簡介
本文檔介紹如何在Catalyst SD-WAN上配置主用 — 主用SSE整合,並指導對其進行故障排除。
必要條件
需求
思科建議您瞭解以下主題:
- 思科軟體定義廣域網路(SD-WAN)
- 配置組
- 策略組
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- C8000V版本17.15.02
- vManage版本20.15.02
-
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
Cisco Secure Access
思科安全訪問是一種基於雲的安全服務邊緣(SSE)解決方案,可融合多種網路安全服務,從雲交付這些服務以支援混合型員工。Cisco SD-WAN Manager利用REST API從Cisco Secure Access中檢索策略資訊,並將此資訊分發到Cisco IOS XE SD-WAN裝置。這一整合為使用者提供了無縫、透明且安全的直接網際網路接入(DIA),使使用者能夠從任何裝置安全地連線到網路。
Cisco SSE允許SD-WAN裝置使用IPSec隧道與SSE提供商建立連線。本檔案是供思科安全存取使用者使用的。
初步配置
- 為裝置啟用域查詢:導航到Configuration Groups > System Profile > Global,然後啟用Domain Lookup。
附註:預設情況下,「域查詢」處於禁用狀態。
- 配置DNS:路由器可以在VPN 0上解析DNS並訪問網際網路。
- 配置NAT DIA:建立SSE隧道的路由器上需要存在DIA配置。
建立環回介面
如果主用/主用配置中的兩個隧道連線到同一個目標資料中心,並使用相同的WAN介面作為源,則需要建立兩個環回IP地址。
附註:當使用相同的源和目標配置兩個隧道時,IKEv2會形成由本地ID和遠端ID組成的身份對。預設情況下,本地ID是隧道的源介面的IP地址。此標識對必須是唯一的,不能在兩個隧道之間共用。為防止在IKEv2狀態中出現混淆,每個隧道使用不同的環回介面作為其源。雖然IKE資料包在DIA介面上進行了轉換(NATed),但本地ID保持不變,並保留原始環回IP地址。
1.導覽至Configuration > Configuration Groups > Configuration Group Name> Transport & Management Profile>按一下Edit.
2.按一下傳輸VPN配置文件(主配置檔案)右側的加號(+)。 這將開啟位於最右邊的Add Feature選單。
3.按一下Ethernet Interface。它在傳輸VPN下新增新的Internet介面。

4.使用RFC1918 IPv4位址建立兩個回送介面,如圖中的Loopback0範例。


- 應用環回配置後,繼續將配置更改部署到裝置。請注意,置備狀態從1/1變為0/1。

在SSE門戶上配置新的API金鑰
1.訪問SSE入口網站https://login.sse.cisco.com/
2.導航到Admin > API Keys

3.按一下Add + 並生成新的API金鑰

4.確保您對網路通道組具有讀/寫訪問許可權

5.按一下 生成金鑰
6.將API金鑰和金鑰金鑰複製到記事本中,然後選擇ACCEPT AND CLOSE

7.在URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikeys下,#some-numbers#是您的組織ID。也將該資訊複製到您的記事本中。

在Catalyst Manager上配置SSE
設定雲憑據
1.導航到管理 > 設定 > 雲憑據 > 雲提供商憑據,然後啟用Cisco Secure Access
並輸入詳細資訊。

2.可選:您可以啟用上下文共用以增強功能。有關更多資訊,請參閱關於情景共用的Cisco SSE使用手冊.
使用策略組配置SSE隧道
在SD-WAN Manager上,導航至Configuration > Policy Groups > Secure Internet Gateway/Secure Service Edge,然後點選Add Secure Service Edge(SSE)。

注意:如果尚未配置雲憑據,則可以在此步驟新增它們。如果已配置憑據,則會自動載入這些憑據。

1.配置SSE跟蹤器。在此示例中,跟蹤器URL設定為http://www.cisco.com,並且從其中一個環回介面分配源IP地址。


或者,由於配置雲憑據時啟用了上下文共用,因此在本示例中選擇了VPN作為選項。
2.按一下Add Tunnel

3.在本示例中,Loopback0介面用作隧道源,而GigabitEthernet1介面用作路由流量的WAN介面。

由於在本示例中配置了跟蹤器,因此將設定更改為Global,並且已選擇預配置的cisco-tracker。
4.對於第二個隧道,使用相同的引數重複相同的步驟,但將介面名稱從ipsec1更改為ipsec2,將源介面名稱更改為Loopback1。

兩個隧道都配置為同時處於活動狀態,沒有備份。
5.按一下「Add Interface Pair」。
6.按一下Add。活動介面設定為ipsec1,但未指定備份介面。

7.對第二個隧道ipsec2重複相同操作。

8.儲存配置。
配置策略組
1.您可以只選擇以前在策略組中建立的策略並儲存。

2.裝置與策略組關聯後,繼續部署策略組。

配置策略組以將流量重定向到SSE
1.在SD-WAN Manager上,導航至Configuration > Policy Groups > Application Priority & SLA。
- 選擇Add Application Priority & SLA Policy
- 指定策略的名稱。

2.顯示新策略後,選擇「高級佈局」切換。

3.選擇Add Traffic Policy List。
- 配置VPN以將流量重定向到SSE隧道。
- 根據需要設定Direction和Default Action,然後儲存。

4.選擇+ Add Rule。

5.配置您的匹配流量標準,將流量重定向到SSE。
6.選擇Accept作為基本操作,然後按一下+ Action。
7.查詢「Secure Internet Gateway/Secure Service Edge」操作,並將其設定為「Secure Service Edge」。


8.按一下儲存匹配和操作

9.按一下Save。
10.導航到Configuration > Policy Groups,然後選擇剛創建的Application Priority策略。儲存,然後部署。

驗證
經理
1.Monitor > Logs > Audit Logs並搜尋「sse」。

2.您可以通過檢查Manager來驗證是否成功啟用情景共用VPN。

安全訪問控制面板
內容共用
您可以通過檢查SSE控制面板來驗證是否已成功啟用情景共用VPN,Resources > SD-WAN Service VPN ID

通道開啟
當通道開啟且追蹤器對透過通道的流量運作時,您可以導覽至Monitor > Activity Search以驗證這點。在此螢幕上,您會看到通過通道的流量,例如由追蹤器產生的對www.cisco.com的請求。此可視性可確認追蹤器已啟動並主動監控通過通道的流量

命令線路介面(CLI)命令
Hub2-SIG#show sse all
***************************************
SSE Instance Cisco-Secure-Access
***************************************
Tunnel name : Tunnel16000001
Site id: 2
Tunnel id: 655184839
SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
HA role: Active
Local state: Up
Tracker state: Up
Destination Data Center: 44.217.195.188
Tunnel type: IPSEC
Provider name: Cisco Secure Access
Context sharing: CONTEXT_SHARING_SRC_VPN
相關資訊