Configurar e solucionar problemas de integração de acesso seguro (SSE) no Catalyst SD-WAN

Opções de download

  • PDF     (1.4 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de agosto de 2025
ID do documento:224207

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a integração SSE ativo-ativo no Catalyst SD-WAN e orienta a sua solução de problemas.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Rede de longa distância definida por software da Cisco (SD-WAN)
    • Grupos de configuração
    • Grupos de políticas

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • C8000V versão 17.15.02
    •  vManage versão 20.15.02

    • Conta do Cisco Secure Access

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Acesso seguro da Cisco 

    O Cisco Secure Access é uma solução Security Service Edge (SSE) baseada em nuvem que converge vários serviços de segurança de rede, disponibilizando-os a partir da nuvem para oferecer suporte a uma força de trabalho híbrida. O Cisco SD-WAN Manager aproveita as APIs REST para recuperar informações de política do Cisco Secure Access e distribui essas informações para os dispositivos Cisco IOS XE SD-WAN. Essa integração permite acesso direto à Internet (DIA) transparente, seguro e sem interrupções para os usuários, permitindo que eles se conectem de qualquer dispositivo, em qualquer lugar e com segurança.

    O Cisco SSE permite que dispositivos SD-WAN estabeleçam conexões com provedores SSE usando túneis IPSec. Este documento destina-se a usuários do Cisco Secure Access.


    Configurações preliminares 

    • Habilitar pesquisa de domínio para o dispositivo: Navegue para Grupos de configuração > Perfil do sistema > Global e habilite Pesquisa de domínio.

    Note: Por padrão, a pesquisa de domínio está desativada.

    • Configurar DNS: O Roteador pode resolver o DNS e acessar a Internet na VPN 0.
    • Configurar NAT DIA: A configuração de DIA precisa estar presente no roteador onde o túnel SSE é criado.

    Criar interfaces de loopback

    Se ambos os túneis em uma configuração Ativo/Ativo se conectam ao mesmo data center de destino e usam a mesma interface WAN que a origem, então dois endereços IP de loopback precisam ser criados.

    Note: Quando dois túneis são configurados com a mesma origem e destino, o IKEv2 forma um par de identidades que consiste em um ID local e um ID remoto. Por padrão, o ID Local é o endereço IP da interface de origem do túnel. Esse par de identidades deve ser exclusivo e não pode ser compartilhado entre dois túneis. Para evitar confusão no estado IKEv2, cada túnel usa uma interface de loopback diferente como origem. Embora os pacotes IKE sejam convertidos (NATed) na interface DIA, o ID local permanece inalterado e retém o endereço IP de loopback original.

    1. Navegue até Configuration > Configuration Groups > Configuration Group Name> Transport & Management Profile > clique em Edit.

    2. Clique no sinal de mais (+) no lado direito do Perfil de VPN de transporte (perfil principal). Isso abre um menu Adicionar recurso localizado na extrema direita.

    3. Clique em Ethernet Interface. Ele adiciona uma nova interface de Internet em Transport VPN.

    anavazar_0-1753809836268

    4. Crie as duas interfaces de Loopback usando endereços IPv4 RFC1918, como o exemplo Loopback0 na figura.

    anavazar_0-1754582987124

    anavazar_1-1753810045082

    1. Após aplicar a configuração de loopback, continue para implantar a alteração de configuração no dispositivo. Observe que o status de provisionamento muda de1/1para0/1.

    anavazar_2-1753810315759

    Configurar novas chaves de API no portal SSE

    1. Acesso ao Portal SSE https://login.sse.cisco.com/
    2. Navegue até Admin > Chaves de API

    anavazar_0-1753806373582

    3. Clique em Adicionar + e gere uma nova chave de API

    anavazar_2-1753806630561

    4. Certifique-se de que você tenha acesso de Leitura/Gravação ao Grupo de Túneis de Rede 

    anavazar_3-1753806763145

    5. Clique em Gerar chave

    6. Copie a chave API e o segredo da chave em um bloco de notas e selecione ACEITAR E FECHAR

    anavazar_4-1753807315131

    7. No URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikeys o #alguns-números# é o ID da sua organização. Copie essas informações também no bloco de notas.

    anavazar_5-1753807628570

    Configurar o SSE no Catalyst Manager

    Configurar Credenciais da Nuvem

    1. Navegue até Administração > Configurações > Credenciais da nuvem > Credenciais do provedor da nuvem e habilite Cisco Secure Access
    e insira os detalhes.

    anavazar_0-1753808615232

    2. Facultativo: Você pode habilitar o compartilhamento de contexto para funcionalidade aprimorada. Para obter mais informações, consulte o Guia do usuário do Cisco SSE sobre compartilhamento de contexto.

