CISCO SD-WAN Katalis Segméntasi

CISCO SD-WAN Katalis Segméntasi

eusi nyumput
1 Segmentasi
2 Segmentasi di Cisco katalis SD-WAN
3 VRFs Dipaké dina Cisco katalis SD-WAN Segmentation
4 Ngonpigurasikeun VRF Ngagunakeun Cisco SD-WAN Manajer Citakan
5 Ngonpigurasikeun VPN Ngagunakeun Cisco SD-WAN Manajer Citakan
6 Konpigurasikeun Parameter VPN Dasar
7 Ngonpigurasikeun Fungsionalitas Antarmuka Dasar
8 Jieun Interface Torowongan
9 Konpigurasikeun DNS sareng Static Hostname Mapping
10 Ngonpigurasikeun Segmentation Ngagunakeun CLI
11 Segmentasi (VRFs) Konfigurasi Examples
12 Segmentasi CLI Rujukan
13 Dokumén / Sumberdaya
13.1 Rujukan
14 Tulisan patali

Segmentasi

Lambang Catetan Pikeun ngahontal nyederhanakeun jeung konsistensi, geus solusi Cisco SD-WAN rebranded salaku Cisco katalis SD-WAN. Sajaba ti éta, ti Cisco ios XE SD-WAN Release 17.12.1a jeung Cisco katalis SD-WAN Release 20.12.1, parobahan komponén handap lumaku: Cisco vManage mun Cisco katalis SD-WAN Manajer, Cisco vAnalyticsto Cisco CatalystSD-WAN Analytics, Cisco vBondto Cisco CatalystSD-WAN Validator, sarta Cisco vSmart mun Cisco katalis SD-WAN controller. Tempo Catetan Release panganyarna pikeun daptar komprehensif sadaya parobahan ngaran merek komponén. Nalika urang ngalih ka nami anyar, sababaraha inconsistencies tiasa aya dina dokuméntasi set kusabab pendekatan bertahap kana apdet antarmuka pangguna produk parangkat lunak.

Segmentasi jaringan parantos aya langkung ti dasawarsa sareng parantos dilaksanakeun dina sababaraha bentuk sareng bentuk.
Dina tingkat anu paling dasarna, ségméntasi nyayogikeun isolasi lalu lintas. Bentuk segmentasi jaringan anu paling umum nyaéta LAN virtual, atanapi VLAN, pikeun solusi Lapisan 2, sareng rute sareng neraskeun virtual, atanapi VRF, pikeun solusi Lapisan 3.
Aya seueur kasus panggunaan pikeun segmentasi:

Paké Kasus pikeun Segmentasi

  • Hiji perusahaan hoyong tetep garis bisnis anu béda-béda (sapertos example, forsecurity atawa alesan audit).
  • Departemén IT hoyong ngasingkeun pangguna anu dioténtikasi tina pangguna tamu.
  • Toko ritel hoyong misahkeun lalu lintas panjagaan pidéo tina lalu lintas transaksional.
  • Hiji perusahaan hoyong masihan mitra bisnis aksés selektif ngan ka sababaraha bagian tina jaringan.
  • Palayanan atanapi bisnis kedah ngalaksanakeun patuh pangaturan, sapertos patuh kana HIPAA, AS
    Asuransi Kaséhatan Portability and Accountability Act, atanapi nganggo standar kaamanan Industri Kartu Pembayaran (PCI).
  • Panyadia jasa hoyong nyayogikeun jasa VPN ka perusahaan ukuran sedeng.

Watesan Segmentasi

Hiji watesan alamiah tina segmentation nyaeta wengkuan na. Solusi ségméntasi boh kompleks atanapi dugi ka hiji alat atanapi sapasang alat anu disambungkeun nganggo antarmuka. Salaku urutample, Lapisan 3 segmentation nyadiakeun handap:

  1. Kamampuhan pikeun ngagolongkeun awalan kana tabel rute anu unik (RIB atanapi FIB).
  2. Kamampuhan pikeun ngahubungkeun antarbeungeut sareng tabel rute supados lalu lintas anu ngalangkungan antarbeungeut diarahkeun dumasar kana awalan dina tabel rute éta.

Ieu mangrupikeun fungsionalitas anu mangpaat, tapi ruang lingkupna dugi ka hiji alat. Pikeun manjangkeun fungsionalitas sapanjang jaringan, inpormasi segmentasi kedah dibawa ka titik anu aya dina jaringan.

