Introducción
Este documento explica cómo mejorar el rendimiento de Cisco Catalyst 8000V implementado en Azure.
Mejora del rendimiento de Catalyst 8000V en Azure
Con Cisco Cloud OnRamp para varias nubes, los usuarios pueden implementar routers virtuales Cisco Catalyst 8000V en NVA en Azure directamente con SD-WAN Manager (UI o API).
La automatización de Cloud OnRamp permite a los usuarios crear y descubrir sin problemas WAN virtuales, hubs virtuales y crear conexiones a redes virtuales en Azure.
Una vez que Cisco Catalyst 8000V se implementa en Azure, los appliances virtuales se pueden supervisar y administrar desde el Administrador de SD-WAN.
Este documento explica cómo mejorar el rendimiento en Azure desde tres perspectivas:
- instalación de la licencia HSEC;
- limitaciones de rendimiento en el puerto TCP 12346 en Azure;
- velocidad negociada automáticamente en la interfaz de transporte.
Instalación de la licencia HSEC
Los dispositivos que utilizan licencias inteligentes mediante políticas y que deben admitir un rendimiento de tráfico cifrado de 250 Mbps o superior requieren una licencia HSEC.
Este es un requisito de la regulación de control de exportaciones de Estados Unidos. Puede utilizar Cisco SD-WAN Manager para instalar licencias HSEC.
Cisco SD-WAN Manager se pone en contacto con Cisco Smart Software Manager (SSM), que proporciona un código de autorización de licencia inteligente (SLAC) para cargar en un dispositivo.
La carga del SLAC en un dispositivo habilita una licencia HSEC.
Refiérase a Administración de Licencias HSEC en Cisco Catalyst SD-WAN para obtener detalles sobre la instalación y administración de las licencias.
Limitaciones de rendimiento en el puerto TCP 12346 en Azure
Actualmente, la automatización implementa C8000V con una interfaz de transporte (GigabitEthernet1) y una interfaz de servicio (GigabitEthernet2).
Debido a las limitaciones de entrada de Azure en el puerto SD-WAN TCP 12346, el rendimiento se puede limitar por interfaz de transporte a medida que el tráfico entra en la infraestructura de Azure.
La infraestructura de Azure impone el límite de 200 000 PPS entrantes, por lo que los usuarios no pueden alcanzar más de ~1 Gbps por instancia de NVA de C8000V (una suposición de ejemplo: un tamaño de paquete de 600B, cálculo: 600 B * 8 = 4800 bits; 4800b * 200 Kpps = 960 Mbps).
Nota: Azure puede aumentar el límite de entrada a 400 000 PPS por caso (ticket). Los clientes deben ponerse en contacto con Azure directamente y solicitar el aumento.
Para superar esta limitación, Cisco colaboró con Azure para permitir que las sucursales de SD-WAN construyeran varios túneles de SD-WAN para cada instancia de NVA.
Para realizar este cambio de configuración, el administrador debe seguir estos pasos:
- En SD-WAN Manager, implemente el gateway de la nube con C8000V en Azure mediante la automatización de Cloud OnRamp.
- En el portal de Azure, cambie la configuración de IP para NVA en el hub virtual.
- En el Administrador de SD-WAN, cree e inserte un nuevo grupo de configuración utilizando la configuración del portal de la nube.

Paso 1:
Implemente Cisco Catalyst 8000V en Azure con el procedimiento que se encuentra aquí en este canal de Youtube o en las Notas de la versión.
Paso 2:
Para cambiar la configuración de IP, navegue hasta Azure Portal > Virtual WAN > WAN virtual seleccionada > Virtual Hub > NVA en Virtual Hub.

En la vista del hub virtual en NVA, navegue hasta Proveedores externos > Administrar configuraciones.

En la configuración de NVA, navegue hasta Interface IP Configurations y Add Configurations. La asignación de direcciones IP puede tardar hasta 30 minutos.

Paso 3:
Una vez que se asignan las direcciones, tome nota de ellas y vaya al Administrador de SD-WAN. Todos los C8000V necesitan esta actualización de configuración.
Se puede hacer mediante el complemento de CLI (se añade lo que haya en las plantillas / perfiles de configuración). Consulte este ejemplo de configuración:
interface Loopback 1000
ip address 10.0.0.244 255.255.255.255
no shut
exit
interface Loopback 2000
ip address 10.0.0.246 255.255.255.255
no shut
exit
interface Loopback 3000
ip address 10.0.0.247 255.255.255.255
no shut
exit
interface GigabitEthernet1
speed 10000
no ip dhcp client default-router distance 1
no ip address dhcp client-id GigabitEthernet1
ip unnumbered Loopback1000
exit
interface GigabitEthernet2
speed 10000
exit
ip route 0.0.0.0 0.0.0.0 10.0.0.241 → 10.0.0.241 IP is Loopback 1000 IP -3
ip route 10.0.0.241 255.255.255.255 GigabitEthernet1 → 10.0.0.241 IP is Loopback 1000 IP -3
interface Tunnel1
no shutdown
ip unnumbered Loopback1000
ipv6 unnumbered Loopback1000
tunnel source Loopback1000
tunnel mode sdwan
interface Tunnel2
no shutdown
ip unnumbered Loopback2000
ipv6 unnumbered Loopback2000
tunnel source Loopback2000
tunnel mode sdwan
interface Tunnel3
no shutdown
ip unnumbered Loopback3000
ipv6 unnumbered Loopback3000
tunnel source Loopback3000
tunnel mode sdwan
sdwan
interface Loopback1000
tunnel-interface
encapsulation ipsec weight 1
no border
color biz-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback2000
tunnel-interface
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 4
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback3000
tunnel-interface
encapsulation ipsec weight 1
no border
color custom1
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 3
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface GigabitEthernet1
no tunnel-interface
exit
exit
Velocidad negociada automáticamente en la interfaz de transporte
La interfaz de transporte de Cisco en Cisco Catalyst 8000V, que se utiliza en plantillas predeterminadas o grupos de configuración generados automáticamente (GigabitEthernet1), se configura con negotiate auto para garantizar que se establece la conexión.
Para obtener un mejor rendimiento (por encima de 1 Gb), se recomienda establecer la velocidad en las interfaces en 10 Gb. Esto también se aplica a la interfaz de servicio (GigabitEthernet2). Para verificar la velocidad negociada, ejecute estos comandos:
azure-central-us-1#sh int gi1
GigabitEthernet1 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.e2ff (bia 000d.3a92.e2ff)
Internet address is 10.48.0.244/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
…
azure-central-us-1#sh int gi2
GigabitEthernet2 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.ea8a (bia 000d.3a92.ea8a)
Internet address is 10.48.0.229/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
Nota: Aunque este artículo se centra en la implementación de C8000V en Azure con la automatización de Cloud OnRamp (NVA), la velocidad negociada automáticamente también se aplica a las implementaciones de Azure en VNets, AWS y Google.
Para cambiar esto, realice cambios en la plantilla (Configuration > Templates > Feature Template > Cisco VPN Interface Ethernet) / grupo de configuración (vea la guía). De forma alternativa, los administradores pueden editar esta información en CLI, si el dispositivo está administrado por CLI.