配置和验证SD-WAN按需隧道
简介
本文档介绍创建SD-WAN按需隧道的配置和验证步骤。
先决条件
使用的组件
本文档基于以下软件和硬件版本:
- vManage版本20.9.3
- 思科边缘路由器版本17.9.3
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景
Cisco SD-WAN支持任意两个Cisco SD-WAN分支设备之间的动态按需隧道。仅当两台设备之间存在流量时,才会触发这些隧道进行设置,从而优化带宽使用率和设备性能。
优势
按需隧道具有以下优势:
-
性能提高,特别是对于在全网状网络中运行的功能不太强大的平台。
-
在分支之间使用按需隧道时,中心辐射型部署中的延迟得到改善。
-
减少网络中的带宽使用,因为处于非活动状态的隧道不需要双向转发检测(BFD)探测器,因此网络中产生的BFD流量较少。
-
在分支之间直接建立隧道,同时优化CPU和内存使用。
配置
配置
以下是配置按需隧道的步骤:
第1步:仅在VPN 0功能模板下的中心站点路由器上启用流量工程。建议为中心站点和分支站点使用单独的VPN 0功能模板。
导航到配置>模板>功能模板。搜索分配给中心路由器的正确VPN 0功能模板,点击三点,然后选择编辑。
1. 在服务部分
2. 单击New Service
3. 从服务类型中选择TE。
单击Add,然后单击Update。
启用TE
第2步:在思科边缘路由器上将OMP路径限制增加到建议的值16。
导航到配置>模板>功能模板,搜索OMP功能模板,点击三个点,然后选择编辑。
在Basic Configuration下,找到Number of Paths Advertised per Prefix(每个前缀的通告路径数)和ECMP Limit(ECMP限制),然后将值更改为16。 
OMP - ECMP限制
注意:要将vSmarts OMP上的发送路径限制更改为大于4的值(建议值为16),请参阅Cisco SD-WAN配置指南中的路由配置指南,以获取详细说明。
第3步:创建或克隆系统功能模板以启用按需隧道并修改按需隧道空闲超时计时器(默认值为10分钟),并专门将此系统模板应用于按需分支站点。
导航到配置>模板>功能模板搜索系统功能模板,点击三个点,然后选择编辑。
On Advanced 部分启用按需隧道。 或者,如果您希望在站点之间没有流量通过时让隧道关闭的速度比默认的10分钟更快,请调整On-demand Tunnel Idle-Timeout。
按需隧道启用
第4步:您需要使用匹配选项卡集站点列表(匹配按需分支站点)上的路由序列创建自定义拓扑策略,并在“操作”选项卡下将TLOC列表(匹配中心tloc)设置为备份。
创建按需分支列表和中心备份TLOC列表。
导航到配置>策略>自定义选项,从下拉菜单中选择集中策略>列表,创建感兴趣的组:
- 点击站点,创建新的站点列表,包括所有按需站点的所有site-id。
- 在TLOC上,创建一个TLOC列表,其中包括所有将用作备份的HUB tloc。
创建利益组列表后,从下拉菜单中选择Centralized Policy > Topology > Topology > Add Topology > Custom Control (Route & TLOC)导航到Custom Options。
- 为拓扑提供名称和说明。
- 单击铅笔图标,然后单击Save Match And Action,将Default Action更改为Accept。
- 单击Sequence Type并选择Route。单击Sequence Rule 添加新序列。
- 在匹配选项卡上,点击站点,然后选择正确的站点列表。
序列创建
- 在Action选项卡上,点击Accept,然后为TLOC Action选择Backup,为TLOC选择正确的TLOC列表。完成后,单击Save Match and Actions。
操作策略集
导航到Configuration > Policies > Centralized Policy,将控制拓扑策略附加到主策略。
查找您的活动策略,单击三个点,然后选择Edit。
点击
1.拓扑
2.拓扑
3. 添加拓扑
4.导入现有
5.自定义控制(Route和TLOC)
6. 从下拉菜单中查找策略,然后单击“导入”。
导入现有策略
单击Policy Application > Topology > New Site/Region List
在出站站点列表中,选择正确的站点列表名称。
应用策略带外
单击Add,然后Save Policy Changes。由于这是一个活动策略,更改将推送到vSmarts。
注意:有关配置思科vSmart控制器集中控制策略的信息,请参阅思科SD-WAN配置指南。
验证
要验证,请运行show sdwan system on-demand remote-system命令。 从输出中,您可以找到On-demand: yes。 如果状态显示inactive,则意味着站点之间的隧道关闭。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes inactive -
1000 192.168.0.73 yes inactive -
200 192.168.0.80 no - -
在按需站点之间生成一些流量之后,您可以检查相同的输出。在这种情况下,状态显示为活动,并显示隧道关闭之前剩余的秒数。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes active 105
1000 192.168.0.73 yes active 105
200 192.168.0.80 no - -
在本例中,您可以看到,隧道关闭时,具有站点192.168.0.72和192.168.0.73的BFD丢失。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
当站点之间的隧道启用时,您会注意到站点192.168.0.72和192.168.0.73的BFD处于启用状态。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.73 1000 up public-internet public-internet <removed> <removed> 5063 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.73 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
要从vMange GUI获得相同的结果,请导航到Monitor > Device或Monitor > Network(来自代码20.6及更早版本),找到您的设备并导航WAN > Tunnel,重点关注Down编号。
监控按需隧道
在同一菜单上,向下滚动并单击Real Time。 On Device Options搜索On Demand Remote。
此示例显示按需隧道关闭时的输出。
按需隧道关闭
此示例显示按需隧道启用时的输出。
按需隧道开启
故障排除
有关更多详细步骤,请参阅SD-WAN动态按需隧道故障排除。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
08-Feb-2024 |
初始版本 |
反馈