Kumaha Aktipkeun Network-Wide Segmentation

Aya dua pendekatan pikeun nyayogikeun segmentasi jaringan ieu:

  • Nangtukeun kawijakan grup dina unggal alat sareng dina unggal tautan dina jaringan (dasarna, anjeun ngalaksanakeun Léngkah 1 sareng 2 di luhur dina unggal alat).
  • Nangtukeun kabijakan pengelompokeun di ujung ruas, teras bawa inpormasi segmentasi dina pakét pikeun node perantara pikeun dicekel.

Pendekatan kahiji mangpaat upami unggal alat mangrupikeun titik éntri atanapi kaluar pikeun ruas, anu umumna henteu aya dina jaringan sedeng sareng ageung. Pendekatan kadua langkung scalable sareng ngajaga jaringan angkutan gratis tina bagéan sareng pajeulitna.

  • Segmentasi di Cisco Catalyst SD-WAN,
  • VRFs Dipaké dina Cisco Catalyst SD-WAN Segmentation,
  • Konpigurasikeun VRF Ngagunakeun Cisco SD-WAN Manajer Citakan,
  • Konpigurasikeun VPN Nganggo Citakan Manajer Cisco SD-WAN,
  • Konpigurasikeun Segmentasi Ngagunakeun CLI,
  • Rujukan CLI Segmentasi,

Segmentasi di Cisco katalis SD-WAN

Dina jaringan overlay Cisco Catalyst SD-WAN, VRFs ngabagi jaringan kana bagéan béda.
Cisco Catalyst SD-WAN nganggo modél anu langkung umum sareng skalabel pikeun nyiptakeun bagéan. Intina,
segmentation dipigawé di edges of a router, sarta informasi segmentation dibawa dina pakét di
wangun idéntifikasi.
inohong nembongkeun rambatan informasi routing jero VRF a.
angka 1: rambatan Émbaran Routing jero VRF a
Rambatan Émbaran Routing Jero A Vrf

Dina gambar ieu:

  • Router-1 ngalanggan dua VRF, beureum sareng biru.
  • VRF beureum caters ka awalan 10.1.1.0/24 (boh langsung ngaliwatan panganteur disambungkeun atawa diajar ngagunakeun IGP atanapi BGP).
  • VRF biru ngalayanan awalan 10.2.2.0/24 (boh langsung ngaliwatan panganteur disambungkeun atawa diajar ngagunakeun IGP atanapi BGP).
  • Router-2 ngalanggan VRF beureum.
    • VRF Ieu caters ka awalan 192.168.1.0/24 (boh langsung ngaliwatan panganteur disambungkeun atawa diajar ngagunakeun IGP atanapi BGP).
  • Router-3 ngalanggan VRF biru.
    • VRF Ieu caters ka awalan 192.168.2.0/24 (boh langsung ngaliwatan panganteur disambungkeun atawa diajar ngagunakeun IGP atanapi BGP).

Kusabab unggal router boga Overlay Manajemén Protocol (OMP) sambungan ngaliwatan torowongan TLS ka Cisco SD-WAN controller, propagates informasi routing na ka Cisco SD-WAN controller. Dina Cisco SD-WAN Controller, administrator jaringan tiasa ngalaksanakeun kawijakan pikeun serelek ruteu, ngarobah TLOCs, nu overlay hops salajengna, pikeun rékayasa lalulintas atawa chaining jasa. A administrator jaringan bisa nerapkeun kawijakan ieu salaku kawijakan inbound na outbound on Cisco SD-WAN Controller.
Sadaya awalan milik VRF tunggal disimpen dina tabel rute anu misah. Ieu nyadiakeun isolasi Lapisan 3 diperlukeun pikeun sagala rupa bagéan dina jaringan. Janten, Router-1 gaduh dua tabel rute VRF, sareng Router-2 sareng Router-3 masing-masing gaduh hiji méja rute. Sajaba ti éta, Cisco SD-WAN Controller ngajaga konteks VRF unggal awalan.
Méja rute anu misah nyadiakeun isolasi dina hiji titik. Janten kumaha inpormasi rute disebarkeun ka jaringan?
Dina solusi Cisco katalis SD-WAN, ieu dipigawé ngagunakeun VRF identifiers, ditémbongkeun saperti dina gambar di handap ieu. A VRF ID, nu dibawa dina pakét a, nangtukeun unggal VRF on link. Lamun anjeun ngonpigurasikeun VRF on router a, VRF boga labél pakait sareng eta. router ngirim labél nu, babarengan jeung VRFID, ka Cisco SD-WAN controller. Cisco SD-WAN Controller propagates ieu router-to- VRF ID pemetaan informasi ka routers séjén dina domain nu. Router jauh teras nganggo labél ieu pikeun ngirim lalu lintas ka VRF anu cocog. Router lokal, nalika nampi data nganggo labél ID VRF, nganggo labél pikeun demultiplex lalu lintas data. Ieu sami sareng kumaha labél MPLS dianggo. Desain ieu dumasar kana RFCs baku sarta patuh kana prosedur pangaturan kayaning PCI na HIPAA.

angka 2: VRF Identifiers
VRF Identifiers

Lambang Catetan Jaringan angkutan anu nyambungkeun routers sagemblengna unaware tina VRFs. Ngan router anu terang ngeunaan VRF; sesa jaringan nuturkeun routing IP baku.

