De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft een snelstartgids voor vereenvoudigde configuratie en beleidsregels in Catalyst SD-WAN.
Met Cisco Catalyst SD-WAN Software Release 10 .12/10 .12 wordt aanbevolen dat gebruikers beginnen met de migratie van traditionele configuratie op basis van apparaat- en functiesjablonen naar de nieuwe configuratiebenadering op basis van configuratiegroepen en beleidsgroepen. In dit document worden belangrijke details voor de nieuwe configuratiebenadering beschreven.
Het belangrijkste doel van dit document is om te dienen als een gids voor het starten met het gebruik van nieuwe constructies voor configuratie, beleid en onboarding, met de gouden release van 10 .12. Het document bevat geen uitleg over individuele kenmerken.
Om de nieuwe configuratiebenadering met succes te kunnen gebruiken, moet u de volgende stappen uitvoeren:
Flowchart voor nieuwe implementaties
Cisco Catalyst SD-WAN biedt een verbeterde gebruikerservaring en vereenvoudigt de bedrijfsvoering.
Voordelen:
Gebruiksgemak |
Intuïtieve en geleide workflows |
Configureerwildgroei |
Verminderde wildgroei (model agnostisch, hergebruik, structuur) |
Configuratie maken |
Sneller en eenvoudiger met slimme standaardinstellingen |
Configuratiewijziging |
Nu wijzigen, later selectief implementeren |
zichtbaarheid |
Nieuwe dashboards, Apps/Sites-prestatiecontrole |
Begeleiding voor probleemoplossing |
Sitetopologie, richtlijnen voor hulpprogramma's voor probleemoplossing |
Biedt een begrip van 'hiërarchie', dat wil zeggen, Sites, Regio's en Gebieden, voor het netwerk. U kunt dit doen op basis van uw netwerk.
Voorbeeld:
Network Hierarchy Manager (NHM)
Dit helpt bij het definiëren van gebruiksvriendelijke sitenamen, wat bijdraagt aan operationele vereenvoudiging.
Deze pools automatiseren de toewijzingen van System-IP en Site-ID tijdens de implementatie van de apparaatconfiguratie.
U kunt de IP-pool voor automatische toewijzingen van System-IP definiëren. Site-ID wordt toegewezen vanuit de pool Global_Site.
Groepsparameters toevoegen
Pools weergeven en beheren
Een workflow is een verzameling begeleide stappen die u helpen een bepaalde taak gemakkelijk uit te voeren.
In een werkstroombibliotheek worden alle beschikbare werkstromen weergegeven.
werkstroombibliotheek
Configuratiegroepen is een nieuwe benadering van de configuratie van de structuur die is gebaseerd op de principes van eenvoud, herbruikbaarheid en structuur.
Configuratiegroepenstructuur
Configuratiegroepen:
Bijvoorbeeld; Oost/West, Americas/APJC/EMEAR, Retail Store/Distributiecentrum.
Kenmerken Profielen:
Bijvoorbeeld; Basisprofiel, WAN-profiel, LAN-profiel.
Opmerking:
Configuratiegroep-HUB:
Voer de werkstroom Configuratiegroep maken uit.
Optie Configuratiegroep-workflow maken
WAN-profiel
Voorbeeld gebruikCase 1 - WAN-profiel 1
Met behulp van de workflow kan de volledige WAN-profielconfiguratie voor deze use case worden gegenereerd.
Entiteiten zoals werkelijke statische IP, statische standaardroute IP/subnet/Next-Hop enzovoort, kunnen worden opgegeven als Globaal of Apparaatspecifiek.
De apparaatspecifieke optie kan worden opgegeven met werkelijke waarden tijdens de implementatie van de configuratiegroep op de apparaten.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 1
Met behulp van de workflow kan het grootste deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: Geavanceerde configuratie, zoals herdistributie van routes en standaardrouteadvertenties, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken, evenals de subinterfaces als deze tijdens de implementatie worden gebruikt.
Systeemprofiel
Voorbeeld: gebruik 1 - Systeemprofiel 1
Met behulp van de workflow kan het grootste deel van de systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, Logging enzovoort.
Opmerking: Geavanceerde configuratie zoals OMP-BGP-herverdeling en andere wijzigingen in de systeemfuncties zoals OMP, AAA, NTP, enzovoort, moeten na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Sitetype van configuratiegroep1:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel
Voorbeeld gebruikZaak 1 - WAN-profiel 2
Met behulp van de workflow kan het grootste deel van de WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet-interfaces voor internet en Starlink. DHCP.
