Configuration de la duplication de paquets à l'aide de groupes de stratégies dans SD-WAN

Introduction

Ce document décrit la configuration de la duplication de paquets dans les réseaux étendus définis par logiciel (SD-WAN).

Conditions préalables

Exigences

Cisco vous recommande de connaître les sujets généraux relatifs au réseau étendu défini par logiciel (SD-WAN) Cisco Catalyst.

Composants utilisés

Les informations contenues dans ce document sont basées sur :

• Cisco Catalyst SD-WAN Manager version 20.15.3.
• Cisco IOS® XE Catalyst SD-WAN Edge version 17.15.3a

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Duplication de paquets

La duplication de paquets est une fonctionnalité SD-WAN conçue pour garantir la fiabilité et réduire la perte de paquets pour les applications sensibles au temps (telles que la voix sur IP (VoIP), la vidéoconférence, les transactions financières et les systèmes de contrôle critiques) dans les réseaux où un routeur de périphérie SD-WAN comporte plusieurs tunnels IPsec superposés vers le routeur de tronçon suivant. 

Lorsque la duplication de paquets est activée, le routeur de périphérie SD-WAN crée des paquets en double et les transmet simultanément via un autre tunnel IPsec actif.

Workflow de duplication de paquets

1. Le routeur de périphérie SD-WAN crée des copies dupliquées du paquet sortant.
2. Les paquets dupliqués sont transmis simultanément sur un autre tunnel IPsec.
3. Si un paquet est perdu sur un chemin, le routeur de périphérie SD-WAN du site distant traite une copie du même paquet reçu sur un autre tunnel.
4. Si aucun paquet n'est perdu, le routeur de périphérie SD-WAN du site distant ignore les doublons de paquets inutiles.

Workflow de duplication de paquets

Points clés

• La duplication de paquets est uniquement prise en charge dans les topologies où les routeurs de périphérie SD-WAN établissent au moins deux tunnels IPsec superposés entre le site local et le site distant.
• La politique de données et le routage sensible aux applications (AAR) ne doivent pas être appliqués au trafic dupliqué par paquets.
• L'interopérabilité de duplication de paquets, la correction d'erreur de transfert (FEC) et l'optimisation TCP sur les périphériques SD-WAN Cisco IOS XE Catalyst ne sont pas prises en charge entre les versions 16.x et 17.x de Cisco IOS XE Catalyst SD-WAN.
• La duplication de paquets est prise en charge uniquement sur les périphériques SD-WAN Cisco IOS XE Catalyst.
• Lorsque des paquets sont interceptés en vue d'une duplication, le système interroge la base de données IP à l'aide de l'ID de tunnel entrant. Il récupère ensuite l'objet tunnel dupliqué. Le système compare la longueur du paquet avec l'unité de transmission maximale (PMTU) du chemin du tunnel dupliqué. Si la longueur du paquet est inférieure à la PMTU du tunnel dupliqué, les paquets sont dupliqués.

Configurer

Diagramme du réseau

Diagramme de réseau de site à site

Configurer la duplication des paquets à l'aide de groupes de stratégies

Remarque : Version minimale prise en charge : Composants de contrôle SD-WAN Cisco Catalyst version 20.14.1

Étape 1 : configuration de la priorité des applications et de la politique SLA

• Connectez-vous à l'interface utilisateur graphique de Cisco Catalyst SD-WAN Manager.
• Accédez à Configuration > Policy Groups > Application Priority & SLA > Add Application Priority & SLA Policy.
• Configurez la priorité d'application et le nom de la stratégie SLA > Cliquez sur Créer.

Priorité d'application et nom de stratégie SLA

• Activez Advanced Layout dans le volet supérieur droit > Cliquez sur Add Traffic Policy.

Présentation avancée

• Configurez Traffic PolicyName, service VPN(s) et Direction.
• Identifier l'action par défaut > Sélectionner Accepter > Cliquez sur Ajouter

Nom de stratégie de trafic

• Cliquez sur Ajouter des règles

Ajouter des règles

• Cliquez sur Add Match > Select a match condition. 