VRFs Dipaké dina Cisco katalis SD-WAN Segmentation

Solusi Cisco katalis SD-WAN ngalibatkeun pamakéan VRF pikeun misahkeun lalulintas.

VRF global

VRF global dipaké pikeun angkutan. Pikeun ngalaksanakeun pamisahan alamiah antara jasa (sapertos awalan anu milik perusahaan) sareng angkutan (jaringan anu nyambungkeun router), sadaya antarmuka angkutan, nyaéta, sadaya TLOC, disimpen dina VRF global. Ieu mastikeun yén jaringan angkutan henteu tiasa ngahontal jaringan jasa sacara standar. Sababaraha interfaces angkutan bisa milik VRF sarua, jeung pakét bisa diteruskeun ka jeung ti interfaces angkutan.
A VRF global ngandung sakabéh interfaces pikeun alat a, iwal panganteur manajemén, sarta sakabeh interfaces ditumpurkeun. Pikeun pesawat kontrol pikeun ngadegkeun sorangan ambéh jaringan overlay bisa boga fungsi, anjeun kudu ngonpigurasikeun interfaces torowongan dina VRF global. Pikeun unggal panganteur dina VRF global, anjeun kudu nyetél alamat IP, sarta nyieun sambungan torowongan nu nangtukeun warna na encapsulation pikeun sambungan angkutan Wan. (Encapsulation dipaké pikeun pangiriman lalulintas data.) Tilu parameter ieu-alamat IP, warna, jeung encapsulation-ngahartikeun TLOC (lokasi angkutan) dina router dina. Sesi OMP ngajalankeun on unggal torowongan ngirimkeun TLOC ka Cisco SD-WAN Controllers ambéh maranéhanana bisa diajar topologi jaringan overlay.

Rojongan Dual-Stack dina VPN Angkutan 

Dina VRF global, Cisco ios XE Catalyst alat SD-WAN jeung Cisco SD-WAN Controller ngarojong tumpukan ganda. Pikeun ngaktipkeun tumpukan ganda, ngonpigurasikeun alamat IPv4 sareng alamat IPv6 dina antarmuka torowongan. Router diajar ti Cisco SD-WAN Controller naha tujuan ngadukung alamat IPv4 atanapi IPv6. Nalika neraskeun lalu lintas, router milih IPv4 atanapi IPv6 TLOC, dumasar kana alamat tujuan. Tapi IPv4 sok pikaresep lamun ngonpigurasi.

Manajemén VRF

Mgmt-Intf teh manajemén VRFon Cisco ios XE CatalystSD-WAN alat. Éta dikonpigurasi sareng diaktipkeun sacara standar. Ieu mawa kaluar-of-band lalulintas manajemén jaringan diantara alat dina jaringan overlay. Anjeun tiasa ngarobih konfigurasi ieu, upami diperyogikeun.

Ngonpigurasikeun VRF Ngagunakeun Cisco SD-WAN Manajer Citakan

Dina Cisco SD-WAN Manajer, ngagunakeun citakan CLI pikeun VRFs Konpigurasikeun pikeun alat a. Pikeun unggal VRF, ngonpigurasikeun sub interface jeung numbu sub interface ka VRF. Anjeun tiasa ngonpigurasikeun nepi ka 300 VRFs.
Lamun anjeun nyorong CLI template ka alat a, overwrites Cisco SD-WAN Manajer konfigurasi aya dina alat jeung beban konfigurasi diartikeun dina citakan CLI. Akibatna, citakan teu bisa ngan nyadiakeun eusi anyar keur ngonpigurasi, kayaning VRFs. CLI template kedah ngawengku sakabéh rinci konfigurasi diperlukeun ku alat. Pikeun mintonkeun rinci konfigurasi relevan dina alat, make paréntah show sdwan running-config.
Pikeun detil ngeunaan nyieun jeung nerapkeun témplat CLI, sarta pikeun example tina konfigurasi VRFs, tingali CLI Citakan keur Cisco ios XE katalis SD-WAN routers bab Sistim jeung Interfaces Guide Konfigurasi, Cisco ios XE Release 17.x.
Ieu mangrupikeun alat anu dirojong:

