配置和驗證SD-WAN按需隧道
簡介
本文檔介紹建立SD-WAN按需隧道的配置和驗證步驟。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案是根據以下軟體和硬體版本所編制:
- vManage版本20.9.3
- 思科邊緣路由器版本17.9.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Cisco SD-WAN支援任意兩個Cisco SD-WAN分支裝置之間的動態隨需隧道。僅當兩台裝置之間存在流量時,才會觸發設定這些隧道,從而最佳化頻寬使用情況和裝置效能。
優勢
按需隧道具有以下優勢:
-
提高了效能,尤其是對於在全網狀網路中運行的功能不太強大的平台。
-
在分支之間使用按需通道時,中心輻射型部署中的延遲得到改善。
-
減少網路中頻寬的使用,因為處於非活動狀態的隧道不需要雙向轉發檢測(BFD)探測器,因此網路中產生的BFD流量較少。
-
在分支之間直接建立隧道,同時最佳化CPU和記憶體使用。
設定
組態
以下是設定隨選通道的步驟:
步驟 1:僅在VPN 0功能模板下的中心站點路由器上啟用流量工程。建議為中心站點和分支站點使用單獨的VPN 0功能模板。
導覽至Configuration > Templates > Feature Template。搜尋分配給中心路由器的正確VPN 0功能模板,按一下三個點,然後選擇Edit。
- 在Service部分下,按一下New Service。
- 從服務型別中選擇TE。
- 按一下「Add」,然後「Update」。
啟用TE
步驟 2:在Cisco Edge路由器上將OMP路徑限制提高到建議值16。
導覽至Configuration>Template> Feature Template,搜尋OMP功能模板,按一下三個點,然後選擇Edit。
在Basic Configuration下,找到Number of Paths Advertised per Prefix和ECMP Limit,然後將值更改為16。 
OMP - ECMP限制
註:要將vSmarts OMP上的傳送路徑限制更改為大於4的值(建議值為16),請參閱《Cisco SD-WAN配置指南》中的「路由配置」指南,瞭解詳細說明。
步驟 3:建立或克隆系統功能模板以啟用按需隧道,並根據需要修改按需隧道空閒超時計時器(預設值為10分鐘),然後應用此系統模板,特別是針對按需分支站點。
導覽至Configuration > Templates > Feature Templates,搜尋System功能模板,按一下三個點,然後選擇Edit。
在Advanced 一節中,啟用On-demand Tunnel。 或者,如果您希望在站點之間沒有流量通過時使隧道關閉速度比預設10分鐘更快,請調整按需隧道空閒超時。
按需隧道啟用
步驟 4:您需要使用匹配頁籤集站點清單(匹配按需分支站點)上的路由序列建立自定義拓撲策略,並在操作頁籤下設定TLOC清單(匹配中心TLOC)進行備份。
建立按需分支清單和中心備份TLOC清單。
從下拉選單導航到Configuration > Policies > Custom Options,選擇Centralized Policy > Lists,建立所需的組:
- 按一下站點將建立一個新站點清單,其中包括所有按需站點的所有站點ID。
- 在TLOC上,建立一個TLOC清單,其中包括將用作備份的所有HUB TLOC。
建立興趣組清單後,導航到自定義選項,然後從下拉選單中選擇Centralized Policy > Topology > Add Topology > Custom Control(Route & TLOC)。
- 提供拓撲的名稱和說明。
- 按一下鉛筆圖示,然後按一下儲存匹配和操作,將「預設操作」更改為接受。
- 按一下Sequence Type並選擇Route。按一下Sequence Rule新增新序列。
- 在Match頁籤上,按一下Site,然後選擇正確的站點清單。
Sequence建立
- 在「操作」頁籤上,按一下「接受」,然後,對於「TLOC操作」,選擇「備份」,對於TLOC,選擇正確的TLOC清單。完成後,按一下Save Match and Actions。
操作策略集
將控制拓撲策略附加到主策略。導航到Configuration > Policies > Centralized Policy。
找到您的活動策略,按一下三個點,然後選擇Edit。
按一下:
1.拓撲
2.拓撲
3.添加拓撲
4.導入現有
5.自定義控制(路由和TLOC)
6.從下拉選單中查詢策略,然後按一下Import。
匯入現有策略
按一下Policy Application > Topology > New Site/Region List。
在出站站點清單中。選擇正確的站點清單名稱。
應用策略帶外
按一下Add,然後按一下Save Policy Changes。由於這是一個活動策略,更改將被推送到vSmarts。
附註:有關配置Cisco vSmart控制器集中控制策略的資訊,請參閱Cisco SD-WAN配置指南。
驗證
若要驗證,請運行show sdwan system on-demand remote-system命令。從輸出中,您可以找到On-demand: yes。如果狀態顯示inactive,則表示站點之間的隧道已關閉。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes inactive -
1000 192.168.0.73 yes inactive -
200 192.168.0.80 no - -
在按需站點之間生成一些流量後,您可以檢查相同的輸出。在這種情況下,狀態顯示為Active。它顯示通道關閉之前剩餘的秒數。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes active 105
1000 192.168.0.73 yes active 105
200 192.168.0.80 no - -
在此範例中,您可以注意到通道關閉時,包含站點192.168.0.72和192.168.0.73的BFD遺失。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet12346 ipsec 5 2000 0:03:22:04 2
192.168.0.71 100 up public-internet public-internet12346 ipsec 5 2000 0:03:22:03 2
192.168.0.80 200 up public-internet public-internet12346 ipsec 5 2000 0:03:22:04 2
192.168.0.70 100 up mpls mpls12346 ipsec 5 2000 0:03:22:03 2
192.168.0.71 100 up mpls mpls12346 ipsec 5 2000 0:03:22:04 2
192.168.0.80 200 up mpls mpls12346 ipsec 5 2000 0:03:22:03 2
站點之間的隧道開啟時,您會注意到站點192.168.0.72和192.168.0.73的BFD已開啟。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.73 1000 up public-internet public-internet5063 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up public-internet public-internet0:00:00:03 2 12346 ipsec 5 2000
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.73 1000 up mpls mpls12346 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up mpls mpls12346 ipsec 5 2000 0:00:00:03 2
您可以通過導航到Monitor > Device或Monitor > Network(從代碼20.6及早期開始),找到您的設備,然後導航到WAN > Tunnel,以Down編號為重點,從vManage GUI中獲得相同結果。
監控隨選通道
在同一選單上,向下滾動並按一下即時。在Device Options上,搜尋On Demand Remote。
此範例顯示隨選通道關閉時的輸出。
隨選通道關閉
此範例顯示按需通道開啟時的輸出。
按需隧道啟動
疑難排解
如需更多詳細步驟,請參閱SD-WAN動態按需通道故障排除。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
25-Jul-2025
|
已更新節標題和格式。 |
1.0 |
08-Feb-2024
|
初始版本 |
意見