Snelstartgids - Catalyst SD-WAN - Vereenvoudigde configuratie en beleid
Inhoud
Inleiding
Dit document beschrijft een snelstartgids voor vereenvoudigde configuratie en beleidsregels in Catalyst SD-WAN.
Samenvatting
Met Cisco Catalyst SD-WAN Software Release 10 .12/10 .12 wordt aanbevolen dat gebruikers beginnen met de migratie van traditionele configuratie op basis van apparaat- en functiesjablonen naar de nieuwe configuratiebenadering op basis van configuratiegroepen en beleidsgroepen. In dit document worden belangrijke details voor de nieuwe configuratiebenadering beschreven.
Het belangrijkste doel van dit document is om te dienen als een gids voor het starten met het gebruik van nieuwe constructies voor configuratie, beleid en onboarding, met de gouden release van 10 .12. Het document bevat geen uitleg over individuele kenmerken.
Nieuwe implementaties
Om de nieuwe configuratiebenadering met succes te kunnen gebruiken, moet u de volgende stappen uitvoeren:
- Netwerk: definieer de netwerkhiërarchie en systeemconstructies.
- Configuratie: Configuratie maken met configuratiegroepen met behulp van werkstroom.
- Toepassingen: Definieer aangepaste toepassingen, indien nodig, met behulp van de toepassingscatalogus.
- Beleid: Beleid maken met beleidsgroepen.
- Topologie: definieer topologie.
- Onboard: Onboard en Tag-apparaten.
- Implementeren: Configuratiegroepen en beleidsgroepen koppelen en implementeren. Activeer de topologie.
Flowchart voor nieuwe implementaties
Bestaande implementaties
- Voer de stappen uit die worden vermeld in het gedeelte Bestaande implementaties.
- Gebruik het hulpprogramma Conversie om bestaande configuratie- en beleidsregels te converteren naar nieuwe configuratiegroepen en beleidsgroepen.
Verbeteringen in gebruikerservaring en operationele vereenvoudiging
Cisco Catalyst SD-WAN biedt een verbeterde gebruikerservaring en vereenvoudigt de bedrijfsvoering.
- Common UI: Er is een nieuw User Experience (UX) framework geïntroduceerd in Catalyst SD-WAN Manager en andere Cisco-producten, om te zorgen voor consistentie in de UX en een gemeenschappelijke look en feel te bieden voor alle producten.
- Configuratie: vereenvoudigde configuratie en het maken en implementeren van beleid met intuïtieve, op opzet gebaseerde workflows en het gebruik van door Cisco aanbevolen slimme standaardinstellingen.
- Monitoring: uitgebreide inzichten in de prestaties en gezondheid van netwerken en toepassingen met nieuwe widgets en aanpasbare en verbeterde dashboards.
- Problemen oplossen: dynamische weergaven van site- en netwerktopologie, contextgebaseerde hulpprogramma's voor probleemoplossing, rapporten over netwerk- en toepassingsprestaties op een geplande basis.
Voordelen:
|
Gebruiksgemak |
Intuïtieve en geleide workflows |
|
Configureerwildgroei |
Verminderde wildgroei (model agnostisch, hergebruik, structuur) |
|
Configuratie maken |
Sneller en eenvoudiger met slimme standaardinstellingen |
|
Configuratiewijziging |
Nu wijzigen, later selectief implementeren |
|
zichtbaarheid |
Nieuwe dashboards, Apps/Sites-prestatiecontrole |
|
Begeleiding voor probleemoplossing |
Sitetopologie, richtlijnen voor hulpprogramma's voor probleemoplossing |
Definieer uw netwerkhiërarchie en systeemconstructies
netwerkhiërarchie
Biedt een begrip van 'hiërarchie', dat wil zeggen, Sites, Regio's en Gebieden, voor het netwerk. U kunt dit doen op basis van uw netwerk.
Voorbeeld:
Network Hierarchy Manager (NHM)
Dit helpt bij het definiëren van gebruiksvriendelijke sitenamen, wat bijdraagt aan operationele vereenvoudiging.
Systeemconstructies
Deze pools automatiseren de toewijzingen van System-IP en Site-ID tijdens de implementatie van de apparaatconfiguratie.
U kunt de IP-pool voor automatische toewijzingen van System-IP definiëren. Site-ID wordt toegewezen vanuit de pool Global_Site.
Groepsparameters toevoegen
Pools weergeven en beheren
Werkstromen
Een workflow is een verzameling begeleide stappen die u helpen een bepaalde taak gemakkelijk uit te voeren.
- Het doel van een workflow is om beginnende gebruikers te helpen eenvoudig configuraties te maken en deze op het apparaat te implementeren.
- De meeste configuratieknoppen/instellingen zijn ingesteld op door Cisco aanbevolen slimme standaardinstellingen.
- Gebruikers moeten slechts enkele configuraties opgeven.
- Geavanceerde configuratieknoppen zijn beschikbaar buiten de werkstroom, waar de configuratiegroep handmatig kan worden bewerkt.
In een werkstroombibliotheek worden alle beschikbare werkstromen weergegeven.
werkstroombibliotheek
Configuratiegroepen
Configuratiegroepen is een nieuwe benadering van de configuratie van de structuur die is gebaseerd op de principes van eenvoud, herbruikbaarheid en structuur.