  • Cisco ASR1001-HX
  • ASR1002-HX

Ngonpigurasikeun VPN Ngagunakeun Cisco SD-WAN Manajer Citakan

Jieun Citakan VPN 

Lambang Catetan Cisco ios XE katalis alat SD-WAN ngagunakeun VRFs pikeun segmentation na jaringan isolasi. Sanajan kitu, léngkah di handap ieu masih lumaku lamun anjeun ngonpigurasikeun segmentation pikeun Cisco ios XE Catalyst alat SD-WAN ngaliwatan Cisco SD-WAN Manajer. Lamun anjeun ngalengkepan konfigurasi, Sistim nu otomatis ngarobah VPN ka VRFs pikeun Cisco ios XE katalis alat SD-WAN.

Lambang Catetan Anjeun tiasa ngonpigurasikeun rute statik ngaliwatan template VPN.

  • Lengkah 1 Tina menu Manajer Cisco SD-WAN, pilih Konfigurasi> Citakan.
  • Lengkah 2 Klik Alat Témplat, teras klik Jieun Citakan.
    Catetan Dina Cisco vManage Release 20.7.x sarta saméméhna Kaluaran Citakan Alat disebut Alat.
  • Lengkah 3 Tina daptar turun-handap Jieun Citakan, pilih Tina Citakan Fitur.
  • Lengkah 4 Tina daptar turun-handap Model Alat, pilih jinis alat anu anjeun hoyong jieun citakan.
  • Lengkah 5 Pikeun nyieun template pikeun VPN 0 atawa VPN 512:
    a. Pencét VPN Angkutan & Manajemén, atanapi gulung ka bagian VPN Angkutan & Manajemén.
    b. Tina daptar turun-handap VPN 0 atanapi VPN 512, klik Jieun Citakan. Bentuk template VPN nembongan.
    Formulir ngandung widang pikeun ngaran témplat, jeung widang pikeun nangtukeun parameter VPN.
  • Lengkah 6 Pikeun nyieun template pikeun VPN 1 nepi ka 511, jeung 513 nepi ka 65527:
    a. Klik Service VPN, atawa gulung ka Service VPN bagian.
    b. Klik daptar turun-handap Service VPN.
    c. Tina daptar turun-handap VPN, klik Jieun Citakan. Bentuk template VPN dipintonkeun.
    Formulir ngandung widang pikeun ngaran témplat, jeung widang pikeun nangtukeun parameter VPN.
  • Lengkah 7 Dina Ngaran Citakan, asupkeun ngaran pikeun citakan. Ngaranna tiasa dugi ka 128 karakter sareng ngan ukur tiasa ngandung karakter alfanumerik.
  • Lengkah 8 Dina Pedaran Citakan, lebetkeun pedaran témplat. Katerangan tiasa dugi ka 2048 karakter sareng ngan ukur tiasa ngandung karakter alfanumerik.

Konpigurasikeun Parameter VPN Dasar

Pikeun ngonpigurasikeun parameter dasar VPN, pilih Konfigurasi Dasar teras konfigurasikeun parameter di handap ieu.
Parameter anu ditandaan ku asterisk diperyogikeun pikeun ngonpigurasikeun VPN.

Ngaran Parameter Katerangan
VPN Lebetkeun identifier numerik tina VPN.
Rentang pikeun Cisco ios XE Catalyst alat SD-WAN: 0 ngaliwatan 65527
Nilai pikeun Cisco Catalyst SD-WAN Controller sareng alat Cisco SD-WAN Manager: 0, 512
Ngaran Lebetkeun nami kanggo VPN.
Catetan Pikeun Cisco ios XE Catalyst SD-WAN alat, anjeun teu bisa ngasupkeun ngaran alat-spésifik pikeun VPN.
Ningkatkeun keying ECMP Pencét On pikeun ngaktipkeun pamakéan dina konci Hash ECMP Lapisan 4 sumber jeung palabuhan tujuan, salian kombinasi sumber, jeung alamat IP tujuan, salaku konci Hash ECMP.
ECMP keying nyaeta Pareum sacara standar.

Lambang Catetan Pikeun ngalengkepan konfigurasi VPN angkutan dina router, Anjeun kudu ngonpigurasikeun sahanteuna hiji panganteur dina VPN 0.

Pikeun nyimpen template fitur, klik Simpen.

Ngonpigurasikeun beban-balancing Algoritma Ngagunakeun CLI

Lambang Catetan

Mimitian ti Cisco ios XE katalis SD-WAN Release 17.8.1a, anjeun peryogi CLI template pikeun Konpigurasikeun src-hijina algoritma beban-babagi pikeun IPv4 na IPv6 Cisco CatalystSD-WAN jeung non Cisco CatalystSD-WAN lalulintas. Pikeun detil lengkep ngeunaan algoritma ngabagi beban CLI, tingali Paréntah IP daptar.

