Introdução
Este documento explica como melhorar o desempenho do Cisco Catalyst 8000Vs implantado no Azure.
Melhoria da produtividade do Catalyst 8000V no Azure
Com o Cisco Cloud OnRamp para Multicloud, os usuários podem implantar os roteadores virtuais Cisco Catalyst 8000V no NVA no Azure diretamente com o SD-WAN Manager (UI ou API).
A automação do Cloud OnRamp permite que os usuários criem e descubram conexões WAN virtual, hubs virtuais e criem com redes virtuais no Azure.
Depois que o Cisco Catalyst 8000Vs for implantado no Azure, os dispositivos virtuais poderão ser monitorados e gerenciados pelo SD-WAN Manager.
Este documento explica como melhorar o desempenho no Azure a partir de três perspectivas:
- instalação de licença HSEC;
- limitações de taxa de transferência na porta TCP 12346 no Azure;
- velocidade negociada automaticamente na interface de transporte.
Instalação da Licença HSEC
Os dispositivos que usam Smart Licensing Using Policy, e que devem suportar uma taxa de transferência de tráfego criptografado de 250 Mbps ou maior, exigem uma licença HSEC.
Trata-se de um requisito da regulamentação dos EUA em matéria de controlo das exportações. Você pode usar o Cisco SD-WAN Manager para instalar licenças HSEC.
O Cisco SD-WAN Manager entra em contato com o Cisco Smart Software Manager (SSM), que fornece um código de autorização de licença inteligente (SLAC) para carregar em um dispositivo.
Carregar o SLAC em um dispositivo habilita uma licença HSEC.
Consulte Gerenciamento de Licenças HSEC no Cisco Catalyst SD-WAN para obter detalhes sobre a instalação e o gerenciamento das licenças.
Limitações de Taxa de Transferência na Porta TCP 12346 no Azure
Atualmente, a automação implanta o C8000V com uma interface de transporte (GigabitEthernet1) e uma interface de serviço (GigabitEthernet2).
Devido às limitações de entrada do Azure nos 12346 TCP da porta SD-WAN, a produtividade pode ser limitada por interface de transporte à medida que o tráfego entra na infraestrutura do Azure.
O limite de entrada de 200K PPS é imposto pela infraestrutura do Azure e, portanto, os usuários não podem atingir mais de ~1Gbps por instância do C8000V NVA (uma suposição de exemplo: um tamanho de pacote de 600B, cálculo: 600B * 8 = 4.800 bits; 4800b * 200 Kpps = 960 Mbps).
Note: O Azure pode aumentar o limite de entrada para 400K PPS em cada caso (tíquete). Os clientes precisam entrar em contato diretamente com o Azure e solicitar o aumento.
Para superar essa limitação, a Cisco colaborou com o Azure para permitir que as filiais SD-WAN criassem vários túneis SD-WAN para cada instância do NVA.
Para fazer essa alteração de configuração, o administrador deve seguir estas etapas:
- No SD-WAN Manager, implante o gateway de nuvem com C8000V no Azure usando a automação Cloud OnRamp.
- No portal do Azure, altere as configurações de IP para NVA no hub virtual.
- No SD-WAN Manager, crie e envie um novo grupo de configuração utilizando as configurações do portal de nuvem.

Passo 1:
Implante o Cisco Catalyst 8000V no Azure usando o procedimento encontrado aqui neste canal do Youtube ou Notas de Versão.
Passo 2:
Para alterar as configurações de IP, navegue para o Portal do Azure > WANs Virtuais > WAN virtual escolhida > hub virtual > NVA no hub virtual.

No modo de exibição do hub virtual no NVA, navegue até Provedores de terceiros > Gerenciar configurações.

Na configuração NVA, navegue para Interface IP Configurations e Add Configurations. Pode levar até 30 minutos para atribuir endereços IP,

Passo 3:
Depois que os endereços forem atribuídos, anote-os e vá para SD-WAN Manager. Todos os C8000Vs precisam desta atualização de configuração.
Isso pode ser feito pelo complemento CLI (ele acrescenta o que estiver nos modelos/perfis de configuração). Consulte este exemplo de configuração:
interface Loopback 1000
ip address 10.0.0.244 255.255.255.255
no shut
exit
interface Loopback 2000
ip address 10.0.0.246 255.255.255.255
no shut
exit
interface Loopback 3000
ip address 10.0.0.247 255.255.255.255
no shut
exit
interface GigabitEthernet1
speed 10000
no ip dhcp client default-router distance 1
no ip address dhcp client-id GigabitEthernet1
ip unnumbered Loopback1000
exit
interface GigabitEthernet2
speed 10000
exit
ip route 0.0.0.0 0.0.0.0 10.0.0.241 → 10.0.0.241 IP is Loopback 1000 IP -3
ip route 10.0.0.241 255.255.255.255 GigabitEthernet1 → 10.0.0.241 IP is Loopback 1000 IP -3
interface Tunnel1
no shutdown
ip unnumbered Loopback1000
ipv6 unnumbered Loopback1000
tunnel source Loopback1000
tunnel mode sdwan
interface Tunnel2
no shutdown
ip unnumbered Loopback2000
ipv6 unnumbered Loopback2000
tunnel source Loopback2000
tunnel mode sdwan
interface Tunnel3
no shutdown
ip unnumbered Loopback3000
ipv6 unnumbered Loopback3000
tunnel source Loopback3000
tunnel mode sdwan
sdwan
interface Loopback1000
tunnel-interface
encapsulation ipsec weight 1
no border
color biz-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback2000
tunnel-interface
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 4
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback3000
tunnel-interface
encapsulation ipsec weight 1
no border
color custom1
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 3
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface GigabitEthernet1
no tunnel-interface
exit
exit
Velocidade negociada automaticamente na interface de transporte
A interface de transporte Cisco no Cisco Catalyst 8000V, que é usada em modelos padrão ou grupos de configuração gerados automaticamente (GigabitEthernet1), é configurada com negociar automaticamente para garantir que a conexão seja estabelecida.
Para obter melhor desempenho (acima de 1 Gbit), é recomendável definir a velocidade nas interfaces como 10 Gbit. Isso também se aplica à interface de serviço (GigabitEthernet2). Para verificar a velocidade negociada, execute estes comandos:
azure-central-us-1#sh int gi1
GigabitEthernet1 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.e2ff (bia 000d.3a92.e2ff)
Internet address is 10.48.0.244/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
…
azure-central-us-1#sh int gi2
GigabitEthernet2 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.ea8a (bia 000d.3a92.ea8a)
Internet address is 10.48.0.229/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
Note: Embora este artigo se concentre na implantação do C8000V no Azure com automação Cloud OnRamp (NVA), a velocidade autonegociada também se aplica às implantações do Azure em implantações VNets, AWS e Google.
Para alterar isso, faça alterações no modelo (Configuração > Modelos > Modelo de recurso > Cisco VPN Interface Ethernet) / grupo de configuração (consulte o guia). Como alternativa, os administradores podem editar isso no CLI, se o dispositivo for gerenciado pelo CLI.