
Beispiel:
Netzwerkhierarchie-Manager (NHM)
Dies hilft bei der Definition benutzerfreundlicher Standortnamen, was eine Vereinfachung der Betriebsabläufe ermöglicht.
Diese Pools automatisieren die System-IP- und Standort-ID-Zuweisung während der Bereitstellung der Gerätekonfiguration.
Sie können den IP-Pool für automatische System-IP-Zuweisungen definieren. Die Standort-ID wird aus dem Global_Site-Pool zugewiesen.
Pool-Parameter hinzufügen
Anzeigen und Verwalten von Pools
Ein Workflow besteht aus einer Reihe von Schritten, die Sie bei der einfachen Durchführung einer bestimmten Aufgabe unterstützen.
Eine Workflow-Bibliothek listet alle verfügbaren Workflows auf.
Workflow-Bibliothek
Konfigurationsgruppen sind ein neuer Ansatz für die Fabric-Konfiguration, der auf den Prinzipien der Einfachheit, Wiederverwendbarkeit und Struktur basiert.
Struktur der Konfigurationsgruppen
Konfigurationsgruppen:
Beispiele; Ost/West, Nord- und Südamerika/APJC/EMEAR, Einzelhandelsgeschäft/Distribution Center.
Funktionsprofile:
Beispiele; Basisprofil, WAN-Profil, LAN-Profil.
Anmerkung:
Konfigurationsgruppen-HUB:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
Konfigurationsgruppen-Workflowoption erstellen
WAN-Profil
Beispiel für Verwendung 1 - WAN-Profil 1
Mithilfe des Workflows kann die vollständige WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächliche statische IP, die statische Standardroute, IP/Subnetz/Next-Hop usw. können als global oder gerätespezifisch festgelegt werden.
Die gerätespezifische Option kann während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
LAN-Profil
Beispiel: 1 - LAN-Profil 1
Über den Workflow kann der Großteil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: Erweiterte Konfigurationen wie Weiterverteilung von Routen und Standard-Routenankündigung müssen nach Abschluss des Workflows konfiguriert werden. Hierzu muss die Konfigurationsgruppe manuell bearbeitet werden, und es müssen auch die Subschnittstellen konfiguriert werden, wenn diese während der Bereitstellung verwendet werden.
Systemprofil
Beispiel für Verwendung 1 - Systemprofil 1
Mithilfe des Workflows können die meisten Systemprofilkonfigurationen für diesen Anwendungsfall generiert werden: OMP, AAA, NTP, Protokollierung usw.
Anmerkung: Erweiterte Konfigurationen wie OMP-BGP-Umverteilung und alle anderen Änderungen an den Systemfunktionen wie OMP, AAA, NTP usw. müssen nach dem Workflow konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Konfigurationsgruppen-Standorttyp 1:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil
Beispiel: Verwendung 1 - WAN-Profil 2
Über den Workflow kann der Großteil der WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. Ethernet-Schnittstellen für Internet und Starlink. DHCP.
Anmerkung: Die Mobilfunkschnittstelle für die LTE-Verbindung, einschließlich der statischen Route, muss nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
LAN-Profil
Beispiel: 1 - LAN-Profil 2
Mithilfe des Workflows kann ein Teil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. 2 VPNs, statische DIA-Route.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: SVIs, Wireless-SSIDs, Access Switch-Ports usw. müssen nach Abschluss des Workflows durch manuelles Bearbeiten der Konfigurationsgruppe konfiguriert werden.
Systemprofil
Beispiel für Verwendung 1 - Systemprofil 2
Mithilfe des Workflows können die meisten Systemprofilkonfigurationen für diesen Anwendungsfall generiert werden: OMP, AAA, NTP, Protokollierung usw.
Anmerkung: Erweiterte Konfigurationen wie die Überwachung der Anwendungsleistung müssen nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
CLI-Profil
Beispiel: Verwendung 1 - CLI-Profil 2
Funktionen, die über eine GUI nicht unterstützt werden, wie die Aktivierung von App/Flow Visibility (NBAR), können über ein CLI-Profil konfiguriert werden.
Anwendungs-/Flow-Transparenz:
Verwenden Sie ein CLI-Profil/Paket, um Anwendungstransparenz und Datenflusstransparenz zu ermöglichen.
(Ab Version 20.13 ist die Funktion unter Erweiterte Einstellungen in der Richtliniengruppe verfügbar.)
Wenn jedoch in 20.12 eine AAR-Richtlinie konfiguriert ist, ist "App/Flow Visibility" aktiviert. Eine Konfiguration mithilfe des CLI-Profils/Pakets ist nicht erforderlich.
Konfigurationsgruppen-Standorttyp 2:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil
Beispiel für Verwendung 1 - WAN-Profil 3
Über den Workflow kann der Großteil der WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. Ethernet-Schnittstelle für das Internet. DHCP.
Anmerkung: Die Mobilfunkschnittstelle für die LTE-Verbindung, einschließlich der statischen Route, muss nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
LAN-Profil
Beispiel: 1 - LAN-Profil 3
Mithilfe des Workflows kann ein Teil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. 1 VPN, statische DIA-Route.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: SVI, Access Switch-Port usw. müssen nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Systemprofil:
Identisch mit Konfigurationsgruppe SiteType1.
CLI-Profil:
Identisch mit Konfigurationsgruppe SiteType1.
Konfigurationsgruppen-Standorttyp 3:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil:
Identisch mit Konfigurationsgruppe SiteType2.
LAN-Profil
Beispiel: 1 - LAN-Profil 4
Mithilfe des Workflows kann ein Teil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. 1 VPN, statische DIA-Route.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: SVI, Wireless SSID, Access Switch-Port usw. müssen nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Systemprofil:
Identisch mit Konfigurationsgruppe SiteType1.
CLI-Profil:
Identisch mit Konfigurationsgruppe SiteType1.
Beispiel: Benutzer 2 - Konfigurationsgruppen
Konfigurationsgruppe Hauptsitz und Lager
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil:
Über den Workflow kann die gesamte WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
LAN-Profil:
Über den Workflow kann die gesamte LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Systemprofil:
Mithilfe des Workflows können alle Systemprofilkonfigurationen für diesen Anwendungsfall generiert werden.
Anmerkung: Wenn Änderungen erforderlich sind oder wenn eine erweiterte Konfiguration wie die Überwachung der Anwendungsleistung erforderlich ist, müssen diese nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Speichernetzwerke für Konfigurationsgruppen:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil:
Über den Workflow kann der Großteil der WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Anmerkung: Die Mobilfunkschnittstelle für die LTE-Verbindung einschließlich des Routings muss nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
LAN-Profil:
Über den Workflow kann die gesamte LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Systemprofil:
Identisch mit Konfigurationsgruppe Hauptsitz und Lager.
Auf der Bearbeitungsseite für Konfigurationsgruppen (Konfiguration -> Konfigurationsgruppen) können Sie Geräte der Konfigurationsgruppe zuordnen.
Klicken Sie auf Geräte zuordnen, und navigieren Sie durch die einzelnen Schritte des Workflows.
Zuordnen - Gerät - Konfigurationsgruppen
Führen Sie den Workflow zum Bereitstellen von Konfigurationsgruppen aus.
Konfigurationsgruppen-Workflow bereitstellen
Anmerkung:
Konfigurationsgruppe - unabhängig vom Gerätemodell
Anmerkung: Wenn eine bestimmte Konfiguration auf einem Gerätemodell nicht unterstützt wird, tritt kein entsprechender Feature-Paket-Push auf, und im Rahmen der Bereitstellungsaufgabe wird eine entsprechende Meldung angezeigt.
Beispiel: Ein Gerät unterstützt Wi-Fi nicht, aber die Konfigurationsgruppe enthält ein Wi-Fi-Paket. Zur Bereitstellungszeit wird die Wi-Fi-Paketkonfiguration übersprungen, und die Bereitstellungsaufgabenmeldung informiert darüber, dass der Push für die Wi-Fi-Konfiguration übersprungen wurde.
Konfigurationsgruppe - gerätespezifische Variablen
Ein Featureprofil kann eine Konfiguration aufweisen, die ähnlich wie Vorlagenvariablen gerätespezifisch definiert ist.
Beispiel: Schnittstellen-IP-Adresse, Portnummern, Schnittstellenname usw.
Diese gerätespezifischen Werte können zur Bereitstellungszeit bereitgestellt werden. Und es kann für verschiedene Geräte unterschiedlich sein.
Konfigurationsgruppe - gerätespezifische Variablen Beispiel 1
Konfigurationsgruppe - gerätespezifische Variablen Beispiel 2
Konfigurationsgruppe - gerätespezifische Variablen - Beispiel 3
Funktionsprofile können für alle Konfigurationsgruppen wiederverwendet werden.
Abbildung:
Wenn die WAN- und Systemkonfigurationen für mehrere Geräte gleich sind und sich beispielsweise nur in der LAN-Konfiguration unterscheiden, können die WAN- und Systemprofile in ihren Konfigurationsgruppen wiederverwendet werden, während sie in jedem Gerät ein anderes LAN-Profil aufweisen.
