使用vManage功能模板配置TLOC擴展
簡介
本文檔介紹如何使用vManage功能模板配置TLOC-Extension。
必要條件
需求
思科建議您瞭解以下主題:
- vManage功能模板的使用
- 必須在vManage上成功安裝兩(2)台vEdge裝置
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco vManage版本20.6.3
- vEdge 20.6.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路圖表
網路拓撲
組態
本檔案假定您已設定其餘的功能範本。同樣的功能模板工作流程適用於Cisco IOS® XE SD-WAN裝置。
共建立4個功能模板以應用於vEdge裝置模板。
VPN功能模板
此功能模板包括VPN 0、VPN介面乙太網(主WAN連線)、VPN介面乙太網(Tunnel/NoTlocExt)和VPN介面乙太網(TlocExt/NoTunnel)。
VPN功能模板
建立功能模板的步驟:
1. VPN 0:在基本配置部分為傳輸VPN選擇特定裝置值,並在DNS部分新增DNS伺服器地址。
VPN 0功能模板基本配置
在IPv4路由部分為2個下一跳地址(主WAN和TLOC-EXT)新增帶有特定裝置值的字首。
VPN 0功能模板IPv4路由
VPN 0功能模板IPv4路由下一跳
2. VPN介面乙太網(主WAN連線):確保介面處於no shutdown狀態。選擇介面名稱、說明和IP地址的特定裝置值。
主WAN介面功能模板基本配置
確保Tunnel interface設定為ON。選擇「主WAN顏色」的特定裝置值。
VPN 0功能模板隧道介面
確保公共WAN介面的NAT設定為ON。
VPN 0介面模板NAT
3. VPN介面乙太網(TLOC-EXT/NO隧道介面):確保TLOC-Ext介面處於no shutdown狀態。選擇介面、說明和IP地址的特定裝置值。確保Tunnel interface設定為Off。
TLOC-EXT/NO隧道介面基本配置
在Advanced部分中新增TLOC-Ext介面。
TLOC-Ext介面
4. VPN介面乙太網(隧道介面/無Tloc-ext):確保介面處於no shutdown狀態。選擇介面、說明和IP地址的特定裝置值。
隧道介面/無Tloc-ext基本配置
確保隧道介面設定為ON。選擇Tloc-Ext顏色的特定裝置值。
通道介面
裝置模板
建立裝置模板的步驟:
1.從功能模板建立裝置模板。
功能模板中的裝置模板
2.填寫所有必需的功能模板。
包含功能模板基本配置的裝置模板詳細資訊
裝置模板詳細資訊及功能模板傳輸和管理
3.將兩台裝置都連線到裝置模板。
將裝置附加到模板
4.將兩台裝置從可用裝置移至選定裝置頁籤。
將裝置從可用裝置移動到選定裝置
5.輸入兩台裝置的所有必需詳細資訊:
Site35_vEdge1
更新值1
Site35_vEdge2
更新值2
6.驗證所選值是否適用於以下裝置:
Site35_vEdge1
配置預覽1
Site35_vEdge2
配置預覽2
6.最後,將這些配置推送到裝置。
配置配置
成功推送模板後,下一個輸出將捕獲vpn 0的運行配置。
Site35_vEdge1
Site35_vEdge1# show run vpn 0
vpn 0
interface ge0/0
ip address 10.201.237.120/24
ipv6 dhcp-client
nat
!
tunnel-interface
encapsulation ipsec
color private1
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
interface ge0/1
description TunnelInterface_NoTLOCExt
ip address 192.168.30.4/24
tunnel-interface
encapsulation ipsec
color private2
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
interface ge0/2
description TLOC_NoTunnelInterface
ip address 192.168.40.4/24
tloc-extension ge0/0
no shutdown
!
ip route 0.0.0.0/0 10.201.237.1
ip route 0.0.0.0/0 192.168.30.5
!
Site35_vEdge1#
Site35_vEdge2
Site35_vEdge2#
Site35_vEdge2#
Site35_vEdge2#
Site35_vEdge2# sh run vpn 0
vpn 0
interface ge0/0
ip address 10.201.237.66/24
ipv6 dhcp-client
nat
!
tunnel-interface
encapsulation ipsec
color private2
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
interface ge0/1
description TLOC_NoTunnelInterface
ip address 192.168.30.5/24
tloc-extension ge0/0
no shutdown
!
interface ge0/2
description TunnelInterface_NoTLOCExt
ip address 192.168.40.5/24
tunnel-interface
encapsulation ipsec
color private1
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
ip route 0.0.0.0/0 10.201.237.1
ip route 0.0.0.0/0 192.168.40.4
!
Site35_vEdge2#
驗證
1.已成功將模板連線到兩台裝置。
模板推送成功
2.控制連線通過主WAN和TLOC-Ext介面開啟。
控制連線驗證1
控制連線驗證2
使用案例
根據本地站點設計,也可以使用L2或L3 TLOC-Extension實現TLOC-Extension。
1. L2 TLOC-Extension:這些擴展位於同一廣播域或同一子網中。
2. L3 TLOC-Extension:這些擴展由L3裝置分隔,可以運行任何路由協定(僅在Cisco IOSXE SD-WAN裝置上受支援)
註:請參閱Cisco SD-WAN設計手冊的WAN邊緣部署一章中的TLOC擴展部分。
限制
僅●第3層路由介面上支援TLOC和TLOC擴展介面。L2交換機埠/SVI不能用作WAN/隧道介面,並且只能在服務端使用。
● LTE也不用作WAN邊緣路由器之間的TLOC擴展介面。
僅●Cisco IOS XE SD-WAN路由器支援L3 TLOC擴展,而vEdge路由器則不支援這些擴展。
● TLOC擴展在繫結到環回通道介面的傳輸介面上不起作用。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
24-Jul-2023 |
初始版本 |
意見