Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les réseaux de superposition d'entreprise SD-WAN de Catalyst, la facilité d'utilisation et les cas d'utilisation du traqueur.
Les réseaux d'entreprise superposés SD-WAN Catalyst interagissent généralement avec une grande variété de charges de travail, d'applications et de services externes. tout ce qui peut être situé dans le cloud, le data center/concentrateurs ou les filiales distantes. Le plan de contrôle SD-WAN est responsable de la publicité des routes vers ces services à travers la superposition de manière évolutive. Dans les situations où des applications et des services critiques deviennent inaccessibles le long d'un chemin spécifique, les opérateurs réseau doivent généralement être en mesure de détecter ces événements et de rediriger le trafic utilisateur vers des chemins plus appropriés afin d'éviter un blackholing indéfini du trafic. Pour détecter et corriger ces types de pannes réseau, le plan de contrôle SD-WAN de Catalyst s'appuie sur des pisteurs pour surveiller l'état des services externes et apporter les modifications de routage appropriées.
Un dispositif de suivi est un mécanisme de détection d'accessibilité du plan de contrôle qui envoie des paquets de sonde vers un point d'extrémité spécifique et notifie les changements d'état d'accessibilité (haut ou bas) du point d'extrémité aux modules intéressés. Les trackers sont conçus comme une abstraction évolutive de haut niveau de la fonctionnalité native IP SLA de Cisco IOS-XE®, qui peut former une variété de sondes (y compris HTTP, ICMP et DNS). Lorsqu’un tracker notifie un module client d’un changement d’état, ce module peut prendre les mesures appropriées pour empêcher le blocage du trafic, telles que l’installation ou la désinstallation d’une route ou d’un ensemble de routes. Les applications actuelles des trackers dans les solutions SD-WAN et SD-Routing incluent, sans s’y limiter : Suiveurs DIA (Direct Internet Access), suivi SIG (Secure Internet Gateway), suivi de service, suivi de route statique, groupes de suivi, etc.
Pour créer des réseaux à haute disponibilité qui résistent aux pannes de service, il est essentiel de comprendre quand utiliser chaque type de configuration/modèle de suivi. L'objectif de cet article est d'expliquer où et comment chaque type de traqueur est utilisé. Les différents trackers sont abordés ici, ainsi que l'exemple d'utilisation principal de chaque tracker et les workflows de configuration de base pour mettre en oeuvre chaque solution. Enfin, cet article présente une présentation des avertissements généraux concernant les trackers dans Cisco IOS-XE®.
Cet article établit une distinction entre les solutions endpoint-tracker (spécifiques au SD-WAN et au SD-Routing) et object tracker (IOS-XE natif), qui traitent de différents cas d'utilisation.
Ce tableau présente brièvement tous les types de trackers disponibles dans la solution Cisco Catalyst SD-WAN :
Le tableau précédent présente quatre domaines dans lesquels les trackers peuvent être classés : Tracker Association, Tracker OS, Tracker Placement et Tracker Application. La section suivante décrit chaque classification :
Toutes les fonctionnalités de suivi des terminaux et des passerelles sont destinées aux cas d'utilisation en mode contrôleur (SD-WAN), tandis que le suivi des objets est destiné aux cas d'utilisation en mode autonome (SD-Routing).
3. Emplacement du traqueur : Cette classification décrit l'emplacement dans lequel le dispositif de suivi est configuré. Actuellement, Cisco Catalyst SD-WAN prend en charge l'application de trackers sur les interfaces, les routes statiques ou les services.
4. Application de suivi : Cette classification décrit les cas d'utilisation et les fonctionnalités de haut niveau pris en charge par Cisco Catalyst SD-WAN. Bien qu'il existe de nombreux domaines d'application des trackers, quelques-uns d'entre eux incluent : Accès direct à Internet (DIA), passerelle Internet sécurisée (SIG), Secure Service Edge (SSE), suivi VPN côté service, etc.
Voici une représentation visuelle du trafic d'analyse de suivi sur les VPN de service/transport pour plusieurs cas d'utilisation sur une périphérie SD-WAN Cisco Catalyst (qui peut également être appelée cEdge ou vEdge) :
Lors de l'utilisation des groupes de configuration, le terme Endpoint Tracker a été remplacé par Tracker. Dans la configuration héritée, l'ancienne terminologie est toujours utilisée, comme le montre le tableau de classification précédent.
Gateway Tracking est une méthodologie de suivi implicite utilisée par Cisco Catalyst SD-WAN pour toutes les routes statiques par défaut configurées sur les plates-formes de périphérie SD-WAN sur le VPN côté transport. Par défaut, cette option est activée dans les configurations de profil système de base (Track Default Gateway) sous Catalyst SD-WAN Manager. Cela permet de surveiller en permanence l'adresse de tronçon suivant spécifiée sous chaque route statique par défaut dans le VPN de transport, afin de garantir le basculement de liaison/route, en cas d'échec d'accessibilité au tronçon suivant (qui est également appelé passerelle, d'où le nom de suivi de passerelle). Pour en savoir plus sur le suivi de passerelle, consultez le guide de configuration.
Les types de sondes utilisés ici sont des paquets inondés de type requête ARP-unknown-unicast. Les intervalles utilisés sont les suivants :
Outre le suivi de passerelle, il est également utilisé pour le suivi de transport sur les bords SD-WAN afin de vérifier le chemin routé entre le périphérique local et un validateur SD-WAN Cisco Catalyst. Pour ce faire, utilisez des sondes ICMP à intervalles réguliers de 3 secondes. Elle est configurée à l'aide du mot clé « track-transport » dans le mode de configuration du système SD-WAN. Cela facilite la surveillance régulière de la connexion DTLS au Cisco Catalyst SD-WAN Validator à partir de la périphérie WAN respective. Pour en savoir plus sur le suivi du transport, consultez le guide de configuration.
Le suivi de passerelle est une fonctionnalité qui est implicitement configurée par défaut sur SD-WAN pour toutes les routes statiques par défaut qui appartiennent au VPN de transport ou à la table de routage globale (GRT). L'utilisation de la fonctionnalité ne provient pas toujours du point de vue de la configuration du modèle du gestionnaire, mais peut également évoluer à partir des routes statiques par défaut reçues/acquises dans les scénarios d'utilisation d'un serveur DHCP avec les options #3, #81 et ainsi de suite.
Appliqué par défaut dans Cisco Catalyst SD-WAN :
!
system
track-transport
track-default-gateway
!
Voici quelques façons de vérifier ceci selon la configuration et le groupe de configuration hérités :
Le suivi d'insertion de service 1.0 a été introduit dans la version 20.3/17.3 et est une fonctionnalité visant à garantir que l'adresse de service (ou adresse de transfert) est accessible ou disponible. Ces informations permettent à la périphérie d'ajouter ou de retirer dynamiquement des informations de tronçon suivant de la politique de contrôle/données. Avec la configuration de Service Insertion 1.0, le tracker (ou adresse de suivi) est activé par défaut vers l'adresse de service. Sur cette base, l'adresse de transfert et l'adresse de service sont les mêmes dans 1.0. Même si les suiveurs de service sont automatiquement configurés avec des services, ces suiveurs peuvent être désactivés à l'aide de la commande no track-enable, ou en désactivant le bouton de suivi dans la configuration du groupe de configuration/héritée. Étant donné qu’il s’agit des deux seules opérations possibles (activer/désactiver) avec des trackers associés à des services sous Service Insertion 1.0, il n’y a aucun autre paramètre qui peut être modifié (tel que seuil, multiplicateur, intervalle). Le type de sondes utilisé ici est un paquet de requête d’écho ICMP.
