Snelstartgids - Catalyst SD-WAN Vereenvoudigde configuratie en beleid
Inhoud
Inleiding
Dit document beschrijft een snelle startgids voor vereenvoudigde configuratie en beleid in Catalyst SD-WAN.
Samenvatting
Met Cisco Catalyst SD-WAN softwarerelease 20.12/17.12 wordt aanbevolen dat gebruikers migreren van traditionele configuratie op basis van apparaat- en functiesjablonen naar de nieuwe configuratiebenadering op basis van configuratiegroepen en beleidsgroepen. In dit document worden belangrijke details voor de nieuwe configuratiebenadering beschreven.
Het belangrijkste doel van dit document is om te dienen als een gids voor het beginnen met het gebruik van nieuwe constructies voor Configuratie, Beleid en Onboarding, met de gouden versie van 20.12. Het document behandelt geen verklaringen van individuele eigenschappen.
Nieuwe implementaties
Om de nieuwe configuratiebenadering met succes te kunnen gebruiken, moet u de volgende stappen uitvoeren:
- Netwerk: Definieer de netwerkhiërarchie en systeemconstructies.
- Configuratie: Maak een configuratie met configuratiegroepen met behulp van Workflow.
- Toepassingen: Definieer indien nodig aangepaste toepassingen met behulp van de toepassingscatalogus.
- Beleid: Beleid maken met beleidsgroepen.
- Topologie: Definieer de topologie.
- Aan boord: Aan boord en tag-apparaten.
- Implementeren: Associate en implementeren van configuratiegroepen en beleidsgroepen. Topologie activeren.
Stroomschema voor nieuwe implementaties
Bestaande implementaties
- Voer de stappen uit die in het gedeelte Bestaande implementaties zijn vermeld.
- Gebruik het conversiegereedschap om bestaande configuratie en beleid te converteren naar nieuwe configuratiegroepen en beleidsgroepen.
Verbeteringen in gebruikerservaring en operationele vereenvoudiging
Cisco Catalyst SD-WAN biedt een verbeterde gebruikerservaring en vereenvoudigt bewerkingen.
- Vaak UI: Er is een nieuw User Experience (UX)-framework geïntroduceerd in Catalyst SD-WAN Manager en andere Cisco-producten, om te zorgen voor consistentie in de UX en om een gemeenschappelijke look en feel te geven voor alle producten.
- Configuratie: Vereenvoudigde configuratie en beleidsvorming en implementatie met intuïtieve, op intentie gebaseerde workflows en het gebruik van door Cisco aanbevolen slimme standaardwaarden.
- Controle: Rijke inzichten in netwerk- en toepassingsprestaties en gezondheid met nieuwe widgets en aanpasbare en verbeterde dashboards.
- Problemen oplossen: Dynamische site- en netwerktopologieweergaven, toegang tot contextgebaseerde probleemoplossingstools, rapporten over netwerk- en toepassingsprestaties op een geplande basis.
Voordelen:
|
Gebruiksgemak |
Intuïtieve en begeleide werkstromen |
|
Configuratie-wildgroei |
Verminderde wildgroei (model-agnost, hergebruik, structuur) |
|
Configuratie maken |
Sneller en eenvoudiger met slimme defaults |
|
Configuratie-wijziging |
Nu wijzigen, later selectief implementeren |
|
Zichtbaarheid |
Nieuwe dashboards, apps/sites prestatiebewaking |
|
Handleiding voor probleemoplossing |
Websitetopologie en richtlijnen voor probleemoplossing |
Definieer uw netwerkhiërarchie en systeemconstructies
Netwerkhiërarchie
Biedt een notie van ‘hiërarchie’, dat wil zeggen locaties, regio’s en gebieden, voor het netwerk. U kunt dit maken op basis van uw netwerk.
Voorbeeld:
Network Hierarchy Manager (NHM)
Dit helpt bij het definiëren van gebruiksvriendelijke plaatsnamen die bijdragen aan operationele vereenvoudiging.
Systeemconstructies
Deze pools automatiseren systeem-IP en site-ID toewijzingen tijdens de implementatie van de apparaatconfiguratie.
U kunt de IP-pool voor automatische toewijzingen van het systeem-IP definiëren. Site-ID wordt toegewezen uit de Global_Site-pool.
Pool-parameters toevoegen
Pools bekijken en beheren
Werkstromen
Een workflow is een verzameling begeleide stappen om u te helpen een bepaalde taak gemakkelijk uit te voeren.
- Het doel van een workflow is om Novice-gebruikers te helpen eenvoudig configuraties te maken en ze op het apparaat te implementeren.
- De meeste configuratieknoppen/instellingen zijn ingesteld op door Cisco aanbevolen slimme standaardwaarden.
- De gebruikers moeten slechts een paar configuraties specificeren.
- Geavanceerde configuratieknoppen zijn beschikbaar buiten de workflow, waar de configuratiegroep handmatig kan worden bewerkt.
Een werkstroombibliotheek geeft een lijst van alle beschikbare werkstromen.
Werkstroombibliotheek
Configuratiegroepen
Configuration Groups is een nieuwe benadering van fabric-configuratie die is gebaseerd op principes van eenvoud, herbruikbaarheid en structuur.