Wiederverwendung von Funktionsprofilen - 1
LAN-Profil 1
Wiederverwendung von Funktionsprofilen - 2
LAN-Profil 2
Wiederverwendung von Funktionsprofilen - 3
LAN-Profil 3
Herkömmliche Geräte waren in der Lage, Datenverkehrsflüsse durch eine bedingte Zuordnung von Quell- und/oder Ziel-IP-Adressen, Quell-/Ziel-Ports und Protokollen zu manipulieren. Da immer mehr Anwendungen von DNS abhängen oder in HTTP integriert sind, ist es schwieriger, den Netzwerkverkehr auf Anwendungsebene genau zu identifizieren.
Die Cisco Network Based Application Recognition (NBAR) Engine ist in der Lage, über 1.500 Anwendungen zu klassifizieren, sodass Netzwerktechniker Datenverkehrsflüsse präziser klassifizieren und bearbeiten können. Der Cisco Catalyst SD-WAN Manager kann eine Verbindung zu einem Cisco Anwendungs-Repository herstellen, in dem Signaturen für Anwendungen schnell aktualisiert werden können. was insbesondere wichtig ist, wenn Cloud-Anbieter Hostingstandorte oder Datenverkehrsmuster ändern.
Der Anwendungskatalog bietet die Möglichkeit, benutzerdefinierte Anwendungen auf Grundlage der Übereinstimmung von Servername, IP-Adresse, Ports oder Protokoll zu erstellen. Die Anwendung wird dann für eine bestimmte Anwendungsfamilie, Anwendungsgruppe, Datenverkehrsklasse und Geschäftsrelevanz definiert.
Anwendungskatalog
Anwendungen können per Drag-and-Drop an die entsprechende geschäftliche Relevanz und/oder Datenverkehrsklassifizierung weitergeleitet werden. Beim Speichern der Änderungen werden die Definitionen in der Datenbank aktualisiert.
Anmerkung: Die Anwendungsklassifikationen sind global, und eine Änderung im Anwendungskatalog wirkt sich auf alle Geräteklassifikationen aus.
Ähnlich wie bei den Konfigurationsgruppen ist eine Richtliniengruppe eine Richtliniengruppe, die auf den der Richtliniengruppe zugeordneten Geräten bereitgestellt wird
Die Richtliniengruppe geht bei der Erstellung und Bereitstellung von Richtlinien nach Absicht vor. Eine vereinfachte Benutzeroberfläche und ein vereinfachter Workflow machen das Erstellen einer Richtlinie, das Gruppieren von Richtlinien und das Bereitstellen auf Geräten zu einer einfachen Aufgabe.
Voraussetzung: Die Zuordnung und Bereitstellung einer Konfigurationsgruppe zu einem Gerät ist eine Voraussetzung für die Bereitstellung einer Richtliniengruppe auf diesem Gerät. |
Richtliniengruppen
Mit dieser Richtlinienabsicht können Sie Folgendes angeben:
Es werden zwei Modi bereitgestellt.
Dies ist der Standardmodus.
Einfacher Modus
Dies bietet eine schnelle und einfache Möglichkeit, die Anwendungspriorität und das SLA für Ihr Netzwerk zu definieren.
Anmerkung: 1. Die Standardrichtlinienaktion ist DROP.
2. Zuordnungskriterien können nur Anträge sein. Wenn Sie Präfixe benötigen, verwenden Sie den erweiterten Modus.
Dies ist ein voller und flexibler Modus.
Erweiterter Modus
Anmerkung:
1. Die Standardrichtlinienaktion ist DROP.
2. Anwendungsliste und Datenverkehrsklasse sind im Wesentlichen eine Liste von Anwendungen.
Beide können für die Zuordnung einer Anwendungsliste verwendet werden. Die Zuordnung von Anwendungen zu Datenverkehrsklassen kann im Anwendungskatalog vorgenommen werden.
Im einfachen Modus werden Regeln mit einer oder beiden dieser Methoden generiert, während im erweiterten Modus nur die Anwendungsliste bereitgestellt wird.
In der Option QoS Queue (QoS-Warteschlange) können Sie eine QoS-Richtlinie hinzufügen:
QoS-Richtlinie hinzufügen
Warteschlangenmodelle
Als Nächstes können Sie die Datenverkehrsdatenrichtlinie definieren (Datenverkehrsrichtlinie hinzufügen).
Fügen Sie Regeln hinzu, die dem gewünschten Datenverkehr entsprechen, und leiten Sie diese an die entsprechenden Weiterleitungsklassen um.