Pour en savoir plus sur le suivi de l'insertion de service 1.0, consultez le guide de configuration. Les intervalles par défaut utilisés dans le suivi de l'insertion de service 1.0 sont les suivants :
Le suivi de Service Fabric 2.0 fait partie de l'offre de fonctionnalités Service Insertion 2.0 dans Cisco Catalyst SD-WAN introduite à partir de la version 20.13/17.13. Dans cette nouvelle variante de l'insertion de service, la méthode par défaut utilisée par les profils et les modèles de configuration est toujours d'avoir un traqueur implicite pointant vers chaque adresse de service définie (ou adresse de transfert) dans une paire service-HA par interface rx/tx. Toutefois, avec Service Fabric 2.0, vous pouvez désormais séparer l'adresse de transfert de l'adresse de suivi. Pour ce faire, il suffit de définir des traqueurs de point d'extrémité distincts pour suivre une adresse de point d'extrémité différente de l'adresse de service elle-même. Cette rubrique est développée plus en détail dans les sections suivantes.
Le cas d'utilisation principal des services trackers est la surveillance évolutive de l'accessibilité des services, en particulier pour le chaînage de services. Le chaînage de services peut être déployé sur un réseau constitué de plusieurs VPN, chaque VPN représentant une fonction ou une organisation différente, afin de garantir que le trafic entre les VPN passe par un pare-feu. Par exemple, dans un réseau de campus de grande taille, le trafic interservice peut passer par un pare-feu, tandis que le trafic intraderparental peut être acheminé directement. Le chaînage de services peut être observé dans des scénarios où un opérateur doit se conformer à la réglementation, tels que la norme PCI DSS (Payment Card Industry Data Security Standard), où le trafic PCI doit traverser des pare-feu dans un data center centralisé ou un concentrateur régional :
Les configurations sont identiques au workflow normal de configuration de Service Insertion 1.0 sur SD-WAN. Les suiveurs Service Insertion 1.0 sont activés par défaut sur toutes les adresses de service.
1. Cliquez sur le bouton Ajouter un service.
2. Choisissez un type de service.
3. Inscrivez l'adresse du service (4 max. possibles, séparés par une virgule).
4. Vérifiez que le bouton Suivi est activé (par défaut). Cette option peut être désactivée, si nécessaire.
1. Cliquez sur le bouton Nouveau service
2. Choisissez un type de service.
3. Inscrivez l'adresse du service (4 max. possibles, séparés par une virgule).
4. Vérifiez que le bouton Suivi est activé (par défaut). Cette option peut être désactivée, si nécessaire.
Remarque : Au moment où l'étape 3 est configurée (à partir du groupe de configuration ou de la configuration héritée), le traqueur est automatiquement initié aux différentes adresses de service définies
Du point de vue de l'interface de ligne de commande, la configuration de Service Insertion 1.0 apparaît comme suit :
!
sdwan
service firewall vrf 1
ipv4 address 10.10.1.4
!
Les étapes de vérification s'étendent aux étapes similaires suivies dans le cadre des dispositifs de suivi des points d'extrémité basés sur l'interface utilisés dans les sections précédentes.
Il existe deux options de vérification du dispositif de suivi des terminaux explicitement configuré.
Cochez la case Individual Tracker et affichez les statistiques du tracker (Tracker Types, Status, Endpoint, Endpoint Type, VPN Index, Host Name, Round Trip Time) en fonction de votre Tracker Name configuré.
Dans le cas où des failles sont détectées sur le tracker, les journaux respectifs renseignent dans cette section avec des détails tels que le nom d'hôte, le nom du point d'attachement, le nom du tracker, le nouvel état, la famille d'adresses et l'id de vpn.
Sur l'interface de ligne de commande de la périphérie :
Router#show endpoint-tracker
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
1:1:9:10.10.1.4 1:10.10.1.4 Up IPv4 1 5 10.10.1.4
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
1:10.10.1.4 10.10.1.4 IP 300 3 60 service
Router#show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*5 icmp-echo 10.10.1.4 RTT=1 OK 51 seconds ago
Les trackers NAT DIA Endpoint Trackers sont principalement conçus pour surveiller l'accessibilité des applications via une interface NAT DIA sur les plates-formes SD-WAN Edge.
Pour les cas d'utilisation DIA (Direct Internet Access), les traqueurs NAT DIA sont principalement utilisés pour suivre l'interface côté transport et déclencher un basculement vers une autre interface côté transport disponible ou via des tunnels de superposition SD-WAN (à l'aide de la politique de données). Cette fonctionnalité a été introduite à partir de la version 20.3/17.3, et NAT fallback feature-option est disponible à partir de la version 20.4/17.4. Si le traqueur détermine que l'Internet local n'est pas disponible via l'interface NAT DIA, le routeur retire la route NAT du VPN de service et réachemine le trafic en fonction de la configuration de routage local. Le traqueur continue de vérifier régulièrement l’état du chemin vers l’interface. Lorsqu’il détecte que le chemin fonctionne à nouveau, le routeur réinstalle la route NAT vers Internet. Pour en savoir plus sur les traqueurs DIA, consultez le guide de configuration.
Dans la définition du traqueur, vous pouvez choisir de donner une adresse IP d'un terminal accessible via l'interface NAT DIA (configurée comme « endpoint-ip ») OU de fournir un nom de domaine complet (FQDN) au terminal (configuré comme « endpoint-dns-name »).
Le type de sonde utilisé ici est un paquet de requête HTTP, très similaire à une pile de PDU de requête d’API HTTP. Les intervalles utilisés sont les suivants :
L'architecture DIA est souvent déployée en tant qu'optimisation sur les sites des filiales afin d'éviter le réacheminement vers un data center de tout trafic des filiales destiné à Internet. Néanmoins, lorsque le DIA dans les sites d'agence est utilisé, tout manque d'accessibilité le long des routes DIA NAT doit toujours revenir à des chemins alternatifs pour éviter la mise en attente et la perte de service. Pour les sites qui souhaitent utiliser la reprise sur le data center (via la superposition SD-WAN à l'aide de la reprise NAT) en cas de panne locale de l'interface DIA. Tirez parti de ces dispositifs de suivi des points d'extrémité basés sur les interfaces compatibles DIA sur les bords côté filiale pour détecter les défaillances afin de lancer un basculement vers le chemin de sauvegarde/DC. De cette manière, la haute disponibilité du service Internet est obtenue avec un minimum d'interruption dans l'entreprise tout en optimisant le trafic Internet avec DIA :
Ces dispositifs de suivi des terminaux basés sur l'interface doivent être configurés manuellement pour activer cet ensemble de fonctionnalités. Voici comment le configurer, selon le type de méthode de configuration préféré par l'utilisateur.