Structuur van configuratiegroepen
Configuratiegroepen:
- Logische groepering van apparaten die een gemeenschappelijk doel binnen WAN delen.
- De gebruiker bepaalt en kan deze groepering aanpassen op basis van hun bedrijfsbehoeften.
Voorbeeld; Oost/West, Americas/APJC/EMEAR, Detailhandel/Distributiecentrum.
Functieprofielen:
- Flexibele 'emmers' van configuratie die kunnen worden gedeeld over de Configuratiegroepen.
- Maak functieprofielen op basis van vereiste functies.
- Zet profielen samen om de apparaatconfiguratie te voltooien, zoals bouwstenen.
- Bouwen, opslaan en hergebruiken.
Voorbeeld; Basisprofiel, WAN-profiel, LAN-profiel.
Installatievoorbeelden voor configuratiegroep
Opmerking:
- Configuratiegroepen zijn Agnostische apparaatmodellen.
- Functieprofielen kunnen worden gedeeld tussen de Configuratiegroepen.
Use-Case 1: Klanten bij overheid
Voorbeeld gebruik 1 - Configuratiegroepen
HUB van de configuratiegroep:
Voer het Werkschema Create Configuration Group uit.
Optie voor configuratiegroep werkstroom maken
WAN-profiel
Voorbeeld gebruik 1 - WAN-profiel 1
Met behulp van de workflow kan de volledige WAN-profielconfiguratie voor deze gebruikscase worden gegenereerd.
Entiteiten zoals werkelijke Statische IP, Statische Standaard IP/Subnet/Next-Hop enzovoort kunnen als Globaal of Apparaatspecifiek worden gespecificeerd.
De apparaat-specifieke optie kan met daadwerkelijke waarden tijdens plaatsing van de configuratie-groep aan de apparaten worden gespecificeerd.
LAN-profiel
Voorbeeld gebruik 1 - LAN Profile 1
Met behulp van de workflow kunnen de meeste LAN-profielconfiguraties voor deze use-case worden gegenereerd.
- 2 VPN’s
- BGP-routing in elk van de VPN’s (AS-nummer, netwerkprefixes, buren)
Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.
Opmerking: Geavanceerde configuratie zoals routeherdistributie en standaardrouteradvertentie moeten worden geconfigureerd na de workflow, door handmatig de configuratiegroep te bewerken, evenals de subinterfaces als deze tijdens de implementatie zullen worden gebruikt.
Systeemprofiel
Voorbeeld gebruik 1 - Systeemprofiel 1
Met behulp van de workflow kan de meeste systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, vastlegging enzovoort.
Opmerking: Geavanceerde configuratie zoals OMP-BGP herdistributie en alle andere veranderingen in de System functies zoals OMP, AAA, NTP, enzovoort, moeten worden geconfigureerd na de workflow, door handmatig de Configuration groep te bewerken.
Configuratie groep SiteType1:
Voer het werkvenster Configuratie-groep maken uit.
WAN-profiel
Voorbeeld gebruik 1 - WAN-profiel 2
Met behulp van de workflow kunnen de meeste WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet interfaces voor internet en Starlink. DHCP.
Opmerking: De mobiele interface voor LTE-link, inclusief de statische route, moet na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.
LAN-profiel
Voorbeeld gebruik 1 - LAN profiel 2
Met behulp van de workflow kunnen bepaalde netwerkprofielconfiguraties voor deze use-case worden gegenereerd. 2 VPN’s, DIA statische route.
Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.
Opmerking: SVI's, draadloze SSID's, Access switch-poorten enzovoort moeten na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.
Systeemprofiel
Voorbeeld gebruik 1 - systeemprofiel 2
Met behulp van de workflow kan de meeste systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, vastlegging enzovoort.
Opmerking: Geavanceerde configuratie, zoals Application Performance Monitoring, moet worden geconfigureerd na de workflow, door de groep Configuration handmatig te bewerken.
CLI-profiel
Voorbeeld gebruik 1 - CLI profiel 2
Functies die niet via GUI worden ondersteund, zoals App/Flow Visibility (NBAR) inschakelen, kunnen worden geconfigureerd met behulp van een CLI-profiel.
Zichtbaarheid app/flow:
Gebruik CLI-profiel/pakket om app-zichtbaarheid en flowzichtbaarheid mogelijk te maken.
(In 20.13 en hoger is deze software beschikbaar onder Advanced Settings in Policy Group)
In 20.12 echter wordt App/Flow Visibility ingeschakeld als er een AAR-beleid is ingesteld. En het configureren van dit profiel/pakket met CLI is niet vereist.
Configuratiegroep SiteType2:
Voer het werkvenster Configuratie-groep maken uit.
WAN-profiel
Voorbeeld gebruik 1 - WAN Profile 3
Met behulp van de workflow kunnen de meeste WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet-interface voor internet DHCP.
Opmerking: De mobiele interface voor LTE-link, inclusief de statische route, moet na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.
LAN-profiel
Voorbeeld gebruik 1 - LAN Profile 3
Met behulp van de workflow kunnen bepaalde netwerkprofielconfiguraties voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.
Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.
Opmerking: SVI, Access switch-poort enzovoort moeten worden geconfigureerd na de workflow door de groep Configuration handmatig te bewerken.