Ieu di handap nyadiakeun konfigurasi CLI pikeun milih hiji algoritma beban-balancing Cisco ExpressForwarding pikeun non Cisco CatalystSD-WAN IPv4 jeung lalulintas IPv6. Anjeun tiasa ngaktipkeun ECMPkeying pikeun ngirim konfigurasi pikeun IPv4 sareng IPv6.
Device# config-transaction
Device(config)# ip cef load-sharing algorithm {universal [id] | include-ports [ source [id]
| destination [id]] |
src-only [id]}

Device# config-transaction
Device(config)# ipv6 cef load-sharing algorithm {universal [id] | include-ports [ source
[id] | destination [id]] |
src-only [id]}

Ieu di handap nyadiakeun konfigurasi CLI pikeun ngaktipkeun beban balancing algoritma dina panganteur pikeun Cisco katalis SD-WAN IPv4 na IPv6 lalulintas. Anjeun tiasa ngaktipkeun konci ECMP pikeun ngirim konfigurasi pikeun IPv4 sareng IPv6.

Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ip load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}
Device# config-transaction
Device(config)# sdwan
Device(config-sdwan)# ipv6 load-sharing algorithm {ip-and-ports | src-dst-ip | src-ip-only}

Ngonpigurasikeun Fungsionalitas Antarmuka Dasar

Pikeun ngonpigurasikeun fungsionalitas antarmuka dasar dina VPN, pilih Konfigurasi Dasar sareng konpigurasikeun parameter ieu:

Lambang Catetan Parameter anu ditandaan ku tanda bintang diperyogikeun pikeun ngonpigurasikeun antarmuka.

Ngaran Parameter IPv4 atanapi IPv6 Pilihan Katerangan
Pareuman* Pencét No pikeun ngaktipkeun panganteur.
Ngaran panganteur* Lebetkeun ngaran pikeun panganteur.

Pikeun alat Cisco IOS XE Catalyst SD-WAN, anjeun kedah:

  • Éjahan nami antarmuka lengkep (pikeun example, GigabitEthernet0/0/0).
  • Ngonpigurasikeun sakabéh interfaces nu router urang, sanajan anjeun teu make eta, ambéh maranéhanana ngonpigurasi dina kaayaan shutdown jeung ambéh maranéhanana kabéh nilai standar pikeun maranéhanana ngonpigurasi.
Katerangan Lebetkeun pedaran pikeun panganteur.
IPv4/IPv6 Pencét IPv4 pikeun ngonpigurasikeun hiji panganteur IPv4 VPN. Pencét IPv6 pikeun ngonpigurasikeun hiji panganteur IPv6.
Dinamis Pencét Dinamis pikeun ngeset antarbeungeut salaku klien Dynamic Host Configuration Protocol (DHCP), supados antarbeungeutna nampi alamat IP na tina server DHCP.
Duanana DHCP

Jarak

 Opsional, lebetkeun nilai jarak administrasi pikeun rute anu diajar tina server DHCP. Default nyaéta 1.
IPv6 DHCP

Komitmen Gancang

 Opsional, ngonpigurasikeun server lokal DHCP IPv6 pikeun ngadukung DHCP Rapid Commit, pikeun ngaktipkeun konfigurasi sareng konfirmasi klien anu langkung gancang dina lingkungan anu sibuk.
Pencét On pikeun ngaktipkeun DHCP rapid commit.
Pencét Pareum pikeun neruskeun ngagunakeun prosés komitmen biasa.
Statik Pencét Statik pikeun ngasupkeun alamat IP nu teu robah.
IPv4 IPv4 Alamat Asupkeun alamat IPv4 statik.
IPv6 IPv6 Alamat Asupkeun alamat IPv6 statik.
Alamat IP sekundér IPv4 Pencét Tambihan pikeun ngasupkeun nepi ka opat alamat IPv4 sekundér pikeun panganteur sisi-layanan.
Alamat IPv6 IPv6 Pencét Tambihan pikeun ngasupkeun nepi ka dua alamat IPv6 sekundér pikeun panganteur sisi-layanan.
DHCP Helper Duanana Pikeun nunjuk panganteur salaku helper DHCP dina router, asupkeun nepi ka dalapan alamat IP, dipisahkeun ku koma, pikeun server DHCP dina jaringan. Antarbeungeut pembantu DHCP neruskeun Boot P (siaran) DHCP nyuhunkeun yén éta nampi ti server DHCP anu ditangtukeun.
Blok IP Non-Sumber Sumuhun / No Pencét Sumuhun boga panganteur lalulintas maju ngan lamun alamat IP sumber lalulintas cocog rentang awalan IP panganteur urang. Pencét No pikeun ngidinan lalulintas séjén.

