Guida introduttiva - Configurazione semplificata e policy di Catalyst SD-WAN
Sommario
Introduzione
Questo documento descrive una guida introduttiva per semplificare la configurazione e le policy in Catalyst SD-WAN.
Riepilogo
Con il software Cisco Catalyst SD-WAN versione 20.12/17.12, si consiglia di iniziare la migrazione dalla configurazione tradizionale basata sui modelli di dispositivi e funzionalità al nuovo approccio alla configurazione basato sui gruppi di configurazione e sui gruppi di criteri. In questo documento vengono descritti dettagli importanti per il nuovo approccio di configurazione.
L'obiettivo principale di questo documento è quello di servire da guida per iniziare con l'uso di nuovi costrutti per la configurazione, i criteri e l'onboarding, con la versione 20.12 golden release. Il documento non copre le spiegazioni di singole funzionalità.
Nuove distribuzioni
Per utilizzare correttamente il nuovo approccio alla configurazione, è necessario effettuare i seguenti passaggi:
- Rete: Definire la gerarchia di rete e le strutture di sistema.
- Configurazione: Creare la configurazione con i gruppi di configurazione utilizzando il flusso di lavoro.
- Infrastruttura: Se necessario, definire applicazioni personalizzate utilizzando il Catalogo applicazioni.
- Criteri: Creare criteri utilizzando i gruppi di criteri.
- Topologia: Definire la topologia.
- Onboard: dispositivi onboard e tag.
- Distribuisci: consente di associare e distribuire gruppi di configurazione e gruppi di criteri. Attivare Topologia.
Diagramma di flusso per nuove distribuzioni
Distribuzioni esistenti
- Eseguire i passi descritti nella sezione Distribuzioni esistenti.
- Utilizzare lo strumento di conversione per convertire la configurazione e i criteri esistenti in nuovi gruppi di configurazione e gruppi di criteri.
Miglioramento dell'esperienza utente e semplificazione operativa
Cisco Catalyst SD-WAN offre una migliore esperienza utente e semplifica le operazioni.
- Interfaccia utente comune: In Catalyst SD-WAN Manager e altri prodotti Cisco è stata introdotta una nuova struttura di esperienza utente (UX) per garantire la coerenza nell'UX e un aspetto comune a tutti i prodotti.
- Configurazione: Configurazione e implementazione semplificate grazie a flussi di lavoro intuitivi basati sulle finalità e all'utilizzo delle impostazioni predefinite intelligenti consigliate da Cisco.
- Monitoraggio Informazioni approfondite sulle prestazioni e lo stato di rete e delle applicazioni con nuovi widget e dashboard personalizzabili e avanzati.
- Risoluzione dei problemi: Viste dinamiche della topologia di rete e dei siti, accesso agli strumenti di risoluzione dei problemi basati sul contesto, creazione di report sulle prestazioni di rete e applicazioni in base a una pianificazione.
Vantaggi:
|
Facilità d'uso |
Workflow intuitivi e guidati |
|
Espansione della configurazione |
Riduzione dell'espansione (indipendenza dal modello, riutilizzo, struttura) |
|
Creazione della configurazione |
Impostazioni predefinite intelligenti più rapide e semplici |
|
Modifica della configurazione |
Modifica ora, distribuzione selettiva in seguito |
|
Visibilità |
Nuovi dashboard, monitoraggio delle prestazioni di applicazioni/siti |
|
Guida alla risoluzione dei problemi |
Topologia del sito, guida agli strumenti per la risoluzione dei problemi |
Definizione della gerarchia di rete e dei costrutti di sistema
Gerarchia di rete
Fornisce una nozione di "gerarchia", ovvero siti, aree e aree, per la rete. È possibile creare questo file in base alla rete in uso.
Esempio:
NHM (Network Hierarchy Manager)
In questo modo è possibile definire nomi di sito facili da usare e semplificare le operazioni.
Costrutti di sistema
Questi pool automatizzano le assegnazioni di ID sito e IP sistema durante la distribuzione della configurazione del dispositivo.
È possibile definire il pool IP per le assegnazioni automatiche IP sistema. L'ID sito viene assegnato dal pool Global_Site.
Aggiungi parametri pool
Visualizza e gestisci pool
Flussi di lavoro
Un workflow è una raccolta di passi guidati che consentono di eseguire facilmente una determinata operazione.
- L'obiettivo di un flusso di lavoro è aiutare gli utenti principianti a creare facilmente le configurazioni e distribuirle nel dispositivo.
- La maggior parte delle manopole di configurazione e delle impostazioni sono impostate sui valori predefiniti smart consigliati da Cisco.
- Gli utenti devono specificare solo alcune configurazioni.
- Le manopole di configurazione avanzate sono disponibili all'esterno del workflow, dove il gruppo di configurazione può essere modificato manualmente.
In una raccolta flussi di lavoro sono elencati tutti i flussi di lavoro disponibili.
Raccolta flussi di lavoro
Gruppi di configurazione
Configuration Groups è un nuovo approccio alla configurazione del fabric basato su principi di semplicità, riutilizzabilità e struttura.
