Introdução
Este documento descreve como configurar a integração SSE ativo-ativo no Catalyst SD-WAN e orienta a sua solução de problemas.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Rede de longa distância definida por software da Cisco (SD-WAN)
- Grupos de configuração
- Grupos de políticas
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- C8000V versão 17.15.02
- vManage versão 20.15.02
-
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Acesso seguro da Cisco
O Cisco Secure Access é uma solução Security Service Edge (SSE) baseada em nuvem que converge vários serviços de segurança de rede, disponibilizando-os a partir da nuvem para oferecer suporte a uma força de trabalho híbrida. O Cisco SD-WAN Manager aproveita as APIs REST para recuperar informações de política do Cisco Secure Access e distribui essas informações para os dispositivos Cisco IOS XE SD-WAN. Essa integração permite acesso direto à Internet (DIA) transparente, seguro e sem interrupções para os usuários, permitindo que eles se conectem de qualquer dispositivo, em qualquer lugar e com segurança.
O Cisco SSE permite que dispositivos SD-WAN estabeleçam conexões com provedores SSE usando túneis IPSec. Este documento destina-se a usuários do Cisco Secure Access.
Configurações preliminares
- Habilitar pesquisa de domínio para o dispositivo: Navegue para Grupos de configuração > Perfil do sistema > Global e habilite Pesquisa de domínio.
Note: Por padrão, a pesquisa de domínio está desativada.
- Configurar DNS: O Roteador pode resolver o DNS e acessar a Internet na VPN 0.
- Configurar NAT DIA: A configuração de DIA precisa estar presente no roteador onde o túnel SSE é criado.
Criar interfaces de loopback
Se ambos os túneis em uma configuração Ativo/Ativo se conectam ao mesmo data center de destino e usam a mesma interface WAN que a origem, então dois endereços IP de loopback precisam ser criados.
Note: Quando dois túneis são configurados com a mesma origem e destino, o IKEv2 forma um par de identidades que consiste em um ID local e um ID remoto. Por padrão, o ID Local é o endereço IP da interface de origem do túnel. Esse par de identidades deve ser exclusivo e não pode ser compartilhado entre dois túneis. Para evitar confusão no estado IKEv2, cada túnel usa uma interface de loopback diferente como origem. Embora os pacotes IKE sejam convertidos (NATed) na interface DIA, o ID local permanece inalterado e retém o endereço IP de loopback original.
1. Navegue até Configuration > Configuration Groups > Configuration Group Name> Transport & Management Profile > clique em Edit.
2. Clique no sinal de mais (+) no lado direito do Perfil de VPN de transporte (perfil principal). Isso abre um menu Adicionar recurso localizado na extrema direita.
3. Clique em Ethernet Interface. Ele adiciona uma nova interface de Internet em Transport VPN.

4. Crie as duas interfaces de Loopback usando endereços IPv4 RFC1918, como o exemplo Loopback0 na figura.


- Após aplicar a configuração de loopback, continue para implantar a alteração de configuração no dispositivo. Observe que o status de provisionamento muda de1/1para0/1.

Configurar novas chaves de API no portal SSE
1. Acesso ao Portal SSE https://login.sse.cisco.com/
2. Navegue até Admin > Chaves de API

3. Clique em Adicionar + e gere uma nova chave de API

4. Certifique-se de que você tenha acesso de Leitura/Gravação ao Grupo de Túneis de Rede

5. Clique em Gerar chave
6. Copie a chave API e o segredo da chave em um bloco de notas e selecione ACEITAR E FECHAR

7. No URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikeys o #alguns-números# é o ID da sua organização. Copie essas informações também no bloco de notas.

Configurar o SSE no Catalyst Manager
Configurar Credenciais da Nuvem
1. Navegue até Administração > Configurações > Credenciais da nuvem > Credenciais do provedor da nuvem e habilite Cisco Secure Access
e insira os detalhes.

2. Facultativo: Você pode habilitar o compartilhamento de contexto para funcionalidade aprimorada. Para obter mais informações, consulte o Guia do usuário do Cisco SSE sobre compartilhamento de contexto.
Configurar Túneis SSE Usando Grupo de Políticas
No SD-WAN Manager, navegue para Configuration > Policy Groups > Secure Internet Gateway/Secure Service Edge e clique em Add Secure Service Edge (SSE).

Observação: se as credenciais de nuvem ainda não tiverem sido configuradas, você poderá adicioná-las nesta etapa. Se as credenciais já tiverem sido configuradas, elas serão carregadas automaticamente.

1. Configure o Rastreador SSE. Neste exemplo, o URL do rastreador é definido como http://www.cisco.com, e o endereço IP de origem é designado de uma das interfaces de loopback.


Opcionalmente, como o compartilhamento de contexto foi habilitado quando as credenciais da nuvem foram configuradas, VPN é selecionado como a opção neste exemplo.
2. Clique em Add Tunnel

3. Neste exemplo, a interface Loopback0 é usada como origem do túnel, enquanto a interface GigabitEthernet1 serve como interface WAN para rotear o tráfego.

Como o rastreador foi configurado neste exemplo, a configuração é alterada para Global, e o cisco-tracker pré-configurado é selecionado.
4. Para o segundo túnel, repita as mesmas etapas usando os mesmos parâmetros, mas altere o Nome da Interface de ipsec1 para ipsec2 e o Nome da Interface de Origem para Loopback1.

Ambos os túneis são configurados para estarem ativos simultaneamente, sem um backup.
5. Clique em Add Interface Pair.
6. Clique em Adicionar. A interface ativa é definida como ipsec1 e nenhuma interface de backup é especificada.

7. A mesma operação é repetida para o segundo túnel, ipsec2.

8. Salve a configuração.
Configurar Grupo de Políticas
1. Você pode simplesmente selecionar a política criada anteriormente dentro do grupo de políticas e salvar.

2. Depois que o dispositivo ou dispositivos tiverem sido associados ao grupo de políticas, continue para implantar o grupo de políticas.

Configurar Grupo de Políticas para Redirecionar o Tráfego para SSE
1. No SD-WAN Manager, navegue para Configuration > Policy Groups > Application Priority & SLA.
- Selecione Adicionar prioridade de aplicativo e política de SLA
- Especifique um nome para a política.

2. Quando a nova política for exibida, selecione a alternância Layout Avançado.

3. Selecione Add Traffic Policy List.
- Configure as VPNs para redirecionar o tráfego para o túnel SSE.
- Defina a Direção e a Ação padrão conforme necessário e salve.

4. Selecione + Adicionar Regra.

5. Configure seus critérios de correspondência de tráfego para redirecionar o tráfego para o SSE.
6. Selecione Aceitar como a ação-base e, em seguida, clique em + Ação.
7. Procure a ação Secure Internet Gateway / Secure Service Edge e defina-a como Secure Service Edge.


8. Clique em Salvar Correspondência e Ações

9. Clique em Salvar.
10. Navegue até Configuration > Policy Groups e selecione a política Application Priority que você acabou de criar. Salvar e Implantar.

Verificar
Gerenciador
1. Monitor > Logs > Logs de auditoria e procure "sse".

2. Você pode verificar se a VPN de compartilhamento de contexto está habilitada com êxito marcando o Gerenciador.

Painel de acesso seguro
Compartilhamento de contexto
Você pode verificar se a VPN de compartilhamento de contexto está habilitada com êxito verificando o painel SSE,Recursos > IDs de VPN de serviço SD-WAN

Túnel para Cima
Quando o túnel estiver ativo e o rastreador estiver operacional com o tráfego fluindo pelo túnel, você poderá validá-lo navegando para Monitor > Activity Search. Nessa tela, você vê o tráfego passando pelo túnel, como solicitações para www.cisco.com geradas pelo rastreador. Essa visibilidade confirma que o rastreador está ativo e monitorando ativamente o tráfego através do túnel

Comandos da Interface de Linha de Comando (CLI)
Hub2-SIG#show sse all
***************************************
SSE Instance Cisco-Secure-Access
***************************************
Tunnel name : Tunnel16000001
Site id: 2
Tunnel id: 655184839
SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
HA role: Active
Local state: Up
Tracker state: Up
Destination Data Center: 44.217.195.188
Tunnel type: IPSEC
Provider name: Cisco Secure Access
Context sharing: CONTEXT_SHARING_SRC_VPN
Informações Relacionadas