Opmerking: de cellulaire interface voor de LTE-koppeling, inclusief de statische route, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 2
Met behulp van de workflow kan een deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd. 2 VPN's, statische DIA-route.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: SVI's, draadloze SSID's, Access switch-poorten enzovoort moeten na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Systeemprofiel
Voorbeeld: gebruik 1 - Systeemprofiel 2
Met behulp van de workflow kan het grootste deel van de systeemprofielconfiguratie voor deze use-case worden gegenereerd - OMP, AAA, NTP, Logging enzovoort.
Opmerking: Geavanceerde configuratie, zoals Application Performance Monitoring, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
CLI-profiel
Voorbeeld gebruik 1 - CLI-profiel 2
Functies die niet worden ondersteund via de GUI, zoals NBAR (App/Flow Visibility), kunnen worden geconfigureerd met behulp van een CLI-profiel.
Zichtbaarheid van app/flow:
Om app-zichtbaarheid en flow-zichtbaarheid mogelijk te maken, gebruikt u CLI-profiel / pakket.
(In 20.13 en later is het beschikbaar onder Geavanceerde instellingen in Beleidsgroep)
In 10 .12 is echter, als een AAR-beleid is geconfigureerd, de zichtbaarheid van de app/stroom ingeschakeld. En dit configureren met behulp van CLI-profiel/pakket is niet vereist.
SiteType 2 van configuratiegroep:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel
Voorbeeld gebruikZaak 1 - WAN-profiel 3
Met behulp van de workflow kan het grootste deel van de WAN-profielconfiguratie voor deze use-case worden gegenereerd. Ethernet-interface voor internet. DHCP.
Opmerking: de cellulaire interface voor de LTE-koppeling, inclusief de statische route, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 3
Met behulp van de workflow kan een deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: SVI, Access switch-poort enzovoort, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Systeemprofiel:
Hetzelfde als Configuration Group SiteType1.
CLI-profiel:
Hetzelfde als Configuration Group SiteType1.
Sitetype van configuratiegroep3:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel:
Hetzelfde als Configuratiegroep SiteType2.
LAN-profiel
Voorbeeld gebruikCase 1 - LAN-profiel 4
Met behulp van de workflow kan een deel van de LAN-profielconfiguratie voor deze use-case worden gegenereerd. 1 VPN, DIA statische route.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Opmerking: SVI, Wireless SSID, Access switch-poort enzovoort moeten na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Systeemprofiel:
Hetzelfde als Configuration Group SiteType1.
CLI-profiel:
Hetzelfde als Configuration Group SiteType1.
Voorbeeld UseCase 2 - Configuratiegroepen
Hoofdkantoor en magazijn van configuratiegroep
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel:
Met behulp van de workflow kan alle WAN-profielconfiguratie voor deze use-case worden gegenereerd.
LAN-profiel:
Met behulp van de workflow kan de configuratie van het LAN-profiel voor deze use-case worden gegenereerd.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Systeemprofiel:
Met behulp van de workflow kan de volledige configuratie van het systeemprofiel voor deze use-case worden gegenereerd.
Opmerking: Als er wijzigingen nodig zijn of als Geavanceerde configuratie zoals Application Performance Monitoring vereist is, moeten deze na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
Configuratiegroepwinkels:
Voer de werkstroom Configuratiegroep maken uit.
WAN-profiel:
Met behulp van de workflow kan het grootste deel van de WAN-profielconfiguratie voor deze use-case worden gegenereerd.
Opmerking: de cellulaire interface voor de LTE-koppeling, inclusief routering, moet na de werkstroom worden geconfigureerd door de configuratiegroep handmatig te bewerken.
LAN-profiel:
Met behulp van de workflow kan de configuratie van het LAN-profiel voor deze use-case worden gegenereerd.
Entiteiten zoals daadwerkelijke Dot1Q-subinterfaces en elke andere entiteit die is gemarkeerd als Apparaatspecifiek, kunnen worden gespecificeerd met werkelijke waarden tijdens de implementatie van de Configuration-group op de apparaten.
Systeemprofiel:
Hetzelfde als Configuration Group HQ en Warehouse.
Op de pagina Configuratiegroep bewerken (Configuratie -> Configuratiegroepen) kunt u apparaten koppelen aan de Configuratiegroep.
Klik op Apparaten koppelen en navigeer door de stappen in de werkstroom.
Apparaat koppelen - Configuratiegroepen
Voer de werkstroom van de implementatieconfiguratiegroep uit.