1. Définissez un nom de suivi de point de terminaison.
2. Choisissez un type de suivi de point de terminaison (entre HTTP-default et ICMP).
Remarque: Le type de suivi des terminaux ICMP a été introduit à partir de la version 20.13/17.13.
3. Sélectionnez le point de terminaison (entre Endpoint IP-default et Endpoint DNS Name).
Remarque : Si le nom DNS du point de terminaison est choisi, assurez-vous qu'un serveur DNS ou un serveur de noms valide est défini sous le VPN/VRF de transport à l'aide du profil de configuration VPN de transport.
4. Entrez l'adresse ou le nom DNS (FQDN) vers lequel les sondes de suivi doivent être envoyées (le format dépend de l'étape précédente).
5. (Facultatif) Vous pouvez choisir de modifier l'intervalle de détection (par défaut = 60 secondes) et le nombre de tentatives (par défaut = 3 fois) pour fixer le délai de détection de l'échec.
Étape 1. Définition de l’outil Interface-Based Endpoint Tracker : Configuration > Templates > Feature Templates > System template > Tracker section :
1. Sous la sous-section Trackers, sélectionnez le bouton New Endpoint Tracker.
2. Définissez un nom de suivi de point de terminaison.
3. Choisissez le type de suivi (entre interface-default et static-route) comme interface, puisque les cas d'utilisation DIA sont préoccupants ici.
4. Choisissez le type de point de terminaison (entre Adresse IP par défaut et Nom DNS).
5. Entrez l'adresse IP ou le nom DNS du point de terminaison vers lequel les analyseurs doivent être envoyés (le format dépend de l'étape précédente).
6. (Facultatif) Vous pouvez choisir de modifier le seuil d'analyse (par défaut = 300 ms), l'intervalle (par défaut = 60 secondes) et le multiplicateur (par défaut = 3 fois).
Étape 2. Appliquez le dispositif de suivi des points d’extrémité basés sur l’interface à une interface sur le VPN de transport : Modèles > Modèles de fonctionnalités > Interface VPN Cisco Ethernet > section Avancée :
1. Entrez le nom du dispositif de suivi des terminaux défini à l'étape 1 précédente dans le champ Dispositif de suivi.
Du point de vue de l'interface de ligne de commande, les configurations sont les suivantes :
(i) IP Address Endpoint :
!
endpoint-tracker t22
tracker-type interface
endpoint-ip 8.8.8.8
!
interface GigabitEthernet1
endpoint-tracker t22
end
!
(ii) DNS Name Endpoint :
!
endpoint-tracker t44
tracker-type interface
endpoint-dns-name www.cisco.com
!
interface GigabitEthernet1
endpoint-tracker t44
end
!
Il existe deux options de vérification pour les trackers de point d'extrémité configurés explicitement.
Cochez la case Individual Tracker et affichez les statistiques du tracker (Tracker Types, Status, Endpoint, Endpoint Type, VPN Index, Host Name, Round Trip Time) en fonction de votre Tracker Name configuré.
Dans le cas où des failles sont détectées sur le tracker, les journaux respectifs renseignent dans cette section avec des détails tels que le nom d'hôte, le nom du point d'attachement, le nom du tracker, le nouvel état, la famille d'adresses et l'id de vpn.
Sur l'interface de ligne de commande de la périphérie :
Router#show endpoint-tracker interface GigabitEthernet1
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
GigabitEthernet1 t22 Up IPv4 2 2 172.21.30.2
Router#sh ip sla sum
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*2 http 8.8.8.8 RTT=4 OK 56 seconds ag
o
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
t22 8.8.8.8 IP 300 3 60 interface
t44 www.cisco.com DNS_NAME 300 3 60 interface
Lorsque des dispositifs de suivi de terminaux sont utilisés pour des cas d'utilisation de tunnel SIG/SSE, cela indique principalement que l'entreprise recherche une pile de sécurité basée sur le cloud qui est facilement disponible de nos jours à l'aide de fournisseurs de passerelle Internet sécurisée (SIG) ou de périphérie de service sécurisée (SSE), tels que Cisco, Cloudflare, Netskope, ZScalar, etc. Les tunnels SIG et SSE font tous deux partie du modèle de déploiement de la sécurité cloud, dans lequel la filiale utilise le cloud pour fournir les solutions de sécurité nécessaires dont elle a besoin. L'exemple d'utilisation des tunnels SIG était l'offre initiale d'intégration de Cisco Catalyst SD-WAN avec ces fournisseurs SIG (à partir de la version 20.4/17.4), mais avec l'évolution des offres de sécurité fournies dans le cloud, l'exemple d'utilisation SSE a été introduit (à partir de la version 20.13/17.13) pour couvrir les cas d'utilisation avec des fournisseurs tels que Cisco (via Cisco Secure Access) et ZScalar.
L'IT nécessite une approche fiable et explicite pour protéger et se connecter avec agilité. Il est désormais courant de fournir aux employés distants un accès direct aux applications cloud, telles que Microsoft 365 et Salesforce, avec une sécurité supplémentaire. La demande en matière de sécurité et de mise en réseau dans le cloud s'accroît chaque jour, car les sous-traitants, les partenaires, les périphériques IoT (Internet of Things), etc. ont besoin d'un accès réseau. La convergence des fonctions de réseau et de sécurité plus près des périphériques finaux, à la périphérie du cloud, est connue sous le nom de modèle de service Cisco SASE. Cisco SASE combine des fonctions de mise en réseau et de sécurité fournies dans le cloud pour fournir un accès sécurisé aux applications pour tous les utilisateurs ou périphériques, en tout lieu et à tout moment. Secure Service Edge (SSE) est une approche de sécurité réseau qui aide les organisations à améliorer la sécurité de leur environnement de travail tout en réduisant la complexité pour les utilisateurs finaux et les services informatiques. Pour en savoir plus sur les trackers de tunnel SIG/SSE, consultez le guide de configuration.
De tels dispositifs de suivi de points d'extrémité basés sur une interface sont utilisés dans de tels cas d'utilisation de tunnel SIG/SSE, dans lesquels vous souhaitez effectuer le suivi d'un point d'extrémité d'URL d'application SaaS bien connu ou d'un point d'extrémité d'URL spécifique préoccupant. Aujourd'hui, SSE est le scénario le plus couramment utilisé depuis que l'architecture SASE a été scindée en fonctionnalités de base SSE et fonctionnalités SD-WAN. Vous souhaitez ensuite choisir entre les rôles actif et en veille au sein des tunnels IPSec créés à partir d'un site (dans ce cas, le DC). L'utilisateur a le choix d'attacher le traqueur sous l'interface de tunnel respective.