Struttura dei gruppi di configurazione
Gruppi di configurazione:
- Raggruppamento logico di dispositivi che hanno uno scopo comune nella WAN.
- L'utente definisce e può personalizzare questo raggruppamento in base alle proprie esigenze aziendali.
Ad esempio; Est/Ovest, Americhe/APJC/EMEAR, Retail Store/Distribution Center.
Profili funzionalità:
- 'bucket' flessibili di configurazione che possono essere condivisi tra i gruppi di configurazione.
- Creare profili di feature in base alle feature necessarie.
- Unire i profili per completare la configurazione del dispositivo, ad esempio i blocchi predefiniti.
- Generazione, salvataggio e riutilizzo.
Ad esempio; Basic Profile, WAN Profile, LAN Profile.
Esempi di distribuzione del gruppo di configurazione
Nota:
- I gruppi di configurazione sono indipendenti dal modello di dispositivo.
- I profili delle funzionalità possono essere condivisi tra i gruppi di configurazione.
Caso di utilizzo 1: Cliente governativo
Esempio: caso 1 - Gruppi di configurazione
HUB gruppo di configurazione:
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Opzione Crea flusso di lavoro gruppo di configurazione
Profilo WAN
Esempio di caso 1 - Profilo WAN 1
Utilizzando il workflow, è possibile generare la configurazione completa del profilo WAN per questo Use Case.
Entità quali l'IP statico effettivo, l'indirizzo IP/subnet/hop successivo predefinito statico e così via possono essere specificate come globali o specifiche del dispositivo.
È possibile specificare l'opzione specifica del dispositivo con i valori effettivi durante la distribuzione del gruppo di configurazione nei dispositivi.
Profilo LAN
Esempio di caso 1 - Profilo LAN 1
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo LAN per questo Use Case.
- 2 VPN
- Routing BGP in ciascuna VPN (numero AS, prefissi di rete, router adiacenti)
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Nota: La configurazione avanzata, ad esempio la ridistribuzione della route e l'annuncio della route predefinita, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione e le sottointerfacce, se queste verranno utilizzate durante la distribuzione.
Profilo di sistema
Esempio di utilizzo 1 - Profilo di sistema 1
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo di sistema per questo Use-Case, ovvero OMP, AAA, NTP, Logging e così via.
Nota: La configurazione avanzata, come la ridistribuzione OMP-BGP e qualsiasi altra modifica apportata alle funzionalità del sistema come OMP, AAA, NTP e così via, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione.
Tipo sito del gruppo di configurazione1:
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Profilo WAN
Esempio di caso 1 - Profilo WAN 2
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo WAN per questo Use-Case. Interfacce Ethernet per Internet e Starlink. DHCP.
Nota: L'interfaccia cellulare per il collegamento LTE, incluso il percorso statico, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione.
Profilo LAN
Esempio di caso 1 - Profilo LAN 2
Utilizzando il flusso di lavoro, è possibile generare una parte della configurazione del profilo LAN per questo Use-Case. 2 VPN, route statica DIA.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Nota: SVI, SSID wireless, porte degli switch di accesso e così via devono essere configurati dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione.
Profilo di sistema
Esempio di caso 1 - Profilo di sistema 2
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo di sistema per questo Use-Case, ovvero OMP, AAA, NTP, Logging e così via.
Nota: La configurazione avanzata, ad esempio il monitoraggio delle prestazioni delle applicazioni, deve essere configurata dopo il flusso di lavoro modificando manualmente il gruppo di configurazione.
Profilo CLI
Esempio di utilizzo 1 - Profilo CLI 2
Le funzionalità non supportate tramite GUI, ad esempio l'abilitazione App/Flow Visibility (NBAR), possono essere configurate utilizzando un profilo CLI.
Visibilità app/flusso:
Per abilitare la visibilità dell'applicazione e del flusso, usare il profilo/pacchetto CLI.
(Nella versione 20.13 e successive è disponibile in Impostazioni avanzate in Gruppo di criteri)
Tuttavia, nella versione 20.12, se è configurato un criterio AAR, la visibilità App/Flusso è abilitata. E la configurazione con il profilo/pacchetto CLI non è richiesta.
TipoSito2 del gruppo di configurazione:
Eseguire il flusso di lavoro Crea gruppo di configurazione.
profilo WAN
Esempio di caso 1 - Profilo WAN 3
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo WAN per questo Use-Case. Ethernet interface (interfaccia Ethernet per Internet). DHCP.
Nota: L'interfaccia cellulare per il collegamento LTE, incluso il percorso statico, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione.
Profilo LAN
Esempio di caso 1 - Profilo LAN 3
Utilizzando il flusso di lavoro, è possibile generare una parte della configurazione del profilo LAN per questo Use-Case. 1 VPN, route statica DIA.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Nota: La SVI, la porta dello switch di accesso e così via devono essere configurate dopo il workflow, modificando manualmente il gruppo di configurazione.
Profilo di sistema:
Uguale a SiteType1 del gruppo di configurazione.
Profilo CLI:
Uguale a SiteType1 del gruppo di configurazione.
Gruppo di configurazione SiteType3:
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Profilo WAN:
Uguale a SiteType2 del gruppo di configurazione.
