Schnellstartanleitung - Vereinfachte Konfiguration und Richtlinien mit Catalyst SD-WAN
Inhalt
Einleitung
In diesem Dokument wird eine Kurzreferenz für eine vereinfachte Konfiguration und Richtlinien in Catalyst SD-WAN beschrieben.
Zusammenfassung
Mit der Cisco Catalyst SD-WAN-Softwareversion 20.12/17.12 wird empfohlen, dass Benutzer die Migration von der herkömmlichen Konfiguration auf der Grundlage von Geräte- und Funktionsvorlagen zum neuen Konfigurationsansatz auf der Grundlage von Konfigurationsgruppen und Richtliniengruppen durchführen. In diesem Dokument werden wichtige Details für den neuen Konfigurationsansatz beschrieben.
Das Hauptziel dieses Dokuments besteht darin, als Leitfaden für den Beginn der Verwendung neuer Konstrukte für Konfiguration, Richtlinien und Onboarding mit der goldenen Version 20.12 zu dienen. Das Dokument enthält keine Erläuterungen zu einzelnen Funktionen.
Neue Bereitstellungen
Um den neuen Konfigurationsansatz erfolgreich zu nutzen, müssen Sie folgende Schritte ausführen:
- Netzwerk: Definieren der Netzwerkhierarchie und der Systemkonstrukte
- Konfiguration: Erstellen einer Konfiguration mit Konfigurationsgruppen mithilfe des Workflows
- Anwendungen: Definieren Sie ggf. benutzerdefinierte Anwendungen mithilfe des Anwendungskatalogs.
- Richtlinien: Erstellen Sie Richtlinien mithilfe von Richtliniengruppen.
- Topologie: Definieren der Topologie
- Integriert: Integrierte und Tag-fähige Geräte
- Bereitstellen: Zuordnen und Bereitstellen von Konfigurationsgruppen und Richtliniengruppen. Topologie aktivieren.
Flussdiagramm für neue Bereitstellungen
Bestehende Bereitstellungen
- Führen Sie die im Abschnitt Vorhandene Bereitstellungen genannten Schritte aus.
- Verwenden Sie das Konvertierungstool, um vorhandene Konfigurationen und Richtlinien in neue Konfigurationsgruppen und Richtliniengruppen zu konvertieren.
Verbessertes Anwendererlebnis und Vereinfachung von Betriebsabläufen
Cisco Catalyst SD-WAN bietet ein verbessertes Anwendererlebnis und vereinfacht den Betrieb.
- Allgemeine Benutzeroberfläche: Mit dem Catalyst SD-WAN Manager und anderen Cisco Produkten wurde ein neues Framework für die Benutzerfreundlichkeit (User Experience, UX) eingeführt, um eine einheitliche Benutzeroberfläche und ein einheitliches Erscheinungsbild für alle Produkte zu gewährleisten.
- Konfiguration: Vereinfachte Konfiguration, Richtlinienerstellung und -bereitstellung mit intuitiven, zielbasierten Workflows und der Verwendung der von Cisco empfohlenen intelligenten Standardeinstellungen
- Überwachung: Umfassende Einblicke in die Netzwerk- und Anwendungsleistung und -integrität mit neuen Widgets und anpassbaren und verbesserten Dashboards.
- Fehlerbehebung: Dynamische Standort- und Netzwerktopologieansichten, kontextbasierter Zugriff auf Tools zur Fehlerbehebung, Berichte zur Netzwerk- und Anwendungsleistung nach Zeitplan
Vorteile:
|
Benutzerfreundlichkeit |
Intuitive und geführte Workflows |
|
Konfigurationsüberkapazität |
Weniger Überkapazitäten (unabhängig vom Modell, Wiederverwendung, Struktur) |
|
Erstellung von Konfigurationen |
Schneller und einfacher mit intelligenten Standardeinstellungen |
|
Konfigurationsänderung |
Jetzt ändern, später selektiv bereitstellen |
|
Transparenz |
Neue Dashboards, Leistungsüberwachung von Anwendungen/Standorten |
|
Anleitung zur Fehlerbehebung |
Anleitung zu Standorttopologie und Tools zur Fehlerbehebung |
Definition der Netzwerkhierarchie und der Systemstrukturen
Netzwerkhierarchie
Stellt eine "Hierarchie" für das Netzwerk bereit, d. h. Standorte, Regionen und Bereiche. Sie können dies auf Grundlage Ihres Netzwerks erstellen.
Beispiel:
Netzwerkhierarchie-Manager (NHM)
Dies hilft bei der Definition benutzerfreundlicher Standortnamen, was eine Vereinfachung der Betriebsabläufe ermöglicht.
System-Konstrukte
Diese Pools automatisieren die System-IP- und Standort-ID-Zuweisung während der Bereitstellung der Gerätekonfiguration.
Sie können den IP-Pool für automatische System-IP-Zuweisungen definieren. Die Standort-ID wird aus dem Global_Site-Pool zugewiesen.
Pool-Parameter hinzufügen
Anzeigen und Verwalten von Pools
Workflows
Ein Workflow besteht aus einer Reihe von Schritten, die Sie bei der einfachen Durchführung einer bestimmten Aufgabe unterstützen.
- Ziel eines Workflows ist es, Novice-Benutzern das einfache Erstellen von Konfigurationen und deren Bereitstellung auf dem Gerät zu erleichtern.
- Für die meisten der Konfigurationseinstellungen werden die von Cisco empfohlenen intelligenten Standardeinstellungen verwendet.
- Benutzer müssen nur einige Konfigurationen angeben.
- Die erweiterten Konfigurationsregler stehen außerhalb des Workflows zur Verfügung, wo die Konfigurationsgruppe manuell bearbeitet werden kann.
Eine Workflow-Bibliothek listet alle verfügbaren Workflows auf.