Configuratiegroepenstructuur
Configuratiegroepen:
- Logische groepering van apparaten die een gemeenschappelijk doel delen binnen het WAN.
- De gebruiker definieert en kan deze groepering aanpassen op basis van hun zakelijke behoeften.
Bijvoorbeeld; Oost/West, Americas/APJC/EMEAR, Retail Store/Distributiecentrum.
Kenmerken Profielen:
- Flexibele 'buckets' van configuratie die kunnen worden gedeeld over configuratiegroepen.
- Functieprofielen maken op basis van vereiste functies.
- Stel profielen samen om de apparaatconfiguratie te voltooien, zoals bouwstenen.
- Bouwen, opslaan en hergebruiken.
Bijvoorbeeld; Basisprofiel, WAN-profiel, LAN-profiel.
Voorbeelden van implementatie van configuratiegroepen
Opmerking:
- Configuratiegroepen zijn Apparaatmodel-agnostisch.
- Functieprofielen kunnen worden gedeeld in configuratiegroepen.
Use-case 1: klant bij de overheid
Voorbeeld UseCase 1 - Configuratiegroepen
Configuratiegroep-HUB:
Voer de werkstroom Configuratiegroep maken uit.
Optie Configuratiegroep-workflow maken
WAN-profiel
Voorbeeld gebruikCase 1 - WAN-profiel 1
Met behulp van de workflow kan de volledige WAN-profielconfiguratie voor deze use case worden gegenereerd.
Entiteiten zoals werkelijke statische IP, statische standaardroute IP/subnet/Next-Hop enzovoort, kunnen worden opgegeven als Globaal of Apparaatspecifiek.
De apparaatspecifieke optie kan worden opgegeven met werkelijke waarden tijdens de implementatie van de configuratiegroep op de apparaten.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 1
Met behulp van de workflow kan het grootste deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd.
- 2 VPN's
- BGP-routering in elk van de VPN's (AS-nummer, netwerkvoorvoegsels, buren)
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: Geavanceerde configuratie, zoals herdistributie van routes en standaardrouteadvertenties, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken, evenals de subinterfaces als deze tijdens de implementatie worden gebruikt.
Systeemprofiel
Voorbeeld: gebruik 1 - Systeemprofiel 1
Met behulp van de workflow kan het grootste deel van de systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, Logging enzovoort.
Opmerking: Geavanceerde configuratie zoals OMP-BGP-herverdeling en andere wijzigingen in de systeemfuncties zoals OMP, AAA, NTP, enzovoort, moeten na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Sitetype van configuratiegroep1:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel
Voorbeeld gebruikZaak 1 - WAN-profiel 2
Met behulp van de workflow kan het grootste deel van de WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet-interfaces voor internet en Starlink. DHCP.
Opmerking: de cellulaire interface voor de LTE-koppeling, inclusief de statische route, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 2
Met behulp van de workflow kan een deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd. 2 VPN's, statische DIA-route.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: SVI's, draadloze SSID's, Access switch-poorten enzovoort moeten na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Systeemprofiel
Voorbeeld: gebruik 1 - Systeemprofiel 2
Met behulp van de workflow kan het grootste deel van de systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, Logging enzovoort.
Opmerking: Geavanceerde configuratie, zoals Application Performance Monitoring, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
CLI-profiel
Voorbeeld gebruik 1 - CLI-profiel 2
Functies die niet worden ondersteund via de GUI, zoals NBAR (App/Flow Visibility), kunnen worden geconfigureerd met behulp van een CLI-profiel.
Zichtbaarheid van app/flow:
Om app-zichtbaarheid en flow-zichtbaarheid mogelijk te maken, gebruikt u CLI-profiel / pakket.
(In 20.13 en later is het beschikbaar onder Geavanceerde instellingen in Beleidsgroep)
In 10 .12 is echter, als een AAR-beleid is geconfigureerd, de zichtbaarheid van de app/stroom ingeschakeld. En dit configureren met behulp van CLI-profiel/pakket is niet vereist.
SiteType 2 van configuratiegroep:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel
Voorbeeld gebruikZaak 1 - WAN-profiel 3
Met behulp van de workflow kan het grootste deel van de WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet-interface voor internet. DHCP.
Opmerking: de cellulaire interface voor de LTE-koppeling, inclusief de statische route, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 3
Met behulp van de workflow kan een deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: SVI, Access switch-poort enzovoort, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Systeemprofiel:
Hetzelfde als Configuration Group SiteType1.
CLI-profiel:
Hetzelfde als Configuration Group SiteType1.
Sitetype van configuratiegroep3:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel:
Hetzelfde als Configuratiegroep SiteType2.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 4
Met behulp van de workflow kan een deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: SVI, Wireless SSID, Access switch-poort enzovoort moeten na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Systeemprofiel:
Hetzelfde als Configuration Group SiteType1.
CLI-profiel:
Hetzelfde als Configuration Group SiteType1.
Use-Case 2: retailklant
Voorbeeld UseCase 2 - Configuratiegroepen
Hoofdkantoor en magazijn van configuratiegroep
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel:
Met behulp van de workflow kan alle WAN-profielconfiguratie voor deze use-case worden gegenereerd.