QoS-Richtlinie 2
Sie können SLA-Klassen definieren und sie in einer Datenverkehrsrichtlinie verwenden, um die Ziele einer AAR-Richtlinie umzusetzen.
AAR-Richtlinie
Anwendungs-/Flow-Transparenz:
Um Anwendungstransparenz und Datenflusstransparenz zu ermöglichen, verwenden Sie das CLI-Profil/Paket in der Konfigurationsgruppe.
(Ab Version 20.13 ist sie unter Erweiterte Einstellungen in der Richtliniengruppe verfügbar).
Wenn jedoch in 20.12 eine AAR-Richtlinie konfiguriert ist, ist "App/Flow Visibility" aktiviert. Eine Konfiguration mithilfe des CLI-Profils/Pakets ist nicht erforderlich.
Die Datenverkehrsrichtlinie kann auch zum Erstellen einer DIA-Richtlinie, SIG-Umleitung usw. verwendet werden. Fügen Sie nach Bedarf Regeln hinzu.
Datenverkehrsrichtlinie
Anmerkung: Wenn eine Anwendungsprioritäts- und SLA-Richtlinie im einfachen Modus erstellt und dann auf den erweiterten Modus umgeschaltet wird, können einige Übereinstimmungsoptionen nicht ausgewählt werden. Beispiel: Das Präfix für Zieldaten ist abgeblendet.
Um diese Optionen verfügbar zu machen, ändern Sie je nach Bedarf das Protokoll von BEIDE in IPv4 oder IPv6.
Definiert die Sicherheitsrichtlinien für interne NGFW, IPS, Malware und Content-Filterung.
Definiert die erforderlichen Einstellungen für die Einrichtung von Tunneln zu Cloud-basierten Inhalten und Sicherheitsfunktionen wie Cisco Secure Access.
Anmerkung: Beim alten Konfigurationsansatz war dies als Funktionsvorlage verfügbar.
Definieren Sie Einstellungen, um die Nutzung Cloud-basierter DNS-Sicherheitsdienste für die Inhaltsfilterung zuzulassen.
Definieren Sie die in Ihren Richtlinien zu verwendenden Objektlisten. Beispiel: Anwendungslisten, VPN-Listen, Standortlisten, Präfixliste usw.
Definieren Sie darüber hinaus für Sicherheitsrichtlinien Ihre Profile wie erweiterte Prüfprofile, SSL-Verschlüsselungsrichtlinie usw.
Richtliniengruppen - Interessengruppen
Ordnen Sie Geräte ähnlich wie bei Konfigurationsgruppen einer Richtliniengruppe zu, und stellen Sie sie bereit.
Lokalisierte Richtlinien wie ACL, Route Policy, Device Access Policy usw. werden in Konfigurationsgruppen definiert.
Definition der Netzwerktopologie
Beginnen Sie mit einem Full-Mesh oder Hub-n-Spoke und passen Sie es bei Bedarf an.
Menü Topologie
Beachten Sie diese Designänderungen beim Erstellen der Topologie und beim Festlegen von VPNs.
Das neue Design ermöglicht die dynamische Zuordnung von VPN-Namen und VPN-ID anstelle der 1:1-Zuordnung.
Abbildung:
Angenommen, es gibt ein VPN mit dem Namen Corporate in zwei verschiedenen Konfigurationsgruppen.
Eine hat die VPN-ID 10, die andere die VPN-ID 20.
In der VPN-Liste des Topologie-Workflows wird nur eine Instanz des Unternehmens-VPN angezeigt.
Sobald Sie Corporate VPN auswählen, bestimmt der SD-WAN-Manager die VPN-IDs anhand der Topologie.
Nennen Sie zwei Geräte an zwei Standorten:
1. Gerät1 am Standort 100 mit Firmennetzwerk als VPN 10
2. Gerät2 am Standort 200 mit Corporate als VPN 20
Wenn sowohl der Standort 100 als auch der Standort 200 Teil der Topologie sind, erstellt der SD-WAN-Manager eine VPN-Liste, die beide VPN-IDs (10 und 20) enthält.
Wenn nur der Standort 100 Teil der Topologie ist, erstellt der SD-WAN-Manager eine VPN-Liste, die nur die VPN-ID 10 enthält.
Wenn nur der Standort 200 Teil der Topologie ist, erstellt der SD-WAN-Manager eine VPN-Liste, die nur über die VPN-ID 20 verfügt.
Sie können mehrere Topologierichtlinien mit demselben VPN-Namen konfigurieren, die verschiedenen VPN-IDs an verschiedenen Standorten zugeordnet sind.