Workflow-Bibliothek
Konfigurationsgruppen
Konfigurationsgruppen sind ein neuer Ansatz für die Fabric-Konfiguration, der auf den Prinzipien der Einfachheit, Wiederverwendbarkeit und Struktur basiert.
Struktur der Konfigurationsgruppen
Konfigurationsgruppen:
- Logische Gruppierung von Geräten, die einen gemeinsamen Zweck innerhalb des WAN haben.
- Der Benutzer definiert diese Gruppierung und kann sie an die jeweiligen geschäftlichen Anforderungen anpassen.
Beispiele; Ost/West, Nord- und Südamerika/APJC/EMEAR, Einzelhandelsgeschäft/Distribution Center.
Funktionsprofile:
- Flexible Konfigurationseinstellungen, die von mehreren Konfigurationsgruppen gemeinsam genutzt werden können.
- Erstellen von Funktionsprofilen auf der Grundlage erforderlicher Funktionen
- Stellen Sie Profile zusammen, um die Gerätekonfiguration abzuschließen, wie Bausteine.
- Erstellen, speichern und wiederverwenden.
Beispiele; Basisprofil, WAN-Profil, LAN-Profil.
Bereitstellungsbeispiele für Konfigurationsgruppen
Anmerkung:
- Konfigurationsgruppen sind gerätemodellunabhängig.
- Funktionsprofile können von verschiedenen Konfigurationsgruppen gemeinsam genutzt werden.
Anwendungsfall 1: Öffentlicher Auftraggeber
Beispiel für Verwendung 1 - Konfigurationsgruppen
Konfigurationsgruppen-HUB:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
Konfigurationsgruppen-Workflowoption erstellen
WAN-Profil
Beispiel für Verwendung 1 - WAN-Profil 1
Mithilfe des Workflows kann die vollständige WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächliche statische IP, die statische Standardroute, IP/Subnetz/Next-Hop usw. können als global oder gerätespezifisch festgelegt werden.
Die gerätespezifische Option kann während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
LAN-Profil
Beispiel: 1 - LAN-Profil 1
Über den Workflow kann der Großteil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
- 2 VPNs
- BGP-Routing in jedem der VPNs (AS-Nummer, Netzwerkpräfixe, Nachbarn)
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: Erweiterte Konfigurationen wie Weiterverteilung von Routen und Standard-Routenankündigung müssen nach Abschluss des Workflows konfiguriert werden. Hierzu muss die Konfigurationsgruppe manuell bearbeitet werden, und es müssen auch die Subschnittstellen konfiguriert werden, wenn diese während der Bereitstellung verwendet werden.
Systemprofil
Beispiel für Verwendung 1 - Systemprofil 1
Mithilfe des Workflows können die meisten Systemprofilkonfigurationen für diesen Anwendungsfall generiert werden: OMP, AAA, NTP, Protokollierung usw.
Anmerkung: Erweiterte Konfigurationen wie OMP-BGP-Umverteilung und alle anderen Änderungen an den Systemfunktionen wie OMP, AAA, NTP usw. müssen nach dem Workflow konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Konfigurationsgruppen-Standorttyp 1:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil
Beispiel: Verwendung 1 - WAN-Profil 2
Über den Workflow kann der Großteil der WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. Ethernet-Schnittstellen für Internet und Starlink. DHCP.
Anmerkung: Die Mobilfunkschnittstelle für die LTE-Verbindung, einschließlich der statischen Route, muss nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
LAN-Profil
Beispiel: 1 - LAN-Profil 2
Mithilfe des Workflows kann ein Teil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. 2 VPNs, statische DIA-Route.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: SVIs, Wireless-SSIDs, Access Switch-Ports usw. müssen nach Abschluss des Workflows durch manuelles Bearbeiten der Konfigurationsgruppe konfiguriert werden.
Systemprofil
Beispiel für Verwendung 1 - Systemprofil 2
Mithilfe des Workflows können die meisten Systemprofilkonfigurationen für diesen Anwendungsfall generiert werden: OMP, AAA, NTP, Protokollierung usw.
Anmerkung: Erweiterte Konfigurationen wie die Überwachung der Anwendungsleistung müssen nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
CLI-Profil
Beispiel: Verwendung 1 - CLI-Profil 2
Funktionen, die über eine GUI nicht unterstützt werden, wie die Aktivierung von App/Flow Visibility (NBAR), können über ein CLI-Profil konfiguriert werden.
Anwendungs-/Flow-Transparenz:
Verwenden Sie ein CLI-Profil/Paket, um Anwendungstransparenz und Datenflusstransparenz zu ermöglichen.
(Ab Version 20.13 ist die Funktion unter Erweiterte Einstellungen in der Richtliniengruppe verfügbar.)
Wenn jedoch in 20.12 eine AAR-Richtlinie konfiguriert ist, ist "App/Flow Visibility" aktiviert. Eine Konfiguration mithilfe des CLI-Profils/Pakets ist nicht erforderlich.
Konfigurationsgruppen-Standorttyp 2:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil
Beispiel für Verwendung 1 - WAN-Profil 3
Über den Workflow kann der Großteil der WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. Ethernet-Schnittstelle für das Internet. DHCP.
Anmerkung: Die Mobilfunkschnittstelle für die LTE-Verbindung, einschließlich der statischen Route, muss nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
LAN-Profil
Beispiel: 1 - LAN-Profil 3
Mithilfe des Workflows kann ein Teil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. 1 VPN, statische DIA-Route.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: SVI, Access Switch-Port usw. müssen nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Systemprofil:
Identisch mit Konfigurationsgruppe SiteType1.
CLI-Profil:
Identisch mit Konfigurationsgruppe SiteType1.
Konfigurationsgruppen-Standorttyp 3:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil:
Identisch mit Konfigurationsgruppe SiteType2.