Jieun Interface Torowongan

Dina alat Cisco ios XE katalis SD-WAN, anjeun tiasa ngonpigurasikeun nepi ka dalapan interfaces torowongan. Ieu ngandung harti yén unggal Cisco ios XE katalis alat SD-WAN router bisa boga nepi ka dalapan TLOCs. Pa Cisco katalis SD-WAN Controllers na Cisco SD-WAN Manajer, anjeun tiasa ngonpigurasikeun hiji panganteur torowongan.
Pikeun pesawat kontrol pikeun ngadegkeun sorangan supados jaringan overlay bisa boga fungsi, anjeun kudu ngonpigurasikeun panganteur angkutan Wan di VPN 0. panganteur Wan bakal ngaktipkeun aliran lalulintas torowongan ka overlay nu. Anjeun tiasa nambihan parameter sanés anu dipidangkeun dina tabel di handap ieu ngan saatos anjeun ngonpigurasikeun antarmuka WAN salaku antarmuka torowongan.
Pikeun ngonpigurasikeun antarmuka torowongan, pilih Torowongan Antarmuka sareng konpigurasikeun parameter ieu:

Ngaran Parameter Katerangan
Antarmuka torowongan Pencét On pikeun nyieun panganteur torowongan.
Warna Pilih warna pikeun TLOC.
Port Hop Pencét On pikeun ngaktipkeun port hopping, atawa klik Pareum pikeun mareuman eta. Upami port hopping diaktipkeun sacara global, anjeun tiasa nganonaktipkeun dina TLOC individu (antarmuka torowongan). Pikeun ngadalikeun port hopping dina tingkat global, nganggo Sistim template konfigurasi.

standar: Diaktipkeun Cisco SD-WAN Manajer sarta Cisco katalis SD-WAN Controller standar: ditumpurkeun
TCP MSS TCP MSS mangaruhan sagala pakét nu ngandung hiji lulugu TCP awal nu ngalir ngaliwatan router dina. Nalika dikonpigurasikeun, TCP MSS ditaliti ngalawan MSS anu ditukeurkeun dina sasalaman tilu arah. MSS dina lulugu diturunkeun lamun setelan TCP MSS anu dikonpigurasi leuwih handap tina MSS dina lulugu. Lamun nilai lulugu MSS geus leuwih handap tina TCP MSS, pakét ngalir ngaliwatan unmodified. Tuan rumah di tungtung torowongan ngagunakeun setélan handap tina dua host. Upami TCP MSS kedah dikonpigurasi, éta kedah disetél dina 40 bait langkung handap tina jalur minimum MTU.
Sebutkeun MSS pakét TPC SYN ngaliwatan alat Cisco ios XE Catalyst SD-WAN. Sacara standar, MSS sacara dinamis disaluyukeun dumasar kana antarmuka atanapi torowongan MTU sahingga pakét TCP SYN henteu kantos dipecah-pecah. rentang: 552 nepi ka 1460 bait standar: Euweuh
Hapus-Ulah-fragmén Konpigurasikeun Hapus-Ulah-fragmén pikeun pakét anu sumping ka antarmuka anu henteu ngonpigurasikeun Don't Fragment. Upami pakét ieu langkung ageung tibatan anu diidinan MTU, aranjeunna diturunkeun. Lamun anjeun mupus bit Ulah fragmen, pakét bakal fragmented tur dikirim.

Pencét On pikeun ngabersihan bit Dont Fragment dina header pakét IPv4 pikeun pakét anu dikirimkeun kaluar tina antarmuka. Nalika bit Dont Fragment dibersihkeun, pakét anu langkung ageung tibatan MTU antarbeungeutna dibagi-bagi sateuacan dikirim.

Catetan Hapus-Ulah-fragmén mupus bit Dont Fragment jeung Dont Fragment bit disetel. Pikeun pakét anu henteu meryogikeun fragméntasi, bit Dont Fragment henteu kapangaruhan.
Ngidinan Service Pilih On or Pareum pikeun tiap jasa pikeun ngidinan atawa ngalarang jasa dina panganteur.

Pikeun ngonpigurasikeun parameter panganteur torowongan tambahan, klik Advanced Options:

Ngaran Parameter Katerangan
Pamawa Pilih nami operator atanapi identifier jaringan pribadi pikeun dikaitkeun sareng torowongan.