Der SD-WAN-Manager bestimmt die tatsächliche Zuordnung anhand der Topologie, die mit welchen Standorten verknüpft ist.
Abbildung:
Zwei Benutzer können zwei verschiedene Konfigurationsgruppen erstellen.
Die eine gibt die VPN-ID 100 als Finanz-VPN und die andere die VPN-ID als Engineering-VPN an.
Anschließend können sie eine Topologie mit ihren jeweiligen VPN-Namen erstellen.
Verwenden Sie zum Onboarding Ihrer physischen Router den Quick Connect-Workflow.
Definieren Sie mithilfe dieses Workflows den Hostnamen, die System-IP und den Standortnamen/die Standortnamen für die zu integrierenden Geräte im Voraus. Manager generiert diese automatisch, Sie können sie jedoch ändern, wenn Sie dies möchten. Sie können die Geräte auch mit Tags versehen, die dann verwendet werden können, um die Geräte automatisch Konfigurationsgruppen zuzuordnen.
Während des PnP-ZTP-Onboarding-Prozesses stellen die Geräte die Tunnelverbindungen der Kontrollebene zum SD-WAN-Manager her. Der SD-WAN-Manager überträgt nun die vordefinierte Fabric-Konfiguration an die Geräte, und die Geräte werden Teil der SD-WAN-Fabric.
Schnellverbindungs-Workflow
Quick Connect-Workflow - Beschreibung
Geräte können benutzerdefinierten Tags zugeordnet werden.
Tags können zum Gruppieren, Beschreiben, Suchen und Verwalten von Geräten verwendet werden.
Tags ermöglichen die Gruppierung von Geräten, die dann in anderen Funktionen verwendet werden können.
Beispiele für Tags
Beispiel: Zuordnung von Konfigurationsgruppen zu Geräten
Konfigurationsgruppenregeln können so festgelegt werden, dass Geräte mit bestimmten Tags dieser Konfigurationsgruppe automatisch zugeordnet werden können.
Unter Konfiguration > Geräte können Tags zu den Geräten erstellt/hinzugefügt/von diesen entfernt werden.
Auf der Seite Configuration Group > Associated Devices (Konfigurationsgruppe > Zugeordnete Geräte) können Tag-Regeln hinzugefügt/bearbeitet werden.
Tagging-Darstellung
Im SD-WAN-Netzwerk können Geräte, die die Legacy-Konfiguration und Richtlinien verwenden, zusammen mit Geräten verwendet werden, die die vereinfachte Konfiguration und die vereinfachten Richtlinien verwenden.
Dieser Abschnitt enthält einige Empfehlungen für Kunden, die die Vorteile der vereinfachten Konfiguration und Richtlinien nutzen möchten. Dieser Abschnitt enthält einige Empfehlungen.
Der erste Schritt besteht darin, Geräte von Gerätevorlagen zu Konfigurationsgruppen zu migrieren. Anschließend können Richtliniengruppen und/oder die Topologie bereitgestellt werden.
Gerätevorlagen und Konfigurationsgruppen bilden die Grundlage für die Gerätekonfiguration am Edge. Es ist also leicht, Koexistenz zu erleben. Um von einer Gerätevorlage zu einer Konfigurationsgruppe zu migrieren, gehen Sie wie folgt vor:
Schritt 1: |
Extrahieren Sie eine Kopie der Gerätewerte aus den Gerätevorlagen. Dies erfolgt über die Option "Konfiguration à Vorlagen". Klicken Sie auf die Ellipsen (...) rechts neben der Gerätegruppe, und wählen Sie CSV exportieren. |
Schritt 2: |
Erstellen einer Konfigurationsgruppe (manuell oder mit dem Konvertierungstool) |
Schritt 3: |
Trennen Sie die Gerätevorlage vom Gerät. Zu diesem Zeitpunkt behält das Gerät die Konfiguration am Befestigungspunkt bei. erhält jedoch keine zukünftigen Änderungen an der Gerätevorlage (oder an Komponentenfunktionsvorlagen). |
Schritt 4: |
Ordnen Sie die Geräte der neuen Konfigurationsgruppe zu. |
Schritt 5: |
Stellen Sie die Geräte bereit, die der Konfigurationsgruppe zugeordnet sind. Um diesen Vorgang zu vereinfachen, öffnen Sie die Datei "Exported CSV", und ändern Sie die CSV-Spaltenüberschriften, damit sie den neuen Variablen aus der Konfigurationsgruppe entsprechen. |
Schritt 6: |
Nach dem Eingabebildschirm für die Gerätevariable können Sie eine Vorschau der Gerätekonfiguration anzeigen. Dadurch erhalten Sie eine Vorschau darauf, welche Teile der Konfigurationsgruppe nicht mit der vorherigen Instanz übereinstimmen. oder welche Variablen sich in der Gerätevorlage geändert haben. |
Die Beibehaltung eines konsistenten Benennungsschemas für Variablen vereinfacht gerätespezifische Einstellungen. Wenn alle Gerätewerte in einem einzigen CSV enthalten sind, müssen Sie die Spaltenüberschriften nur einmal umbenennen.