LAN-Profil
Beispiel: 1 - LAN-Profil 4
Mithilfe des Workflows kann ein Teil der LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden. 1 VPN, statische DIA-Route.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Anmerkung: SVI, Wireless SSID, Access Switch-Port usw. müssen nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Systemprofil:
Identisch mit Konfigurationsgruppe SiteType1.
CLI-Profil:
Identisch mit Konfigurationsgruppe SiteType1.
Anwendungsfall 2: Einzelhandelskunde
Beispiel: Benutzer 2 - Konfigurationsgruppen
Konfigurationsgruppe Hauptsitz und Lager
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil:
Über den Workflow kann die gesamte WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
LAN-Profil:
Über den Workflow kann die gesamte LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Systemprofil:
Mithilfe des Workflows können alle Systemprofilkonfigurationen für diesen Anwendungsfall generiert werden.
Anmerkung: Wenn Änderungen erforderlich sind oder wenn eine erweiterte Konfiguration wie die Überwachung der Anwendungsleistung erforderlich ist, müssen diese nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
Speichernetzwerke für Konfigurationsgruppen:
Führen Sie den Workflow zum Erstellen von Konfigurationsgruppen aus.
WAN-Profil:
Über den Workflow kann der Großteil der WAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Anmerkung: Die Mobilfunkschnittstelle für die LTE-Verbindung einschließlich des Routings muss nach Abschluss des Workflows konfiguriert werden, indem die Konfigurationsgruppe manuell bearbeitet wird.
LAN-Profil:
Über den Workflow kann die gesamte LAN-Profilkonfiguration für diesen Anwendungsfall generiert werden.
Einheiten wie die tatsächlichen Dot1Q-Subschnittstellen und alle anderen Einheiten, die als gerätespezifisch markiert sind, können während der Bereitstellung der Konfigurationsgruppe auf den Geräten mit tatsächlichen Werten angegeben werden.
Systemprofil:
Identisch mit Konfigurationsgruppe Hauptsitz und Lager.
Zuordnen
Auf der Bearbeitungsseite für Konfigurationsgruppen (Konfiguration -> Konfigurationsgruppen) können Sie Geräte der Konfigurationsgruppe zuordnen.
Klicken Sie auf Geräte zuordnen, und navigieren Sie durch die einzelnen Schritte des Workflows.
Zuordnen - Gerät - Konfigurationsgruppen
Bereitstellung
Führen Sie den Workflow zum Bereitstellen von Konfigurationsgruppen aus.
Konfigurationsgruppen-Workflow bereitstellen
Anmerkung:
- In der Konfigurationsgruppe ändert die Option Change Device Values (Gerätewerte ändern) nur den Wert in der Manager-Datenbank und überträgt KEINE Änderungen an ein Gerät. Wenn Sie die Änderung sofort vornehmen möchten, müssen Sie die Änderungen bereitstellen.
- Das Exportieren von Gerätevariablen (als CSV-Datei) kann im Bereitstellungs-Workflow im Schritt Gerätekonfiguration hinzufügen/überprüfen durchgeführt werden.
Wiederverwendbarkeit
- Konfigurationsgruppen sind gerätemodellunabhängig.
Konfigurationsgruppe - unabhängig vom Gerätemodell
Anmerkung: Wenn eine bestimmte Konfiguration auf einem Gerätemodell nicht unterstützt wird, tritt kein entsprechender Feature-Paket-Push auf, und im Rahmen der Bereitstellungsaufgabe wird eine entsprechende Meldung angezeigt.
Beispiel: Ein Gerät unterstützt Wi-Fi nicht, aber die Konfigurationsgruppe enthält ein Wi-Fi-Paket. Zur Bereitstellungszeit wird die Wi-Fi-Paketkonfiguration übersprungen, und die Bereitstellungsaufgabenmeldung informiert darüber, dass der Push für die Wi-Fi-Konfiguration übersprungen wurde.
- Konfigurationsvariablen verwenden: gerätespezifische Werte.
Konfigurationsgruppe - gerätespezifische Variablen
Ein Featureprofil kann eine Konfiguration aufweisen, die ähnlich wie Vorlagenvariablen gerätespezifisch definiert ist.
Beispiel: Schnittstellen-IP-Adresse, Portnummern, Schnittstellenname usw.
Diese gerätespezifischen Werte können zur Bereitstellungszeit bereitgestellt werden. Und es kann für verschiedene Geräte unterschiedlich sein.
Konfigurationsgruppe - gerätespezifische Variablen Beispiel 1
Konfigurationsgruppe - gerätespezifische Variablen Beispiel 2
Konfigurationsgruppe - gerätespezifische Variablen - Beispiel 3
- Wiederverwendung von Funktionsprofilen
Funktionsprofile können für alle Konfigurationsgruppen wiederverwendet werden.
Abbildung:
Wenn die WAN- und Systemkonfigurationen für mehrere Geräte gleich sind und sich beispielsweise nur in der LAN-Konfiguration unterscheiden, können die WAN- und Systemprofile in ihren Konfigurationsgruppen wiederverwendet werden, während sie in jedem Gerät ein anderes LAN-Profil aufweisen.
Wiederverwendung von Funktionsprofilen - 1
LAN-Profil 1
Wiederverwendung von Funktionsprofilen - 2
LAN-Profil 2
Wiederverwendung von Funktionsprofilen - 3
LAN-Profil 3
Anwendungskatalog
Herkömmliche Geräte waren in der Lage, Datenverkehrsflüsse durch eine bedingte Zuordnung von Quell- und/oder Ziel-IP-Adressen, Quell-/Ziel-Ports und Protokollen zu manipulieren. Da immer mehr Anwendungen von DNS abhängen oder in HTTP integriert sind, ist es schwieriger, den Netzwerkverkehr auf Anwendungsebene genau zu identifizieren.