Nilai: carrier1, carrier2, carrier3, carrier4, carrier5, carrier6, carrier7, carrier8, standar
Default: standar
NAT Refresh Interval Lebetkeun interval antara pakét refresh NAT dikirim dina sambungan angkutan DTLS atanapi TLS WAN.
Rentang: 1 nepi ka 60 detik
Default: 5 detik
Salam Interval Lebetkeun interval antara pakét Hello dikirim dina sambungan angkutan DTLS atanapi TLS WAN.
Rentang: 100 nepi ka 10000 milidetik
Default: 1000 milidetik (1 detik)
Salam Toleransi Lebetkeun waktos ngantosan pakét Halo dina sambungan angkutan DTLS atanapi TLS WAN sateuacan nyatakeun yén torowongan angkutan turun.
Rentang: 12 nepi ka 60 detik
Default: 12 detik

Konpigurasikeun DNS sareng Static Hostname Mapping

Pikeun ngonpigurasikeun alamat DNS sareng pemetaan hostname statik, klik DNS sareng konpigurasikeun parameter ieu:

Ngaran Parameter Pilihan Katerangan
Alamat DNS primér Pencét boh IPv4 or IPv6, sareng lebetkeun alamat IP pangladén DNS primér dina VPN ieu.
Alamat DNS anyar Pencét Alamat DNS anyar sareng lebetkeun alamat IP tina server DNS sekundér dina VPN ieu. Widang ieu ngan muncul upami anjeun parantos netepkeun alamat DNS primér.
Cirian salaku Baris Pilihan Pariksa Cirian salaku Baris Pilihan kotak centang pikeun nandaan ieu

konfigurasi salaku alat-spésifik. Pikeun ngalebetkeun konfigurasi ieu kanggo alat, lebetkeun nilai variabel anu dipénta nalika anjeun ngagantelkeun témplat alat ka alat, atanapi jieun hamparan variabel template pikeun nerapkeun variabel.
Ngaran host Lebetkeun hostname tina server DNS. Ngaranna tiasa dugi ka 128 karakter.
Daptar Alamat IP Lebetkeun dugi ka dalapan alamat IP pikeun dikaitkeun sareng hostname. Pisahkeun éntri ku koma.
Pikeun nyimpen konfigurasi pangladén DNS, klik Tambihan.

Pikeun nyimpen template fitur, klik Simpen.

Mapping Ngaran Host kana Alamat IP

! IP DNS-based host name-to-address translation is enabled ip domain lookup
! Specifies hosts 192.168.1.111 and 192.168.1.2 as name servers ip name-server 192.168.1.111 192.168.1.2
! Defines cisco.com as the default domain name the device uses to complete
! Set the name for unqualified host names ip domain name cisco.com

Ngonpigurasikeun Segmentation Ngagunakeun CLI

Ngonpigurasikeun VRFs Ngagunakeun CL

Pikeun babagi jaringan pamaké sarta lalulintas data pamaké lokal di unggal situs jeung interconnect situs pamaké sakuliah jaringan overlay, Anjeun nyieun VRFs dina alat Cisco ios XE Catalyst SD-WAN. Pikeun ngaktipkeun aliran lalulintas data, Anjeun pakait interfaces kalawan unggal VRF, assigning alamat IP ka unggal panganteur. Interfaces ieu nyambung ka jaringan lokal-situs, teu ka awan angkutan WAN. Pikeun unggal VRFs ieu, anjeun tiasa nyetél sipat panganteur-spésifik séjén, tur anjeun bisa ngonpigurasikeun fitur husus pikeun bagean pamaké, kayaning BGP na OSPF routing, VRRP, QoS, lalulintas shaping, sarta policing.
Dina alat Cisco ios XE Catalyst SD-WAN, VRF global dipaké pikeun angkutan. Sadaya alat Cisco ios XE katalis SD-WAN gaduh Mgmt-intf salaku VRF manajemén standar.
Pikeun ngonpigurasikeun VRFs dina alat Cisco ios XE katalis SD-WAN, nuturkeun léngkah ieu