Anmerkung: Es ist ein Python-Skript vorhanden, das mit CSV-Dateien für Gerätevorlagen oder Konfigurationsgruppen arbeitet, um die Spaltenüberschriften zu konsolidieren und zu alphabetisieren. Das Manuskript finden Sie hier:
Geräte, die über Konfigurationsgruppen konfiguriert werden, können eine zentrale Richtlinie verwenden oder zu einer Richtliniengruppe migrieren. aber nicht gleichzeitig für dieselbe Anwendung. Im Wesentlichen geht es darum, die gleiche zugrunde liegende Richtlinie für die Edge-Geräte beizubehalten. Richtliniengruppen kombinieren die ursprünglichen AAR- und Datenrichtlinien in einer einzigen Anwendungspriorität und SLA-PG-Komponente. Im Wesentlichen wird die Konfiguration für Richtlinien geändert (aber nicht an den SD-WAN-Manager gesendet).
Beachten Sie, dass Sie keine Datenrichtlinien- oder AAR-Richtlinienverweise auf eine Standortliste mit einem Standort mit der Anwendungspriorität und der SLA-Komponente haben können, da beide Standorte dieselbe Einstellung konfigurieren.
Es ist möglich, eine zentrale Richtlinie zu erstellen, bei der nur auf eine Steuerungsrichtlinie verwiesen wird, und zwar auf einen Standort, der eine Richtliniengruppe mit Anwendungspriorität und SLA verwendet, da diese unterschiedliche Komponenten einer zentralisierten Richtlinie konfigurieren.
Um ein Gerät von einer zentralen Richtlinie zu einer Richtliniengruppe zu migrieren, sind folgende Schritte erforderlich:
Schritt 1: |
Erstellen Sie die erforderlichen Richtliniengruppen-Komponenten (Anwendungspriorität und SLA, integrierte Sicherheit, sicheres Internet-Gateway/sicherer Service-Edge, DNS-Sicherheit). |
Schritt 2: |
Erstellen Sie die Richtliniengruppe, und ordnen Sie die erforderlichen Komponenten zu. |
Schritt 3: |
Trennen Sie die Zuordnung der Standort-ID zu allen SiteLists, die Verweise in AAR oder Datenrichtlinien sind. |
Schritt 4: |
Ordnen Sie die Geräte der Richtliniengruppe zu, und speichern Sie die Richtliniengruppe. |
Schritt 5: |
Bereitstellen der Richtliniengruppe auf den ausgewählten Geräten Zu diesem Zeitpunkt sendet der SD-WAN-Manager aktualisierte Konfigurationen an die Edge-Geräte (für QoS/SIG) und die Controller. sodass die Controller aktualisierte Datenrichtlinien an die Edge-Geräte senden können. |
Anmerkung: Obwohl Richtliniengruppen zusammen mit einer zentralen Richtlinie existieren können, wird empfohlen, bei der Umwandlung von Edge-Geräten in Konfigurationsgruppen eine zentrale Richtlinie (für AAR- und Datenrichtlinien) beizubehalten. Beginnen Sie dann mit der Migration von der zentralen Richtlinie zu den Richtliniengruppen für die Funktionalität innerhalb der Anwendungsprioritäts- und SLA-Komponente.
Dies geschieht aus Gründen der Einfachheit und um Verwirrung unter den Mitarbeitern zu vermeiden.
Anmerkung: Die Policy Group Engine speichert Daten in einem anderen Format. Daher muss eine Präfixliste, die in einer zentralen Richtlinie verwendet wird, in der Richtliniengruppe neu erstellt werden. Dies kann bei anderen Dingen wie Sitelisten passieren, und so weiter.
Geräte, die über Konfigurationsgruppen konfiguriert werden, können eine zentrale Richtlinie verwenden oder zu einer Topologie migrieren. Im Wesentlichen geht es darum, die zugrunde liegende Kontrollrichtlinie für die SD-WAN-Controller beizubehalten. Die Topologie ist die neueste Version der Kontrollrichtlinien.