Conditions de correspondance

Préfixe des données de destination

Mise en garde : La duplication de paquets dans le SD-WAN est destinée aux applications critiques ou au trafic critique. L'activation de cette fonctionnalité pour tous les types de trafic n'est pas recommandée, car elle entraîne une augmentation de la charge du processeur et une dégradation potentielle des performances sur le routeur de périphérie SD-WAN. Au cours de ce test en laboratoire, l'utilisation du processeur a augmenté d'environ 10 %.

Remarque : Ce laboratoire utilise le préfixe de données de destination comme condition de correspondance. En outre, le gestionnaire SD-WAN de Cisco Catalyst prend en charge l'utilisation d'applications ou de listes de familles d'applications, si nécessaire.

• Identifier l'action
•  Sélectionnez Accept > Cliquez sur Add Action > Select Loss Correction 

Ajouter une action

• Sélectionnez Packet Duplication > Cliquez sur Save Match et Actions > Cliquez sur Save

Sélectionner la duplication des paquets

Étape 2. Définition des groupes de stratégies

• Accédez à Policy Group > Cliquez sur Add Policy Group 
• Configurer le nom et la solution du groupe de stratégies > Cliquez sur Créer

Définir des groupes de stratégies

• Identifier la priorité des applications
• Sélectionnez Application Priority & SLA Policy created > Cliquez sur Save

Sélectionner la priorité des applications et la politique SLA

• Associez les routeurs de périphérie SD-WAN sur lesquels la duplication de paquets doit être activée.
• Identifier associé > Cliquez sur Ajouter
• Cliquez sur Associated Devices > Choose Devices > Cliquez sur Associated Devices

Périphériques associés

Associer des périphériques

Périphériques à associer

• Cliquez sur Provisionner les périphériques > Sélectionner les périphériques à déployer > Cliquez sur Déployer

Provisionnement des périphériques

Remarque : Un groupe de configuration doit être associé au routeur de périphérie SD-WAN avant de déployer un groupe de stratégies. 

Vérifier

Surveillance des statistiques de duplication de paquets à partir de l'interface de ligne de commande du routeur de périphérie SD-WAN

Remarque : Une politique de données SD-WAN a été utilisée pour configurer la duplication de paquets sur le contrôleur Cisco Catalyst SD-WAN et la configuration a été poussée vers le routeur de périphérie SD-WAN.

Exécutez la commande show sdwan policy from-vsmart pour afficher les politiques de données qui ont été envoyées du contrôleur SD-WAN Cisco Catalyst au routeur de périphérie SD-WAN.

Router#show sdwan policy from-vsmart 
from-vsmart data-policy data_service_packet_duplication_tz
direction from-service
vpn-list vpn_packet_dup_4001
sequence 1
match
source-data-prefix-list critical_traffic
action accept
loss-protection packet-duplication
default-action accept
from-vsmart lists vpn-list vpn_packet_dup_4001
vpn 4001
from-vsmart lists data-prefix-list critical_traffic
ip-prefix 0.0.0.0/0 

Exécutez la commande show sdwan tunnel statistics pkt-dup pour afficher les statistiques relatives à la duplication de paquets dans les tunnels de transport SD-WAN.

Router#show sdwan tunnel statistics pkt-dup
 
tunnel stats ipsec 10.0.20.15 10.0.21.16 12346 12386
 pktdup-rx       0
 pktdup-rx-other 56 <<<< Duplicate packets were received on the Secondary tunnel
 pktdup-rx-this  0
 pktdup-tx       0
 pktdup-tx-other 56 <<<< Duplicate packets were sent from the Secondary tunnel
 pktdup-capable  true

tunnel stats ipsec 10.1.15.15 10.1.16.16 12346 12366 
pktdup-rx       56 <<<< Original packets were received on the primary tunnel
 pktdup-rx-other 0
pktdup-rx-this  56 <<<< Duplicate packets were received on secondary tunnel but counted in the primary tunnel statistics
 pktdup-tx       56 <<<< Original packets sent from primary tunnel
 pktdup-tx-other 0  
 pktdup-capable  true <<<< Capability exchange with other edge routers

Exécutez la commande show sdwan bfd sessions pour afficher l'état et les statistiques des sessions BFD entre les routeurs de périphérie SD-WAN.