Systeemprofiel:
Dit is hetzelfde als de Configuration Group SiteType1.
CLI-profiel:
Dit is hetzelfde als de Configuration Group SiteType1.
Configuratiegroep SiteType3:
Voer het werkvenster Configuratie-groep maken uit.
WAN-profiel:
Dit is hetzelfde als de Configuration Group SiteType2.
LAN-profiel
Voorbeeld gebruik 1 - LAN Profile 4
Met behulp van de workflow kunnen bepaalde netwerkprofielconfiguraties voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.
Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.
Opmerking: SVI, Wireless SSID, Access switch poort enzovoort moeten worden geconfigureerd na de workflow, door de Configuration groep handmatig te bewerken.
Systeemprofiel:
Dit is hetzelfde als de Configuration Group SiteType1.
CLI-profiel:
Dit is hetzelfde als de Configuration Group SiteType1.
Use-Case 2: Kleinhandelingsklant
Voorbeeld gebruik 2 - Configuratiegroepen
Hoofdkantoor en magazijn van de configuratiegroep
Voer het werkvenster Configuratie-groep maken uit.
WAN-profiel:
Alle WAN-profielconfiguratie voor deze use-case kan worden gegenereerd met behulp van de workflow.
LAN-profiel:
Met behulp van de workflow kunnen alle LAN-profielconfiguraties voor deze use-case worden gegenereerd.
Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.
Systeemprofiel:
Met behulp van de workflow kunnen alle Systeemprofielconfiguraties voor deze use-case worden gegenereerd.
Opmerking: Als er wijzigingen nodig zijn of als geavanceerde configuratie zoals Application Performance Monitoring vereist is, moeten deze na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.
Configuratiegroep opslaan:
Voer het werkvenster Configuratie-groep maken uit.
WAN-profiel:
Met behulp van de workflow kunnen de meeste WAN-profielconfiguratie voor deze use-case worden gegenereerd.
Opmerking: De mobiele interface voor LTE-link, inclusief routing, moet na de workflow worden geconfigureerd door de groep Configuration handmatig te bewerken.
LAN-profiel:
Met behulp van de workflow kunnen alle LAN-profielconfiguraties voor deze use-case worden gegenereerd.
Entiteiten zoals echte Dot1Q subinterfaces en elke andere entiteit die gemarkeerd is als Apparaatspecifiek, kunnen gespecificeerd worden met werkelijke waarden tijdens de implementatie van de Configuration-groep op de apparaten.
Systeemprofiel:
Dit is hetzelfde als het hoofdkantoor en het magazijn van de configuratiegroep.
associëren
Op de bewerkingspagina Configuration Group (Configuration -> Configuration Groups) kunt u apparaten koppelen aan de Configuration Group.
Klik op Associate Devices en navigeer door de stappen in de workflow.
Associate Device - Configuratiegroepen
Implementeren
Voer het Workflow Implementy Configuration Group uit.
Werkstroom voor configuratiegroep implementeren
Opmerking:
- In de Configuratiegroep verandert de Apparaatwaarden wijzigen alleen de waarde in de Manager-database en worden geen wijzigingen in een apparaat uitgevoerd. Als u wilt dat de verandering onmiddellijk plaatsvindt, dan moet u de veranderingen implementeren.
- Het exporteren van apparaat variabele waarden (als een CSV-bestand) kan worden gedaan in de implementatieworkflow in de stap Apparaatconfiguratie toevoegen/bekijken.
Herbruikbaarheid
- Configuratiegroepen zijn apparaatmodel-agnostisch.
Configuratiegroep - Agnostiek voor apparaatmodel
Opmerking: Als een bepaalde configuratie niet wordt ondersteund op een apparaatmodel, vindt de bijbehorende duw van het functiepakket niet plaats en wordt een passend bericht weergegeven als deel van de implementatietaak.
Voorbeeld: Een apparaat ondersteunt Wi-Fi niet, maar de Configuratiegroep bevat een Wi-Fi-pakket. Op het moment van implementatie wordt de Wi-Fi-pakketconfiguratie overgeslagen en de taakmelding voor de implementatie geeft aan dat de Wi-Fi-configuratiepoging is overgeslagen.
- Gebruik de configuratievariabelen - apparaatspecifieke waarden.
Configuratiegroep - apparaatspecifieke variabelen
In een functieprofiel kan een configuratie zijn gedefinieerd als apparaatspecifiek, vergelijkbaar met sjabloonvariabelen.
Voorbeeld: IP-interfaceadres, poortnummers, interfacenaam, enzovoort.
Deze apparaat-specifieke waarden kunnen in implementatietijd worden geleverd. En het kan anders zijn voor verschillende apparaten.
Configuratiegroep - apparaatspecifieke variabelen Voorbeeld 1
Configuratiegroep - apparaatspecifieke variabelen Voorbeeld 2
Configuratiegroep - apparaatspecifieke variabelen Voorbeeld 3
- Functieprofielen opnieuw gebruiken.
Functieprofielen kunnen opnieuw worden gebruikt in verschillende configuratiegroepen.