Profilo LAN
Esempio di caso 1 - Profilo LAN 4
Utilizzando il flusso di lavoro, è possibile generare una parte della configurazione del profilo LAN per questo Use-Case. 1 VPN, route statica DIA.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Nota: SVI, Wireless SSID, porta dello switch di accesso e così via, devono essere configurati dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione.
Profilo di sistema:
Uguale a SiteType1 del gruppo di configurazione.
Profilo CLI:
Uguale a SiteType1 del gruppo di configurazione.
Caso di utilizzo 2: Cliente vendita al dettaglio
Esempio: Caso 2 - Gruppi di configurazione
Sede centrale e magazzino del gruppo di configurazione
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Profilo WAN:
Utilizzando il workflow, è possibile generare tutta la configurazione del profilo WAN per questo use-case.
Profilo LAN:
Utilizzando il flusso di lavoro, è possibile generare tutta la configurazione del profilo LAN per questo Use-Case.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Profilo di sistema:
Utilizzando il flusso di lavoro, è possibile generare tutte le configurazioni del profilo di sistema per questo Use Case.
Nota: Se sono necessarie modifiche o se è necessaria una configurazione avanzata, ad esempio il monitoraggio delle prestazioni delle applicazioni, è necessario configurarle dopo il flusso di lavoro modificando manualmente il gruppo di configurazione.
Archivi gruppo di configurazione:
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Profilo WAN:
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo WAN per questo Use-Case.
Nota: L'interfaccia cellulare per il collegamento LTE, incluso il routing, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione.
Profilo LAN:
Utilizzando il flusso di lavoro, è possibile generare tutta la configurazione del profilo LAN per questo Use-Case.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Profilo di sistema:
Uguale a Configuration Group HQ e Warehouse.
Associa
Nella pagina di modifica del gruppo di configurazione (Configurazione -> Gruppi di configurazione), è possibile associare i dispositivi al gruppo di configurazione.
Fare clic su Associa dispositivi e scorrere i passaggi del workflow.
Associa dispositivo - Gruppi di configurazione
Implementazione
Eseguire il flusso di lavoro Distribuisci gruppo di configurazione.
Distribuisci flusso di lavoro gruppo di configurazione
Nota:
- Nel gruppo di configurazione, il comando Change Device Values modifica solo il valore nel database di Manager e NON elimina le modifiche apportate a un dispositivo. Se si desidera che la modifica venga eseguita immediatamente, è necessario distribuire le modifiche.
- L'esportazione dei valori delle variabili di dispositivo (come file CSV) può essere eseguita nel flusso di lavoro Distribuisci nel passaggio Aggiungi/Rivedi configurazione dispositivo.
Riutilizzabilità
- I gruppi di configurazione sono indipendenti dal modello di dispositivo.
Gruppo di configurazione - Agnostico modello di dispositivo
Nota: Se una particolare configurazione non è supportata su un modello di dispositivo, il corrispondente Feature Parcel Push non viene eseguito e viene visualizzato un messaggio appropriato come parte dell'attività di distribuzione.
Esempio: Un dispositivo non supporta Wi-Fi, ma il gruppo di configurazione contiene un pacchetto Wi-Fi. Al momento della distribuzione, la configurazione del pacchetto Wi-Fi viene ignorata e il messaggio dell'attività di distribuzione informa che il push della configurazione Wi-Fi è stato ignorato.
- Utilizzare variabili di configurazione - valori specifici della periferica.
Gruppo di configurazione - Variabili specifiche del dispositivo
Per un profilo di feature è possibile definire alcune configurazioni come specifiche del dispositivo, in modo analogo alle variabili di modello.
Esempio: Indirizzo IP interfaccia, numeri di porta, nome interfaccia e così via.
Questi valori specifici del dispositivo possono essere forniti al momento della distribuzione. E può essere diverso a seconda del tipo di apparecchio.
Gruppo di configurazione - Variabili specifiche del dispositivo Esempio 1
Esempio di gruppo di configurazione - variabili specifiche del dispositivo 2
Esempio di gruppo di configurazione - variabili specifiche del dispositivo 3
- Riutilizzare i profili delle feature.
I profili di feature possono essere riutilizzati tra i gruppi di configurazione.
Figura:
Per diversi dispositivi, se le configurazioni WAN e di sistema sono le stesse e differiscono solo nella configurazione LAN, ad esempio, i profili WAN e di sistema possono essere riutilizzati nei rispettivi gruppi di configurazione e avere un profilo LAN diverso in ciascuno di essi.
Riutilizza profili funzionalità - 1
Profilo LAN 1
Riutilizza profili funzionalità - 2
Profilo LAN 2
Riutilizza profili funzionalità - 3
Profilo LAN 3
Profilo oggetto criteri
Il profilo dell'oggetto criterio contiene tutti i gruppi di interesse o gli elenchi utilizzati con i criteri localizzati (ACL, criteri di route e così via) nei gruppi di configurazione, nei criteri nei gruppi di criteri e nella topologia.
Si tratta di un profilo condiviso (globale) che viene utilizzato in gruppi di configurazione, gruppi di criteri e topologia.