LAN-profiel:
Met behulp van de workflow kan de configuratie van het LAN-profiel voor deze use-case worden gegenereerd.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Systeemprofiel:
Met behulp van de workflow kan de volledige configuratie van het systeemprofiel voor deze use-case worden gegenereerd.
Opmerking: Als er wijzigingen nodig zijn of als Geavanceerde configuratie zoals Application Performance Monitoring vereist is, moeten deze na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Configuratiegroepwinkels:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel:
Met behulp van de workflow kan het grootste deel van de WAN-profielconfiguratie voor deze use-case worden gegenereerd.
Opmerking: de cellulaire interface voor de LTE-koppeling, inclusief routering, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
LAN-profiel:
Met behulp van de workflow kan de configuratie van het LAN-profiel voor deze use-case worden gegenereerd.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Systeemprofiel:
Hetzelfde als Configuration Group HQ en Warehouse.
medewerkster
Op de pagina Configuratiegroep bewerken (Configuratie -> Configuratiegroepen) kunt u apparaten koppelen aan de Configuratiegroep.
Klik op Apparaten koppelen en navigeer door de stappen in de werkstroom.
Apparaat koppelen - Configuratiegroepen
Implementeren
Voer de werkstroom van de implementatieconfiguratiegroep uit.
Werkstroom Configuratiegroep implementeren
Opmerking:
- In de configuratiegroep wijzigt de apparaatwaarden alleen de waarde in de database Beheer en worden wijzigingen in een apparaat NIET doorgevoerd. Als u wilt dat de wijziging onmiddellijk wordt doorgevoerd, moet u de wijzigingen implementeren.
- Waarden van apparaatvariabelen exporteren (als een CSV-bestand) kan worden gedaan in de werkstroom Implementeren in de stap Apparaatconfiguratie toevoegen/controleren.
hergebruik
- Configuratiegroepen zijn apparaatmodel-agnostisch.
Configuratiegroep - Apparaatmodel agnostisch
Opmerking: Als een bepaalde configuratie niet wordt ondersteund op een apparaatmodel, treedt de corresponderende functie pakketpush niet op en wordt een passend bericht weergegeven als onderdeel van de implementatietaak.
Voorbeeld: een apparaat ondersteunt geen Wi-Fi, maar de configuratiegroep bevat een Wi-Fi-pakket. Tijdens de implementatie wordt de configuratie van het Wi-Fi-pakket genegeerd en wordt in het taakbericht voor de implementatie gemeld dat de push voor de Wi-Fi-configuratie is genegeerd.
- Configuratievariabelen gebruiken – apparaatspecifieke waarden.
Configuratiegroep - apparaatspecifieke variabelen
Een functieprofiel kan een bepaalde configuratie hebben die is gedefinieerd als apparaatspecifiek, vergelijkbaar met sjabloonvariabelen.
Voorbeeld: IP-adres van de interface, poortnummers, naam van de interface, enzovoort.
Deze apparaatspecifieke waarden kunnen tijdens de implementatie worden opgegeven. En het kan voor verschillende apparaten anders zijn.
Configuratiegroep - Apparaatspecifieke variabelen Voorbeeld 1
Configuratiegroep - Apparaatspecifieke variabelen Voorbeeld 2
Configuratiegroep - Apparaatspecifieke variabelen Voorbeeld 3
- Functieprofielen opnieuw gebruiken.
Functieprofielen kunnen opnieuw worden gebruikt in configuratiegroepen.
Afbeelding:
Als de WAN- en systeemconfiguraties voor verschillende apparaten hetzelfde zijn en ze bijvoorbeeld alleen verschillen in de LAN-configuratie, kunnen de WAN- en systeemprofielen opnieuw worden gebruikt in hun configuratiegroepen, terwijl ze in elk apparaat een ander LAN-profiel hebben.
Functieprofielen opnieuw gebruiken - 1
LAN-profiel 1
Functieprofielen opnieuw gebruiken - 2
LAN-profiel 2
Functieprofielen opnieuw gebruiken - 3
LAN-profiel 3
Beleidsobjectprofiel
Het profiel Beleidsobject bevat alle belangengroepen of lijsten die worden gebruikt met gelokaliseerd beleid (ACL, routebeleid, enz.) in Configuratiegroepen, Beleid in beleidsgroepen en topologie.
Het is een gedeeld (globaal) profiel dat wordt gebruikt in configuratiegroepen, beleidsgroepen en topologie.
terugdraaitimer
Rollback Timer is 5 minuten met Configuratiegroepen (vanwege het gebruik van een nieuw pull-model via NETCONF hoeft dit niet langer configureerbaar te zijn).
toepassingscatalogus
Traditionele apparaten waren in staat om verkeersstromen te manipuleren door voorwaardelijke matching van bron- en / of bestemming-IP-adressen, bron / bestemmingspoorten en protocollen. Omdat steeds meer applicaties afhankelijk zijn van DNS of ingebed zijn in HTTP, is het moeilijker om netwerkverkeer op applicatieniveau nauwkeurig te identificeren.
