简介
本文档介绍如何在Catalyst SD-WAN上配置主用 — 主用SSE集成,并指导对其进行故障排除。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科软件定义的广域网(SD-WAN)
- 配置组
- 策略组
使用的组件
本文档中的信息基于以下软件和硬件版本:
- C8000V版本17.15.02
- vManage版本20.15.02
-
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
思科安全访问
思科安全访问是一种基于云的安全服务边缘(SSE)解决方案,可融合多种网络安全服务,从云交付这些服务以支持混合型员工。Cisco SD-WAN Manager利用REST API从Cisco Secure Access检索策略信息,并将此信息分发到Cisco IOS XE SD-WAN设备。这种集成为用户提供了无缝、透明且安全的直接互联网接入(DIA),允许用户从任何设备、任何地点、安全地连接。
Cisco SSE允许SD-WAN设备使用IPSec隧道与SSE提供商建立连接。本文档面向思科安全访问的用户。
初步配置
- 为设备启用域查找:导航到配置组 > System Profile > Global并启用域查找。
注意:默认情况下,域查找处于禁用状态。
- 配置 DNS:路由器可以解析DNS并访问VPN 0上的Internet。
- 配置NAT DIA:DIA配置需要存在于创建SSE隧道的路由器上。
创建环回接口
如果主用/主用配置中的两个隧道连接到同一目标数据中心,并且使用相同的WAN接口作为源,则需要创建两个环回IP地址。
注意:当两个隧道配置了相同的源和目标时,IKEv2会形成由本地ID和远程ID组成的身份对。默认情况下,本地ID是隧道的源接口的IP地址。此标识对必须是唯一的,不能在两个隧道之间共享。为防止在IKEv2状态中出现混淆,每个隧道使用不同的环回接口作为其源。虽然IKE数据包在DIA接口上转换(NATed),但本地ID保持不变,并保留原始环回IP地址。
1.导航到配置 > 配置组 > 配置组名称> 传输和管理配置文件 >单击编辑.
2.点击传输VPN配置文件(主配置文件)右侧的加号(+)。 这将打开位于最右边的Add Featuremenu。
3.单击Ethernet Interface。它在传输VPN下添加新的Internet接口。

4.使用RFC1918 IPv4地址创建两个环回接口,如图中的Loopback0示例。


- 应用环回配置后,继续将配置更改部署到设备。请注意,调配状态从1/1变为0/1。

在SSE门户上配置新的API密钥
1.访问SSE门户https://login.sse.cisco.com/
2.导航到Admin > API Keys

3.单击Add + 并生成新的API密钥

4.确保您拥有对网络隧道组的读/写访问权限

5.单击 生成密钥
6.将API密钥和密钥密钥复制到记事本中,然后选择ACCEPT AND CLOSE

7.在URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikey下,#some-numbers#是您的组织ID。同时将这些信息复制到您的记事本中。

在Catalyst Manager上配置SSE
设置云凭据
1.导航到管理 > 设置 > 云凭证 > 云提供商凭证,然后启用思科安全访问
并输入详细信息。

2.可选:您可以启用情景共享以增强功能。有关详细信息,请参阅有关情景共享的Cisco SSE用户指南.
使用策略组配置SSE隧道
在SD-WAN Manager上,导航到Configuration > Policy Groups > Secure Internet Gateway/Secure Service Edge,然后单击Add Secure Service Edge(SSE)。

注意:如果尚未配置云凭证,您可以在此步骤添加它们。如果凭证已配置,将自动加载。

1.配置SSE跟踪器。在本示例中,跟踪器URL设置为http://www.cisco.com,并且从其中一个环回接口分配源IP地址。


或者,由于配置云凭证时启用了情景共享,因此在本示例中将VPN选作选项。
2.单击Add Tunnel

3.在本示例中,Loopback0接口用作隧道源,而GigabitEthernet1接口用作路由流量的WAN接口。

由于在本示例中配置了跟踪器,因此该设置更改为Global,并且已选择预配置的cisco-tracker。
4.对于第二个隧道,使用相同的参数重复相同的步骤,但将Interface Name(接口名称)从ipsec1更改为ipsec2,将Source Interface Name(源接口名称)更改为Loopback1。

两个隧道都配置为同时处于活动状态,无需备份。
5.单击添加接口对。
6.单击Add。活动接口设置为ipsec1,但未指定备份接口。

7.对第二个隧道ipsec2重复相同的操作。

8.保存配置。
配置策略组
1.您可以选择之前在策略组中创建的策略并保存。

2.设备与策略组关联后,继续部署策略组。

配置策略组以将流量重定向至SSE
1.在SD-WAN Manager上,导航到Configuration > Policy Groups > Application Priority & SLA。
- 选择Add Application Priority & SLA Policy
- 指定策略的名称。

2.显示新策略后,选择“高级布局”切换。

3.选择添加流量策略列表。
- 配置VPN以将流量重定向到SSE隧道。
- 根据需要设置Direction和Default Action并保存它。

4.选择+ Add Rule。

5.配置匹配流量条件,将流量重定向至SSE。
6.选择接受作为基本操作,然后单击+操作。
7.查找Secure Internet Gateway / Secure Service Edge操作并将其设置为Secure Service Edge。


8.单击Save Match and Actions

9.单击保存。
10.导航到配置>策略组,然后选择刚创建的应用优先级策略。保存,然后部署。

验证
经理
1.Monitor > Logs > Audit Logs并搜索“sse”。

2.您可以通过检查Manager来验证情景共享VPN是否成功启用。

安全访问控制面板
情景共享
您可以通过检查SSE控制面板验证情景共享VPN是否成功启用,Resources > SD-WAN Service VPN IDs

建立隧道
当隧道启动且跟踪器运行且流量流经隧道时,您可以通过导航到监控>活动搜索来验证这一点。在此屏幕上,您会看到通过隧道的流量,例如由跟踪器生成的对www.cisco.com的请求。这种可视性可确认跟踪器已启动并主动监控通过隧道的流量

命令行界面(CLI)命令
Hub2-SIG#show sse all
***************************************
SSE Instance Cisco-Secure-Access
***************************************
Tunnel name : Tunnel16000001
Site id: 2
Tunnel id: 655184839
SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
HA role: Active
Local state: Up
Tracker state: Up
Destination Data Center: 44.217.195.188
Tunnel type: IPSEC
Provider name: Cisco Secure Access
Context sharing: CONTEXT_SHARING_SRC_VPN
相关信息