Die Cisco Network Based Application Recognition (NBAR) Engine ist in der Lage, über 1.500 Anwendungen zu klassifizieren, sodass Netzwerktechniker Datenverkehrsflüsse präziser klassifizieren und bearbeiten können. Der Cisco Catalyst SD-WAN Manager kann eine Verbindung zu einem Cisco Anwendungs-Repository herstellen, in dem Signaturen für Anwendungen schnell aktualisiert werden können. was insbesondere wichtig ist, wenn Cloud-Anbieter Hostingstandorte oder Datenverkehrsmuster ändern.
Der Anwendungskatalog bietet die Möglichkeit, benutzerdefinierte Anwendungen auf Grundlage der Übereinstimmung von Servername, IP-Adresse, Ports oder Protokoll zu erstellen. Die Anwendung wird dann für eine bestimmte Anwendungsfamilie, Anwendungsgruppe, Datenverkehrsklasse und Geschäftsrelevanz definiert.
Anwendungskatalog
Anwendungen können per Drag-and-Drop an die entsprechende geschäftliche Relevanz und/oder Datenverkehrsklassifizierung weitergeleitet werden. Beim Speichern der Änderungen werden die Definitionen in der Datenbank aktualisiert.
Anmerkung: Die Anwendungsklassifikationen sind global, und eine Änderung im Anwendungskatalog wirkt sich auf alle Geräteklassifikationen aus.
Richtliniengruppen
Ähnlich wie bei den Konfigurationsgruppen ist eine Richtliniengruppe eine Richtliniengruppe, die auf den der Richtliniengruppe zugeordneten Geräten bereitgestellt wird
Die Richtliniengruppe geht bei der Erstellung und Bereitstellung von Richtlinien nach Absicht vor. Eine vereinfachte Benutzeroberfläche und ein vereinfachter Workflow machen das Erstellen einer Richtlinie, das Gruppieren von Richtlinien und das Bereitstellen auf Geräten zu einer einfachen Aufgabe.
|
Voraussetzung: Die Zuordnung und Bereitstellung einer Konfigurationsgruppe zu einem Gerät ist eine Voraussetzung für die Bereitstellung einer Richtliniengruppe auf diesem Gerät. |
Richtliniengruppen
Anwendungspriorität und SLA
Mit dieser Richtlinienabsicht können Sie Folgendes angeben:
- Anwendungssensitives Routing und SLA-Richtlinie
- QoS-Richtlinie
- Datenverkehrsrichtlinie
- DIA-Richtlinie
- SIG-Richtlinie
Es werden zwei Modi bereitgestellt.
Einfacher Modus
Dies ist der Standardmodus.
Einfacher Modus
Dies bietet eine schnelle und einfache Möglichkeit, die Anwendungspriorität und das SLA für Ihr Netzwerk zu definieren.
Anmerkung: 1. Die Standardrichtlinienaktion ist DROP.
2. Zuordnungskriterien können nur Anträge sein. Wenn Sie Präfixe benötigen, verwenden Sie den erweiterten Modus.
Erweiterter Modus
Dies ist ein voller und flexibler Modus.
Erweiterter Modus
Anmerkung:
1. Die Standardrichtlinienaktion ist DROP.
2. Anwendungsliste und Datenverkehrsklasse sind im Wesentlichen eine Liste von Anwendungen.
Beide können für die Zuordnung einer Anwendungsliste verwendet werden. Die Zuordnung von Anwendungen zu Datenverkehrsklassen kann im Anwendungskatalog vorgenommen werden.
Im einfachen Modus werden Regeln mit einer oder beiden dieser Methoden generiert, während im erweiterten Modus nur die Anwendungsliste bereitgestellt wird.
Quality of Service
In der Option QoS Queue (QoS-Warteschlange) können Sie eine QoS-Richtlinie hinzufügen:
QoS-Richtlinie hinzufügen
Warteschlangenmodelle
Als Nächstes können Sie die Datenverkehrsdatenrichtlinie definieren (Datenverkehrsrichtlinie hinzufügen).
Fügen Sie Regeln hinzu, die dem gewünschten Datenverkehr entsprechen, und leiten Sie diese an die entsprechenden Weiterleitungsklassen um.
QoS-Richtlinie 2
Anwendungssensitives Routing
Sie können SLA-Klassen definieren und sie in einer Datenverkehrsrichtlinie verwenden, um die Ziele einer AAR-Richtlinie umzusetzen.
AAR-Richtlinie
Anwendungs-/Flow-Transparenz:
Um Anwendungstransparenz und Datenflusstransparenz zu ermöglichen, verwenden Sie das CLI-Profil/Paket in der Konfigurationsgruppe.
(Ab Version 20.13 ist sie unter Erweiterte Einstellungen in der Richtliniengruppe verfügbar).
Wenn jedoch in 20.12 eine AAR-Richtlinie konfiguriert ist, ist "App/Flow Visibility" aktiviert. Eine Konfiguration mithilfe des CLI-Profils/Pakets ist nicht erforderlich.
Datenverkehrsrichtlinie
Die Datenverkehrsrichtlinie kann auch zum Erstellen einer DIA-Richtlinie, SIG-Umleitung usw. verwendet werden. Fügen Sie nach Bedarf Regeln hinzu.
Datenverkehrsrichtlinie
Anmerkung: Wenn eine Anwendungsprioritäts- und SLA-Richtlinie im einfachen Modus erstellt und dann auf den erweiterten Modus umgeschaltet wird, können einige Übereinstimmungsoptionen nicht ausgewählt werden. Beispiel: Das Präfix für Zieldaten ist abgeblendet.
Um diese Optionen verfügbar zu machen, ändern Sie je nach Bedarf das Protokoll von BEIDE in IPv4 oder IPv6.
