配置和驗證SD-WAN按需隧道
簡介
本文檔介紹建立SD-WAN按需隧道的配置和驗證步驟。
必要條件
採用元件
本檔案根據這些軟體和硬體版本:
- vManage 20.9.3版
- 思科邊緣路由器版本17.9.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景
Cisco SD-WAN支援任意兩個Cisco SD-WAN分支裝置之間的動態按需隧道。僅當兩台裝置之間存在流量時,才會觸發這些隧道進行設定,從而最佳化頻寬使用和裝置效能。
優點
按需隧道具有以下優勢:
-
提高效能,特別是對於在全網狀網路中運行的功能較弱的平台。
-
在分支之間使用按需隧道時,中心輻射型部署中的延遲得到改善。
-
降低網路中頻寬的使用,因為處於非活動狀態的隧道不需要雙向轉發檢測(BFD)探測器,因此網路中產生的BFD流量較少。
-
分支之間的直接通道,同時最佳化CPU和記憶體使用。
設定
組態
以下是配置按需隧道的步驟:
第1步:僅在VPN 0功能模板下的中心站點路由器上啟用流量工程。建議為中心站點和分支站點使用單獨的VPN 0功能模板。
導航到配置>模板>功能模板。搜尋分配給中心路由器的正確VPN 0功能模板,點選三個點並選擇Edit。
1. 在服務項下
2. 按一下New Service
3. 從服務型別中選擇TE。
按一下Add,然後按一下Update。
啟用TE
第2步:在Cisco Edge路由器上將OMP路徑限制提高到建議值16。
導航到配置>模板>功能模板,搜尋OMP功能模板,按一下三個點,然後選擇編輯。
在Basic Configuration下,找到Number of Paths Advertised per Prefix,然後找到ECMP Limit,並將值更改為16。 
OMP - ECMP限制
注意:要將vSmarts OMP上的傳送路徑限制更改為大於4(建議值為16)的值,請參閱《Cisco SD-WAN配置指南》中的「路由配置指南」以獲取詳細說明。
第3步:建立或克隆系統功能模板以啟用按需隧道並修改按需隧道空閒超時計時器(預設值為10分鐘),並特別為按需分支站點應用此系統模板。
導航到配置>模板>功能模板搜尋系統功能模板,按一下三點,然後選擇編輯。
On Advanced部分啟用按需隧道。 如果希望在站點之間沒有流量透過時使隧道停止運行的速度快於預設值10分鐘,請根據需要調整On-demand Tunnel Idle-Timeout。
按需啟用隧道
第4步:您需要使用匹配頁籤集站點清單(匹配按需分支站點)上的路由序列建立自定義拓撲策略,並在「操作」頁籤下將TLOC清單(匹配中心tloc)設定為備份。
建立按需分支清單和中心備份TLOC清單。
導航到配置>策略>自定義選項,從下拉選單中選擇集中策略>清單,建立相關組:
- 點選站點,為所有按需站點建立一個包含所有站點ID的新站點清單。
- 在TLOC上,建立一個包含將用作備份的所有HUB tloc的TLOC清單。
建立興趣組清單後,從下拉選單中選擇Centralized Policy > Topology > Add Topology > Custom Control (Route & TLOC)導航到Custom Options。
- 提供拓撲的名稱和說明。
- 透過按一下鉛筆圖示,然後按一下Save Match And Action,將Default Action更改為Accept。
- 點選序列型別並選擇路由。按一下Sequence Rule以增加新序列。
- 在匹配頁籤上,按一下站點並選擇正確的站點清單。
序列建立
- 在操作頁籤上,按一下接受,然後為TLOC操作選擇備份,為TLOC選擇正確的TLOC清單。完成後,請按一下Save Match and Actions。
操作策略集
導航到Configuration > Policies > Centralized Policy,將控制拓撲策略附加到主策略。
查詢您的活動策略,按一下三點,然後選擇Edit。
按一下
1.拓撲
2.拓撲
3.增加拓撲
4.匯入現有
5.自訂控制(路由和TLOC)
6. 從下拉式功能表中尋找政策,然後按一下「匯入」。
導入現有策略
點選策略應用>拓撲>新建站點/區域清單
在出站站點清單中,選擇正確的站點清單名稱。
套用政策頻外
按一下Add,然後按一下Save Policy Changes。由於這是一個活動策略,因此更改將推送到vSmarts。
注意:有關配置Cisco vSmart控制器集中控制策略的資訊,請參閱Cisco SD-WAN配置指南。
驗證
要驗證,請運行show sdwan system on-demand remote-system命令。 從輸出中,您可以找到「隨選:是」。 如果狀態顯示inactive,則意味著站點之間的隧道處於關閉狀態。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes inactive -
1000 192.168.0.73 yes inactive -
200 192.168.0.80 no - -
在按需站點之間生成一些流量後,您可以檢查相同的輸出。在這種情況下,狀態顯示為活動,它顯示的是隧道關閉之前剩餘的秒數。
Spoke#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100 192.168.0.70 no - -
100 192.168.0.71 no - -
1000 192.168.0.72 yes active 105
1000 192.168.0.73 yes active 105
200 192.168.0.80 no - -
在本例中,您可以注意到,當隧道關閉時,具有站點192.168.0.72和192.168.0.73的BFD丟失。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:04 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:22:03 2
站點之間的隧道打開時,您會注意到站點192.168.0.72和192.168.0.73的BFD已啟動。
Spoke#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.71 100 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:03:27:27 2
192.168.0.73 1000 up public-internet public-internet <removed> <removed> 5063 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up public-internet public-internet <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
192.168.0.70 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.71 100 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.80 200 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:03:27:26 2
192.168.0.73 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 3
192.168.0.72 1000 up mpls mpls <removed> <removed> 12346 ipsec 5 2000 0:00:00:03 2
您可以導航到Monitor > Device或Monitor > Network(從代碼20.6及早期),透過vMange GUI獲得相同結果,找到您的裝置並導航WAN > Tunnel,重點關注Down編號。
監控按需隧道
在同一選單上,向下滾動並按一下Real Time。 On Device Options search On Demand Remote。
此範例顯示隨選通道關閉時的輸出。
隨選通道關閉
此範例顯示隨選通道開啟時的輸出。
按需隧道啟用
疑難排解
有關更多詳細步驟,請參閱排除SD-WAN動態按需隧道故障。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-Feb-2024 |
初始版本 |
意見