Dans le cas des fournisseurs SSE, tels que Cisco Secure Access (by Cisco), un dispositif de suivi implicite des terminaux est utilisé et configuré par défaut. Cependant, l'utilisateur a le choix de créer un dispositif de suivi de point d'extrémité personnalisé et de le connecter à l'interface du tunnel IPSec. Les paramètres du dispositif de suivi de point de terminaison implicite/par défaut utilisés dans SSE sont les suivants :
Pour Cisco SSE :
Nom du suivi : DefaultTracker
Point de terminaison suivi : http://service.sig.umbrella.com
Type de terminal : URL_API
Seuil : 300 ms
Multiplier : 3
Intervalle : 60 sec
Pour ZScaler SSE :
Nom du suivi : DefaultTracker
Point de terminaison suivi : http://gateway.zscalerthree.net/vpnte
Type de terminal : URL_API
Seuil : 300 ms
Multiplicateur : 3
Intervalle : 60 sec
Dans le cas des tunnels SIG, aucun tracker de point d'extrémité implicite/par défaut n'est défini. Par conséquent, l'utilisateur doit configurer manuellement un dispositif de suivi des terminaux basé sur l'interface s'il souhaite suivre l'interface du tunnel IPSec vers le cloud fournisseur SIG :
Dans le cas des fournisseurs SSE, l'utilisateur n'a pas à définir explicitement un tracker de point d'extrémité (sauf si désiré). Cependant, les workflows sont différents en fonction du type de configuration.
Comme condition préalable, vous devez définir les informations d'identification SIG/SSE Administration > Settings > External Services > Cloud Credentials :
1. Sous Cloud Provider Credentials, activez l'option Umbrella ou Cisco SSE (ou les deux).
2. Définissez les paramètres, tels que l'ID de l'organisation, la clé API, le secret).
Définissez le groupe de configuration Configuration > Policy Groups > Secure Internet Gateway/Secure Service Edge :
1. Cliquez sur Add Secure Internet Gateway ou sur Add Secure Service Edge.
2. Définissez un nom et une description.
3. Sélectionnez l'un des boutons radio sous SIG/SSE Provider (Umbrella ou Cisco SSE).
4. Dans la section Tracker, définissez l'adresse IP source utilisée pour fournir les sondes de suivi.
5. Si vous choisissez de définir un suivi de point de terminaison explicite/personnalisé, cliquez sur Ajouter un suivi, puis renseignez les paramètres du suivi de point de terminaison (Nom, URL API du point de terminaison, Seuil, Intervalle d'analyse et Multiplicateur).
6. Dans la section Configuration, créez les interfaces de tunnel dans lesquelles vous pouvez définir les paramètres (tels que le nom de l'interface, la description, le traqueur, l'interface source du tunnel, le data center principal/secondaire).
Remarque : À l'étape 6, l'utilisateur a la possibilité d'attacher le dispositif de suivi de point d'extrémité défini au tunnel IPSec correspondant. Veuillez noter qu'il s'agit d'un champ facultatif.
7. Dans la section Haute disponibilité, créez une paire d'interfaces et définissez votre interface active et votre interface de sauvegarde avec leurs pondérations respectives. Appliquez ensuite le groupe de stratégies configuré précédent aux arêtes appropriées.
Définir la configuration héritée Configuration > Modèles > Modèles de fonctionnalités > Modèle de fonctionnalité Cisco Secure Internet Gateway :
1. Sélectionnez l'une des cases d'option sous SIG Provider (Umbrella, ZScalar ou Generic).
2. Dans la section Tracker (BETA), définissez l'adresse IP source utilisée pour fournir les sondes de suivi.
5. Si vous choisissez de définir un suivi de point de terminaison explicite/personnalisé, cliquez sur Nouveau suivi et renseignez les paramètres du suivi de point de terminaison (Nom, URL API du point de terminaison, Seuil, Intervalle et Multiplicateur).
6. Dans la section Configuration, créez les interfaces de tunnel (en cliquant sur Add Tunnel) dans lesquelles vous pouvez définir les paramètres (tels que le nom de l'interface, la description, le suivi, l'interface source du tunnel, le data center principal/secondaire).
Remarque : À l'étape 6, l'utilisateur a la possibilité d'attacher le dispositif de suivi de point d'extrémité défini au tunnel IPSec correspondant. Veuillez noter qu'il s'agit d'un champ facultatif.
7. Dans la section Haute disponibilité, définissez votre interface active et votre interface de sauvegarde avec leurs pondérations respectives.
Du point de vue de l'interface de ligne de commande, les configurations sont les suivantes :
(i) For the default interface-based endpoint tracker applied with SSE
!
endpoint-tracker DefaultTracker
tracker-type interface
endpoint-api-url http://service.sig.umbrella.com
!
interface Tunnel16000101
description auto primary-dc
ip unnumbered GigabitEthernet1
ip mtu 1400
endpoint-tracker DefaultTracker
end
!
(ii) For the custom interface-based endpoint tracker (can be applied in SIG & SSE use-cases)
!
endpoint-tracker cisco-tracker
tracker-type interface
endpoint-api-url http://www.cisco.com
!
interface Tunnel16000612
ip unnumbered GigabitEthernet1
ip mtu 1400
endpoint-tracker cisco-tracker
end
!
Il existe des options de vérification pour les trackers de terminaux explicitement configurés.
Cochez la case Individual Tracker et affichez les statistiques du tracker (Tracker Types, Status, Endpoint, Endpoint Type, VPN Index, Host Name, Round Trip Time) en fonction de votre Tracker Name configuré.
Dans le cas où des failles sont détectées sur le tracker, les journaux respectifs renseignent dans cette section avec des détails tels que le nom d'hôte, le nom du point d'attachement, le nom du tracker, le nouvel état, la famille d'adresses, et l'id de vpn.
Sur l'interface de ligne de commande de la périphérie :
Router#show endpoint-tracker interface Tunnel16000612
Interface Record Name Status Address Family RTT in msecs Probe ID Nex
t Hop
Tunnel16000612 cisco-tracker Up IPv4 26 31 None
Router#show endpoint-tracker interface Tunnel16000101
Interface Record Name Status Address Family RTT in msecs Probe ID Nex
t Hop
Tunnel16000101 DefaultTracker Up IPv4 1 1059 None
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(
s) Tracker-Type
DefaultTracker http://gateway.zscalerthree.net/vpnte API_URL 300 3 60
interface
cisco-tracker http://www.cisco.com API_URL 300 3 60
interface
Le suivi de Service Fabric 2.0, introduit dans la version 20.13/17.13, est une variante améliorée du suivi de l'insertion de service 1.0, dans laquelle les utilisateurs ont la possibilité de personnaliser les suivis dans une plus grande mesure. Le comportement par défaut est conservé de la version précédente de Service Insertion (1.0), un tracker serait initié par défaut avec la définition de chaque adresse de service (ou adresse de transfert) dans une paire service-HA par rx/tx. Mais avec Service Insertion 2.0, l'adresse de suivi (IP/point d'extrémité vers le suivi) peut être séparée de l'adresse de transfert (généralement l'adresse de service). Ceci est effectué à l'aide de trackers de points d'extrémité personnalisés définis au niveau VPN. Pour en savoir plus sur les trackers de Service Fabric 2.0, consultez le guide de configuration.