Es ist wichtig zu beachten, dass Sie nicht über eine Control Policy-Richtlinie verfügen können, die auf eine Standortliste mit einer Site verweist, der eine Topologie zugeordnet ist, da beide dieselbe Einstellung konfigurieren.
Es ist möglich, eine zentrale Richtlinie zu erstellen, die nur eine Datenrichtlinien- und/oder AAR-Richtlinie und eine Topologierichtlinie enthält, wenn unterschiedliche Komponenten konfiguriert werden.
Schritte zur Migration eines Geräts von einer zentralen Richtlinie zu einer Richtliniengruppe:
Schritt 1: |
Erstellen Sie die erforderlichen Topologiekomponenten. |
Schritt 2: |
Trennen Sie die Verknüpfung der Seiten mit der älteren Topologieliste in der zentralen Richtlinie. |
Schritt 3: |
Trennen Sie die Zuordnung der Standort-ID zu allen Standortlisten, auf die in AAR oder Datenrichtlinien verwiesen wird. |
Schritt 4: |
Aktivieren der Topologie Zu diesem Zeitpunkt sendet der SD-WAN-Manager aktualisierte Konfigurationen an die Controller und ändert alle Routen, die an Edge-Geräte übertragen werden. |
Anmerkung: Obwohl die Topologie zusammen mit einer zentralen Richtlinie existieren kann, wird empfohlen, bei der Konvertierung von Edge-Geräten in Konfigurationsgruppen an einer zentralen Richtlinie festzuhalten (für Topologie- und Routenmanipulation). Beginnen Sie dann mit der Migration von der zentralen Richtlinie zur Topologie, um Funktionen zum Ändern von Topologien und Routing-Änderungen zu erhalten.
Dies geschieht aus Gründen der Einfachheit und um Verwirrung unter den Mitarbeitern zu vermeiden.
Das Konfigurationsumwandlungstool wandelt Vorlagen und Richtlinien in Konfigurationsgruppen und Richtliniengruppen um. Es erfasst die Vorlagen- und Richtlinienkonfiguration von einem Ziel-SD-WAN-Manager, wandelt sie in die entsprechenden Konfigurationsgruppen und Richtliniengruppen um und lädt die neue Konfiguration in den Ziel-SD-WAN-Manager hoch. Das Tool bietet derzeit Unterstützung für Vorlagen- und Richtlinienkonvertierungen für 20.12 und 20.13.
Das Konfigurationsumwandlungstool ist im SD-WAN-Portal (vormals SSP) verfügbar.
Bevor Sie das Tool verwenden, stellen Sie sicher, dass Ihr SD-WAN Manager 20.12.x ausführt. Wenn nicht, aktualisieren Sie auf 20.12, bevor Sie fortfahren.
Darüber hinaus muss der Zugriff auf den Ziel-SD-WAN-Manager über das Internet möglich sein und eingehenden Datenverkehr vom 74.207.103.254 akzeptieren.
Schritt 1: |
Melden Sie sich mit Ihren CCO-Anmeldeinformationen beim SD-WAN-Portal an. ・ Als Smart Account-Administrator sind Sie wie gewohnt beim SD-WAN-Portal angemeldet. Wählen Sie im Menü links die Option Konfigurationsumwandlung, um den Workflow aufzurufen. ・ Wenn Sie kein Smart Account-Administrator sind, erhalten Sie eine 403 Verbotene Seite mit einem Link zum Tool. Klicken Sie auf den Link, um den Workflow aufzurufen. |
Schritt 2: |
Details: Geben Sie Ihre IP- oder URL-Adresse für den SD-WAN-Manager zusammen mit den Benutzeranmeldeinformationen an. ・ Der Benutzer muss über Lese-/Schreibzugriff verfügen. ・ Port (Standardwert ist 443) und Subdomänenfelder sind optional. |
Schritt 3: |
Importieren: Es gibt zwei Optionen zum Abrufen der Konfiguration (Vorlagen und Richtlinien): 1. Klicken Sie auf die Schaltfläche Collect (Sammeln), um alle Konfigurationen (Gerätevorlagen, Funktionsvorlagen, Richtlinien und die zugehörigen Konstrukte) vom SD-WAN-Manager abzurufen. ・ Nach der Erfassung können Sie eine JSON-Datei mit allen Konfigurationselementen herunterladen. Diese Datei kann zu einem späteren Zeitpunkt während dieses Schritts verwendet werden, anstatt erneut Daten vom SD-WAN-Manager zu sammeln. 2. Laden Sie eine JSON-Datei mit Vorlagen und Richtlinien hoch, die zuvor mit diesem Schritt erstellt wurden. |
Schritt 4: |
