自学思科SD-WAN策略框架-集中式数据策略
自学思科SD-WAN策略框架-集中式数据策略
目录:
- 章节1:集中式数据策略-穿越Breakout/DIA
- 章节2:集中式数据策略-VPN成员资格
- 章节3:集中式数据策略-服务链
- 章节4:集中式数据策略-应用流量选路
思科SD-WAN数据策略详解
- 数据策略在vManage上配置,在vSmart控制器上启用,并在vEdge路由器上实施
- 与控制策略相比,数据策略允许更轻松的细粒度流量控制
- 控制策略和数据策略都可以平等的实现某些目标。控制策略作用于CPM路由通告,数据策略作用于应用程序流量特征
- 数据策略用于许多服务①服务链 ②Cflowd ③NAT ④流量策略 ⑤更多
数据策略申请
- 数据策略可以在三个方向应用:从服务(上游),从隧道(下游),全部(上游和下游)
- 如果不同的数据策略适用于不同的方向,则他们可以用于用统一站点
一、集中式数据策略-穿越Breakout / 专用互联网接入DIA
1. 思科SD-WAN 架构在启用DIA方面提供了很大的灵活性
2.穿越(流量从本地出)可以通过以下方式提出:
- 路由
- 策略
- 与首选项和备份选项结合使用
- 使用策略将基于云的安全性作为本地服务
3. 提供本地穿越时,NAT是必须的功能
4. 如果不需要NAT或需要特殊需求以进行公共寻址,则可以提供服务端突破
1.1 Internet Breakout Leverage 互联网本地穿越 (一般sd-WAN都开启)
本地站点不通过数据中心DC去互联网,而是本地上互联网, 站点选择是最合适的突破点。
- 企业可以从集中突破逐步发展到分布式突破
- 路由平面根据需要启用主/备份
- 策略进一步增强了选择和突破的粒度
- 与基于云的安全解决方案的部署保持一致
1.2 数据策略示例: 带有NAT的DIA
问题:需要向访客wifi用户提供本地互联网出口,访客wifi用户需要与公司用户隔离
解决方案:通过网络地址转换NAT在访客VPN中部署出具策略。
数据策略配置:
- 在传输接口上定义NAT
- 访客中匹配流量
- 通过传输侧接口上本地定义NAT的wifi NPN
1.3 数据策略配置
1.3.1 第一种:使用默认路由的本地穿越
- Service VPN中的静态路由:可以是默认值或更详细
- 将流量重定向到VPN0中: ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
- 可以与Tracker配合使用,以监视超出第一条网关的internet可用性
vpn 0 #在VPN0开启nat(internet出口的IP接口) interface ge0/0 nat ! vpn 1 #在VPN1开启默认路由(将VPN1的路由表送到VPN0上面) ip route 0.0.0.0/0 vpn 0
1.3.2 第二种:使用数据策略进行本地穿越
- 策略现在重定向而不是静态路由:万一本地出口失败,查找可以回退到本地服务VPN路由表
- 将流量重定向到VPN0中的接口: ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
- 可以与Tracker配合使用,以监视超出第一条网关的internet可用性
- 可以指定要使用的本地TLOC
①站点配置
vEdge vpn 0 interface ge0/0 nat
②vSmart配置
vSmart policy #定义10.0.0.0/8如果本地互联网断开,就走VNP路由表tunnel(从另一个站点上互联网) data-policy internet-breakout vpn-list VPN1 sequence 10 match source-ip 10.0.0.0/8 ! action accept nat use-vpn 0 local—tloc public-internet
1.3.3 第三种:使用数据策略进行本地穿越
- 使用GUI/Realtim或通过CLI可见的计数器show policy data-policy-filter
- 使用cflowd模板进行导出配置(可以看见源地址访问记录)
1. Local Breaout cFlowd and Counting功能
2. Local Breaout logging breakout traffic功能---默认1000数据包记录一次
1.3.4 第四种:使用数据策略的NAT服务平面
1.5 SD-WAN 互联网穿越的选项
1. 数据策略构建还可以用于使用已定义的DPI签名(如O365、FaceBook、Youtobe)在本地穿越特定的应用
2.例如:Office365将在本地分解; 通过区域出口的所有其他互联网流量
3.支持O365所需的安排:本地穿越的数据策略;来自区域出口的默认路线有两个目的
- 所有非O365流量的突破
- O365会话建立涉及O365核心协议以外的许多协议,需要从某处缺省路由来处理那些应用程序并允许O365运行成功
- 对于大多数应用程序,存在类似的条件
二、集中式数据策略-VPN成员资格
- OMP架构的默认行为是将任何已配置的VPN通告给配置了该VPN的任何节点:自动建立连接,而无需不必要的配置和操作开销。
- 某些VPN可能属于敏感性质,因此必须严格控制其成员资格。
- VPN成员资格策略用于将VPN信息从vSmart的分发闲置为明确批准的分发:可以建立白名单和黑名单行为。
- 使用VPN成员资格策略,未明确允许参与VPN的节点可能已配置了VPN,但仅会看到本地连接盒路由信息。
- Site3能收到VPN1和VPN2
- Site1和Site2能收到VPN2,但是不能收到VPN1
问题:即使vEdge路由器在本地定义了相同的VPN,也阻止站点学习VPN的可达性。
解决方案:部署VPN成员资格策略以过滤OMP通告。
数据策略配置:
- VPN1在站点1上定义,但是与VPN1相关的OMP更新不会从vSmart发送到站点1;
- vSmart将不接受与来自站点1的VPN1相关的任何OMP更新。
流量工程/路径冗余
① 配置站点列表
Policy lists site-list Branch1 site-id 130 ! site-list Branch2 site-id 140 ! vpn-list VPN10 vpn 10 ! !
②配置策略
policy vpn-membership vpnMembership_-489217129 sequence 10 match vpn-list VPN10 ! action accept ! ! default-action reject !
③策略应用
apply-policy site-list Branch1 vpn-membership vpnMembership_-489217129 ! site-list Branch2 vpn-membership vpnMembership_-489217129 ! !
三、集中式数据策略-服务链
本地服务和远程服务/OMP。
3.1 服务链:本地服务
3.2 服务链:远程服务
四、集中式数据策略-应用流量选路
本地TLOC选择,首选项失败后,回退到路由远程TLOC选择
....
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
posted on 2021-01-19 12:44 CARLOS_KONG 阅读(825) 评论(0) 编辑 收藏 举报