Timer di rollback
Il timer di rollback è fissato in 5 minuti con i gruppi di configurazione (a causa dell'uso di un nuovo modello di pull su NETCONF, non è più necessario che sia configurabile).
Catalogo applicazioni
I dispositivi tradizionali sono stati in grado di modificare i flussi di traffico mediante la corrispondenza condizionale di indirizzi IP di origine e/o di destinazione, porte di origine e destinazione e protocolli. Poiché un numero sempre maggiore di applicazioni dipende dal DNS o è integrato nel protocollo HTTP, è più difficile identificare con precisione il traffico di rete a livello di applicazione.
Il motore NBAR (Network Based Application Recognition) di Cisco è in grado di classificare oltre 1500 applicazioni fornendo ai tecnici di rete la capacità di classificare e manipolare i flussi di traffico con maggiore granularità. Cisco Catalyst SD-WAN Manager consente la connessione a un repository di applicazioni Cisco in cui le firme per le applicazioni possono essere aggiornate rapidamente; che ha significato quando i provider di cloud modificano percorsi di hosting o modelli di traffico.
Il catalogo applicazioni consente di creare applicazioni personalizzate in base alla corrispondenza di nome server, indirizzo IP, porte o protocollo. L'applicazione viene quindi definita per una famiglia di applicazioni, un gruppo di applicazioni, una classe di traffico e una pertinenza aziendale specifici.
Catalogo applicazioni
Le applicazioni possono essere trascinate in base alla pertinenza aziendale e/o alla classificazione del traffico appropriata. Al momento del salvataggio delle modifiche, le definizioni vengono aggiornate nel database.
Nota: Le classificazioni delle applicazioni sono globali e una modifica apportata al Catalogo applicazioni influisce su tutte le classificazioni dei dispositivi.
Gruppi di criteri
Analogamente ai gruppi di configurazione, un gruppo di criteri è un raggruppamento di criteri distribuiti ai dispositivi associati al gruppo di criteri
Il gruppo di criteri affronta la creazione e la distribuzione delle politiche in base alle finalità. Un'interfaccia utente e un flusso di lavoro semplificati semplificano la creazione di una regola, il raggruppamento delle regole e la distribuzione ai dispositivi.
|
Prerequisito: l'associazione e la distribuzione del gruppo di configurazione a un dispositivo è un prerequisito per la distribuzione del gruppo di criteri a tale dispositivo. |
Gruppi di criteri
Priorità delle applicazioni e SLA
Con questa finalità di criterio, è possibile specificare:
- Routing compatibile con le applicazioni e criteri SLA
- Criteri QoS
- Criteri dati traffico
- criteri DIA
- Criteri SIG
Sono disponibili due modalità.
Modalità semplice
Questa è la modalità predefinita.
Modalità semplice
In questo modo è possibile definire in modo semplice e rapido la priorità dell'applicazione e lo SLA per la rete.
Nota: 1. L'azione criterio predefinita è DROP.
2. I criteri di corrispondenza possono essere solo applicazioni. Se sono necessari i prefissi, utilizzare la modalità avanzata
Modalità avanzata
Si tratta di una modalità completa e flessibile.
Modalità avanzata
Nota:
1. L'azione criterio predefinita è DROP.
2. L'elenco delle applicazioni e la classe del traffico sono essenzialmente un elenco delle applicazioni.
È possibile utilizzare uno dei due per trovare una corrispondenza con un elenco di applicazioni. Il mapping delle applicazioni alla classe traffico può essere eseguito in Catalogo applicazioni.
La modalità Semplice genera regole utilizzando una o entrambe le opzioni, mentre la modalità Avanzata fornisce solo Elenco applicazioni.
Quality of Service (QoS)
Nell'opzione QoS Queue, è possibile aggiungere un criterio QoS:
Aggiungi criterio QoS
Accodamento modelli
Successivamente è possibile definire il criterio Dati traffico (Aggiungi criterio traffico).
Aggiungere le regole in base al traffico desiderato e reindirizzarle alle classi di inoltro appropriate.
Criterio QoS 2
Routing compatibile con applicazioni
È possibile definire classi SLA e utilizzarle in un criterio Traffico per realizzare le finalità di un criterio AAR.
Criterio AAR
Visibilità app/flusso:
Per abilitare la visibilità dell'applicazione e del flusso, usare il profilo/pacchetto CLI in Configuration Group.
Nella versione 20.13 e successive è disponibile in Impostazioni avanzate in Gruppo di criteri.
Tuttavia, nella versione 20.12, se è configurato un criterio AAR, la visibilità App/Flusso è abilitata. E la configurazione con il profilo/pacchetto CLI non è richiesta.
Come aggiungere la configurazione "ip nbar protocol-discovery" alle interfacce VPN?
A partire dal 20.15:
Quando la visibilità dell'app è abilitata (da Priorità applicazione e criteri SLA -> Impostazioni aggiuntive), la configurazione "ip nbar protocol-discovery" viene inviata a tutte le interfacce VPN del servizio. Non sono necessari ulteriori passaggi.