Illustratie:
Als voor meerdere apparaten de WAN- en systeemconfiguraties hetzelfde zijn en alleen verschillen in de LAN-configuratie, bijvoorbeeld, dan kunnen de WAN- en systeemprofielen opnieuw worden gebruikt in de Configuratiegroepen, terwijl er in elk apparaat een ander LAN-profiel is.
Functieprofielen voor hergebruik - 1
LAN-profiel 1
Functieprofielen voor hergebruik - 2
LAN-profiel 2
Functieprofielen voor hergebruik - 3
LAN-profiel 3
Toepassingscatalogus
Traditionele apparaten waren in staat om verkeersstromen te manipuleren door voorwaardelijke matching van IP-adressen van bronnen en/of bestemmingen, bron-/bestemmingshavens en protocollen. Aangezien steeds meer toepassingen afhankelijk zijn van DNS of zijn ingesloten in HTTP, is het moeilijker om netwerkverkeer op toepassingsniveau nauwkeurig te identificeren.
Cisco’s Network Based Application Recognition (NBAR)-engine heeft de mogelijkheid om meer dan 1500 toepassingen te classificeren, waardoor netwerkengineers beter in staat zijn om verkeersstromen te classificeren en te manipuleren met meer granulariteit. Cisco Catalyst SD-WAN Manager bevat de mogelijkheid om verbinding te maken met een Cisco-toepassingsopslagplaats waar handtekeningen voor toepassingen snel kunnen worden bijgewerkt; die van belang is wanneer cloudproviders hostinglocaties of verkeerspatronen wijzigen.
De Toepassingscatalogus biedt de mogelijkheid om aangepaste toepassingen te maken op basis van de matching van servernaam, IP-adres, poorten of protocol. De toepassing wordt vervolgens gedefinieerd als een specifieke toepassingsfamilie, toepassingsgroep, verkeersklasse en zakelijke relevantie.
Toepassingscatalogus
Toepassingen kunnen worden gesleept en naar de juiste zakelijke relevantie en/of verkeersclassificatie worden gedropt. Na het opslaan van de wijzigingen worden de definities bijgewerkt in de database.
Opmerking: Toepassingsclassificaties zijn wereldwijd, en een wijziging in de Toepassingscatalogus heeft gevolgen voor alle apparaatclassificaties.
Beleidsgroepen
Gelijkaardig aan de Groepen van de Configuratie, is een Beleidsgroep een groepering van beleid die aan apparaten worden opgesteld verbonden aan de Beleidsgroep
Beleidsgroep benadert beleidsvorming en -ontwikkeling op basis van intentie. Een vereenvoudigde UI en workflow maakt de creatie van een beleid, groepering van beleid en het inzetten op apparaten, een eenvoudige taak.
|
Voorwaarde: de vereniging en de plaatsing van de Configuratiegroep aan een apparaat is een voorwaarde voor de plaatsing van de Beleidsgroep aan dat apparaat. |
Beleidsgroepen
Toepassingsprioriteit en SLA
Met deze beleidsbedoeling kunt u het volgende specificeren:
- Toepassingsbewuste routing en SLA-beleid
- QoS-beleid
- Beleid inzake verkeersgegevens
- DIB-beleid
- SIG-beleid
Er zijn twee modi beschikbaar.
Eenvoudige modus
Dit is de standaardmodus.
Eenvoudige modus
Dit biedt een snelle en eenvoudige manier om de toepassingsprioriteit en SLA voor uw netwerk te definiëren.
Opmerking: 1. Standaard beleidsactie is DROP.
2. Overeenkomstcriteria kunnen alleen Toepassingen zijn. Als u dan prefixes nodig hebt, gebruik de geavanceerde modus
Geavanceerde modus
Dit is een volledige en flexibele modus.
Geavanceerde modus
Opmerking:
1. Standaard beleidsactie is DROP.
2. Toepassingslijst en verkeersklasse zijn in wezen een lijst van toepassingen.
Elk van beide mogelijkheden kan worden gebruikt om een lijst met toepassingen aan te passen. Toepassingen kunnen worden toegewezen aan Traffic Class in Application Catalogue.
In de eenvoudige modus worden regels gegenereerd met een of beide van deze opties, terwijl in de geavanceerde modus alleen toepassingslijsten worden gegenereerd.
Quality-of-Service
In de optie QoS Queue kunt u een QoS-beleid toevoegen:
QoS-beleid toevoegen
Queuing-modellen
Vervolgens kunt u het verkeersgegevensbeleid definiëren (verkeersbeleid toevoegen).
Voeg regels toe om het gewenste verkeer aan te passen en omleiding naar de juiste doorsturen klassen.
QoS-beleid 2
Toepassingsbewuste routing
U kunt SLA-klassen definiëren en deze gebruiken in een Traffic policy om de bedoeling van een AAR-beleid te realiseren.
AAR Policy
Zichtbaarheid app/flow:
Om app-zichtbaarheid en flow-zichtbaarheid mogelijk te maken, gebruikt u CLI-profiel/pakket in Configuration Group.
(In 20.13 en hoger is deze software beschikbaar onder Advanced Settings in Policy Group).
In 20.12 echter wordt App/Flow Visibility ingeschakeld als er een AAR-beleid is ingesteld. En het configureren van dit profiel/pakket met CLI is niet vereist.
Verkeersbeleid
Verkeersbeleid kan ook worden gebruikt om een DIB-beleid, SIG-omleiding enzovoort te maken. Voeg desgewenst regels toe.
Verkeersbeleid
Opmerking: Als een Application Priority- en SLA-beleid in eenvoudige modus wordt gemaakt en vervolgens wordt overgeschakeld naar Advanced-modus, zijn bepaalde Match-opties niet beschikbaar voor selectie. Voorbeeld: Het prefix voor doelgegevens is grijs.
Als u deze opties beschikbaar wilt maken, wijzigt u het protocol van BEIDE naar IPv4 of IPv6 zoals vereist.
Geïntegreerde beveiliging
Bepaalt het beveiligingsbeleid voor on-box NGFW, IPS, Malware en contentfiltering.
Secure Internet Gateway/Secure Service Edge
Bepaalt instellingen die nodig zijn om tunnels tot stand te brengen voor op de cloud gebaseerde inhoud en beveiligingsentiteiten, zoals Cisco Secure Access.
Opmerking: Met de legacy-configuratiebenadering was dit beschikbaar als een functiesjabloon.
DNS-beveiliging
Definieer instellingen om het gebruik van cloudgebaseerde DNS-beveiligingsservices voor contentfiltering toe te staan.
belangengroepen
Definieer de objectlijsten die u in uw beleid wilt gebruiken. Voorbeeld: Toepassingslijsten, VPN-lijsten, sitelijsten, lijsten met prefixes, enzovoort.
Bovendien, voor Beveiligingsbeleid, definieer je profielen zoals Geavanceerde inspectie profielen, SSL decryptie beleid enzovoort.
Beleidsgroepen - belangengroepen
Koppelen en implementeren
Vergelijkbaar met Configuratiegroepen koppelt u apparaten aan Policy Group en implementeert u deze.
Lokaal beleid
Gelokaliseerd beleid zoals ACL, routebeleid, beleid voor apparaattoegang enzovoort worden gedefinieerd in Configuratiegroepen.
Topologie
Definieer uw netwerktopologie.
Begin met een Volledig mesh of Hub-n-Spoke en pas het indien nodig aan.
Het topologiemenu
Topologie en VPN
Houd in gedachten deze ontwerpveranderingen terwijl het creëren van Topologie en het specificeren van VPN's.
Het nieuwe ontwerp maakt het mogelijk om de VPN-naam dynamisch in te delen in VPN-id in plaats van 1:1.
Toewijzing van VPN-namen aan meerdere VPN-id’s
Illustratie:
Stel dat er een VPN is met de naam Corporate in twee verschillende Configuration Groepen.
De ene heeft VPN ID 10 en de andere heeft VPN ID 20.
De topologie werkstroom VPN lijst toont slechts één geval van Corporate VPN.
Zodra u Corporate VPN kiest, bepaalt de SD-WAN Manager de VPN-ID’s op basis van de Topologie.
Stel dat er twee apparaten zijn op twee locaties:
1. Device1 op site 100 met Corporate als VPN 10
2. Device2 op site 200 met Corporate als VPN 20
Als zowel site 100 als site 200 deel uitmaken van de Topologie, maakt SD-WAN Manager een VPN-lijst die zowel VPN-id’s (10 en 20) zal hebben.
Als alleen site 100 deel uitmaakt van de Topologie, maakt SD-WAN Manager een VPN-lijst die alleen VPN-id 10 heeft.
Als slechts site 200 deel uitmaakt van de Topologie, maakt SD-WAN Manager een VPN-lijst die alleen VPN-id 20 zal hebben.
Toewijzing van meerdere VPN-namen aan dezelfde VPN-id
U kunt meervoudig topologiebeleid met dezelfde VPN-naam configureren die aan verschillende VPN-id’s in verschillende sites worden toegewezen.
SD-WAN Manager bepaalt de feitelijke mapping op basis waarvan topologie is gekoppeld aan welke sites.
Illustratie:
Twee gebruikers kunnen twee verschillende Configuration Groepen maken.
Een daarvan specificeert VPN-id 100 als Finance VPN en de andere als Engineering VPN.
Dan kunnen ze Topologie maken met hun respectievelijke VPN namen.
Onboarding
Gebruik de Quick Connect Workflow voor het on-boarden van uw fysieke routers.
Gebruik deze workflow om vooraf de Hostname, System-IP en Site-naam/ID te definiëren voor de apparaten die worden opgenomen. Manager genereert deze automatisch, maar u kunt deze aanpassen als u dit wilt doen. U kunt ook de apparaten labelen die vervolgens kunnen worden gebruikt om de apparaten automatisch te koppelen aan Configuratiegroepen.
Tijdens het PnP ZTP onboarding proces, de apparaten vestigen de besturingsplantunnelverbindingen aan de SD-WAN Manager. SD-WAN Manager duwt nu de vooraf gedefinieerde fabric-configuratie naar de apparaten en de apparaten sluiten zich aan bij de SD-WAN-fabric.
Quick Connect-werkstroom
Beschrijving werkstroom snel verbinden
Tagging
Apparaten kunnen worden gekoppeld aan door de gebruiker gedefinieerde tags.
Tags kunnen worden gebruikt voor het groeperen, beschrijven, vinden of beheren van apparaten.
Met tags kunnen apparaten worden gegroepeerd die vervolgens in andere functies kunnen worden gebruikt.
Voorbeelden van tags
Voorbeeld: Associatie van configuratiegroepen naar apparaten.
De regels van de Configuratiegroep kunnen worden ingesteld om apparaten met specifieke Tags automatisch aan die Configuratiegroep te koppelen.
Tag toevoegen
In Configuration > Devices kunnen tags worden gemaakt/toegevoegd aan/verwijderd uit de apparaten.
Tag Rules in configuratiegroep
Op de pagina Configuration Group > Associated Devices kunnen tagregels worden toegevoegd/bewerkt.
illustratie
Illustratie met tags
Bestaande implementaties
In het SD-WAN netwerk kunnen apparaten die de Verouderde Configuratie en het Beleid gebruiken, naast apparaten bestaan met behulp van de Vereenvoudigde Configuratie en het Beleid.
Deze sectie biedt enkele aanbevelingen voor klanten die willen profiteren van de vereenvoudigde configuratie en het beleid, deze sectie biedt enkele aanbevelingen.
De eerste stap is dat apparaten moeten worden gemigreerd van Apparaatsjablonen naar Configuratiegroepen. Als dat eenmaal is gedaan, kunnen beleidsgroepen en/of topologie worden ingezet.
Configuratiegroepen
De malplaatjes van het apparaat en de configuratiegroepen verstrekken de configuratie van het randapparaat. Het is dus gemakkelijk om samen te leven. De stappen voor het migreren van een apparaatsjabloon naar een configuratiegroep zijn:
|
Stap 1. |
Haal een kopie van de apparaatwaarden uit de apparaatsjablonen. Dit wordt gerealiseerd via de Configuration à Templates, klik op de Ellips (...) rechts van de apparaatgroep en kies Export CSV. |
|
Stap 2. |
Maak een Configuratiegroep (handmatig of met het conversiegereedschap). |
|
Stap 3. |
Ontkoppel de apparaatsjabloon van het apparaat. Op dat moment handhaaft de inrichting de configuratie op het bevestigingspunt; maar ontvangt geen toekomstige wijzigingen die in de apparaatsjabloon (of enige component-functiesjablonen) worden aangebracht. |
|
Stap 4. |
Koppel het apparaat of de apparaten aan de nieuwe configuratiegroep. |
|
Stap 5. |
Stel de apparaten op die aan de configuratiegroep worden geassocieerd. Om dit proces te vergemakkelijken, opent u het geëxporteerde CSV-bestand en wijzigt u de kopregels van de CSV-kolom in overeenstemming met de nieuwe variabelen van de configuratiegroep. |
|
Stap 6. |
Na het scherm van de apparatenvariabele input, kunt u voorproef de apparatenconfiguratie. Dit geeft u een voorbeeld van welke delen van de configuratiegroep niet overeenkomen met de vorige instantie; of welke variabelen van het Malplaatje van het Apparaat zijn veranderd. |
Het handhaven van een verenigbare noemende regeling voor variabelen vereenvoudigt apparaat-specifieke instellingen. Als alle apparaatwaarden in één CSV staan, hoeft u de kolomkoppen slechts eenmaal te hernoemen.
Opmerking: Er is een pythonscript dat met CSV-bestanden werkt voor apparaatsjablonen of configuratiegroepen om de kolomkoppen te consolideren en alfabetiseren. Het script is hier te vinden:
Beleidsgroepen
Apparaten die via configuratiegroepen zijn geconfigureerd, kunnen een gecentraliseerd beleid gebruiken of naar een beleidsgroep migreren. maar niet beide op hetzelfde moment voor dezelfde toepassing. In essentie is het doel hetzelfde onderliggende beleid te behouden voor de randapparatuur. Beleidsgroepen combineren het oorspronkelijke AAR- en Data-beleid in één Application Priority- en SLA PG-component. In essentie, hoe de configuratie voor beleid wordt gebouwd wordt veranderd (maar niet verzonden naar de SD-WAN Manager).
Het is belangrijk om op te merken dat u geen Data Policy of AAR-beleidsreferentie kunt hebben voor een sitelijst met een site die de Application Priority en SLA component heeft, aangezien ze beide dezelfde instelling configureren.
Het is mogelijk om een gecentraliseerd beleid te hebben met alleen een Control Policy referentie (een site die een Policy Group met Application Priority en SLA) gebruikt, aangezien zij verschillende componenten van een gecentraliseerd beleid configureren.
