Configuration et vérification des tunnels à la demande SD-WAN
Introduction
Ce document décrit les étapes de configuration et de vérification pour créer des tunnels à la demande SD-WAN.
Conditions préalables
Composants utilisés
Ce document est basé sur ces versions logicielles et matérielles :
- vManage version 20.9.3
- Routeurs de périphérie Cisco version 17.9.3
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Fond
Cisco SD-WAN prend en charge les tunnels dynamiques à la demande entre deux périphériques satellites Cisco SD-WAN. Ces tunnels sont déclenchés pour être configurés uniquement lorsqu'il y a du trafic entre les deux périphériques, ce qui optimise l'utilisation de la bande passante et les performances des périphériques.
Avantages
Les tunnels à la demande présentent les avantages suivants :
-
Des performances améliorées, en particulier pour les plates-formes moins puissantes fonctionnant sur un réseau entièrement maillé.
-
Latence améliorée dans les déploiements hub-and-spoke lorsque des tunnels à la demande sont utilisés entre les rayons.
-
Utilisation réduite de la bande passante sur le réseau, car les tunnels à l'état Inactif ne nécessitent pas de sondes BFD (Bidirectional Forwarding Detection), ce qui réduit le trafic BFD produit sur le réseau.
-
Tunnels directs entre les rayons, tout en optimisant l'utilisation du processeur et de la mémoire.
Configurer
Configurations
Voici les étapes à suivre pour configurer les tunnels à la demande :
Étape 1 : activez l'ingénierie du trafic uniquement sur les routeurs du site concentrateur sous le modèle de fonctionnalité VPN 0. Il est recommandé d'avoir un modèle de fonctionnalité VPN 0 distinct pour les sites concentrateurs et les sites satellites.
Accédez à Configuration > Templates > Feature Template. Recherchez le modèle de fonctionnalité VPN 0 correct attribué aux routeurs concentrateurs, cliquez sur trois points et sélectionnez Edit.
1. Sous la section Services
2. Cliquez sur Nouveau service
3. Choisissez TE dans le type de service.
Cliquez sur Ajouter, puis sur Mettre à jour.
Activer TE
Étape 2 : Augmentez la limite de chemin OMP à la valeur recommandée 16 sur un routeur de périphérie Cisco.
Accédez à Configuration>Template> Feature Template, recherchez le modèle de fonctionnalité OMP, cliquez sur les trois points, puis sélectionnez Edit.
Sous Basic Configuration, localisez Number of Paths Advertised per Prefix, et ECMP Limit, et remplacez les valeurs par 16. 
OMP - Limite ECMP
Remarque : pour modifier la limite du chemin d'envoi sur vSmarts OMP à une valeur supérieure à 4, avec la valeur recommandée de 16, veuillez vous reporter aux guides de configuration de routage sur les guides de configuration Cisco SD-WAN pour obtenir des instructions détaillées.
Étape 3 : Créez ou clonez un modèle de fonctionnalité système pour activer le tunnel à la demande et modifier le minuteur Délai d'inactivité du tunnel à la demande si vous le souhaitez (la valeur par défaut est 10 minutes), et appliquez ce modèle système spécifiquement pour les sites satellites à la demande.
Accédez à Configuration > Templates > Feature Templates pour rechercher le modèle de fonctionnalité System, cliquez sur trois points, puis sélectionnez Edit.
Dans la section Avancé, activez Tunnel à la demande. Si vous le souhaitez, ajustez le Délai d'inactivité du tunnel à la demande si vous souhaitez mettre le tunnel hors service plus rapidement que les 10 minutes par défaut quand il n'y a aucun trafic passant entre les sites.
Activation du tunnel à la demande
Étape 4 : vous devez créer une stratégie de topologie personnalisée à l'aide d'une séquence de routage dans la liste de sites de l'ensemble d'onglets de correspondance (sites en étoile à la demande correspondants) et, sous l'onglet d'action, définissez la liste TLOC (correspondant aux tlocs du concentrateur) à sauvegarder.
Créez la liste de rayons à la demande et la liste TLOC de sauvegarde du concentrateur.
Accédez à Configuration > Policies > Custom Options dans le menu déroulant, sélectionnez Centralized Policy > Lists, créez les groupes d'intérêt :
- Cliquez sur Site pour créer une nouvelle liste de sites comprenant tous les ID de site pour tous les sites à la demande.