De Network Based Application Recognition (NBAR)-engine van Cisco heeft de mogelijkheid om meer dan 1500 toepassingen te classificeren, waardoor netwerkingenieurs de mogelijkheid hebben om verkeersstromen met meer granulariteit te classificeren en te manipuleren. Cisco's Catalyst SD-WAN Manager bevat de mogelijkheid om verbinding te maken met een Cisco-applicatieregister waar handtekeningen voor applicaties snel kunnen worden bijgewerkt; wat van belang is voor wanneer cloudproviders hostinglocaties of verkeerspatronen veranderen.
De toepassingscatalogus biedt de mogelijkheid om aangepaste toepassingen te maken op basis van de overeenkomst van servernaam, IP-adres, poorten of protocol. De toepassing wordt vervolgens gedefinieerd voor een specifieke toepassingsfamilie, toepassingsgroep, verkeersklasse en bedrijfsrelevantie.
toepassingscatalogus
Toepassingen kunnen worden gesleept en naar de juiste bedrijfsrelevantie en / of verkeersclassificatie worden gesleept. Na het opslaan van de wijzigingen worden de definities bijgewerkt in de database.
Opmerking: toepassingsclassificaties zijn globaal en een wijziging in de toepassingscatalogus is van invloed op alle apparaatclassificaties.
Beleidsgroepen
Net als bij de configuratiegroepen is een beleidsgroep een groep van beleidsregels die worden geïmplementeerd op apparaten die zijn gekoppeld aan de beleidsgroep
Beleidsgroep benadert beleidsvorming en -implementatie op basis van intentie. Een vereenvoudigde gebruikersinterface en workflow maken het maken van een beleid, het groeperen van beleid en het implementeren op apparaten een eenvoudige taak.
|
Voorwaarde: koppeling van configuratiegroepen en implementatie op een apparaat is een voorwaarde voor implementatie van de beleidsgroep op dat apparaat. |
Beleidsgroepen
Toepassingsprioriteit en SLA
Met deze beleidsintentie kunt u het volgende opgeven:
- Application Aware Routing en SLA-beleid
- QoS-beleid
- Verkeersgegevens, beleid
- DIA-beleid
- SIG-beleid
Er zijn twee modi beschikbaar.
Eenvoudige modus
Dit is de standaardmodus.
Eenvoudige modus
Dit biedt een snelle en eenvoudige manier om de toepassingsprioriteit en SLA voor uw netwerk te definiëren.
Noot: 1. De standaardbeleidsactie is DROP.
2. Wedstrijdcriteria kunnen alleen Toepassingen zijn. Als u voorvoegsels nodig hebt, gebruikt u de geavanceerde modus
Geavanceerde modus
Dit is een volledige en flexibele modus.
Geavanceerde modus
Opmerking:
1. De standaardbeleidsactie is DROP.
2. Toepassingslijst en verkeersklasse zijn in wezen een lijst van toepassingen.
Een van beide kan worden gebruikt voor het matchen van een lijst met toepassingen. Toepassingen toewijzen aan de verkeersklasse kan worden gedaan in de toepassingscatalogus.
Eenvoudige modus genereert regels met behulp van een of beide van deze, terwijl Geavanceerde modus alleen Toepassingslijst biedt.
Quality-of-Service
In de optie QoS Queue kunt u een QoS-beleid toevoegen:
QoS-beleid toevoegen
Wachtrijmodellen
Vervolgens kunt u het beleid voor verkeersgegevens definiëren (beleid voor het toevoegen van verkeer).
Voeg regels toe om het gewenste verkeer te matchen en door te verwijzen naar de juiste Forwarding-klassen.
QoS-beleid 2
Toepassingsbewuste routering
U kunt SLA-klassen definiëren en deze gebruiken in een verkeersbeleid om de intentie van een AAR-beleid te realiseren.
AAR-beleid
Zichtbaarheid van app/flow:
Gebruik CLI-profiel/pakket in Configuratiegroep om app-zichtbaarheid en stroomzichtbaarheid mogelijk te maken.
(In 20.13 en later is het beschikbaar onder Geavanceerde instellingen in Beleidsgroep).
In 10 .12 is echter, als een AAR-beleid is geconfigureerd, de zichtbaarheid van de app/stroom ingeschakeld. En dit configureren met behulp van CLI-profiel/pakket is niet vereist.
Hoe kan ik de configuratie "ip nbar protocol-discovery" toevoegen aan de service VPN-interfaces?
Vanaf 20.15 uur:
Wanneer de zichtbaarheid van de app is ingeschakeld (vanuit Toepassingsprioriteit en SLA-beleid -> Aanvullende instellingen), wordt de configuratie "IP nbar protocol-discovery" naar alle service VPN-interfaces gepusht. Er zijn geen extra stappen vereist.
Tot 20,14:
Het toevoegen van een Application Performance monitoring pakket in het systeemprofiel maakt de "ip nbar protocol-discovery" configuratie op alle Service VPN interfaces mogelijk. Als u het alleen voor een specifieke service VPN-interface wilt doen, kan dit via een CLI-profiel worden gedaan.
verkeersbeleid
Verkeersbeleid kan ook worden gebruikt om een DIA-beleid, SIG-omleiding enzovoort te maken. Voeg regels toe zoals vereist.
verkeersbeleid
Opmerking: als een toepassingsprioriteit en SLA-beleid in de eenvoudige modus worden gemaakt en vervolgens worden overgeschakeld naar de geavanceerde modus, zijn sommige overeenkomende opties niet beschikbaar voor selectie. Voorbeeld: Voorvoegsel bestemmingsgegevens is grijs.