Integrierte Sicherheit
Definiert die Sicherheitsrichtlinien für interne NGFW, IPS, Malware und Content-Filterung.
Sicheres Internet-Gateway/sicherer Service-Edge
Definiert die erforderlichen Einstellungen für die Einrichtung von Tunneln zu Cloud-basierten Inhalten und Sicherheitsfunktionen wie Cisco Secure Access.
Anmerkung: Beim alten Konfigurationsansatz war dies als Funktionsvorlage verfügbar.
DNS-Sicherheit
Definieren Sie Einstellungen, um die Nutzung Cloud-basierter DNS-Sicherheitsdienste für die Inhaltsfilterung zuzulassen.
Interessengruppen
Definieren Sie die in Ihren Richtlinien zu verwendenden Objektlisten. Beispiel: Anwendungslisten, VPN-Listen, Standortlisten, Präfixliste usw.
Definieren Sie darüber hinaus für Sicherheitsrichtlinien Ihre Profile wie erweiterte Prüfprofile, SSL-Verschlüsselungsrichtlinie usw.
Richtliniengruppen - Interessengruppen
Zuordnen und Bereitstellen
Ordnen Sie Geräte ähnlich wie bei Konfigurationsgruppen einer Richtliniengruppe zu, und stellen Sie sie bereit.
Lokalisierte Richtlinien
Lokalisierte Richtlinien wie ACL, Route Policy, Device Access Policy usw. werden in Konfigurationsgruppen definiert.
Topologie
Definition der Netzwerktopologie
Beginnen Sie mit einem Full-Mesh oder Hub-n-Spoke und passen Sie es bei Bedarf an.
Menü Topologie
Topologie und VPN
Beachten Sie diese Designänderungen beim Erstellen der Topologie und beim Festlegen von VPNs.
Das neue Design ermöglicht die dynamische Zuordnung von VPN-Namen und VPN-ID anstelle der 1:1-Zuordnung.
Eine VPN-Namenszuordnung zu mehreren VPN-IDs
Abbildung:
Angenommen, es gibt ein VPN mit dem Namen Corporate in zwei verschiedenen Konfigurationsgruppen.
Eine hat die VPN-ID 10, die andere die VPN-ID 20.
In der VPN-Liste des Topologie-Workflows wird nur eine Instanz des Unternehmens-VPN angezeigt.
Sobald Sie Corporate VPN auswählen, bestimmt der SD-WAN-Manager die VPN-IDs anhand der Topologie.
Nennen Sie zwei Geräte an zwei Standorten:
1. Gerät1 am Standort 100 mit Firmennetzwerk als VPN 10
2. Gerät2 am Standort 200 mit Corporate als VPN 20
Wenn sowohl der Standort 100 als auch der Standort 200 Teil der Topologie sind, erstellt der SD-WAN-Manager eine VPN-Liste, die beide VPN-IDs (10 und 20) enthält.
Wenn nur der Standort 100 Teil der Topologie ist, erstellt der SD-WAN-Manager eine VPN-Liste, die nur die VPN-ID 10 enthält.
Wenn nur der Standort 200 Teil der Topologie ist, erstellt der SD-WAN-Manager eine VPN-Liste, die nur über die VPN-ID 20 verfügt.
Mehrere VPN-Namen, die derselben VPN-ID zugeordnet sind
Sie können mehrere Topologierichtlinien mit demselben VPN-Namen konfigurieren, die verschiedenen VPN-IDs an verschiedenen Standorten zugeordnet sind.
Der SD-WAN-Manager bestimmt die tatsächliche Zuordnung anhand der Topologie, die mit welchen Standorten verknüpft ist.
Abbildung:
Zwei Benutzer können zwei verschiedene Konfigurationsgruppen erstellen.
Die eine gibt die VPN-ID 100 als Finanz-VPN und die andere die VPN-ID als Engineering-VPN an.
Anschließend können sie eine Topologie mit ihren jeweiligen VPN-Namen erstellen.
Integration
Verwenden Sie zum Onboarding Ihrer physischen Router den Quick Connect-Workflow.
Definieren Sie mithilfe dieses Workflows den Hostnamen, die System-IP und den Standortnamen/die Standortnamen für die zu integrierenden Geräte im Voraus. Manager generiert diese automatisch, Sie können sie jedoch ändern, wenn Sie dies möchten. Sie können die Geräte auch mit Tags versehen, die dann verwendet werden können, um die Geräte automatisch Konfigurationsgruppen zuzuordnen.
Während des PnP-ZTP-Onboarding-Prozesses stellen die Geräte die Tunnelverbindungen der Kontrollebene zum SD-WAN-Manager her. Der SD-WAN-Manager überträgt nun die vordefinierte Fabric-Konfiguration an die Geräte, und die Geräte werden Teil der SD-WAN-Fabric.
Schnellverbindungs-Workflow
Quick Connect-Workflow - Beschreibung
Kennzeichnung
Geräte können benutzerdefinierten Tags zugeordnet werden.
Tags können zum Gruppieren, Beschreiben, Suchen und Verwalten von Geräten verwendet werden.
Tags ermöglichen die Gruppierung von Geräten, die dann in anderen Funktionen verwendet werden können.
Beispiele für Tags
Beispiel: Zuordnung von Konfigurationsgruppen zu Geräten
Konfigurationsgruppenregeln können so festgelegt werden, dass Geräte mit bestimmten Tags dieser Konfigurationsgruppe automatisch zugeordnet werden können.
Stichwort hinzufügen
Unter Konfiguration > Geräte können Tags zu den Geräten erstellt/hinzugefügt/von diesen entfernt werden.
Tagregeln in der Konfigurationsgruppe
Auf der Seite Configuration Group > Associated Devices (Konfigurationsgruppe > Zugeordnete Geräte) können Tag-Regeln hinzugefügt/bearbeitet werden.