- Sur TLOC, créez une liste TLOC incluant tous les tloc HUB qui vont être utilisés comme sauvegarde.
Une fois que vous avez créé la liste des groupes d'intérêt, accédez à Options personnalisées du menu déroulant et sélectionnez Politique centralisée > Topologie > Topologie > Ajouter une topologie > Contrôle personnalisé (Route & TLOC).
- Entrez un nom et une description pour la topologie.
- Modifiez l'action par défaut en Accepter en cliquant sur l'icône du crayon, puis cliquez sur Enregistrer la correspondance et l'action.
- Cliquez sur Type de séquence et sélectionnez Route. Cliquez sur Sequence Rule pour ajouter une nouvelle séquence.
- Dans l'onglet Correspondance, cliquez sur Site et sélectionnez la liste de sites correcte.
Séquence création
- Dans l'onglet Action, cliquez sur Accepter, puis, pour l'action TLOC, sélectionnez Sauvegarder, et pour la TLOC, sélectionnez la liste TLOC appropriée. Cliquez sur Enregistrer la correspondance et les actions une fois que vous avez terminé.
Action Ensemble de stratégies
Associez la stratégie de topologie de contrôle à la stratégie principale en accédant à Configuration > Policies > Centralized Policy.
Recherchez votre stratégie active, cliquez sur les trois points et sélectionnez Edit.
Cliquez sur
1. Topologie
2. Topologie
3. Ajouter une topologie
4. Importer les
5. Contrôle personnalisé (route et TLOC)
6. Recherchez votre stratégie dans le menu déroulant, puis cliquez sur Importer.
Importer une stratégie existante
Cliquez sur Policy Application > Topology > New Site/ Region List
Dans la liste des sites sortants, sélectionnez le nom de liste de sites approprié.
Application de la stratégie hors bande
Cliquez sur Ajouter et Enregistrer les modifications de stratégie. Comme il s'agit d'une stratégie active, les modifications seront répercutées sur vSmarts.
Remarque : pour plus d'informations sur la configuration d'une stratégie de contrôle centralisé Cisco vSmart Controller, reportez-vous aux Guides de configuration Cisco SD-WAN.
Vérifier
Pour vérifier, exécutez la commande show sdwan system on-demand remote-system. À partir de la sortie, vous pouvez localiser On-demand : yes. Si l'état indique inactive, cela signifie que le tunnel entre les sites est arrêté.
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes inactive -
1000 192.168.0.73 yes inactive -
200 192.168.0.80 no - -
Après avoir généré du trafic entre des sites à la demande, vous pouvez vérifier le même résultat. Dans ce cas, l'état indique Active, c'est-à-dire le nombre de secondes restantes avant que le tunnel ne s'arrête.
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes active 105
1000 192.168.0.73 yes active 105
200 192.168.0.80 no - -
À partir de cet exemple, vous pouvez remarquer que le BFD avec les sites 192.168.0.72 et 192.168.0.73 est manquant alors que le tunnel est arrêté.
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
Lorsque le tunnel entre les sites est actif, vous remarquez que les BFD avec les sites 192.168.0.72 et 192.168.0.73 sont actifs.
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.73 1000 up public-internet public-internet <removed> <removed> 5063 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.73 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
Vous pouvez obtenir les mêmes résultats à partir de l'interface graphique utilisateur de vManage en naviguant vers Monitor > Device ou Monitor > Network (à partir du code 20.6 et des versions antérieures), recherchez votre périphérique et naviguez sur WAN > Tunnel, en se concentrant sur le numéro Down.
Surveillance des tunnels à la demande
Dans le même menu, faites défiler l'écran vers le bas et cliquez sur Temps réel. Les options On Device recherchent On Demand Remote.
Cet exemple montre la sortie lorsque les tunnels à la demande sont désactivés.
Tunnels à la demande arrêtés
Cet exemple montre la sortie lorsque les tunnels à la demande sont activés.
Tunnels à la demande activés
Dépannage
Référez-vous à Dépannage des tunnels dynamiques à la demande SD-WAN pour des étapes plus détaillées.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
08-Feb-2024 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)