Si l'utilisateur choisit d'utiliser le tracker par défaut, les spécifications des sondes de tracker sont les suivantes :
Si l'utilisateur choisit d'utiliser un dispositif de suivi personnalisé, les spécifications des sondes de suivi sont les suivantes :
Les cas d'utilisation de Service Insertion 1.0 mentionnés dans les sections précédentes s'appliquent également ici.
La configuration basée sur le workflow est prise en charge pour Service Insertion 2.0, une approche guidée par un assistant qui simplifie l'expérience utilisateur tout en respectant les étapes de workflow standard du groupe Configuration.
1. Définissez le groupe Chaîne de services - Configuration dans la section Configuration > Insertion de services > Définitions de chaîne de services :
a. Cliquez sur le bouton Ajouter une définition de chaîne de services.
b. Renseignez les détails du Nom et de la Description du Service.
c. Remplissez un format de liste (en sélectionnant dans la liste déroulante), le Type de service.
2. Définissez le groupe Instance de chaîne de service - Configuration dans la section Configuration > Insertion de service > Configurations de chaîne de service :
a. Cliquez sur Ajouter une configuration de chaîne de services.
b. Dans l'étape Définition de la chaîne de services, sélectionnez la case d'option Sélectionner existant, et choisissez le service précédemment défini.
c. Fournissez un nom et une description pour l'étape Start Service Chain Configuration.
d. Dans l'étape Configuration de la chaîne de services pour les services connectés manuellement, sélectionnez l'ID VPN de la chaîne de services.
e. Ensuite, pour chaque service défini dans l'instance de la chaîne de services (représentée dans des sous-onglets), sous les détails du service, indiquez le type de pièce jointe (IPv4, IPv6 ou Tunnel Connected).
f. Cochez la case Avancé. Si vous avez besoin de cas d'utilisation de sauvegarde active/haute disponibilité (activez également le bouton Ajouter des paramètres pour la sauvegarde) ou même si vous devez définir un traqueur de point d'extrémité personnalisé (activez également le bouton de traqueur personnalisé).
g. Si vous avez des scénarios dans lesquels le trafic de sortie (tx) va au service via une interface et le trafic de retour du service est entré (rx) via une autre interface, activez le Trafic du service est reçu sur un bouton d'interface différent.
h. Lorsque les boutons Advanced et Custom Tracker sont activés, définissez l'adresse IPv4 du service (adresse de transfert), l'interface du routeur SD-WAN (à laquelle le service est connecté) et le point d'extrémité du tracker (adresse de suivi). Vous pouvez également modifier les paramètres de suivi personnalisés tels que l'intervalle et le multiplicateur (en cliquant sur le bouton Modifier).
i. Répétez les étapes (e), (f), (g) et (h) pour chaque service défini ultérieurement.
3. Attachez l'instance de chaîne de services au profil de configuration du groupe Périphérie - Configuration sous Configuration > Groupes de configuration > Profil de service > VPN de service > Ajouter une fonctionnalité > Passerelle d'attachement de chaîne de services :
a. Indiquez un nom et une description pour ce colis de la passerelle d'attachement de la chaîne de services.
b. Sélectionnez la définition de chaîne de services précédemment définie (à l'étape 1).
c. Ajoutez à nouveau/vérifiez les détails comme effectué à l'étape 2. Pour la définition du suivi, la seule différence par rapport à l'étape 2 précédente est que vous avez la possibilité de donner un nom de suivi et de sélectionner également le type de suivi (de service-icmp à ipv6-service-icmp).
Du point de vue de l'interface de ligne de commande, les configurations sont les suivantes :
!
endpoint-tracker tracker-service
tracker-type service-icmp
endpoint-ip 10.10.1.4
!
service-chain SC1
service-chain-description FW-Insertion-Service-1
service-chain-vrf 1
service firewall
sequence 1
service-transport-ha-pair 1
active
tx ipv4 10.10.1.4 GigabitEthernet3 endpoint-tracker tracker-service
!
Cochez la case Individual Tracker et affichez les statistiques du tracker (Tracker Types, Status, Endpoint, Endpoint Type, VPN Index, Host Name, Round Trip Time) en fonction de votre Tracker Name configuré.
Dans le cas où des failles sont détectées sur le tracker, les journaux respectifs renseignent dans cette section avec des détails tels que le nom d'hôte, le nom du point d'attachement, le nom du tracker, le nouvel état, la famille d'adresses, et l'id de vpn.
Sur l'interface de ligne de commande de la périphérie :
Router#show endpoint-tracker
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
1:101:9:tracker-service tracker-service Up IPv4 10 6 10.10.1.4
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
tracker-service 10.10.1.4 IP 300 3 60 service-icmp
Router#show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*6 icmp-echo 10.10.1.4 RTT=1 OK 53 seconds ago
Router#show platform software sdwan service-chain database
Service Chain: SC1
vrf: 1
label: 1005
state: up
description: FW-Insertion-Service-1
service: FW
sequence: 1
track-enable: true
state: up
ha_pair: 1
type: ipv4
posture: trusted
active: [current]
tx: GigabitEthernet3, 10.10.1.4
endpoint-tracker: tracker-service
state: up
rx: GigabitEthernet3, 10.10.1.4
endpoint-tracker: tracker-service
state: up
Le deuxième type de trackers de point d'extrémité est appelé trackers de point d'extrémité basés sur la route statique. Comme son nom l'indique, ces types de trackers sont principalement utilisés pour suivre l'adresse de tronçon suivant de toute route statique définie sous le VPN côté service. Par défaut, tous les types de routes « connectées » et « statiques » sont annoncés dans le protocole OMP - post auquel tous les sites distants qui contiennent le VPN de service respectif prennent connaissance de ce préfixe de destination (dans lequel le point de tronçon suivant vers le TLOC du site d'origine). Le site d’origine est le site à partir duquel la route statique spécifique a été initiée.
Toutefois, si l’adresse de tronçon suivant de la route statique devient inaccessible, la route n’arrête pas d’être annoncée dans OMP. Cela entraînerait des problèmes de blocage du trafic pour les flux destinés au site d'origine. Cela implique la nécessité d'attacher un traqueur à la route statique, pour assurer l'annonce de la route statique dans OMP UNIQUEMENT lorsque l'adresse de tronçon suivant est accessible. Cette fonctionnalité a été introduite dans la version 20.3/17.3 pour les trackers de terminaux basés sur la route statique de type adresse IP de base. À partir de la version 20.7/17.7, la prise en charge a été ajoutée pour l'envoi de sondes de suivi uniquement vers des ports TCP ou UDP particuliers de l'adresse IP de tronçon suivant (dans certains cas, lors de l'utilisation de pare-feu pour ouvrir uniquement certains ports à des fins de suivi). Pour en savoir plus sur les traqueurs de route statique, consultez le guide de configuration.