Fino al 20.14:
L'aggiunta di un pacchetto di monitoraggio delle prestazioni delle applicazioni nel profilo di sistema abilita la configurazione "ip nbar protocol-discovery" su tutte le interfacce VPN del servizio. Se si desidera eseguire questa operazione solo per un'interfaccia VPN del servizio specifica, è possibile eseguire l'operazione tramite un profilo CLI.
Criteri traffico
Le policy sul traffico possono anche essere usate per creare una policy DIA, il reindirizzamento SIG e così via. Aggiungere le regole come richiesto.
Criteri traffico
Nota: Se un criterio SLA e priorità applicazione viene creato in modalità semplice e quindi viene attivata la modalità avanzata, alcune opzioni di corrispondenza non saranno disponibili per la selezione. Esempio: Il prefisso dei dati di destinazione è disattivato.
Per rendere disponibili queste opzioni, modificare il protocollo da BOTH a IPv4 o IPv6 in base alle esigenze.
Sicurezza integrata
Definisce i criteri di sicurezza per NGFW, IPS, Malware e filtro contenuti integrati.
Per ulteriori informazioni, fare riferimento a:
Guida alla configurazione della sicurezza di Catalyst SD-WAN
Secure Internet Gateway/Secure Service Edge
Definisce le impostazioni necessarie per stabilire tunnel per il contenuto basato su cloud e le entità di sicurezza, ad esempio Cisco Secure Access.
Nota: Con l'approccio di configurazione legacy, questo era disponibile come modello di feature.
Sicurezza DNS
Definire le impostazioni per consentire l'utilizzo dei servizi di sicurezza DNS basati sul cloud per il filtro dei contenuti.
Gruppi di interesse
Definire gli elenchi di oggetti da utilizzare nei criteri. Esempio: Elenchi applicazioni, elenchi VPN, elenchi siti, elenchi prefissi e così via.
Inoltre, per i criteri di protezione, definire i profili come i profili di ispezione avanzata, i criteri di decrittografia SSL e così via.
Gruppi di politiche - Gruppi di interesse
Associa e distribuisci
Analogamente ai gruppi di configurazione, associare i dispositivi al gruppo di criteri e distribuirli.
Criteri localizzati
I criteri localizzati, ad esempio ACL, Route, Device Access e così via, sono definiti nei gruppi di configurazione.
Topologia
Definire la topologia di rete.
Iniziate con una mesh completa o Hub-n-Spoke e, se necessario, personalizzatela.
Menu Topologia
Topologia e VPN
Durante la creazione della topologia e la specifica delle VPN, tenere presenti le modifiche alla struttura.
Il nuovo design consente il mapping dinamico del nome della VPN all'ID della VPN, anziché il mapping 1:1.
Mapping di un nome VPN a più ID VPN
Figura:
Si supponga che esista una VPN con il nome Corporate in due gruppi di configurazione diversi.
Uno ha l'ID VPN 10 e l'altro l'ID VPN 20.
Nell'elenco delle VPN del flusso di lavoro della topologia è visualizzata solo un'istanza della VPN aziendale.
Una volta scelta la VPN aziendale, il gestore SD-WAN determina gli ID VPN in base alla topologia.
Si supponga che vi siano due dispositivi in due siti:
1. Dispositivo1 nel sito 100 con Corporate come VPN 10
2. Device2 nel sito 2000 con Corporate come VPN 20
Se entrambi i siti 100 e 200 fanno parte della topologia, SD-WAN Manager crea un elenco VPN con entrambi gli ID VPN (10 e 20).
Se solo il sito 100 fa parte della topologia, SD-WAN Manager crea un elenco VPN con solo ID VPN 10.
Se solo il sito 200 fa parte della topologia, SD-WAN Manager crea un elenco VPN con solo l'ID VPN 20.
Mapping di più nomi VPN allo stesso ID VPN
È possibile configurare più criteri di topologia con lo stesso nome VPN mappati a ID VPN diversi in siti diversi.
SD-WAN Manager determina il mapping effettivo in base alla topologia associata a ciascun sito.
Figura:
Due utenti possono creare due diversi gruppi di configurazione.
Uno specifica l'ID VPN 100 come Finance VPN e l'altro come Engineering VPN.
Quindi possono creare la topologia utilizzando i rispettivi nomi VPN.
Carico
Per caricare i router fisici, utilizzare il flusso di lavoro di connessione rapida.
Utilizzando questo flusso di lavoro, predefinire il nome host, l'indirizzo IP del sistema e il nome/ID del sito per i dispositivi da caricare. Manager li genera automaticamente, ma è possibile modificarli se lo si desidera. È inoltre possibile contrassegnare i dispositivi che possono essere utilizzati per associare automaticamente i dispositivi ai gruppi di configurazione.
Durante il processo di onboarding PnP ZTP, i dispositivi stabiliscono le connessioni del tunnel del control plane al gestore SD-WAN. SD-WAN Manager ora trasferisce la configurazione predefinita del fabric ai dispositivi e questi ultimi si uniscono al fabric SD-WAN.
Flusso di lavoro di connessione rapida
Descrizione flusso di lavoro connessione rapida
Applicazione di tag
I dispositivi possono essere associati a tag definiti dall'utente.