    Configurar Túneis SSE Usando Grupo de Políticas

    No SD-WAN Manager, navegue para Configuration > Policy Groups > Secure Internet Gateway/Secure Service Edge e clique em Add Secure Service Edge (SSE).

    anavazar_0-1753812921858

    Observação: se as credenciais de nuvem ainda não tiverem sido configuradas, você poderá adicioná-las nesta etapa. Se as credenciais já tiverem sido configuradas, elas serão carregadas automaticamente.

    anavazar_1-1753813480175

    1. Configure o Rastreador SSE. Neste exemplo, o URL do rastreador é definido como http://www.cisco.com, e o endereço IP de origem é designado de uma das interfaces de loopback.

    anavazar_0-1753815088665

    anavazar_1-1753815697301

    Opcionalmente, como o compartilhamento de contexto foi habilitado quando as credenciais da nuvem foram configuradas, VPN é selecionado como a opção neste exemplo.

    2. Clique em Add Tunnel

    anavazar_2-1753815859781

    3. Neste exemplo, a interface Loopback0 é usada como origem do túnel, enquanto a interface GigabitEthernet1 serve como interface WAN para rotear o tráfego.

    anavazar_4-1753815924991

    Como o rastreador foi configurado neste exemplo, a configuração é alterada para Global, e o cisco-tracker pré-configurado é selecionado.

    4. Para o segundo túnel, repita as mesmas etapas usando os mesmos parâmetros, mas altere o Nome da Interface de ipsec1 para ipsec2 e o Nome da Interface de Origem para Loopback1.

    anavazar_5-1753816083804

    Ambos os túneis são configurados para estarem ativos simultaneamente, sem um backup.

    5. Clique em Add Interface Pair.

    6. Clique em Adicionar. A interface ativa é definida como ipsec1 e nenhuma interface de backup é especificada.

    anavazar_5-1753814716602

    7. A mesma operação é repetida para o segundo túnel, ipsec2.

    anavazar_6-1753814787240

    8. Salve a configuração. 

    Configurar Grupo de Políticas

    1. Você pode simplesmente selecionar a política criada anteriormente dentro do grupo de políticas e salvar.

    anavazar_7-1753816198800

    2. Depois que o dispositivo ou dispositivos tiverem sido associados ao grupo de políticas, continue para implantar o grupo de políticas.

    anavazar_8-1753816315910

    Configurar Grupo de Políticas para Redirecionar o Tráfego para SSE

    1. No SD-WAN Manager, navegue para Configuration > Policy Groups > Application Priority & SLA.

    • Selecione Adicionar prioridade de aplicativo e política de SLA
    • Especifique um nome para a política. 

    anavazar_0-1753816520660

    2. Quando a nova política for exibida, selecione a alternância Layout Avançado.

    anavazar_1-1753816649756

    3. Selecione Add Traffic Policy List.

    • Configure as VPNs para redirecionar o tráfego para o túnel SSE.
    • Defina a Direção e a Ação padrão conforme necessário e salve.

    anavazar_0-1753817203096

    4. Selecione + Adicionar Regra.

    anavazar_3-1753817885016

    5. Configure seus critérios de correspondência de tráfego para redirecionar o tráfego para o SSE.
    6. Selecione Aceitar como a ação-base e, em seguida, clique em + Ação.

    7. Procure a ação Secure Internet Gateway / Secure Service Edge e defina-a como Secure Service Edge.

    anavazar_2-1753817750018

    anavazar_1-1753817323710


    8. Clique em Salvar Correspondência e Ações

    anavazar_1-1753818278651

    9. Clique em Salvar.

    10. Navegue até Configuration > Policy Groups e selecione a política Application Priority que você acabou de criar. Salvar e Implantar. 

    anavazar_2-1753818367385

    Verificar

    Gerenciador

    1. Monitor > Logs > Logs de auditoria e procure "sse".

    anavazar_0-1754337599507

    2. Você pode verificar se a VPN de compartilhamento de contexto está habilitada com êxito marcando o Gerenciador.

    anavazar_1-1754337662517

    Painel de acesso seguro

    Compartilhamento de contexto
    Você pode verificar se a VPN de compartilhamento de contexto está habilitada com êxito verificando o painel SSE,    Recursos > IDs de VPN de serviço SD-WAN

    anavazar_0-1754335606974


    Túnel para Cima

    Quando o túnel estiver ativo e o rastreador estiver operacional com o tráfego fluindo pelo túnel, você poderá validá-lo navegando para Monitor > Activity Search. Nessa tela, você vê o tráfego passando pelo túnel, como solicitações para www.cisco.com geradas pelo rastreador. Essa visibilidade confirma que o rastreador está ativo e monitorando ativamente o tráfego através do túnel

    anavazar_1-1754341895467

    Comandos da Interface de Linha de Comando (CLI)

    Hub2-SIG#show sse all
    ***************************************
    SSE Instance Cisco-Secure-Access
    ***************************************
    Tunnel name : Tunnel16000001
    Site id: 2
    Tunnel id: 655184839
    SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
    HA role: Active
    Local state: Up
    Tracker state: Up
    Destination Data Center: 44.217.195.188
    Tunnel type: IPSEC
    Provider name: Cisco Secure Access
    Context sharing: CONTEXT_SHARING_SRC_VPN



    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    11-Aug-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Amanda Nava Zarate
      Líder técnico de engenharia de entrega ao cliente

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos