配置并检验SD-WAN按需隧道
简介
本文档介绍创建SD-WAN按需隧道的配置和验证步骤。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档基于以下软件和硬件版本:
- vManage 20.9.3版
- 思科边缘路由器版本17.9.3
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco SD-WAN支持任意两个Cisco SD-WAN分支设备之间的动态按需隧道。仅当两台设备之间存在流量时,才会触发这些隧道进行设置,从而优化带宽使用率和设备性能。
优势
按需隧道具有以下优势:
-
提高性能,尤其是对于在全网状网络中运行的性能较差的平台。
-
在分支之间使用按需隧道时,中心辐射型部署中的延迟得到改善。
-
减少网络带宽使用,因为处于非活动状态的隧道不需要双向转发检测(BFD)探测器,因此网络中产生的BFD流量较少。
-
在分支之间直接建立隧道,同时优化CPU和内存使用。
配置
配置
以下是配置按需隧道的步骤:
步骤 1:仅在VPN 0功能模板下的中心站点路由器上启用流量工程。建议为中心站点和分支站点使用单独的VPN 0功能模板。
导航到配置>模板>功能模板。搜索分配给中心路由器的正确VPN 0功能模板,单击三个点,然后选择编辑。
- 在服务部分下,单击新建服务。
- 从服务类型中选择TE。
- 单击Add,然后单击Update。
启用TE
步骤 2:在Cisco Edge路由器上,将OMP路径限制增加到建议值16。
导航到Configuration>Template>Feature Template,搜索OMP功能模板,单击三个点,然后选择Edit。
在Basic Configuration下,找到Number of Paths Advertised per Prefix和ECMP Limit,并将值更改为16。 
OMP - ECMP限制
注:要将vSmarts OMP上的发送路径限制更改为大于4的值(建议值为16),请参阅Cisco SD-WAN Configuration指南中的路由配置指南,了解详细说明。
步骤 3:创建或克隆系统功能模板,以启用按需隧道,并根据需要修改按需隧道空闲超时计时器(默认值为10分钟),然后应用此系统模板,尤其适用于按需分支站点。
导航到Configuration > Templates > Feature Templates,搜索System功能模板,单击三个点,然后选择Edit。
在Advanced部分中,启用On-demand Tunnel。 或者,如果要在站点之间没有流量通过时使隧道关闭速度比默认的10分钟更快,请调整On-demand Tunnel Idle-Timeout。
按需隧道启用
步骤 4:您需要使用路由序列在匹配选项卡集站点列表(匹配按需分支站点)上创建自定义拓扑策略,并在操作选项卡下将TLOC列表(匹配中心TLOC)设置为备份。
创建按需分支列表和中心备份TLOC列表。
导航到配置>策略>自定义选项,从下拉菜单中选择集中策略>列表,创建所关注的组:
- 单击Site将创建一个新的站点列表,其中包括所有按需站点的所有site-id。
- 在TLOC上,创建一个TLOC列表,其中包括将用作备份的所有HUB TLOC。
创建兴趣组列表后,导航到Custom Options,然后从下拉菜单中选择Centralized Policy > Topology > Add Topology > Custom Control(Route & TLOC)。
- 为拓扑提供名称和说明。
- 单击铅笔图标,然后单击保存匹配和操作,将“默认操作”更改为接受。
- 单击Sequence Type并选择Route。单击Sequence Rule添加新序列。
- 在Match选项卡上,单击Site,然后选择正确的站点列表。
序列创建
- 在Action选项卡上,点击Accept,然后,对于TLOC Action,选择Backup,对于TLOC,选择正确的TLOC列表。完成后,单击Save Match and Actions。
操作策略集
将控制拓扑策略附加到主策略。导航到Configuration > Policies > Centralized Policy。
找到您的活动策略,单击三个点,然后选择编辑。
点击:
1.拓扑
2.拓扑
3.添加拓扑
4.导入现有
5.自定义控制(路由和TLOC)
6.从下拉菜单中找到您的策略,然后单击导入。
导入现有策略
单击Policy Application > Topology > New Site/Region List。
在出站站点列表中。选择正确的站点列表名称。
应用策略带外
单击Add,然后单击Save Policy Changes。由于这是一个活动策略,更改将推送到vSmarts。
注意:有关配置思科vSmart控制器集中控制策略的信息,请参阅思科SD-WAN配置指南。
验证
要验证,请运行show sdwan system on-demand remote-system命令。从输出中,您可以找到On-demand: yes。如果状态显示为inactive,则意味着站点之间的隧道已关闭。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes inactive -
1000 192.168.0.73 yes inactive -
200 192.168.0.80 no - -
在按需站点之间生成一些流量后,您可以检查相同的输出。在本例中,状态显示为活动。它显示隧道关闭之前剩余的秒数。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes active 105
1000 192.168.0.73 yes active 105
200 192.168.0.80 no - -
在本例中,您可以看到隧道关闭时缺少站点192.168.0.72和192.168.0.73的BFD。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet12346 ipsec 5 2000 0:03:22:04 2
192.168.0.71 100 up public-internet public-internet12346 ipsec 5 2000 0:03:22:03 2
192.168.0.80 200 up public-internet public-internet12346 ipsec 5 2000 0:03:22:04 2
192.168.0.70 100 up mpls mpls12346 ipsec 5 2000 0:03:22:03 2
192.168.0.71 100 up mpls mpls12346 ipsec 5 2000 0:03:22:04 2
192.168.0.80 200 up mpls mpls12346 ipsec 5 2000 0:03:22:03 2
当站点之间的隧道启动时,您会注意到站点192.168.0.72和192.168.0.73的BFD已启动。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.73 1000 up public-internet public-internet5063 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up public-internet public-internet0:00:00:03 2 12346 ipsec 5 2000
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.73 1000 up mpls mpls12346 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up mpls mpls12346 ipsec 5 2000 0:00:00:03 2
您可以通过导航到Monitor > Device或Monitor > Network(从代码20.6及更早的版本开始),找到您的设备,然后导航到WAN > Tunnel,重点关注Down号,从vManage GUI获得相同的结果。
监控按需隧道
在同一菜单上,向下滚动并单击实时。在设备选项上,搜索按需远程。
此示例显示按需隧道关闭时的输出。
按需隧道关闭
此示例显示按需隧道启用时的输出。
按需隧道开启
故障排除
有关更详细的步骤,请参阅SD-WAN动态按需隧道故障排除。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
25-Jul-2025
|
已更新节标题和格式。 |
1.0 |
08-Feb-2024
|
初始版本 |
反馈