Werkstroom Configuratiegroep implementeren
Opmerking:
Configuratiegroep - Apparaatmodel agnostisch
Opmerking: Als een bepaalde configuratie niet wordt ondersteund op een apparaatmodel, treedt de corresponderende functie pakketpush niet op en wordt een passend bericht weergegeven als onderdeel van de implementatietaak.
Voorbeeld: een apparaat ondersteunt geen Wi-Fi, maar de configuratiegroep bevat een Wi-Fi-pakket. Tijdens de implementatie wordt de configuratie van het Wi-Fi-pakket genegeerd en wordt in het taakbericht voor de implementatie gemeld dat de push voor de Wi-Fi-configuratie is genegeerd.
Configuratiegroep - apparaatspecifieke variabelen
Een functieprofiel kan een bepaalde configuratie hebben die is gedefinieerd als apparaatspecifiek, vergelijkbaar met sjabloonvariabelen.
Voorbeeld: IP-adres van de interface, poortnummers, naam van de interface, enzovoort.
Deze apparaatspecifieke waarden kunnen tijdens de implementatie worden opgegeven. En het kan voor verschillende apparaten anders zijn.
Configuratiegroep - Apparaatspecifieke variabelen Voorbeeld 1
Configuratiegroep - Apparaatspecifieke variabelen Voorbeeld 2
Configuratiegroep - Apparaatspecifieke variabelen Voorbeeld 3
Functieprofielen kunnen opnieuw worden gebruikt in configuratiegroepen.
Afbeelding:
Als de WAN- en systeemconfiguraties voor verschillende apparaten hetzelfde zijn en ze bijvoorbeeld alleen verschillen in de LAN-configuratie, kunnen de WAN- en systeemprofielen opnieuw worden gebruikt in hun configuratiegroepen, terwijl ze in elk apparaat een ander LAN-profiel hebben.
Functieprofielen opnieuw gebruiken - 1
LAN-profiel 1
Functieprofielen opnieuw gebruiken - 2
LAN-profiel 2
Functieprofielen opnieuw gebruiken - 3
LAN-profiel 3
Het profiel Beleidsobject bevat alle belangengroepen of lijsten die worden gebruikt met gelokaliseerd beleid (ACL, routebeleid, enz.) in Configuratiegroepen, Beleid in beleidsgroepen en topologie.
Het is een gedeeld (globaal) profiel dat wordt gebruikt in configuratiegroepen, beleidsgroepen en topologie.
Rollback Timer is 5 minuten met Configuratiegroepen (vanwege het gebruik van een nieuw pull-model via NETCONF hoeft dit niet langer configureerbaar te zijn).
Traditionele apparaten waren in staat om verkeersstromen te manipuleren door voorwaardelijke matching van bron- en / of bestemming-IP-adressen, bron / bestemmingspoorten en protocollen. Omdat steeds meer applicaties afhankelijk zijn van DNS of ingebed zijn in HTTP, is het moeilijker om netwerkverkeer op applicatieniveau nauwkeurig te identificeren.
De Network Based Application Recognition (NBAR)-engine van Cisco heeft de mogelijkheid om meer dan 1500 toepassingen te classificeren, waardoor netwerkingenieurs de mogelijkheid hebben om verkeersstromen met meer granulariteit te classificeren en te manipuleren. Cisco's Catalyst SD-WAN Manager bevat de mogelijkheid om verbinding te maken met een Cisco-applicatieregister waar handtekeningen voor applicaties snel kunnen worden bijgewerkt; wat van belang is voor wanneer cloudproviders hostinglocaties of verkeerspatronen veranderen.
De toepassingscatalogus biedt de mogelijkheid om aangepaste toepassingen te maken op basis van de overeenkomst van servernaam, IP-adres, poorten of protocol. De toepassing wordt vervolgens gedefinieerd voor een specifieke toepassingsfamilie, toepassingsgroep, verkeersklasse en bedrijfsrelevantie.
toepassingscatalogus
Toepassingen kunnen worden gesleept en naar de juiste bedrijfsrelevantie en / of verkeersclassificatie worden gesleept. Na het opslaan van de wijzigingen worden de definities bijgewerkt in de database.
Opmerking: toepassingsclassificaties zijn globaal en een wijziging in de toepassingscatalogus is van invloed op alle apparaatclassificaties.