Le type de sondes utilisé ici est un simple paquet de requête d’écho ICMP. Les intervalles utilisés sont les suivants :
Ce type de trackers de point d'extrémité basés sur la route statique est utilisé pour le suivi côté service des adresses de tronçon suivant dans les routes statiques. Un tel scénario commun serait de suivre l'adresse de tronçon suivant côté LAN correspondant à une paire de pare-feu actifs/en veille, qui partagent l'adresse IP externe en fonction de laquelle l'interface externe joue le rôle de pare-feu « actif ». Dans les cas où les règles de pare-feu semblent être très restrictives, où seuls certains ports sont ouverts à des fins d'utilisation basée sur des cas, le traqueur de route statique peut être utilisé pour suivre le port TCP/UDP spécifique à l'adresse IP de tronçon suivant qui appartient sur l'interface externe du pare-feu côté LAN.
Ces dispositifs de suivi des points d'extrémité basés sur des routes statiques doivent être configurés manuellement pour activer ce jeu de fonctions. Voici comment le configurer, selon le type de méthode de configuration préféré par l'utilisateur.
1. Fournissez un nom, une description et un nom de suivi pour le nouveau suivi (point de terminaison) en cours de définition.
2. Choisissez le type de point de terminaison, selon que vous devez uniquement suivre l'adresse IP du tronçon suivant (case d'option Address) ou même des ports TCP/UDP spécifiques (case d'option Protocol).
3. Entrez l'adresse, dans un format d'adresse IP. Entrez également le protocole (TCP ou UDP) et le numéro de port, au cas où vous choisiriez Protocol comme type de point d'extrémité à l'étape précédente.
4. Vous pouvez modifier les valeurs par défaut fournies pour Intervalle d'exploration, Nombre de tentatives et Limite de latence, si nécessaire.
1. Cliquez sur le bouton Add IPv4/IPv6 Static Route.
2. Complétez les détails, tels que l'adresse réseau, le masque de sous-réseau, le tronçon suivant, l'adresse, AD.
3. Cliquez sur le bouton Add Next Hop With Tracker.
4. Saisissez à nouveau l'adresse de tronçon suivant, AD, puis choisissez dans la liste déroulante le nom de suivi (point de terminaison) créé précédemment.
1. Cliquez sur le bouton Nouveau suivi des terminaux.
2. Indiquez un nom pour le nouveau suivi (point de terminaison) en cours de définition.
3. Activez la case d'option Tracker Type sur static-route.
4. Sélectionnez le type de point de terminaison, comme adresse IP de tronçon suivant (case d'option Choisir une adresse IP).
5. Entrez l'adresse IP du point de terminaison, dans un format d'adresse IP.
6. Vous pouvez modifier les valeurs par défaut fournies pour Intervalle d'exploration, Nombre de tentatives et Limite de latence, si nécessaire.
1. Sélectionnez le bouton New IPv4/IPv6 Route.
2. Complétez les détails, tels que Préfixe, Passerelle.
3. Cliquez sur le bouton Add Next Hop With Tracker.
4. Saisissez à nouveau l'adresse de tronçon suivant, distance, puis saisissez manuellement le nom de suivi (point d'extrémité) créé précédemment.
Du point de vue de l'interface de ligne de commande, les configurations sont les suivantes :
(i) For the static-route-based endpoint tracker being used with IP address :
!
endpoint-tracker nh10.10.1.4-s10.20.1.0
tracker-type static-route
endpoint-ip 10.10.1.4
!
track nh10.10.1.4-s10.20.1.0 endpoint-tracker
!
ip route vrf 1 10.20.1.0 255.255.255.0 10.10.1.4 track name nh10.10.1.4-s10.20.1.0
!
(ii) For the static-route-based endpoint tracker being used with IP address along with TCP/UDP port :
!
endpoint-tracker nh10.10.1.4-s10.20.1.0-tcp-8484
tracker-type static-route
endpoint-ip 10.10.1.4 tcp 8484
!
track nh10.10.1.4-s10.20.1.0-tcp-8484 endpoint-tracker
!
ip route vrf 1 10.20.1.0 255.255.255.0 10.10.1.4 track name nh10.10.1.4-s10.20.1.0-tcp-8484
!
Il existe deux zones de vérification des dispositifs de suivi de point d'extrémité configurés explicitement.
1. Sous Device Options, tapez « Endpoint Tracker Info ».
2. Cochez la case Individual Tracker (Attach Point Name) et affichez les statistiques du tracker (Tracker State, Associated Tracker Record Name, Latency in mx from device to the endpoint, Last Updated timestamp) en fonction de votre Tracker Name configuré.
Dans le cas où des failles sont détectées sur le tracker, les journaux respectifs renseignent dans cette section avec des détails tels que le nom d'hôte, le nom du point d'attachement, le nom du tracker, le nouvel état, la famille d'adresses et l'id de vpn.
Sur l'interface de ligne de commande de la périphérie :
Router#sh endpoint-tracker static-route
Tracker Name Status RTT in msec Probe ID
nh10.10.1.4-s10.20.1.0 UP 1 3
Router#show track endpoint-tracker
Track nh10.10.1.4-s10.20.1.0
Ep_tracker-object
State is Up
2 changes, last change 00:01:54, by Undefined
Tracked by:
Static IP Routing 0
Router#sh endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
nh10.10.1.4-s10.20.1.0 10.10.1.4 IP 300 3 60 static-route
Router#sh ip sla summ
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*3 icmp-echo 10.10.1.4 RTT=1 OK 58 seconds ago
EFT-BR-11#sh ip static route vrf 1
Codes: M - Manual static, A - AAA download, N - IP NAT, D - DHCP,
G - GPRS, V - Crypto VPN, C - CASA, P - Channel interface processor,
B - BootP, S - Service selection gateway
DN - Default Network, T - Tracking object
L - TL1, E - OER, I - iEdge
D1 - Dot1x Vlan Network, K - MWAM Route
PP - PPP default route, MR - MRIPv6, SS - SSLVPN
H - IPe Host, ID - IPe Domain Broadcast
U - User GPRS, TE - MPLS Traffic-eng, LI - LIIN
IR - ICMP Redirect, Vx - VXLAN static route
LT - Cellular LTE, Ev - L2EVPN static route
Codes in []: A - active, N - non-active, B - BFD-tracked, D - Not Tracked, P - permanent, -T Default Track
Codes in (): UP - up, DN - Down, AD-DN - Admin-Down, DL - Deleted
Static local RIB for 1
M 10.20.1.0/24 [1/0] via 10.10.1.4 [A]
T [1/0] via 10.10.1.4 [A]
Les Object Trackers sont des trackers conçus pour la consommation en mode autonome (cas d'utilisation). Ces traqueurs ont des cas d'utilisation qui varient du suivi d'interface/tunnel basé sur VRRP au suivi NAT de service-VPN.
Pour les cas d'utilisation de suivi VRRP, l'état VRRP est déterminé en fonction de l'état de la liaison du tunnel. Si le tunnel ou l'interface est hors service sur le VRRP principal, le trafic est dirigé vers le VRRP secondaire. Le routeur VRRP secondaire dans le segment LAN devient le VRRP principal pour fournir une passerelle pour le trafic côté service. Cet exemple d'utilisation s'applique uniquement au service-VPN et permet de basculer le rôle VRRP côté LAN en cas de défaillance sur la superposition SD-WAN (interface ou tunnels dans le cas de SSE). Pour attacher des trackers à des groupes VRRP, SEULS les trackers d'objet peuvent être utilisés (pas les trackers de point d'extrémité). Cette fonctionnalité a été introduite à partir de la version 20.7/17.7 pour Cisco Catalyst SD-WAN Edge.
