自学思科SD-WAN策略框架-集中式数据策略

点击返回：思科SD-WAN实战课

自学思科SD-WAN策略框架-集中式数据策略

目录：

• 章节1：集中式数据策略-穿越Breakout/DIA
• 章节2：集中式数据策略-VPN成员资格
• 章节3：集中式数据策略-服务链
• 章节4：集中式数据策略-应用流量选路

思科SD-WAN数据策略详解

• 数据策略在vManage上配置，在vSmart控制器上启用，并在vEdge路由器上实施
• 与控制策略相比，数据策略允许更轻松的细粒度流量控制
• 控制策略和数据策略都可以平等的实现某些目标。控制策略作用于CPM路由通告，数据策略作用于应用程序流量特征
• 数据策略用于许多服务①服务链 ②Cflowd ③NAT ④流量策略 ⑤更多

数据策略申请

• 数据策略可以在三个方向应用：从服务（上游），从隧道（下游），全部（上游和下游）

• 如果不同的数据策略适用于不同的方向，则他们可以用于用统一站点

一、集中式数据策略-穿越Breakout / 专用互联网接入DIA

   1. 思科SD-WAN 架构在启用DIA方面提供了很大的灵活性

   2.穿越（流量从本地出）可以通过以下方式提出：

• 路由
• 策略
• 与首选项和备份选项结合使用
• 使用策略将基于云的安全性作为本地服务

   3. 提供本地穿越时，NAT是必须的功能

   4. 如果不需要NAT或需要特殊需求以进行公共寻址，则可以提供服务端突破

1.1  Internet Breakout Leverage  互联网本地穿越  （一般sd-WAN都开启）

本地站点不通过数据中心DC去互联网，而是本地上互联网， 站点选择是最合适的突破点。

• 企业可以从集中突破逐步发展到分布式突破
• 路由平面根据需要启用主/备份
• 策略进一步增强了选择和突破的粒度
• 与基于云的安全解决方案的部署保持一致 

1.2  数据策略示例： 带有NAT的DIA

问题：需要向访客wifi用户提供本地互联网出口，访客wifi用户需要与公司用户隔离

解决方案：通过网络地址转换NAT在访客VPN中部署出具策略。

数据策略配置：

• 在传输接口上定义NAT 
• 访客中匹配流量
• 通过传输侧接口上本地定义NAT的wifi NPN

1.3 数据策略配置

1.3.1 第一种：使用默认路由的本地穿越

• Service VPN中的静态路由：可以是默认值或更详细
• 将流量重定向到VPN0中： ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
• 可以与Tracker配合使用，以监视超出第一条网关的internet可用性

vpn 0 #在VPN0开启nat（internet出口的IP接口）
 interface ge0/0 nat
 !
vpn 1 #在VPN1开启默认路由（将VPN1的路由表送到VPN0上面）
 ip route 0.0.0.0/0 vpn 0   

1.3.2 第二种：使用数据策略进行本地穿越　

• 策略现在重定向而不是静态路由：万一本地出口失败，查找可以回退到本地服务VPN路由表
• 将流量重定向到VPN0中的接口： ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
• 可以与Tracker配合使用，以监视超出第一条网关的internet可用性
• 可以指定要使用的本地TLOC

 

 ①站点配置

vEdge
vpn 0
 interface ge0/0
  nat　　

②vSmart配置

vSmart
 policy   #定义10.0.0.0/8如果本地互联网断开，就走VNP路由表tunnel（从另一个站点上互联网）
  data-policy internet-breakout
   vpn-list VPN1
    sequence 10
     match source-ip 10.0.0.0/8
     !
     action accept
      nat use-vpn 0
       local—tloc public-internet

1.3.3 第三种：使用数据策略进行本地穿越　

• 使用GUI/Realtim或通过CLI可见的计数器show policy data-policy-filter
• 使用cflowd模板进行导出配置（可以看见源地址访问记录）

 1. Local Breaout cFlowd and Counting功能

 2. Local Breaout logging breakout traffic功能---默认1000数据包记录一次

 

1.3.4 第四种：使用数据策略的NAT服务平面

 

1.5 SD-WAN 互联网穿越的选项

    1. 数据策略构建还可以用于使用已定义的DPI签名（如O365、FaceBook、Youtobe）在本地穿越特定的应用

    2.例如：Office365将在本地分解； 通过区域出口的所有其他互联网流量

    3.支持O365所需的安排：本地穿越的数据策略；来自区域出口的默认路线有两个目的

• 所有非O365流量的突破
• O365会话建立涉及O365核心协议以外的许多协议，需要从某处缺省路由来处理那些应用程序并允许O365运行成功
• 对于大多数应用程序，存在类似的条件

二、集中式数据策略-VPN成员资格

• OMP架构的默认行为是将任何已配置的VPN通告给配置了该VPN的任何节点：自动建立连接，而无需不必要的配置和操作开销。
• 某些VPN可能属于敏感性质，因此必须严格控制其成员资格。
• VPN成员资格策略用于将VPN信息从vSmart的分发闲置为明确批准的分发：可以建立白名单和黑名单行为。
• 使用VPN成员资格策略，未明确允许参与VPN的节点可能已配置了VPN，但仅会看到本地连接盒路由信息。

 

•  Site3能收到VPN1和VPN2
•  Site1和Site2能收到VPN2，但是不能收到VPN1

问题：即使vEdge路由器在本地定义了相同的VPN，也阻止站点学习VPN的可达性。

解决方案：部署VPN成员资格策略以过滤OMP通告。

数据策略配置：

• VPN1在站点1上定义，但是与VPN1相关的OMP更新不会从vSmart发送到站点1；
• vSmart将不接受与来自站点1的VPN1相关的任何OMP更新。

流量工程/路径冗余 

① 配置站点列表

Policy lists
 site-list Branch1
  site-id 130
 !
 site-list Branch2
  site-id 140
 !
 vpn-list VPN10
  vpn 10
 !
!

②配置策略

policy
 vpn-membership vpnMembership_-489217129
  sequence 10
   match
    vpn-list VPN10
   !
   action accept
   !
  !
 default-action reject
!

③策略应用

apply-policy
 site-list Branch1
  vpn-membership vpnMembership_-489217129
 !
 site-list Branch2
  vpn-membership vpnMembership_-489217129
 !
!

三、集中式数据策略-服务链

本地服务和远程服务/OMP。

3.1 服务链：本地服务

 

 

 

 

3.2 服务链：远程服务 

 

四、集中式数据策略-应用流量选路

 

本地TLOC选择，首选项失败后，回退到路由远程TLOC选择

 

 

....