Net als bij de configuratiegroepen is een beleidsgroep een groep van beleidsregels die worden geïmplementeerd op apparaten die zijn gekoppeld aan de beleidsgroep
Beleidsgroep benadert beleidsvorming en -implementatie op basis van intentie. Een vereenvoudigde gebruikersinterface en workflow maken het maken van een beleid, het groeperen van beleid en het implementeren op apparaten een eenvoudige taak.
Voorwaarde: koppeling van configuratiegroepen en implementatie op een apparaat is een voorwaarde voor implementatie van de beleidsgroep op dat apparaat. |
Beleidsgroepen
Met deze beleidsintentie kunt u het volgende opgeven:
Er zijn twee modi beschikbaar.
Dit is de standaardmodus.
Eenvoudige modus
Dit biedt een snelle en eenvoudige manier om de toepassingsprioriteit en SLA voor uw netwerk te definiëren.
Noot: 1. De standaardbeleidsactie is DROP.
2. Wedstrijdcriteria kunnen alleen Toepassingen zijn. Als u voorvoegsels nodig hebt, gebruikt u de geavanceerde modus
Dit is een volledige en flexibele modus.
Geavanceerde modus
Opmerking:
1. De standaardbeleidsactie is DROP.
2. Toepassingslijst en verkeersklasse zijn in wezen een lijst van toepassingen.
Een van beide kan worden gebruikt voor het matchen van een lijst met toepassingen. Toepassingen toewijzen aan de verkeersklasse kan worden gedaan in de toepassingscatalogus.
Eenvoudige modus genereert regels met behulp van een of beide van deze, terwijl Geavanceerde modus alleen Toepassingslijst biedt.
In de optie QoS Queue kunt u een QoS-beleid toevoegen:
QoS-beleid toevoegen
Wachtrijmodellen
Vervolgens kunt u het beleid voor verkeersgegevens definiëren (beleid voor het toevoegen van verkeer).
Voeg regels toe om het gewenste verkeer te matchen en door te verwijzen naar de juiste Forwarding-klassen.
QoS-beleid 2
U kunt SLA-klassen definiëren en deze gebruiken in een verkeersbeleid om de intentie van een AAR-beleid te realiseren.
AAR-beleid
Zichtbaarheid van app/flow:
Gebruik CLI-profiel/pakket in Configuratiegroep om app-zichtbaarheid en stroomzichtbaarheid mogelijk te maken.
(In 20.13 en later is het beschikbaar onder Geavanceerde instellingen in Beleidsgroep).
In 10 .12 is echter, als een AAR-beleid is geconfigureerd, de zichtbaarheid van de app/stroom ingeschakeld. En dit configureren met behulp van CLI-profiel/pakket is niet vereist.
Hoe kan ik de configuratie "ip nbar protocol-discovery" toevoegen aan de service VPN-interfaces?
Vanaf 20.15 uur:
Wanneer de zichtbaarheid van de app is ingeschakeld (vanuit Toepassingsprioriteit en SLA-beleid -> Aanvullende instellingen), wordt de configuratie "IP nbar protocol-discovery" naar alle service VPN-interfaces gepusht. Er zijn geen extra stappen vereist.
Tot 20,14:
Het toevoegen van een Application Performance monitoring pakket in het systeemprofiel maakt de "ip nbar protocol-discovery" configuratie op alle Service VPN interfaces mogelijk. Als u het alleen voor een specifieke service VPN-interface wilt doen, kan dit via een CLI-profiel worden gedaan.
Verkeersbeleid kan ook worden gebruikt om een DIA-beleid, SIG-omleiding enzovoort te maken. Voeg regels toe zoals vereist.
verkeersbeleid
Opmerking: als een toepassingsprioriteit en SLA-beleid in de eenvoudige modus worden gemaakt en vervolgens worden overgeschakeld naar de geavanceerde modus, zijn sommige overeenkomende opties niet beschikbaar voor selectie. Voorbeeld: Voorvoegsel bestemmingsgegevens is grijs.
Om deze opties beschikbaar te maken, wijzigt u het protocol van BEIDE naar IPv4 of IPv6 zoals vereist.
Definieert het beveiligingsbeleid voor on-box NGFW, IPS, Malware en inhoudfilters.
Voor meer details, zie:
Configuratiegids voor Catalyst SD-WAN-beveiliging
Definieert de instellingen die nodig zijn om tunnels te maken naar cloud-gebaseerde inhoud en beveiligingsentiteiten, zoals Cisco Secure Access.
Opmerking: met de bestaande configuratiebenadering was dit beschikbaar als een functiesjabloon.