Darstellung
Tagging-Darstellung
Bestehende Bereitstellungen
Im SD-WAN-Netzwerk können Geräte, die die Legacy-Konfiguration und Richtlinien verwenden, zusammen mit Geräten verwendet werden, die die vereinfachte Konfiguration und die vereinfachten Richtlinien verwenden.
Dieser Abschnitt enthält einige Empfehlungen für Kunden, die die Vorteile der vereinfachten Konfiguration und Richtlinien nutzen möchten. Dieser Abschnitt enthält einige Empfehlungen.
Der erste Schritt besteht darin, Geräte von Gerätevorlagen zu Konfigurationsgruppen zu migrieren. Anschließend können Richtliniengruppen und/oder die Topologie bereitgestellt werden.
Konfigurationsgruppen
Gerätevorlagen und Konfigurationsgruppen bilden die Grundlage für die Gerätekonfiguration am Edge. Es ist also leicht, Koexistenz zu erleben. Um von einer Gerätevorlage zu einer Konfigurationsgruppe zu migrieren, gehen Sie wie folgt vor:
|
Schritt 1: |
Extrahieren Sie eine Kopie der Gerätewerte aus den Gerätevorlagen. Dies erfolgt über die Option "Konfiguration à Vorlagen". Klicken Sie auf die Ellipsen (...) rechts neben der Gerätegruppe, und wählen Sie CSV exportieren. |
|
Schritt 2: |
Erstellen einer Konfigurationsgruppe (manuell oder mit dem Konvertierungstool) |
|
Schritt 3: |
Trennen Sie die Gerätevorlage vom Gerät. Zu diesem Zeitpunkt behält das Gerät die Konfiguration am Befestigungspunkt bei. erhält jedoch keine zukünftigen Änderungen an der Gerätevorlage (oder an Komponentenfunktionsvorlagen). |
|
Schritt 4: |
Ordnen Sie die Geräte der neuen Konfigurationsgruppe zu. |
|
Schritt 5: |
Stellen Sie die Geräte bereit, die der Konfigurationsgruppe zugeordnet sind. Um diesen Vorgang zu vereinfachen, öffnen Sie die Datei "Exported CSV", und ändern Sie die CSV-Spaltenüberschriften, damit sie den neuen Variablen aus der Konfigurationsgruppe entsprechen. |
|
Schritt 6: |
Nach dem Eingabebildschirm für die Gerätevariable können Sie eine Vorschau der Gerätekonfiguration anzeigen. Dadurch erhalten Sie eine Vorschau darauf, welche Teile der Konfigurationsgruppe nicht mit der vorherigen Instanz übereinstimmen. oder welche Variablen sich in der Gerätevorlage geändert haben. |
Die Beibehaltung eines konsistenten Benennungsschemas für Variablen vereinfacht gerätespezifische Einstellungen. Wenn alle Gerätewerte in einem einzigen CSV enthalten sind, müssen Sie die Spaltenüberschriften nur einmal umbenennen.
Anmerkung: Es ist ein Python-Skript vorhanden, das mit CSV-Dateien für Gerätevorlagen oder Konfigurationsgruppen arbeitet, um die Spaltenüberschriften zu konsolidieren und zu alphabetisieren. Das Manuskript finden Sie hier:
Richtliniengruppen
Geräte, die über Konfigurationsgruppen konfiguriert werden, können eine zentrale Richtlinie verwenden oder zu einer Richtliniengruppe migrieren. aber nicht gleichzeitig für dieselbe Anwendung. Im Wesentlichen geht es darum, die gleiche zugrunde liegende Richtlinie für die Edge-Geräte beizubehalten. Richtliniengruppen kombinieren die ursprünglichen AAR- und Datenrichtlinien in einer einzigen Anwendungspriorität und SLA-PG-Komponente. Im Wesentlichen wird die Konfiguration für Richtlinien geändert (aber nicht an den SD-WAN-Manager gesendet).
Beachten Sie, dass Sie keine Datenrichtlinien- oder AAR-Richtlinienverweise auf eine Standortliste mit einem Standort mit der Anwendungspriorität und der SLA-Komponente haben können, da beide Standorte dieselbe Einstellung konfigurieren.
Es ist möglich, eine zentrale Richtlinie zu erstellen, bei der nur auf eine Steuerungsrichtlinie verwiesen wird, und zwar auf einen Standort, der eine Richtliniengruppe mit Anwendungspriorität und SLA verwendet, da diese unterschiedliche Komponenten einer zentralisierten Richtlinie konfigurieren.
Um ein Gerät von einer zentralen Richtlinie zu einer Richtliniengruppe zu migrieren, sind folgende Schritte erforderlich:
|
Schritt 1: |
Erstellen Sie die erforderlichen Richtliniengruppen-Komponenten (Anwendungspriorität und SLA, integrierte Sicherheit, sicheres Internet-Gateway/sicherer Service-Edge, DNS-Sicherheit). |
|
Schritt 2: |
Erstellen Sie die Richtliniengruppe, und ordnen Sie die erforderlichen Komponenten zu. |
|
Schritt 3: |
Trennen Sie die Zuordnung der Standort-ID zu allen SiteLists, die Verweise in AAR oder Datenrichtlinien sind. |
|
Schritt 4: |
Ordnen Sie die Geräte der Richtliniengruppe zu, und speichern Sie die Richtliniengruppe. |
|
Schritt 5: |
Bereitstellen der Richtliniengruppe auf den ausgewählten Geräten Zu diesem Zeitpunkt sendet der SD-WAN-Manager aktualisierte Konfigurationen an die Edge-Geräte (für QoS/SIG) und die Controller. sodass die Controller aktualisierte Datenrichtlinien an die Edge-Geräte senden können. |
Anmerkung: Obwohl Richtliniengruppen zusammen mit einer zentralen Richtlinie existieren können, wird empfohlen, bei der Umwandlung von Edge-Geräten in Konfigurationsgruppen eine zentrale Richtlinie (für AAR- und Datenrichtlinien) beizubehalten. Beginnen Sie dann mit der Migration von der zentralen Richtlinie zu den Richtliniengruppen für die Funktionalität innerhalb der Anwendungsprioritäts- und SLA-Komponente.