Auswahl: Wählen Sie die Vorlagen und Richtlinien aus, die konvertiert werden sollen. Klicken Sie auf Umwandeln, um die ausgewählten Konfigurationselemente zu konvertieren. ·HINWEIS: Sie können die Gerätevorlagen einzeln auswählen, die Richtlinien können jedoch alle oder keine sein (d. h., entweder alle Richtlinien werden konvertiert oder keine Richtlinien werden konvertiert). |
Schritt 5: |
Umwandeln: Auf dieser Seite werden alle neu konvertierten Konfigurationselemente angezeigt. Überprüfen Sie die erstellten Artikel und deren Status. Wenn ein Artikel den Status "Teilweise" hat, überprüfen Sie das Informationssymbol, um die Ursache zu ermitteln. Klicken Sie anschließend auf Upload (Hochladen), um die neuen Konfigurationen im SD-WAN Manager zu erstellen. |
Schritt 6: |
Zusammenfassung: In diesem Schritt werden die neuen Konfigurationselemente im SD-WAN-Manager erstellt. Während der Erstellung der Konfigurationen wird die Statusleiste angezeigt. Wenn der Upload abgeschlossen ist, wird eine Zusammenfassung der hochgeladenen Konfigurationen und ihres Status angezeigt. ・ Im Falle eines Fehlers oder Fehlers, Abbrechen Upload (während der Erstellung) und Rollback (nach der Erstellung) sind in diesem Schritt verfügbar. Wenn Sie den Upload oder das Rollback abbrechen, werden alle Konfigurationselemente entfernt, die im SD-WAN Manager während dieses Workflows bzw. dieser Sitzung erstellt wurden. Wenn Sie diesen Workflow beenden, können Sie zu einem späteren Zeitpunkt keinen Rollback für diese Änderungen durchführen. Sie müssen alle unerwünschten Elemente manuell löschen. |
Ihre neue Konfiguration kann jetzt verwendet werden. Führen Sie die Schritte im Abschnitt Vorhandene Bereitstellungen aus, um Ihre Geräte in die neu konvertierten Konfigurationsgruppen und Richtliniengruppen zu migrieren.
Senden Sie bei Problemen im Zusammenhang mit dem Konfigurationsumwandlungstool eine E-Mail an sdwan-conversiontool-support@cisco.com.
Nein. |
Artikelbeschreibung |
1. |
Die DNS-Konfiguration muss über das CLI-Add-on-Profil weitergeleitet werden, wenn eine Konfigurationsgruppe am Edge bereitgestellt wird, deren Version älter als 17.12 ist. |
2. |
Die Erstellung der Topologie erfordert die Auswahl von Standorten, anstatt ein in NHM definiertes Gebiet auszuwählen. |
3. |
Der Workflow "Konfigurationsgruppe erstellen" erstellt kein VPN512 und keine Schnittstelle in diesem VPN im WAN-Profil. Falls erforderlich, können Sie dies manuell erstellen, indem Sie die Gruppe "Konfiguration" bearbeiten. |
4. |
Möglichkeit zum Kopieren/Duplizieren von Funktionsprofilen, Richtlinie wird nicht unterstützt. Eine Reihe von Python-Skripten kann diese Aufgabe ausführen und befindet sich in: |
5. |
Vor dem Erstellen von Funktionspaketen für die Richtlinienkonfiguration (lokalisierte Richtlinien) muss ein Richtlinienobjektprofil mit der Konfigurationsgruppe verknüpft werden. Beispiel: Zugriffskontrollliste |
6. |
CSV-Import für Schnittstellenvariablen fügt Semikolons in die Zeichenfolge ein und schlägt fehl. |
7. |
Bei der Konfiguration der App QoE-Optimierung (TCP Opt und DRE) und der Verlustkorrektur (FEC und Pkt Dup) werden weiterhin ältere Vorlagen/Richtlinien verwendet. Konfigurierbar über CLI-Profil auch in Konfigurations-/Richtliniengruppen (20.14 im UI-Paket). |
8. |
Cloud OnRamp für SaaS verwendet weiterhin ältere Vorlagen/Richtlinien. |
9. |
TrustSec/SGT wird nur mit CLI-Profil unterstützt. |
10. |
UC Voice/DSP Farm/SRST wird nur mit CLI-Profil unterstützt (ab 20,13 im UI-Paket). |
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
13-Mar-2025
|
Aktualisierung des Abschnitts "Konvertierungstool", um den jüngsten Änderungen beim Zugriff und bei der Bereitstellung des Tools Rechnung zu tragen. |
1.0 |
16-Aug-2024
|
Erstveröffentlichung |