Om deze opties beschikbaar te maken, wijzigt u het protocol van BEIDE naar IPv4 of IPv6 zoals vereist.
ingebed effect
Definieert het beveiligingsbeleid voor on-box NGFW, IPS, Malware en inhoudfilters.
Voor meer details, zie:
Configuratiegids voor Catalyst SD-WAN-beveiliging
Secure Internet Gateway/Secure Service Edge
Definieert de instellingen die nodig zijn om tunnels te maken naar cloud-gebaseerde inhoud en beveiligingsentiteiten, zoals Cisco Secure Access.
Opmerking: met de bestaande configuratiebenadering was dit beschikbaar als een functiesjabloon.
DNS-beveiliging
Definieer instellingen om het gebruik van cloudgebaseerde DNS-beveiligingsservices voor inhoudsfiltering mogelijk te maken.
Groepen van interesse
Definieer de objectenlijsten die u in uw beleid wilt gebruiken. Voorbeeld: toepassingslijsten, VPN-lijsten, sitelijsten, lijst met voorvoegsels enzovoort.
Voor het beveiligingsbeleid definieert u bovendien uw profielen, zoals geavanceerde inspectieprofielen, SSL-decoderingsbeleid enzovoort.
Beleidsgroepen - belangengroepen
Associëren en implementeren
Net als bij configuratiegroepen, koppelt u apparaten aan beleidsgroepen en implementeert u deze.
Gelokaliseerd beleid
Gelokaliseerde beleidsregels zoals ACL, routebeleid, toegangsbeleid voor apparaten enzovoort, worden gedefinieerd in configuratiegroepen.
Topologie
Definieer uw netwerktopologie.
Begin met een Full mesh of Hub-n-Spoke en pas deze indien nodig aan.
Menu Topologie
Topologie en VPN
Houd rekening met deze ontwerpwijzigingen tijdens het maken van topologie en het opgeven van VPN's.
Het nieuwe ontwerp maakt het mogelijk om de VPN-naam dynamisch toe te wijzen aan VPN-ID, in plaats van 1: 1-toewijzing.
Een VPN-naam toewijzen aan meerdere VPN-id's
Afbeelding:
Stel dat er een VPN is met de naam Corporate in twee verschillende configuratiegroepen.
De ene heeft VPN ID 10 en de andere heeft VPN ID 20.
De lijst Topology workflow VPN toont slechts één exemplaar van Corporate VPN.
Zodra u Corporate VPN kiest, bepaalt de SD-WAN Manager de VPN-ID's op basis van de topologie.
Stel dat er twee apparaten op twee sites zijn:
1. Apparaat1 in site 100 met Corporate als VPN 10
2. Device2 in site 200 met Corporate als VPN 20
Als zowel site 100 als site 200 deel uitmaken van de topologie, maakt SD-WAN Manager een VPN-lijst met zowel VPN-ID's (10 en 20).
Als alleen site 100 deel uitmaakt van de topologie, maakt SD-WAN Manager een VPN-lijst met alleen VPN-ID 10.
Als alleen site 200 deel uitmaakt van de topologie, maakt SD-WAN Manager een VPN-lijst met alleen VPN-ID 20.
Meerdere VPN-namen koppelen aan dezelfde VPN-ID
U kunt meerdere topologiebeleidsregels configureren met dezelfde VPN-naam die zijn toegewezen aan verschillende VPN-ID's op verschillende sites.
SD-WAN Manager bepaalt de werkelijke toewijzing op basis van welke topologie is gekoppeld aan welke sites.
Afbeelding:
Twee gebruikers kunnen twee verschillende configuratiegroepen maken.
De ene specificeert VPN ID 100 als Finance VPN en de andere specificeert het als Engineering VPN.
Vervolgens kunnen ze topologie maken met behulp van hun respectievelijke VPN-namen.
onboarding
Gebruik de Quick Connect-workflow voor het onboarden van uw fysieke routers.
Met deze workflow kunt u vooraf de hostnaam, systeem-IP en site-naam/id definiëren voor de apparaten die aan boord worden genomen. Manager genereert deze automatisch, maar u kunt ze wijzigen als u dat wilt. U kunt ook de apparaten labelen die vervolgens kunnen worden gebruikt om de apparaten automatisch aan configuratiegroepen te koppelen.
Tijdens het PnP ZTP-onboardingproces leggen de apparaten de verbinding tussen de besturingstunnel en de SD-WAN-manager. SD-WAN Manager duwt nu de vooraf gedefinieerde fabric-configuratie naar de apparaten en de apparaten worden lid van de SD-WAN-fabric.
Quick Connect-workflow
Beschrijving van Quick Connect-workflow
labelen
Apparaten kunnen worden gekoppeld aan door de gebruiker gedefinieerde tags.
Tags kunnen worden gebruikt voor het groeperen, beschrijven, vinden of beheren van apparaten.
Tags maakt het groeperen van apparaten mogelijk die vervolgens in andere functies kunnen worden gebruikt.
Voorbeelden labelen
Voorbeeld: koppeling van configuratiegroepen aan apparaten.