Dies geschieht aus Gründen der Einfachheit und um Verwirrung unter den Mitarbeitern zu vermeiden.
Anmerkung: Die Policy Group Engine speichert Daten in einem anderen Format. Daher muss eine Präfixliste, die in einer zentralen Richtlinie verwendet wird, in der Richtliniengruppe neu erstellt werden. Dies kann bei anderen Dingen wie Sitelisten passieren, und so weiter.
Topologie
Geräte, die über Konfigurationsgruppen konfiguriert werden, können eine zentrale Richtlinie verwenden oder zu einer Topologie migrieren. Im Wesentlichen geht es darum, die zugrunde liegende Kontrollrichtlinie für die SD-WAN-Controller beizubehalten. Die Topologie ist die neueste Version der Kontrollrichtlinien.
Es ist wichtig zu beachten, dass Sie nicht über eine Control Policy-Richtlinie verfügen können, die auf eine Standortliste mit einer Site verweist, der eine Topologie zugeordnet ist, da beide dieselbe Einstellung konfigurieren.
Es ist möglich, eine zentrale Richtlinie zu erstellen, die nur eine Datenrichtlinien- und/oder AAR-Richtlinie und eine Topologierichtlinie enthält, wenn unterschiedliche Komponenten konfiguriert werden.
Schritte zur Migration eines Geräts von einer zentralen Richtlinie zu einer Richtliniengruppe:
|
Schritt 1: |
Erstellen Sie die erforderlichen Topologiekomponenten. |
|
Schritt 2: |
Trennen Sie die Verknüpfung der Seiten mit der älteren Topologieliste in der zentralen Richtlinie. |
|
Schritt 3: |
Trennen Sie die Zuordnung der Standort-ID zu allen Standortlisten, auf die in AAR oder Datenrichtlinien verwiesen wird. |
|
Schritt 4: |
Aktivieren der Topologie Zu diesem Zeitpunkt sendet der SD-WAN-Manager aktualisierte Konfigurationen an die Controller und ändert alle Routen, die an Edge-Geräte übertragen werden. |
Anmerkung: Obwohl die Topologie zusammen mit einer zentralen Richtlinie existieren kann, wird empfohlen, bei der Konvertierung von Edge-Geräten in Konfigurationsgruppen an einer zentralen Richtlinie festzuhalten (für Topologie- und Routenmanipulation). Beginnen Sie dann mit der Migration von der zentralen Richtlinie zur Topologie, um Funktionen zum Ändern von Topologien und Routing-Änderungen zu erhalten.
Dies geschieht aus Gründen der Einfachheit und um Verwirrung unter den Mitarbeitern zu vermeiden.
Konvertierungstool
Umfang
Das Konfigurationsumwandlungstool wandelt Vorlagen und Richtlinien in Konfigurationsgruppen und Richtliniengruppen um. Es erfasst die Vorlagen- und Richtlinienkonfiguration von einem Ziel-SD-WAN-Manager, wandelt sie in die entsprechenden Konfigurationsgruppen und Richtliniengruppen um und lädt die neue Konfiguration in den Ziel-SD-WAN-Manager hoch. Das Tool bietet derzeit Unterstützung für Vorlagen- und Richtlinienkonvertierungen für 20.12 und 20.13.
Zugriffsdetails
Das Konfigurationsumwandlungstool ist im SD-WAN-Portal (vormals SSP) verfügbar.
Nutzung
Voraussetzungen
Bevor Sie das Tool verwenden, stellen Sie sicher, dass Ihr SD-WAN Manager 20.12.x ausführt. Wenn nicht, aktualisieren Sie auf 20.12, bevor Sie fortfahren.
Darüber hinaus muss der Zugriff auf den Ziel-SD-WAN-Manager über das Internet möglich sein und eingehenden Datenverkehr vom 74.207.103.254 akzeptieren.