Aucune sonde n'est utilisée ici par le traqueur. Au lieu de cela, il utilise l'état de protocole de ligne pour décider de l'état du tracker (up/down). Il n'y a pas d'intervalles de réaction dans les trackers basés sur le protocole de ligne d'interface - au moment où le protocole de ligne d'interface/tunnel devient DOWN, l'état de la piste est également amené à l'état DOWN. Ensuite, en fonction de l’action d’arrêt ou de décrémentation, le groupe VRRP reconvergerait en conséquence. Pour en savoir plus sur les trackers d’interface VRRP, consultez le guide de configuration.
Il existe plusieurs cas d'utilisation basés sur les critères requis pour implémenter le suivi d'interface basé sur VRRP. Actuellement, les deux modes pris en charge sont (i) interface (c'est-à-dire toute interface de tunnel liée à un TLOC local) ou (ii) interface SIG (relative aux interfaces de tunnel SIG). Dans chaque cas, la partie suivie est l'interface line-protocol.
Routeur double avec Internet : L'objet de piste est lié au groupe VRRP. En cas de défaillance de l'objet du traqueur (qui dans ce cas est l'interface du tunnel SIG), cela indique au routeur principal VRRP de déclencher la transition d'état du routeur principal au routeur de secours et au routeur de secours de devenir principal. Ce changement d'état peut être influencé ou déclenché par deux types d'opérations :
TLOC Change Preference : pour éviter le trafic asymétrique provenant d'autres sites SDWAN vers le site où le VRRP s'exécute sur le VPN de service, la préférence TLOC du routeur principal VRRP est amplifiée par 1 si elle est configurée. Vous pouvez même modifier cette valeur dans les groupes de configuration. Cela garantit que le trafic du WAN au LAN est attiré par le routeur principal VRRP lui-même. Le trafic du LAN au WAN est attiré par le mécanisme VRRP du VRRP principal. Cette fonctionnalité est indépendante de VRRP interface tracker. Il s'agit d'une commande facultative (tloc-change-pref) du point de vue de l'interface de ligne de commande.
La configuration des dispositifs de suivi d'objets est effectuée via des modèles système dans la configuration héritée, puis en attachant le dispositif de suivi d'objets au groupe VRRP respectif sous le modèle de fonctionnalité d'interface Ethernet service-VPN. Dans le groupe Configuration, ce mécanisme a été simplifié en obtenant directement une option permettant d'ajouter le traqueur d'objets au profil d'interface Ethernet du profil de service correspondant. Voici les façons de le configurer, selon le type de méthode de configuration préféré par l'utilisateur.
Du point de vue de l'interface de ligne de commande, les configurations sont les suivantes :
(i) Using interface (Tunnel) Object Tracking :
!
track 10 interface Tunnel1 line-protocol
!
interface GigabitEthernet3
description SERVICE VPN 1
no shutdown
vrrp 10 address-family ipv4
vrrpv2
address 10.10.1.1
priority 120
timers advertise 1000
track 10 decrement 40
tloc-change increase-preference 120
exit
exit
!
(ii) Using SIG interface Object Tracking :
!
track 20 service global
!
interface GigabitEthernet4
description SERVICE VPN 1
no shutdown
vrrp 10 address-family ipv4
vrrpv2
address 10.10.2.1
priority 120
timers advertise 1000
track 20 decrement 40
tloc-change increase-preference 120
exit
exit
!
Deux options permettent de vérifier les traqueurs d'objets configurés explicitement pour les cas d'utilisation du protocole VRRP.
1. Sous Device Options, saisissez « VRRP Information ».
2. Cochez la case Groupe VRRP individuel (ID de groupe) et affichez les statistiques du suivi (Nom du préfixe de suivi, État du suivi, Heure de discontinuité, et Heure du dernier changement d'état) en fonction de vos ID de suivi d'objets configurés.
En cas de changement d'état détecté sur le traqueur d'objet, le groupe VRRP auquel il est rattaché change d'état. Les journaux respectifs renseignent cette section (avec le nom comme Vrrp Group State Change) avec des détails tels que le nom d'hôte, le numéro if, l'id grp, le type addr, le nom if, l'état vrrp group-state, le changement d'état-reason, et l'id vpn.
Sur l'interface de ligne de commande de la périphérie :
Router#show vrrp 10 GigabitEthernet 3
GigabitEthernet3 - Group 10 - Address-Family IPv4
State is MASTER
State duration 59 mins 56.703 secs
Virtual IP address is 10.10.1.1
Virtual MAC address is 0000.5E00.010A
Advertisement interval is 1000 msec
Preemption enabled
Priority is 120
State change reason is VRRP_TRACK_UP
Tloc preference configured, value 120
Track object 10 state UP decrement 40
Master Router is 10.10.1.3 (local), priority is 120
Master Advertisement interval is 1000 msec (expires in 393 msec)
Master Down interval is unknown
FLAGS: 1/1
Router#show track 10
Track 10
Interface Tunnel1 line-protocol
Line protocol is Up
7 changes, last change 01:00:47
Tracked by:
VRRPv3 GigabitEthernet3 IPv4 group 10
Router#show track 10 brief
Track Type Instance Parameter State Last Change
10 interface Tunnel1 line-protocol Up 01:01:02
Router#show interface Tunnel1
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Interface is unnumbered. Using address of GigabitEthernet1 (172.25.12.1)
MTU 9980 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 2/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel linestate evaluation up
Tunnel source 172.25.12.1 (GigabitEthernet1)
Le NAT Object Tracker côté service est une fonctionnalité introduite dans la version 20.8/17.8, dans laquelle l'adresse globale interne utilisée dans le NAT service-VPN (NAT statique interne et NAT dynamique interne) n'est annoncée dans OMP que si (i) l'adresse locale interne est trouvée accessible OU (ii) le protocole de ligne de l'interface LAN/côté service est UP selon le traqueur d'objet attaché. Par conséquent, les types de traqueurs d'objets qui peuvent être utilisés sont (i) route ou (ii) interface. Selon l'état du préfixe LAN ou de l'interface LAN, les annonces de route NAT via OMP sont ajoutées ou supprimées. Vous pouvez afficher les journaux d'événements dans Cisco SD-WAN Manager pour surveiller quelles annonces de route NAT sont ajoutées ou supprimées.
Aucune sonde n'est utilisée ici par le traqueur. Au lieu de cela, il utilise (i) la présence d'une entrée de routage dans la table de routage OU (ii) l'état de protocole de ligne pour décider de l'état de suivi (up/down). Il n'y a pas d'intervalles de réaction en présence d'une entrée de routage ou de trackers basés sur le protocole de ligne d'interface : au moment où l'entrée de routage ou le protocole de ligne d'interface tombe en panne, l'état de la piste passe également à l'état DOWN. Immédiatement, l'adresse globale interne utilisée dans l'instruction NAT associée au traqueur d'objets ne peut plus être annoncée dans OMP. Pour en savoir plus sur les traqueurs NAT VPN de service, consultez le guide de configuration.