Definieer instellingen om het gebruik van cloudgebaseerde DNS-beveiligingsservices voor inhoudsfiltering mogelijk te maken.
Definieer de objectenlijsten die u in uw beleid wilt gebruiken. Voorbeeld: toepassingslijsten, VPN-lijsten, sitelijsten, lijst met voorvoegsels enzovoort.
Voor het beveiligingsbeleid definieert u bovendien uw profielen, zoals geavanceerde inspectieprofielen, SSL-decoderingsbeleid enzovoort.
Beleidsgroepen - belangengroepen
Net als bij configuratiegroepen, koppelt u apparaten aan beleidsgroepen en implementeert u deze.
Gelokaliseerde beleidsregels zoals ACL, routebeleid, toegangsbeleid voor apparaten enzovoort, worden gedefinieerd in configuratiegroepen.
Definieer uw netwerktopologie.
Begin met een Full mesh of Hub-n-Spoke en pas deze indien nodig aan.
Menu Topologie
Houd rekening met deze ontwerpwijzigingen tijdens het maken van topologie en het opgeven van VPN's.
Het nieuwe ontwerp maakt het mogelijk om de VPN-naam dynamisch toe te wijzen aan VPN-ID, in plaats van 1: 1-toewijzing.
Afbeelding:
Stel dat er een VPN is met de naam Corporate in twee verschillende configuratiegroepen.
De ene heeft VPN ID 10 en de andere heeft VPN ID 20.
De lijst Topology workflow VPN toont slechts één exemplaar van Corporate VPN.
Zodra u Corporate VPN kiest, bepaalt de SD-WAN Manager de VPN-ID's op basis van de topologie.
Stel dat er twee apparaten op twee sites zijn:
1. Apparaat1 in site 100 met Corporate als VPN 10
2. Device2 in site 200 met Corporate als VPN 20
Als zowel site 100 als site 200 deel uitmaken van de topologie, maakt SD-WAN Manager een VPN-lijst met zowel VPN-ID's (10 en 20).
Als alleen site 100 deel uitmaakt van de topologie, maakt SD-WAN Manager een VPN-lijst met alleen VPN-ID 10.
Als alleen site 200 deel uitmaakt van de topologie, maakt SD-WAN Manager een VPN-lijst met alleen VPN-ID 20.
U kunt meerdere topologiebeleidsregels configureren met dezelfde VPN-naam die zijn toegewezen aan verschillende VPN-ID's op verschillende sites.
SD-WAN Manager bepaalt de werkelijke toewijzing op basis van welke topologie is gekoppeld aan welke sites.
Afbeelding:
Twee gebruikers kunnen twee verschillende configuratiegroepen maken.
De ene specificeert VPN ID 100 als Finance VPN en de andere specificeert het als Engineering VPN.
Vervolgens kunnen ze topologie maken met behulp van hun respectievelijke VPN-namen.
Gebruik de Quick Connect-workflow voor het onboarden van uw fysieke routers.
Met deze workflow kunt u vooraf de hostnaam, systeem-IP en site-naam/id definiëren voor de apparaten die aan boord worden genomen. Manager genereert deze automatisch, maar u kunt ze wijzigen als u dat wilt. U kunt ook de apparaten labelen die vervolgens kunnen worden gebruikt om de apparaten automatisch aan configuratiegroepen te koppelen.
Tijdens het PnP ZTP-onboardingproces leggen de apparaten de verbinding tussen de besturingstunnel en de SD-WAN-manager. SD-WAN Manager duwt nu de vooraf gedefinieerde fabric-configuratie naar de apparaten en de apparaten worden lid van de SD-WAN-fabric.
Quick Connect-workflow
Beschrijving van Quick Connect-workflow
Apparaten kunnen worden gekoppeld aan door de gebruiker gedefinieerde tags.
Tags kunnen worden gebruikt voor het groeperen, beschrijven, vinden of beheren van apparaten.
Tags maakt het groeperen van apparaten mogelijk die vervolgens in andere functies kunnen worden gebruikt.
Voorbeelden labelen
Voorbeeld: koppeling van configuratiegroepen aan apparaten.
Configuratiegroepregels kunnen zo worden ingesteld dat apparaten met specifieke tags automatisch aan die configuratiegroep kunnen worden gekoppeld.
In Configuratie > Apparaten kunnen tags worden gemaakt/toegevoegd aan/verwijderd uit de apparaten.
Op de pagina Configuratiegroep > Geassocieerde apparaten kunnen tagregels worden toegevoegd/bewerkt.
Tagging illustratie
In het SD-WAN-netwerk kunnen apparaten die gebruikmaken van de Legacy Configuration and Policies naast apparaten bestaan met behulp van de Simplified Configuration and Policies.
In dit gedeelte vindt u enkele aanbevelingen voor gebruikers die willen profiteren van de vereenvoudigde configuratie en het beleid. In dit gedeelte vindt u enkele aanbevelingen.
De eerste stap is dat apparaten moeten worden gemigreerd van apparaatsjablonen naar configuratiegroepen. Zodra dat is gebeurd, kunnen beleidsgroepen en/of topologie worden ingezet.
Apparaatsjablonen en configuratiegroepen bieden de randapparaatconfiguratie. Het is dus gemakkelijk om coëxistentie te laten plaatsvinden. De stappen voor het migreren van een apparaatsjabloon naar een configuratiegroep zijn:
Stap 1. |
Kopieer de apparaatwaarden uit de apparaatsjablonen. Dit wordt bereikt vanuit de Configuration à Templates, klik op de Ellipses (…) rechts van de apparaatgroep en kies CSV exporteren. |
Stap 2. |
Maak een configuratiegroep (handmatig of met het conversieprogramma). |
Stap 3. |
Maak de apparaatsjabloon los van het apparaat. Op dit moment onderhoudt het apparaat de configuratie op het punt van bijlage; maar ontvangt het geen toekomstige wijzigingen die zijn aangebracht in de apparaatsjabloon (of sjablonen voor componentfuncties). |
Stap 4. |
Koppel de apparaten aan de nieuwe configuratiegroep. |
Stap 5. |
Implementeer de apparaten die zijn gekoppeld aan de configuratiegroep. Om dit proces gemakkelijker te maken, opent u het geëxporteerde CSV-bestand en wijzigt u de kolomkoppen van de CSV-kolom zodat deze overeenkomen met de nieuwe variabelen uit de configuratiegroep. |
Stap 6. |
Na het scherm voor de invoer van de apparaatvariabele kunt u een voorbeeld van de apparaatconfiguratie bekijken. Dit geeft u een voorbeeld van welke delen van de configuratiegroep niet overeenkomen met de vorige instantie; of welke variabelen zijn gewijzigd vanuit de apparaatsjabloon. |
Het handhaven van een consistent naamgevingsschema voor variabelen vereenvoudigt apparaatspecifieke instellingen. Als alle apparaatwaarden in één CSV staan, hoeft u de kolomkoppen slechts eenmaal te hernoemen.
Opmerking: er bestaat een pythonscript dat werkt met CSV-bestanden voor apparaatsjablonen of configuratiegroepen om de kolomkoppen te consolideren en alfabetiseren. Het script is hier beschikbaar:
Apparaten die via configuratiegroepen zijn geconfigureerd, kunnen een gecentraliseerd beleid gebruiken of naar een beleidsgroep migreren, maar niet allebei tegelijk voor dezelfde toepassing. In wezen is het doel om hetzelfde onderliggende beleid voor de randapparaten te behouden. Beleidsgroepen combineren het oorspronkelijke AAR- en gegevensbeleid in één component Toepassingsprioriteit en SLA-PG. In wezen wordt de manier waarop de configuratie voor beleidsregels is opgebouwd, gewijzigd (maar niet naar de SD-WAN-manager verzonden).
Het is belangrijk op te merken dat u geen gegevensbeleid of AAR-beleid kunt laten verwijzen naar een sitelijst met een site die de toepassingsprioriteit en SLA-component heeft, omdat ze beide dezelfde instelling configureren.
Het is mogelijk om een gecentraliseerd beleid te hebben met alleen een verwijzing naar het controlebeleid op een site die een beleidsgroep gebruikt met toepassingsprioriteit en SLA (Application Priority and SLA) omdat deze verschillende componenten van een gecentraliseerd beleid configureren.