I tag possono essere utilizzati per raggruppare, descrivere, trovare o gestire i dispositivi.
Tag consente il raggruppamento di dispositivi che possono essere utilizzati in altre funzioni.
Esempi di tag
Esempio: Associazione dei gruppi di configurazione ai dispositivi.
È possibile impostare le regole del gruppo di configurazione in modo da associare automaticamente i dispositivi con tag specifici a tale gruppo di configurazione.
Aggiungi tag
In Configurazione > Dispositivi, è possibile creare/aggiungere/rimuovere tag dai dispositivi.
Regole tag nel gruppo di configurazione
Nella pagina Gruppo di configurazione > Dispositivi associati, è possibile aggiungere/modificare le regole di tag.
Illustrazione
Applicazione di tag all'illustrazione
Distribuzioni esistenti
Nella rete SD-WAN, i dispositivi che utilizzano la configurazione e le policy legacy possono coesistere con i dispositivi che utilizzano la configurazione e le policy semplificate.
In questa sezione vengono forniti alcuni suggerimenti per gli utenti che desiderano trarre vantaggio dalla configurazione semplificata e dai criteri.
Il primo passaggio prevede la migrazione dei dispositivi dai modelli di dispositivo ai gruppi di configurazione. Al termine, è possibile distribuire gruppi di criteri e/o topologia.
Gruppi di configurazione
I modelli di dispositivo e i gruppi di configurazione forniscono la configurazione dei dispositivi periferici. Quindi è facile che si verifichi la coesistenza. I passaggi per la migrazione da un modello di dispositivo a un gruppo di configurazione sono i seguenti:
|
Passaggio 1. |
Estrarre una copia dei valori dei dispositivi dai modelli di dispositivo. A tale scopo, dalla finestra Configuration à Templates, fare clic sui puntini di sospensione (...) a destra del gruppo di dispositivi e scegliere Esporta CSV. |
|
Passaggio 2. |
Creare un gruppo di configurazione (manualmente o con lo strumento di conversione). |
|
Passaggio 3. |
Scollegare il modello dal dispositivo. A questo punto, il dispositivo mantiene la configurazione nel punto di attacco; ma non riceve le modifiche future apportate al modello di dispositivo (o ai modelli di funzionalità dei componenti). |
|
Passaggio 4. |
Associare i dispositivi al nuovo gruppo di configurazione. |
|
Passaggio 5. |
Distribuire i dispositivi associati al gruppo di configurazione. Per semplificare questo processo, aprire il file CSV esportato e modificare le intestazioni di colonna CSV in modo che corrispondano alle nuove variabili del gruppo di configurazione. |
|
Passaggio 6. |
Dopo la schermata di input delle variabili del dispositivo, è possibile visualizzare in anteprima la configurazione del dispositivo. Viene visualizzata un'anteprima delle parti del gruppo di configurazione che non corrispondono all'istanza precedente. o quali variabili sono state modificate dal modello di dispositivo. |
Il mantenimento di uno schema di denominazione coerente per le variabili semplifica le impostazioni specifiche del dispositivo. Se tutti i valori di dispositivo si trovano in un unico CSV, è necessario rinominare le intestazioni di colonna una sola volta.
Nota: Esiste uno script Python che funziona con i file CSV per i modelli di dispositivo o i gruppi di configurazione per consolidare e rendere alfabetiche le intestazioni di colonna. Lo script è disponibile qui:
Gruppi di criteri
I dispositivi configurati tramite i gruppi di configurazione possono utilizzare un criterio centralizzato o eseguire la migrazione a un gruppo di criteri; ma non entrambi contemporaneamente per la stessa applicazione. In sostanza, l'obiettivo è mantenere la stessa policy di base per i dispositivi periferici. I gruppi di criteri combinano le regole AAR e di dati originali in un unico componente SLA PG e Application Priority. In sostanza, si sta modificando il modo in cui viene creata la configurazione per le policy (ma non è possibile inviarla al gestore SD-WAN).
È importante notare che non è possibile fare riferimento a un criterio dati o a un criterio AAR in un elenco siti con un sito con il componente Priorità applicazione e SLA in quanto entrambi configurano la stessa impostazione.
I criteri centralizzati possono fare riferimento a un sito che utilizza un gruppo di criteri con priorità dell'applicazione e SLA solo se configurano componenti diversi di un criterio centralizzato.
Per eseguire la migrazione di un dispositivo da un criterio centralizzato a un gruppo di criteri, è necessario eseguire i passaggi seguenti:
|
Passaggio 1. |
Creare i componenti del gruppo di criteri necessari (priorità e contratto di servizio dell'applicazione, sicurezza integrata, gateway Internet sicuro/Secure Service Edge, sicurezza DNS). |
|
Passaggio 2. |
Creare il gruppo di criteri e associare i componenti necessari. |
|
Passaggio 3. |
Dissociare l'ID del sito da tutti gli elenchi siti che sono riferimenti in AAR o criteri dati. |
|
Passaggio 4. |
Associare i dispositivi al gruppo di criteri e salvare il gruppo di criteri. |
|
Passaggio 5. |
Distribuire il gruppo di criteri ai dispositivi selezionati. A questo punto, il gestore SD-WAN invia le configurazioni aggiornate ai dispositivi Edge (per QoS/SIG) e ai controller; in modo che i controller possano inviare policy di dati aggiornati ai dispositivi periferici. |
Nota: Mentre i gruppi di criteri possono coesistere con un criterio centralizzato, si consiglia di mantenere un criterio centralizzato (per AAR e criteri dati) durante la conversione dei dispositivi periferici in gruppi di configurazione. A questo punto, avviare la migrazione da Criteri centralizzati a Gruppi di criteri per la funzionalità all'interno del componente Priorità applicazione e SLA.