Configuratiegroepregels kunnen zo worden ingesteld dat apparaten met specifieke tags automatisch aan die configuratiegroep kunnen worden gekoppeld.
Tag toevoegen
In Configuratie > Apparaten kunnen tags worden gemaakt/toegevoegd aan/verwijderd uit de apparaten.
Tag Rules in Configuration Group
Op de pagina Configuratiegroep > Geassocieerde apparaten kunnen tagregels worden toegevoegd/bewerkt.
illustratie
Tagging illustratie
Bestaande implementaties
In het SD-WAN-netwerk kunnen apparaten die gebruikmaken van de Legacy Configuration and Policies naast apparaten bestaan met behulp van de Simplified Configuration and Policies.
In dit gedeelte vindt u enkele aanbevelingen voor gebruikers die willen profiteren van de vereenvoudigde configuratie en het beleid. In dit gedeelte vindt u enkele aanbevelingen.
De eerste stap is dat apparaten moeten worden gemigreerd van apparaatsjablonen naar configuratiegroepen. Zodra dat is gebeurd, kunnen beleidsgroepen en/of topologie worden ingezet.
Configuratiegroepen
Apparaatsjablonen en configuratiegroepen bieden de randapparaatconfiguratie. Het is dus gemakkelijk om coëxistentie te laten plaatsvinden. De stappen voor het migreren van een apparaatsjabloon naar een configuratiegroep zijn:
|
Stap 1. |
Kopieer de apparaatwaarden uit de apparaatsjablonen. Dit wordt bereikt vanuit de Configuration à Templates, klik op de Ellipses (…) rechts van de apparaatgroep en kies CSV exporteren. |
|
Stap 2. |
Maak een configuratiegroep (handmatig of met het conversieprogramma). |
|
Stap 3. |
Maak de apparaatsjabloon los van het apparaat. Op dit moment onderhoudt het apparaat de configuratie op het punt van bijlage; maar ontvangt het geen toekomstige wijzigingen die zijn aangebracht in de apparaatsjabloon (of sjablonen voor componentfuncties). |
|
Stap 4. |
Koppel de apparaten aan de nieuwe configuratiegroep. |
|
Stap 5. |
Implementeer de apparaten die zijn gekoppeld aan de configuratiegroep. Om dit proces gemakkelijker te maken, opent u het geëxporteerde CSV-bestand en wijzigt u de kolomkoppen van de CSV-kolom zodat deze overeenkomen met de nieuwe variabelen uit de configuratiegroep. |
|
Stap 6. |
Na het scherm voor de invoer van de apparaatvariabele kunt u een voorbeeld van de apparaatconfiguratie bekijken. Dit geeft u een voorbeeld van welke delen van de configuratiegroep niet overeenkomen met de vorige instantie; of welke variabelen zijn gewijzigd vanuit de apparaatsjabloon. |
Het handhaven van een consistent naamgevingsschema voor variabelen vereenvoudigt apparaatspecifieke instellingen. Als alle apparaatwaarden in één CSV staan, hoeft u de kolomkoppen slechts eenmaal te hernoemen.
Opmerking: er bestaat een pythonscript dat werkt met CSV-bestanden voor apparaatsjablonen of configuratiegroepen om de kolomkoppen te consolideren en alfabetiseren. Het script is hier beschikbaar:
Beleidsgroepen
Apparaten die via configuratiegroepen zijn geconfigureerd, kunnen een gecentraliseerd beleid gebruiken of naar een beleidsgroep migreren, maar niet allebei tegelijk voor dezelfde toepassing. In wezen is het doel om hetzelfde onderliggende beleid voor de randapparaten te behouden. Beleidsgroepen combineren het oorspronkelijke AAR- en gegevensbeleid in één component Toepassingsprioriteit en SLA-PG. In wezen wordt de manier waarop de configuratie voor beleidsregels is opgebouwd, gewijzigd (maar niet naar de SD-WAN-manager verzonden).
Het is belangrijk op te merken dat u geen gegevensbeleid of AAR-beleid kunt laten verwijzen naar een sitelijst met een site die de toepassingsprioriteit en SLA-component heeft, omdat ze beide dezelfde instelling configureren.
Het is mogelijk om een gecentraliseerd beleid te hebben met alleen een verwijzing naar het controlebeleid op een site die een beleidsgroep gebruikt met toepassingsprioriteit en SLA (Application Priority and SLA) omdat deze verschillende componenten van een gecentraliseerd beleid configureren.
De stappen voor het migreren van een apparaat van een gecentraliseerd beleid naar een beleidsgroep omvatten de volgende stappen:
|
Stap 1. |
Maak de benodigde beleidsgroepcomponenten (Application Priority en SLA, Ingebouwde beveiliging, Secure Internet Gateway/Secure Service Edge, DNS-beveiliging). |
|
Stap 2. |
Maak de beleidsgroep en koppel de benodigde componenten. |
|
Stap 3. |
Koppel de site-ID los van alle SiteLists die verwijzingen zijn in AAR of gegevensbeleid. |
|
Stap 4. |
Koppel de apparaten aan de beleidsgroep en sla de beleidsgroep op. |
|
Stap 5. |
Implementeer de beleidsgroep op de geselecteerde apparaten. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de Edge-apparaten (voor QoS/SIG) en de controllers, zodat de controllers bijgewerkte gegevensbeleidsregels naar de edge-apparaten kunnen verzenden. |
Opmerking: hoewel beleidsgroepen naast een gecentraliseerd beleid kunnen bestaan, wordt aanbevolen om bij een gecentraliseerd beleid te blijven (voor AAR- en gegevensbeleid) terwijl randapparaten worden geconverteerd naar configuratiegroepen. Begin vervolgens met de migratie van Gecentraliseerd beleid naar beleidsgroepen voor functionaliteit binnen de component Toepassingsprioriteit en SLA.