De stappen voor het migreren van een apparaat van een gecentraliseerd beleid naar een beleidsgroep bestaan uit de volgende stappen:
|
Stap 1. |
Maak de benodigde beleidsgroepcomponenten (Application Priority en SLA, Embedded Security, Secure Internet gateway/Secure Service Edge, DNS-beveiliging). |
|
Stap 2. |
Maak de beleidsgroep en de benodigde componenten. |
|
Stap 3. |
Verdeel de site-ID van alle SiteLists die verwijzingen zijn in het AAR of Data Beleid. |
|
Stap 4. |
Koppel het(de) apparaat(apparaten) aan de beleidsgroep en sla de beleidsgroep op. |
|
Stap 5. |
Stel de beleidsgroep aan de geselecteerde apparaten op. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de Edge-apparaten (voor QoS/SIG) en de controllers; zodat de controllers bijgewerkte gegevensbeleid naar de randapparaten kunnen sturen. |
Opmerking: Hoewel beleidsgroepen naast een gecentraliseerd beleid kunnen bestaan, wordt aanbevolen bij een gecentraliseerd beleid te blijven (voor een gecentraliseerd beleid en gegevensbeleid) terwijl randapparaten worden geconverteerd naar configuratiegroepen. Vervolgens start u op dat moment de migratie van Gecentraliseerd beleid naar Beleidsgroepen voor functionaliteit binnen de component Toepassingsprioriteit en SLA.
Dit gebeurt om de zaken eenvoudig te houden en de verwarring bij het operationele personeel te verminderen.
Opmerking: De Policy Group Engine slaat dingen in een ander formaat op. Een prefixlijst die in een gecentraliseerd beleid wordt gebruikt, moet dus opnieuw worden gemaakt in de beleidsgroep. Dit zou kunnen gebeuren voor andere dingen zoals Site Lists, en ga zo maar door.
Topologie
Apparaten die via configuratiegroepen zijn geconfigureerd, kunnen een gecentraliseerd beleid gebruiken of naar een topologie migreren. In essentie is het doel hetzelfde onderliggende controlebeleid te behouden voor de SD-WAN controllers. Topologie is de jongste versie van het controlebeleid.
Het is belangrijk om op te merken dat u geen Control Policy verwijzing kunt hebben naar een site lijst met een site die een Topologie heeft gekoppeld aan het, aangezien zij beide dezelfde instelling configureren.
Het is mogelijk om een Gecentraliseerd Beleid met slechts een Beleid van Gegevens en/of een beleid van de AAR, en een topologiebeleid te hebben aangezien zij verschillende componenten vormen.
Stappen om een apparaat van een gecentraliseerd beleid naar een beleidsgroep te migreren:
|
Stap 1. |
Maak de benodigde topologiecomponenten. |
|
Stap 2. |
Scheid kanten van de oudere Topologielijst in het Gecentraliseerde Beleid. |
|
Stap 3. |
Scheid de site-ID van alle Site Lists waarnaar wordt verwezen in het AAR- of Data-beleid. |
|
Stap 4. |
Activeer de topologie. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de controllers en wijzigt alle routes die naar randapparaten worden verzonden. |
Opmerking: Terwijl Topologie met een Gecentraliseerd Beleid kan coëxisteren, wordt het geadviseerd om met een Gecentraliseerd Beleid (voor Topologie en Routemanipulatie) te blijven terwijl het omzetten van randapparaten in de Groepen van de Configuratie. Dan op dat punt, begin de migratie van Gecentraliseerd Beleid aan Topologie voor functionaliteit van het wijzigen van topologieën en het verpletteren van manipulatie.
Dit gebeurt om de zaken eenvoudig te houden en om verwarring bij het operationele personeel te voorkomen.
Conversietool
Reikwijdte
De Configuration Conversion Tool converteert sjablonen en beleid naar configuratiegroepen en beleidsgroepen. Het verzamelt sjabloon en beleidsconfiguratie van een doel SD-WAN Manager, converteert het naar hun configuratiegroep en beleidsgroep equivalenten, en uploadt de nieuwe configuratie naar de doel SD-WAN Manager. De tool biedt momenteel ondersteuning voor sjabloon en beleidsconversie voor 20.12 en 20.13.
Toegangsgegevens
De Configuration Conversion Tool is beschikbaar op de SD-WAN Portal (voorheen bekend als SSP).
Hoe te gebruiken
Voorwaarden
Zorg ervoor dat uw SD-WAN Manager 20.12.x draait voordat u de tool gebruikt. Is dit niet het geval, upgrade dan naar 20.12 voordat u verdergaat.
Bovendien moet de doel SD-WAN Manager toegankelijk zijn via internet en moet inkomend verkeer vanaf 74.207.103.254 accepteren.