Questa procedura è estremamente semplice e consente di ridurre la confusione tra il personale operativo.
Nota: Il modulo di gestione del gruppo di criteri archivia gli elementi in un formato diverso. Pertanto, è necessario ricreare nel gruppo di criteri un elenco di prefissi utilizzato in un criterio centralizzato. Questo può accadere per altre cose come gli elenchi dei siti, e così via.
Topologia
I dispositivi configurati tramite i gruppi di configurazione possono utilizzare un criterio centralizzato oppure eseguire la migrazione a una topologia. In sostanza, l'obiettivo è quello di mantenere la stessa policy di controllo sottostante per i controller SD-WAN. La topologia è l'ultima iterazione dei criteri di controllo.
È importante notare che non è possibile fare riferimento a un criterio di controllo in un elenco siti con un sito a cui è associata una topologia, in quanto entrambi configurano la stessa impostazione.
È possibile disporre di un criterio centralizzato con un solo criterio dati e/o AAR e di un criterio topologico quando configurano componenti diversi.
Passaggi per eseguire la migrazione di un dispositivo da un criterio centralizzato a un gruppo di criteri:
|
Passaggio 1. |
Creare i componenti della topologia necessari. |
|
Passaggio 2. |
Dissociare i lati dall'elenco di topologia precedente nel criterio centralizzato. |
|
Passaggio 3. |
Dissociare l'ID del sito dagli elenchi siti a cui si fa riferimento in AAR o in Criteri dati. |
|
Passaggio 4. |
Attivare la topologia. A questo punto, SD-WAN Manager invia le configurazioni aggiornate ai Controller e modifica tutte le route trasmesse ai dispositivi periferici. |
Nota: Sebbene la topologia possa coesistere con un criterio centralizzato, si consiglia di mantenere un criterio centralizzato (per la topologia e la modifica della route) durante la conversione dei dispositivi periferici in gruppi di configurazione. A questo punto, avviare la migrazione da Criterio centralizzato a Topologia per la funzionalità di modifica delle topologie e di modifica del routing.
Questa procedura è estremamente semplice e consente di ridurre la confusione tra il personale operativo.
Strumento di conversione
Ambito
Lo strumento di conversione della configurazione converte i modelli e i criteri in gruppi di configurazione e gruppi di criteri. Raccoglie la configurazione dei modelli e dei criteri da un gestore SD-WAN di destinazione, la converte nei gruppi di configurazione e negli equivalenti dei gruppi di criteri e carica la nuova configurazione nel gestore SD-WAN di destinazione. Lo strumento fornisce attualmente il supporto per la conversione di modelli e criteri per 20.12 e 20.13.
Dettagli di accesso
Lo strumento di conversione della configurazione è disponibile sul portale SD-WAN (formalmente noto come SSP).
Modalità d'uso
Prerequisiti
Prima di usare lo strumento, verificare che il gestore SD-WAN sia in esecuzione sulla versione 20.12.x. In caso contrario, eseguire l'aggiornamento alla versione 20.12 prima di procedere.
Inoltre, il gestore SD-WAN di destinazione deve essere accessibile via Internet e deve accettare il traffico in entrata proveniente da 74.207.103.254.