Si une interface LAN ou un préfixe LAN est désactivé, le traqueur d'objet NAT côté service s'arrête automatiquement. Vous pouvez afficher les journaux des événements dans Cisco SD-WAN Manager pour contrôler quelles annonces de routes NAT sont ajoutées ou supprimées. Dans l'exemple d'utilisation suivant, le client doit accéder au serveur dans la grande filiale. Cependant, le problème se pose dans des situations où soit la route pointant vers le serveur sur les bords de grande branche (dans HA) est supprimée OU quand l'interface côté LAN (côté service) tombe en panne sur un bord dans la grande branche. Dans de telles situations, lorsque vous appliquez la NAT côté service avec le traqueur d'objet, assurez-vous que le trafic entrant en provenance du client est toujours dirigé vers le bon bord situé dans la grande branche en contrôlant l'annonce d'adresse globale interne dans OMP. Dans le cas où un tel contrôle n'est pas appliqué sur l'annonce de route dans OMP, le trafic finit par obtenir un trou noir en raison de l'inaccessibilité de cette périphérie respective au serveur dans la grande filiale.
La configuration des traqueurs d'objets s'effectue via des modèles système dans la configuration héritée, puis en attachant le traqueur d'objets à l'instruction NAT respective (statique interne ou dynamique interne) dans le modèle de fonctionnalité service-VPN. Dans le groupe Configuration, ce mécanisme a été simplifié en obtenant directement une option permettant d'ajouter le traqueur d'objets au profil d'interface Ethernet du profil de service correspondant. Voici les façons de le configurer, selon le type de méthode de configuration préféré par l'utilisateur.
1. Créez un pool NAT (obligatoire pour le déclenchement de la fonction NAT) en cliquant sur le bouton Add NAT Pool.
2. Fournissez les détails du pool NAT, tels que le nom du pool NAT, la longueur du préfixe, le début de la plage, la fin de la plage et la direction.
3. Passez à la NAT statique dans la même section et cliquez sur le bouton Add New Static NAT. (Vous pouvez également choisir d'attacher le traqueur d'objets à la NAT de pool dynamique interne).
4. Fournissez les détails tels que l'IP source, l'IP source traduite et la direction NAT statique.
5. Dans le champ Associer un traqueur d'objets, sélectionnez dans la liste déroulante le traqueur d'objets précédemment créé.
1. Créez un pool NAT (obligatoire pour déclencher la traduction d'adresses de réseau) en cliquant sur le bouton Nouveau pool NAT.
2. Fournissez les détails du pool NAT, tels que le nom du pool NAT, la longueur du préfixe du pool NAT, le début de la plage du pool NAT, la fin de la plage du pool NAT et la direction NAT.
3. Passez à la NAT statique dans la même section et cliquez sur le bouton New Static NAT. (Vous pouvez également choisir d'attacher le traqueur d'objets à la NAT de pool dynamique interne).
4. Fournissez les détails tels que l’adresse IP source, l’adresse IP source traduite, la direction NAT statique.
5. Dans le champ Ajouter un traqueur d'objets, tapez le nom du traqueur d'objets précédemment créé.
Du point de vue de l'interface de ligne de commande, les configurations sont les suivantes :
(i) Using route-based object tracking on SSNAT (inside static or inside dynamic) :
!
track 20 ip route 192.168.10.4 255.255.255.255 reachability
ip vrf 1
!
ip nat pool natpool10 14.14.14.1 14.14.14.5 prefix-length 24
ip nat inside source list global-list pool natpool10 vrf 1 match-in-vrf overload
ip nat inside source static 10.10.1.4 15.15.15.1 vrf 1 match-in-vrf track 20
!
(ii) Using interface-based object tracking on SSNAT (inside static or inside dynamic) :
!
track 20 interface GigabitEthernet3 line-protocol
!
ip nat pool natpool10 14.14.14.1 14.14.14.5 prefix-length 24
ip nat inside source list global-list pool natpool10 vrf 1 match-in-vrf overload
ip nat inside source static 10.10.1.4 15.15.15.1 vrf 1 match-in-vrf track 20
!
Il existe deux zones de vérification des traqueurs d'objets explicitement configurés pour les cas d'utilisation de la NAT.
1. Sous Device Options, tapez « IP NAT Translation ».
2. Cochez la case Traduction NAT individuelle et affichez les statistiques de l'entrée (adresse/port local interne, adresse/port global interne, adresse/port local externe, adresse/port global externe, ID VRF, nom VRF et protocole) en fonction de vos ID de suivi d'objets configurés.
En cas de changement d'état détecté sur le traqueur d'objet correspondant à la route NAT élaguée dans OMP, des événements nommés "NAT Route Change" apparaissent, qui contiennent des détails tels que le nom d'hôte, le traqueur d'objet, l'adresse, le masque, le type de route et la mise à jour. Ici, l'adresse et le masque correspondent à l'adresse globale interne configurée sous l'instruction NAT statique.
Sur l'interface de ligne de commande de la périphérie :
Router#show ip nat translations vrf 1
Pro Inside global Inside local Outside local Outside global
--- 15.15.15.1 10.10.1.4 --- ---
icmp 15.15.15.1:4 10.10.1.4:4 20.20.1.1:4 20.20.1.1:4
Total number of translations: 2
Router#show track 20
Track 20
IP route 192.168.10.4 255.255.255.255 reachability
Reachability is Up (OSPF)
4 changes, last change 00:02:56
VPN Routing/Forwarding table "1"
First-hop interface is GigabitEthernet3
Tracked by:
NAT 0
Router#show track 20 brief
Track Type Instance Parameter State Last Change
20 ip route 192.168.10.4/32 reachability Up 00:03:04
Remote-Router#show ip route vrf 1 15.15.15.1
Routing Table: 1
Routing entry for 15.15.15.1/32
Known via "omp", distance 251, metric 0, type omp
Redistributing via ospf 1
Advertised by ospf 1 subnets
Last update from 10.10.10.12 on Sdwan-system-intf, 00:03:52 ago
Routing Descriptor Blocks:
* 10.10.10.12 (default), from 10.10.10.12, 00:03:52 ago, via Sdwan-system-intf
Route metric is 0, traffic share count is 1
Remote-Router#show sdwan omp routes 15.15.15.1/32
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 1 15.15.15.1/32 1.1.1.3 1 1003 C,I,R installed 10.10.10.12 mpls ipsec - None None -
1.1.1.3 2 1003 Inv,U installed 10.10.10.12 biz-internet ipsec - None None -
1.1.1.3 3 1003 C,I,R installed 10.10.10.12 public-internet ipsec - None None -
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
17-Feb-2025
|
Contributeur ajouté. |
1.0 |
11-Feb-2025
|
Première publication |