Werkstroom voor Configuration Conversion Tool
|
Stap 1. |
Meld u aan bij de SD-WAN Portal met uw CCO-referenties. · Als u een slimme accountbeheerder bent, wordt u als normaal aangemeld bij de SD-WAN Portal. Kies Configuration Conversion uit het linker menu om de workflow in te voeren. · Als u geen Smart Account-beheerder bent, krijgt u een 403 Verboden pagina met een link naar de tool. Klik op de link om de workflow in te voeren. |
|
Stap 2. |
Details: Verstrek uw SD-WAN Manager IP of URL samen met gebruikersreferenties. · De gebruiker moet toegang tot lezen/schrijven hebben. · Port (standaard is 443) en subdomeinvelden zijn optioneel. |
|
Stap 3. |
Importeren: Er zijn twee opties om configuratie (sjablonen en beleid) op te halen: 1. Klik op de knop Collect om alle configuratie (apparaatsjablonen, functiesjablonen, beleid en hun bijbehorende constructies) van SD-WAN Manager op te halen. · Zodra verzameld, kunt u een JSON-bestand downloaden dat alle configuratie-items bevat. Dit bestand kan tijdens deze stap op een later tijdstip worden gebruikt in plaats van opnieuw te verzamelen bij de SD-WAN Manager. 2. Upload een JSON-bestand met sjablonen en beleidsregels die eerder uit deze stap zijn geproduceerd. |
|
Stap 4. |
Kies: Kies de sjablonen en het beleid dat u wilt converteren. Klik op Converteren om de gekozen configuratie-items te converteren. ·OPMERKING: U kunt apparaatsjablonen individueel kiezen, maar beleid is alles of niets (dat wil zeggen, alle beleid wordt omgezet of geen beleid wordt geconverteerd). |
|
Stap 5. |
Omzetten: Deze pagina toont alle zojuist geconverteerde configuratie-items. Bekijk de gemaakte items en hun status. Als een item een partiële status heeft, herzie dan het informatiepictogram om te begrijpen waarom. Klik eenmaal klaar op Upload om deze nieuwe configuraties te maken in SD-WAN Manager. |
|
Stap 6. |
Samenvatting: In deze stap worden de nieuwe configuraties in SD-WAN Manager gemaakt. Aangezien de configuraties worden gemaakt, kunt u de voortgangsbalk zien. Zodra het uploaden is voltooid, ziet u een samenvatting van de geüploade configuraties en hun status. · In het geval van een fout of fout, Annuleren Upload (tijdens het maken) en Rollback (na het maken) zijn beschikbaar bij deze stap. Het uitvoeren van een annuleren upload of het terugdraaien verwijdert alle configuratie-items die in de SD-WAN Manager gemaakt zijn tijdens deze workflow/sessie. Als u dit werkschema afsluit, zult u niet in staat zijn om deze wijzigingen op een later tijdstip terug te draaien - u zal handmatig verwijderen van ongewenste items. |
Post-conversie
Uw nieuwe configuratie is nu klaar voor gebruik. Voer de stappen in het gedeelte Bestaande implementaties uit om uw apparaten te migreren naar de zojuist geconverteerde configuratiegroepen en beleidsgroepen.
Overwegingen
- De conversies die door de tool worden geboden, zijn bedoeld als leidraad. Analyseren en testen voor implementatie in een productieomgeving.
- Het gereedschap houdt geen rekening met het apparaat-agnostische vermogen van configuratiegroepen. Gebruikers kunnen hun sjablonen analyseren voordat ze selecteren welke de geconverteerde configuratiegroepen moeten converteren of analyseren en apparaten hieraan koppelen om te profiteren van de device-agnostische mogelijkheid.
- De namen van variabelen en de globale waarden van originele configuratie worden gekopieerd naar de onlangs geconverteerde configuratie. Apparaatspecifieke waarden zijn niet beschikbaar.
- Het gereedschap duwt de configuratie niet naar apparaten. Na het uitvoeren van de conversies is de gebruiker verantwoordelijk voor het loskoppelen van apparaten van sjablonen en het koppelen van deze aan de nieuwe configuratiegroepen.
Ondersteuning
Voor problemen met de Configuration Conversion Tool stuurt u een e-mail naar sdwan-conversiontool-support@cisco.com.
20.12 Overwegingen
|
Nee. |
Item Beschrijving |
|
1. |
DNS-configuratie moet via CLI Add-on Profile worden gedrukt wanneer u Configuration Group on Edge implementeert met een versie die lager is dan 17.12. |
|
2. |
Voor het creëren van topologie moeten sites worden geselecteerd in plaats van een gebied te kiezen dat in NHM wordt gedefinieerd. |
|
3. |
De werkstroom van de Groep Create Configuration maakt geen VPN512 en interface in dit VPN, in het WAN-profiel. Als u dit nodig hebt, kunt u dit handmatig maken door de groep Configuration te bewerken. |
|
4. |
Mogelijk om functieprofielen te kopiëren/dupliceren, beleid niet ondersteund. Een reeks Python-scripts kan deze taak uitvoeren en bevindt zich in: |
|
5. |
Een Policy Object profiel moet worden gekoppeld aan de Configuration Group voordat u een Feature-pakket maakt dat verband houdt met Policy Configuration (Gelokaliseerd beleid). Voorbeeld: ACL. |
|
6. |
CSV importeren voor interfacevariabelen voegt puntkomma's in de string in en mislukt. |
|
7. |
De configuratie van AppQoE-optimalisatie (TCP Opt en DRE) en verliescorrectie (FEC en Pkt Dup) blijft gebruik maken van oudere sjablonen/beleidsregels. Configureerbaar via CLI Profile ook in Configuration/Policy Group (20.14 in UI-pakket). |
|
8. |
Cloud OnRamp voor SaaS blijft de bestaande sjablonen/beleidsregels gebruiken. |
|
9. |
TrustSec/SGT wordt alleen ondersteund met CLI-profiel. |
|
10. |
UC Voice/DSP Farm/SRST alleen ondersteund met CLI-profiel (vanaf 20.13 in UI-pakket). |
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
13-Mar-2025
|
Updates in het gedeelte Conversion Tool om recente wijzigingen in de toegang en implementatie van de tool weer te geven. |
1.0 |
16-Aug-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)