De stappen voor het migreren van een apparaat van een gecentraliseerd beleid naar een beleidsgroep omvatten de volgende stappen:
Stap 1. |
Maak de benodigde beleidsgroepcomponenten (Application Priority en SLA, Ingebouwde beveiliging, Secure Internet Gateway/Secure Service Edge, DNS-beveiliging). |
Stap 2. |
Maak de beleidsgroep en koppel de benodigde componenten. |
Stap 3. |
Koppel de site-ID los van alle SiteLists die verwijzingen zijn in AAR of gegevensbeleid. |
Stap 4. |
Koppel de apparaten aan de beleidsgroep en sla de beleidsgroep op. |
Stap 5. |
Implementeer de beleidsgroep op de geselecteerde apparaten. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de Edge-apparaten (voor QoS/SIG) en de controllers, zodat de controllers bijgewerkte gegevensbeleidsregels naar de edge-apparaten kunnen verzenden. |
Opmerking: hoewel beleidsgroepen naast een gecentraliseerd beleid kunnen bestaan, wordt aanbevolen om bij een gecentraliseerd beleid te blijven (voor AAR- en gegevensbeleid) terwijl randapparaten worden geconverteerd naar configuratiegroepen. Begin vervolgens met de migratie van Gecentraliseerd beleid naar beleidsgroepen voor functionaliteit binnen de component Toepassingsprioriteit en SLA.
Dit wordt gedaan om het eenvoudig te houden en om verwarring onder het operationele personeel te verminderen.
Opmerking: de engine voor beleidsgroepen slaat dingen op in een andere indeling. Een prefixlijst die in een gecentraliseerd beleid wordt gebruikt, moet dus opnieuw worden gemaakt in de beleidsgroep. Dit kan gebeuren voor andere dingen zoals sitelijsten, enzovoort.
Apparaten die zijn geconfigureerd via configuratiegroepen kunnen een gecentraliseerd beleid gebruiken of migreren naar een topologie. In wezen is het doel om hetzelfde onderliggende controlebeleid voor de SD-WAN-controllers te behouden. Topologie is de nieuwste iteratie van controlebeleid.
Het is belangrijk op te merken dat u geen controlebeleid kunt laten verwijzen naar een sitelijst met een site waaraan een topologie is gekoppeld, omdat beide dezelfde instelling configureren.
Het is mogelijk om een gecentraliseerd beleid te hebben met alleen een gegevensbeleid en / of AAR-beleid en een topologiebeleid terwijl ze verschillende componenten configureren.
Stappen voor het migreren van een apparaat van een gecentraliseerd beleid naar een beleidsgroep:
Stap 1. |
Maak de benodigde topologiecomponenten. |
Stap 2. |
Koppel zijden los van de oudere topologielijst in het gecentraliseerde beleid. |
Stap 3. |
Koppel de site-ID los van alle sitelijsten waarnaar wordt verwezen in het jaarlijkse activiteitenverslag of het gegevensbeleid. |
Stap 4. |
Activeer de topologie. Op dit moment stuurt de SD-WAN Manager bijgewerkte configuraties naar de controllers en wijzigt deze alle routes die naar randapparaten worden verzonden. |
Opmerking: Hoewel topologie naast een gecentraliseerd beleid kan bestaan, wordt aanbevolen om bij een gecentraliseerd beleid te blijven (voor topologie en routemanipulatie) terwijl randapparaten worden geconverteerd naar configuratiegroepen. Begin vervolgens met de migratie van Gecentraliseerd Beleid naar Topologie voor functionaliteit van het wijzigen van topologieën en routeringsmanipulatie.
Dit wordt gedaan om het eenvoudig te houden en om verwarring onder het operationele personeel te verminderen.
Met de Configuration Conversion Tool worden sjablonen en beleidsregels geconverteerd naar configuratiegroepen en beleidsgroepen. Het verzamelt sjabloon- en beleidsconfiguratie van een doel-SD-WAN-manager, converteert deze naar hun configuratiegroep en equivalenten van de beleidsgroep en uploadt de nieuwe configuratie naar de doel-SD-WAN-manager. De tool biedt momenteel ondersteuning voor sjablonen en beleidsconversie voor 20 .12 en 20.13.
De Configuration Conversion Tool is beschikbaar op het SD-WAN Portal (voorheen bekend als SSP).
Voordat u de tool gebruikt, moet u ervoor zorgen dat uw SD-WAN-beheer 20.12.x wordt uitgevoerd. Zo niet, upgrade naar 10 .12 voordat u doorgaat.
Bovendien moet de doel-SD-WAN-beheerder toegankelijk zijn via internet en inkomende verkeer van 74.207.103.254 accepteren.