Router#show sdwan bfd sessions 
                            SOURCE TLOC    REMOTE TLOC              DST PUBLIC DST PUBLIC  DETECT TX 
SYSTEM IP  SITE ID   STATE     COLOR          COLOR     SOURCE IP             IP                     PORT  ENCAP  MULTIPLIER  INTERVAL(msec)  UPTIME TRANSITIONS 
----------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.2.2       10      up        gold          gold      10.0.20.15       10.0.21.16                12346    ipsec     7          1000         5:14:07:51          5 
10.10.2.2       10      up        blue          blue      10.1.15.15       10.1.16.16                12346    ipsec     7          1000         5:14:07:51          5

Exécutez la commande show platform hardware qfp active feature bfd datapath sdwan summary pour afficher les statistiques au niveau du matériel/plan de données, pour les tunnels SD-WAN IPSEC.

Router#show platform hardware qfp active feature bfd datapath sdwan summary
Total number of session: 
LD         SrcIP           DstIP        TX     RX       Encap   State   AppProbe   AdjId
20024     10.0.20.15     10.0.21.16   1057739 1057489    IPSEC    Up     YES       GigabitEthernet0/0/1 (0xf810017f) <<< Identify LD's number that uses the gold color
20028     10.1.15.15     10.1.16.16   1057782 1057494    IPSEC    Up     YES       GigabitEthernet0/0/0 (0xf81001bf) <<< Identify LD's number that uses the blue color

Exécutez la commande show platform hardware qfp active feature sdwan client sysip summary pour afficher un résumé des adresses IP système (sysip) associées à la fonctionnalité client SD-WAN, telles que traitées par le Quantum Flow Processor (QFP).

TunID = ID de tunnel du tunnel SD-WAN local principal (basé sur les 2 derniers chiffres de LD)

DupID = LeID de duplication du tunnel SD-WAN local secondaire (basé sur les 2 derniers chiffres de LD)

Router#show platform hardware qfp active feature sdwan client sysip summary 
SysIP -  SiteID - Next - TunID - DupID - BfdDis - BfdSta - LocCo - RemCo - Encap - feC - mtu

10.10.2.2    10      0      24      28     20024      UP       1       1     IPSEC   352   1442 
10.10.2.2    10      0      28      24     20028      UP       2       2    IPSEC   352   1442

Exécutez la commande show platform hardware qfp active feature sdwan data sysip summary pour afficher un résumé des adresses IP du système SD-WAN dans le plan de données.

TunID = ID de tunnel du tunnel SD-WAN local principal (basé sur les 2 derniers chiffres de LD)

DupID = LeID de duplication du tunnel SD-WAN local secondaire (basé sur les 2 derniers chiffres de LD)

Router#show platform hardware qfp active feature sdwan data sysip summary 
BktIdx    BktAddr      SysIP     SiteID        Next   on-demnd     Gleaning    glean_ipc_paks 
    Idx  TunID  DupID   bfdDisc   bfdState  locCol   remCol Encap  feC mtu   sess-ppe
-------------------------------------------------------------------------------------
77   0x6a9a4c60      10.10.2.2        10          0x0        No         No        0 
0         24     28     20024  3          1     1          IPSEC    352     1442 0x6934f1a0 
1         28     24     20028  3          1     17         IPSEC    352     1442 0x6934f1e0

Commandes supplémentaires pour examiner l'utilisation du CPU :

Router#show processes cpu platform sorted | include CPU 

Router##show platform resources

Router#show processes cpu history

Surveillance des statistiques de duplication de paquets à partir de Cisco Catalyst SD-WAN Manager

Statistiques de duplication de paquets

Informations connexes

• Duplication de paquets
• Groupes de stratégies
• Groupes de configuration SD-WAN Cisco Catalyst