Workflow für Konfigurationsumwandlungstool
|
Schritt 1: |
Melden Sie sich mit Ihren CCO-Anmeldeinformationen beim SD-WAN-Portal an. ・ Als Smart Account-Administrator sind Sie wie gewohnt beim SD-WAN-Portal angemeldet. Wählen Sie im Menü links die Option Konfigurationsumwandlung, um den Workflow aufzurufen. ・ Wenn Sie kein Smart Account-Administrator sind, erhalten Sie eine 403 Verbotene Seite mit einem Link zum Tool. Klicken Sie auf den Link, um den Workflow aufzurufen. |
|
Schritt 2: |
Details: Geben Sie Ihre IP- oder URL-Adresse für den SD-WAN-Manager zusammen mit den Benutzeranmeldeinformationen an. ・ Der Benutzer muss über Lese-/Schreibzugriff verfügen. ・ Port (Standardwert ist 443) und Subdomänenfelder sind optional. |
|
Schritt 3: |
Importieren: Es gibt zwei Optionen zum Abrufen der Konfiguration (Vorlagen und Richtlinien): 1. Klicken Sie auf die Schaltfläche Collect (Sammeln), um alle Konfigurationen (Gerätevorlagen, Funktionsvorlagen, Richtlinien und die zugehörigen Konstrukte) vom SD-WAN-Manager abzurufen. ・ Nach der Erfassung können Sie eine JSON-Datei mit allen Konfigurationselementen herunterladen. Diese Datei kann zu einem späteren Zeitpunkt während dieses Schritts verwendet werden, anstatt erneut Daten vom SD-WAN-Manager zu sammeln. 2. Laden Sie eine JSON-Datei mit Vorlagen und Richtlinien hoch, die zuvor mit diesem Schritt erstellt wurden. |
|
Schritt 4: |
Auswahl: Wählen Sie die Vorlagen und Richtlinien aus, die konvertiert werden sollen. Klicken Sie auf Umwandeln, um die ausgewählten Konfigurationselemente zu konvertieren. ·HINWEIS: Sie können die Gerätevorlagen einzeln auswählen, die Richtlinien können jedoch alle oder keine sein (d. h., entweder alle Richtlinien werden konvertiert oder keine Richtlinien werden konvertiert). |
|
Schritt 5: |
Umwandeln: Auf dieser Seite werden alle neu konvertierten Konfigurationselemente angezeigt. Überprüfen Sie die erstellten Artikel und deren Status. Wenn ein Artikel den Status "Teilweise" hat, überprüfen Sie das Informationssymbol, um die Ursache zu ermitteln. Klicken Sie anschließend auf Upload (Hochladen), um die neuen Konfigurationen im SD-WAN Manager zu erstellen. |
|
Schritt 6: |
Zusammenfassung: In diesem Schritt werden die neuen Konfigurationselemente im SD-WAN-Manager erstellt. Während der Erstellung der Konfigurationen wird die Statusleiste angezeigt. Wenn der Upload abgeschlossen ist, wird eine Zusammenfassung der hochgeladenen Konfigurationen und ihres Status angezeigt. ・ Im Falle eines Fehlers oder Fehlers, Abbrechen Upload (während der Erstellung) und Rollback (nach der Erstellung) sind in diesem Schritt verfügbar. Wenn Sie den Upload oder das Rollback abbrechen, werden alle Konfigurationselemente entfernt, die im SD-WAN Manager während dieses Workflows bzw. dieser Sitzung erstellt wurden. Wenn Sie diesen Workflow beenden, können Sie zu einem späteren Zeitpunkt keinen Rollback für diese Änderungen durchführen. Sie müssen alle unerwünschten Elemente manuell löschen. |
Nachkonvertierung
Ihre neue Konfiguration kann jetzt verwendet werden. Führen Sie die Schritte im Abschnitt Vorhandene Bereitstellungen aus, um Ihre Geräte in die neu konvertierten Konfigurationsgruppen und Richtliniengruppen zu migrieren.
Überlegungen
- Die vom Werkzeug zur Verfügung gestellten Umsetzungen sollen als Orientierung dienen. Analyse und Test vor der Bereitstellung in einer Produktionsumgebung.
- Das Tool berücksichtigt nicht die geräteunabhängigen Funktionen von Konfigurationsgruppen. Benutzer können ihre Vorlagen analysieren, bevor sie auswählen, welche konvertiert oder analysiert werden sollen, und die Geräte entsprechend zuordnen, um von der geräteunabhängigen Funktion zu profitieren.
- Variablennamen und globale Werte aus der ursprünglichen Konfiguration werden in die neu konvertierte Konfiguration kopiert. Gerätespezifische Werte sind es nicht.
- Das Tool überträgt die Konfiguration nicht an die Geräte. Nach der Konvertierung muss der Benutzer die Geräte von den Vorlagen trennen und sie den neuen Konfigurationsgruppen zuordnen.
Support
Senden Sie bei Problemen im Zusammenhang mit dem Konfigurationsumwandlungstool eine E-Mail an sdwan-conversiontool-support@cisco.com.
20.12 Überlegungen
|
Nein. |
Artikelbeschreibung |
|
1. |
Die DNS-Konfiguration muss über das CLI-Add-on-Profil weitergeleitet werden, wenn eine Konfigurationsgruppe am Edge bereitgestellt wird, deren Version älter als 17.12 ist. |
|
2. |
Die Erstellung der Topologie erfordert die Auswahl von Standorten, anstatt ein in NHM definiertes Gebiet auszuwählen. |
|
3. |
Der Workflow "Konfigurationsgruppe erstellen" erstellt kein VPN512 und keine Schnittstelle in diesem VPN im WAN-Profil. Falls erforderlich, können Sie dies manuell erstellen, indem Sie die Gruppe "Konfiguration" bearbeiten. |
|
4. |
Möglichkeit zum Kopieren/Duplizieren von Funktionsprofilen, Richtlinie wird nicht unterstützt. Eine Reihe von Python-Skripten kann diese Aufgabe ausführen und befindet sich in: |
|
5. |
Vor dem Erstellen von Funktionspaketen für die Richtlinienkonfiguration (lokalisierte Richtlinien) muss ein Richtlinienobjektprofil mit der Konfigurationsgruppe verknüpft werden. Beispiel: Zugriffskontrollliste |
|
6. |
CSV-Import für Schnittstellenvariablen fügt Semikolons in die Zeichenfolge ein und schlägt fehl. |
|
7. |
Bei der Konfiguration der App QoE-Optimierung (TCP Opt und DRE) und der Verlustkorrektur (FEC und Pkt Dup) werden weiterhin ältere Vorlagen/Richtlinien verwendet. Konfigurierbar über CLI-Profil auch in Konfigurations-/Richtliniengruppen (20.14 im UI-Paket). |
|
8. |
Cloud OnRamp für SaaS verwendet weiterhin ältere Vorlagen/Richtlinien. |
|
9. |
TrustSec/SGT wird nur mit CLI-Profil unterstützt. |
|
10. |
UC Voice/DSP Farm/SRST wird nur mit CLI-Profil unterstützt (ab 20,13 im UI-Paket). |
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
2.0 |
13-Mar-2025
|
Aktualisierung des Abschnitts "Konvertierungstool", um den jüngsten Änderungen beim Zugriff und bei der Bereitstellung des Tools Rechnung zu tragen. |
1.0 |
16-Aug-2024
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)