Stap 1. |
Log in op het SD-WAN-portaal met uw CCO-referenties. · Als u een beheerder van een Smart Account bent, bent u zoals gewoonlijk aangemeld bij het SD-WAN-portaal. Kies Configuratie Conversie in het menu aan de linkerkant om de werkstroom te openen. · Als je geen Smart Account beheerder bent, krijg je een 403 Verboden pagina met een link naar de tool. Klik op de link om de werkstroom in te voeren. |
Stap 2. |
Details: Geef uw SD-WAN Manager IP of URL op, samen met gebruikersreferenties. · De gebruiker moet toegang hebben tot lezen/schrijven. · Poort (standaard is 443) en subdomeinvelden zijn optioneel. |
Stap 3. |
Importeren: Er zijn twee opties om de configuratie op te halen (sjablonen en beleidsregels): 1. Klik op de knop Verzamelen om alle configuratie (apparaatsjablonen, functiesjablonen, beleidsregels en de bijbehorende constructies) op te halen uit SD-WAN Manager. · Eenmaal verzameld, kunt u een JSON-bestand downloaden met alle configuratie-items. Dit bestand kan tijdens deze stap op een later tijdstip worden gebruikt in plaats van opnieuw te verzamelen van de SD-WAN-beheerder. 2. Upload een JSON-bestand met sjablonen en beleidsregels die eerder in deze stap zijn gemaakt. |
Stap 4. |
Kies: Kies de sjablonen en beleidsregels die u wilt converteren. Klik op Converteren om de gekozen configuratie-items te converteren. · Opmerking: u kunt apparaatsjablonen afzonderlijk kiezen, maar beleidsregels zijn alles of niets (dat wil zeggen dat alle beleidsregels worden geconverteerd of dat er geen beleidsregels worden geconverteerd). |
Stap 5. |
Omzetten: Deze pagina toont alle nieuw geconverteerde configuratie-items. Controleer de gemaakte objecten en de status ervan. Als een object een gedeeltelijke status heeft, raadpleegt u het informatiepictogram om te begrijpen waarom. Als u klaar bent, klikt u op Uploaden om deze nieuwe configuraties in SD-WAN Manager te maken. |
Stap 6. |
Samenvatting: Bij deze stap worden de nieuwe configuratiestukken gemaakt in SD-WAN Manager. Terwijl de configuraties worden gemaakt, ziet u de voortgangsbalk. Zodra de upload is voltooid, ziet u een overzicht van de geüploade configuraties en hun statussen. · In het geval van een fout of vergissing, zijn Annuleren Uploaden (tijdens het maken) en Terugdraaien (na het maken) beschikbaar in deze stap. Als u een upload of terugdraaiing annuleert, worden alle configuratie-items verwijderd die tijdens deze workflow/sessie in SD-WAN-beheer zijn gemaakt. Als u deze werkstroom afsluit, kunt u deze wijzigingen niet op een later tijdstip terugdraaien - u moet ongewenste items handmatig verwijderen. |
De nieuwe configuratie is nu klaar voor gebruik. Voer de stappen uit in het gedeelte Bestaande implementaties om uw apparaten te migreren naar de nieuw geconverteerde configuratiegroepen en beleidsgroepen.
Voor problemen met betrekking tot de Configuration Conversion Tool stuurt u een e-mail naar sdwan-conversiontool-support@cisco.com.
Nee. |
Objectbeschrijving |
1. |
DNS-configuratie moet worden gepusht via CLI-invoegprofiel bij implementatie van Configuration Group op Edge met versie lager dan 10 .12. |
2. |
De creatie van topologie vereist de selectie van sites in plaats van het kiezen van een gebied gedefinieerd in NHM. |
3. |
De werkstroom Configuratiegroep maken maakt geen VPN512 en een interface in deze VPN, in het WAN-profiel. Als u dit nodig hebt, kunt u dit handmatig maken door de configuratiegroep te bewerken. |
4. |
De mogelijkheid om beleid te kopiëren/dupliceren in de beleidsgroep wordt niet ondersteund. Een set Python-scripts kan deze taak uitvoeren en bevindt zich in: |
5. |
AppQoE Optimization (TCP Opt en DRE) en Loss Correction (FEC en Pkt Dup) configuratie blijven legacy templates/policies gebruiken. Configureerbaar via CLI-profiel in configuratie-/beleidsgroepen (20.14 in UI-pakket). |
6. |
Cloud OnRamp voor SaaS blijft de bestaande sjablonen/beleidsregels gebruiken. |
7. |
TrustSec/SGT wordt alleen ondersteund met CLI-profiel. |
8. |
UC Voice/DSP Farm/SRST alleen ondersteund met CLI-profiel (vanaf 20.13 in UI-pakket). |
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
13-Mar-2025
|
Updates van het gedeelte Conversiegereedschap om recente wijzigingen in de toegang en implementatie van het hulpprogramma weer te geven. |
1.0 |
16-Aug-2024
|
Eerste vrijgave |