Workflow dello strumento di conversione della configurazione
|
Passaggio 1. |
Accedere al portale SD-WAN utilizzando le credenziali CCO. · Se si è un amministratore di Smart Account, si è connessi al portale SD-WAN normalmente. Scegliere Conversione configurazione dal menu a sinistra per accedere al workflow. · Se non si è un amministratore di Smart Account, viene visualizzata una pagina 403 vietata con un collegamento allo strumento. Fare clic sul collegamento per accedere al workflow. |
|
Passaggio 2. |
Dettagli: Fornire l'IP o l'URL di SD-WAN Manager insieme alle credenziali utente. · L'utente deve disporre dell'accesso in lettura/scrittura. · I campi relativi alla porta (l'impostazione predefinita è 443) e al sottodominio sono facoltativi. |
|
Passaggio 3. |
Importa: Per recuperare la configurazione (modelli e criteri), sono disponibili due opzioni: 1. Fare clic sul pulsante Raccogli per recuperare tutte le configurazioni (modelli di dispositivo, modelli di funzionalità, criteri e costrutti associati) da SD-WAN Manager. · Una volta raccolti, è possibile scaricare un file JSON contenente tutti gli elementi di configurazione. Questo file può essere usato in questo passaggio in un secondo momento, invece di raccogliere di nuovo da SD-WAN Manager. 2. Caricare un file JSON contenente i modelli e i criteri prodotti in precedenza da questo passaggio. |
|
Passaggio 4. |
Scegli: Scegliere i modelli e i criteri da convertire. Per convertire gli elementi di configurazione scelti, fare clic su Convert (Converti). ·NOTA: È possibile scegliere i modelli di dispositivo singolarmente, tuttavia i criteri sono tutti o niente (ovvero, tutti i criteri vengono convertiti o nessun criterio viene convertito). |
|
Passaggio 5. |
Converti: In questa pagina vengono visualizzati tutti gli elementi di configurazione appena convertiti. Esaminare gli elementi creati e i relativi stati. Se lo stato di un elemento è Parziale, esaminare l'icona relativa alle informazioni per comprenderne il motivo. Una volta pronti, fare clic su Upload per creare queste nuove configurazioni in SD-WAN Manager. |
|
Passaggio 6. |
Riepilogo: In questa fase vengono creati i nuovi elementi di configurazione in SD-WAN Manager. Durante la creazione delle configurazioni, è possibile visualizzare l'indicatore di stato. Una volta completato il caricamento, viene visualizzato un riepilogo delle configurazioni caricate e dei relativi stati. · In caso di errore, in questa fase sono disponibili le opzioni Annulla caricamento (durante la creazione) e Rollback (dopo la creazione). L'esecuzione di un'operazione di annullamento del caricamento o di rollback comporta la rimozione di tutti gli elementi di configurazione creati in SD-WAN Manager durante questo flusso di lavoro/sessione. Se si esce dal flusso di lavoro, non sarà più possibile annullare le modifiche in un secondo momento. Sarà pertanto necessario eliminare manualmente gli elementi indesiderati. |
Post-conversione
La nuova configurazione è pronta per l'uso. Eseguire i passaggi della sezione Distribuzioni esistenti per eseguire la migrazione dei dispositivi ai gruppi di configurazione e ai gruppi di criteri appena convertiti.
Considerazioni
- Le conversioni fornite dallo strumento servono da guida. Analisi e test prima della distribuzione in un ambiente di produzione.
- Lo strumento non considera la funzionalità di indipendenza dalla periferica dei gruppi di configurazione. Gli utenti possono analizzare i propri modelli prima di scegliere quali convertire o analizzare i gruppi di configurazione convertiti e associare i dispositivi di conseguenza per trarre vantaggio dalla funzionalità indipendente dai dispositivi.
- I nomi delle variabili e i valori globali della configurazione originale vengono copiati nella configurazione appena convertita. I valori specifici della periferica non sono validi.
- Lo strumento non invia la configurazione ai dispositivi. Dopo aver eseguito le conversioni, l'utente è responsabile di scollegare i dispositivi dai modelli e di associarli ai nuovi gruppi di configurazione.
Supporto
Per qualsiasi problema relativo allo strumento di conversione della configurazione, inviare un'e-mail a sdwan-conversiontool-support@cisco.com.
20.12 Considerazioni
|
No. |
Descrizione articolo |
|
1. |
È necessario eseguire il push della configurazione DNS tramite il profilo aggiuntivo CLI quando si distribuisce il gruppo di configurazione sul server perimetrale con versione inferiore a 17.12. |
|
2. |
La creazione della topologia richiede la selezione dei siti invece di scegliere un'area definita in NHM. |
|
3. |
Il flusso di lavoro Crea gruppo di configurazione non crea una VPN512 e un'interfaccia in questa VPN nel profilo WAN. Se necessario, è possibile crearlo manualmente modificando il gruppo di configurazione. |
|
4. |
La possibilità di copiare/duplicare i criteri nel gruppo di criteri non è supportata. Un insieme di script Python può eseguire questa operazione ed è situato in: |
|
5. |
Le configurazioni di Ottimizzazione AppQoE (TCP Opt e DRE) e Correzione perdite (FEC e Pkt Dup) continuano a utilizzare modelli e criteri legacy. Configurabile tramite il profilo CLI anche in Configuration/Policy Groups (20.14 nel pacchetto UI). |
|
6. |
Cloud onRamp per SaaS continua a utilizzare i modelli/criteri legacy. |
|
7. |
TrustSec/SGT supportato solo con il profilo CLI. |
|
8. |
Supporto di UC Voice/DSP Farm/SRST solo con profilo CLI (a partire da 20,13 nel pacchetto UI). |
Informazioni correlate
- Cisco SD-WAN e cloud networking - canale YouTube
- Configurazione semplificata - Per rendere più semplice SD-WAN con una configurazione semplificata
- 1. Creare la configurazione del sito in pochi semplici clic utilizzando Workflow
- 2. Catalogo di configurazione - Un catalogo di configurazioni Cisco convalidate e gestite per WAN
- Supporto tecnico Cisco e download
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
13-Mar-2025
|
Aggiornamenti alla sezione Strumento di conversione per riflettere le modifiche recenti nell'accesso e nella distribuzione dello strumento. |
1.0 |
16-Aug-2024
|
Versione iniziale |
Feedback