Dit wordt gedaan om het eenvoudig te houden en om verwarring onder het operationele personeel te verminderen.
Opmerking: de engine voor beleidsgroepen slaat dingen op in een andere indeling. Een prefixlijst die in een gecentraliseerd beleid wordt gebruikt, moet dus opnieuw worden gemaakt in de beleidsgroep. Dit kan gebeuren voor andere dingen zoals sitelijsten, enzovoort.
Topologie
Apparaten die zijn geconfigureerd via configuratiegroepen kunnen een gecentraliseerd beleid gebruiken of migreren naar een topologie. In wezen is het doel om hetzelfde onderliggende controlebeleid voor de SD-WAN-controllers te behouden. Topologie is de nieuwste iteratie van controlebeleid.
Het is belangrijk op te merken dat u geen controlebeleid kunt laten verwijzen naar een sitelijst met een site waaraan een topologie is gekoppeld, omdat beide dezelfde instelling configureren.
Het is mogelijk om een gecentraliseerd beleid te hebben met alleen een gegevensbeleid en / of AAR-beleid en een topologiebeleid terwijl ze verschillende componenten configureren.
Stappen voor het migreren van een apparaat van een gecentraliseerd beleid naar een beleidsgroep:
|
Stap 1. |
Maak de benodigde topologiecomponenten. |
|
Stap 2. |
Koppel zijden los van de oudere topologielijst in het gecentraliseerde beleid. |
|
Stap 3. |
Koppel de site-ID los van alle sitelijsten waarnaar wordt verwezen in het jaarlijkse activiteitenverslag of het gegevensbeleid. |
|
Stap 4. |
Activeer de topologie. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de controllers en wijzigt deze alle routes die naar randapparaten worden verzonden. |
Opmerking: Hoewel topologie naast een gecentraliseerd beleid kan bestaan, wordt aanbevolen om bij een gecentraliseerd beleid te blijven (voor topologie en routemanipulatie) terwijl randapparaten worden geconverteerd naar configuratiegroepen. Begin vervolgens met de migratie van Gecentraliseerd Beleid naar Topologie voor functionaliteit van het wijzigen van topologieën en routeringsmanipulatie.
Dit wordt gedaan om het eenvoudig te houden en om verwarring onder het operationele personeel te verminderen.
Conversiegereedschap
reikwijdte
Met de Configuration Conversion Tool worden sjablonen en beleidsregels geconverteerd naar configuratiegroepen en beleidsgroepen. Het verzamelt sjabloon- en beleidsconfiguratie van een doel-SD-WAN-manager, converteert deze naar hun configuratiegroep en equivalenten van de beleidsgroep en uploadt de nieuwe configuratie naar de doel-SD-WAN-manager. De tool biedt momenteel ondersteuning voor sjablonen en beleidsconversie voor 20 .12 en 20.13.
Toegangsgegevens
De Configuration Conversion Tool is beschikbaar op het SD-WAN Portal (voorheen bekend als SSP).
Hoe te gebruiken
Voorwaarden
Voordat u de tool gebruikt, moet u ervoor zorgen dat uw SD-WAN-beheer 20.12.x wordt uitgevoerd. Zo niet, upgrade naar 10 .12 voordat u doorgaat.
Bovendien moet de doel-SD-WAN-beheerder toegankelijk zijn via internet en inkomende verkeer van 74.207.103.254 accepteren.
Werkstroom Configuration Conversion Tool
|
Stap 1. |
Log in op het SD-WAN-portaal met uw CCO-referenties. · Als u een beheerder van een Smart Account bent, bent u zoals gewoonlijk aangemeld bij het SD-WAN-portaal. Kies Configuratie Conversie in het menu aan de linkerkant om de werkstroom te openen. · Als je geen Smart Account beheerder bent, krijg je een 403 Verboden pagina met een link naar de tool. Klik op de link om de werkstroom in te voeren. |
|
Stap 2. |
Details: Geef uw SD-WAN Manager IP of URL op, samen met gebruikersreferenties. · De gebruiker moet toegang hebben tot lezen/schrijven. · Poort (standaard is 443) en subdomeinvelden zijn optioneel. |
|
Stap 3. |
Importeren: Er zijn twee opties om de configuratie op te halen (sjablonen en beleidsregels): 1. Klik op de knop Verzamelen om alle configuratie (apparaatsjablonen, functiesjablonen, beleidsregels en de bijbehorende constructies) op te halen uit SD-WAN Manager. · Eenmaal verzameld, kunt u een JSON-bestand downloaden met alle configuratie-items. Dit bestand kan tijdens deze stap op een later tijdstip worden gebruikt in plaats van opnieuw te verzamelen van de SD-WAN-beheerder. 2. Upload een JSON-bestand met sjablonen en beleidsregels die eerder in deze stap zijn gemaakt. |
|
Stap 4. |
Kies: Kies de sjablonen en beleidsregels die u wilt converteren. Klik op Converteren om de gekozen configuratie-items te converteren. · Opmerking: u kunt apparaatsjablonen afzonderlijk kiezen, maar beleidsregels zijn alles of niets (dat wil zeggen dat alle beleidsregels worden geconverteerd of dat er geen beleidsregels worden geconverteerd). |
|
Stap 5. |
Omzetten: Deze pagina toont alle nieuw geconverteerde configuratie-items. Controleer de gemaakte objecten en de status ervan. Als een object een gedeeltelijke status heeft, raadpleegt u het informatiepictogram om te begrijpen waarom. Als u klaar bent, klikt u op Uploaden om deze nieuwe configuraties in SD-WAN Manager te maken. |
|
Stap 6. |
Samenvatting: Bij deze stap worden de nieuwe configuratiestukken gemaakt in SD-WAN Manager. Terwijl de configuraties worden gemaakt, ziet u de voortgangsbalk. Zodra de upload is voltooid, ziet u een overzicht van de geüploade configuraties en hun statussen. · In het geval van een fout of vergissing, zijn Annuleren Uploaden (tijdens het maken) en Terugdraaien (na het maken) beschikbaar in deze stap. Als u een upload of terugdraaiing annuleert, worden alle configuratie-items verwijderd die tijdens deze workflow/sessie in SD-WAN-beheer zijn gemaakt. Als u deze werkstroom afsluit, kunt u deze wijzigingen niet op een later tijdstip terugdraaien - u moet ongewenste items handmatig verwijderen. |
na de omzetting
De nieuwe configuratie is nu klaar voor gebruik. Voer de stappen uit in het gedeelte Bestaande implementaties om uw apparaten te migreren naar de nieuw geconverteerde configuratiegroepen en beleidsgroepen.
overwegingen
- De conversies die door de tool worden geleverd, zijn bedoeld als leidraad. Analyseren en testen voor implementatie in een productieomgeving.
- De tool houdt geen rekening met de apparaatagnostische mogelijkheden van configuratiegroepen. Gebruikers kunnen hun sjablonen analyseren voordat ze selecteren welke ze de geconverteerde configuratiegroepen moeten converteren of analyseren en apparaten dienovereenkomstig koppelen om te profiteren van de apparaatdiagnostische mogelijkheid.
- Variabelnamen en globale waarden uit de oorspronkelijke configuratie worden gekopieerd naar de nieuw geconverteerde configuratie. Apparaatspecifieke waarden zijn niet beschikbaar.
- De tool pusht de configuratie niet naar apparaten. Na het uitvoeren van de conversies is de gebruiker verantwoordelijk voor het loskoppelen van apparaten van sjablonen en het koppelen ervan aan de nieuwe configuratiegroepen.
steunen
Voor problemen met betrekking tot de Configuration Conversion Tool stuurt u een e-mail naar sdwan-conversiontool-support@cisco.com.
10 .12 Overwegingen
|
Nee. |
Objectbeschrijving |
|
1. |
DNS-configuratie moet worden gepusht via CLI-invoegprofiel bij implementatie van Configuration Group op Edge met versie lager dan 10 .12. |
|
2. |
De creatie van topologie vereist de selectie van sites in plaats van het kiezen van een gebied gedefinieerd in NHM. |
|
3. |
De werkstroom Configuratiegroep maken maakt geen VPN512 en een interface in deze VPN, in het WAN-profiel. Als u dit nodig hebt, kunt u dit handmatig maken door de configuratiegroep te bewerken. |
|
4. |
De mogelijkheid om beleid te kopiëren/dupliceren in de beleidsgroep wordt niet ondersteund. Een set Python-scripts kan deze taak uitvoeren en bevindt zich in: |
|
5. |
AppQoE Optimization (TCP Opt en DRE) en Loss Correction (FEC en Pkt Dup) configuratie blijven legacy templates/policies gebruiken. Configureerbaar via CLI-profiel in configuratie-/beleidsgroepen (20.14 in UI-pakket). |
|
6. |
Cloud OnRamp voor SaaS blijft de bestaande sjablonen/beleidsregels gebruiken. |
|
7. |
TrustSec/SGT wordt alleen ondersteund met CLI-profiel. |
|
8. |
UC Voice/DSP Farm/SRST alleen ondersteund met CLI-profiel (vanaf 20.13 in UI-pakket). |
Gerelateerde informatie
- Cisco SD-WAN en Cloud Networking YouTube-kanaal
- Vereenvoudigde configuratie - SD-WAN eenvoudig maken met vereenvoudigde configuratie
- 1. Siteconfiguratie maken in enkele eenvoudige klikken met behulp van de werkstroom
- 2. Configuratiecatalogus - Een catalogus van gevalideerde en beheerde Cisco-configuratie voor WAN
- Cisco Technical Support en downloads
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
13-Mar-2025
|
Updates van het gedeelte Conversiegereedschap om recente wijzigingen in de toegang en implementatie van het hulpprogramma weer te geven. |
1.0 |
16-Aug-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)