Lambang Catetan

  • Paké paréntah config-transaksi pikeun muka mode konfigurasi CLI. Paréntah terminal config teu dirojong dina alat Cisco ios XE katalis SD-WAN.
  • VRF ID tiasa wae angka antara 1 ngaliwatan 511 jeung 513 ngaliwatan 65535. angka 0 jeung 512 ditangtayungan pikeun Cisco SD-WAN Manajer sarta Cisco SD-WAN controller.
  1. Ngonpigurasikeun VRFs jasa.
    config-transaction
    vrf definition 10
    rd 1:10
    address-family ipv4
    exit-address-family
    exit
    address-family ipv6
    exit-address-family
    exit
    exit
  2. Konpigurasikeun panganteur torowongan pikeun dipaké pikeun konektipitas overlay. Unggal panganteur torowongan ngabeungkeut tunggal
    panganteur WAN. Pikeun example, lamun panganteur router nyaeta Gig0/0/2, angka panganteur torowongan 2.
    config-transaction
    interface Tunnel 2
    no shutdown
    ip unnumbered GigabitEthernet1
    tunnel source GigabitEthernet1
    tunnel mode sdwan
    exit
  3. Lamun router teu disambungkeun ka server DHCP, ngonpigurasikeun alamat IP tina panganteur Wan.
    interface Gigabi tEthernet 1
    no shutdown
    ip address dhcp
  4. Ngonpigurasikeun parameter torowongan.
    config-transaksi
    sdwan
    interface GigabitEthernet 2
    tunnel-interface
    encapsulation ipsec
    color lte
    end
    Lambang Catetan
    Lamun alamat IP sacara manual ngonpigurasi dina router dina, ngonpigurasikeun jalur standar ditémbongkeun saperti di handap ieu. Alamat IP
    handap nunjukkeun alamat IP hareup-hop.
    config-transaction
    ip route 0.0.0.0 0.0.0.0 192.0.2.25
  5. Aktipkeun OMP pikeun ngiklankeun vroutes ruas VRF.
    sdwan
    omp
    no shutdown
    graceful-restart
    no as-dot-notation
    timers
    holdtime 15
    graceful-restart-timer 120
    exit
    address-family ipv4
    advertise ospf external
    advertise connected
    advertise static
    exit
    address-family ipv6
    advertise ospf external
    advertise connected
    advertise static
    exit
    address-family ipv4 vrf 1
    advertise bgp
    exit
    exit
  6. Ngonpigurasikeun panganteur VRF jasa.
    config-transaction
    interface GigabitEthernet 2
    no shutdown
    vrf forwarding 10
    ip address 192.0.2.2 255.255.255.0
    exit

Pariksa Konfigurasi

Jalankeun acara ip vrf paréntah ringkes ka view Inpo ngeunaan panganteur VRF.

Alat# sh ip vrf ringkes

Ngaran RD standar Antarbeungeut
10 1:10 gi4
11 1:11 gi3
30 1:30
65528 Lo65528

Segmentasi (VRFs) Konfigurasi Examples

Sababaraha ex lugasamples nyieun jeung ngonpigurasikeun VRFs pikeun mantuan anjeun ngartos prosedur konfigurasi pikeun jaringan segmenting.

Konfigurasi dina Cisco katalis SD-WAN Controller

Dina Cisco Catalyst SD-WAN Controller, Anjeun ngonpigurasikeun parameter sistem umum jeung dua VPN- VPN 0 pikeun angkutan Wan jeung VPN 512 pikeun manajemén jaringan-sakumaha anjeun lakukeun pikeun Cisco ios XE Catalyst alat SD-WAN. Ogé, anjeun umumna nyieun kawijakan kontrol terpusat nu ngatur kumaha lalulintas VPN disebarkeun ngaliwatan sesa jaringan. Dina ex husus ieuample, urang nyieun kawijakan sentral, ditémbongkeun di handap, pikeun leupaskeun awalan nu teu dihoyongkeun ti propagating ngaliwatan sesa jaringan. Anjeun tiasa make hiji kawijakan Cisco Catalyst SD-WAN Controller pikeun ngalaksanakeun kawijakan sapanjang jaringan.

Ieu léngkah-léngkah pikeun nyiptakeun kawijakan kontrol dina Cisco Catalyst SD-WAN Controller:

  1. Jieun daptar ID situs pikeun situs anu anjeun hoyong leupaskeun awalan anu teu dipikahoyong:
    vSmart(config)# policy lists site-list 20-30 site-id 20
    vSmart(config-site-list-20-30)# site-id 30
  2. Jieun daptar awalan pikeun awalan anu anjeun henteu hoyong nyebarkeun:
    vSmart(config)# policy lists prefix-list drop-list ip-prefix 10.200.1.0/24
  3. Jieun kawijakan kontrol:
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 match route
    prefix-list drop-list
    vSmart(config-match)# top
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 action reject
    vSmart(config-action)# top
    vSmart(config)# policy control-policy drop-unwanted-routes sequence 10 default-action
    accept
    vSmart(config-default-action)# top
  4. Larapkeun kawijakan pikeun awalan asup ka Cisco Catalyst SD-WAN Controller controller:
    vSmart(config)# apply-policy site-list 20-30 control-policy drop-unwanted-routes in

Ieu konfigurasi kawijakan pinuh dina Cisco Catalyst SD-WAN Controller controller:

apply-policy
site-list 20-30
control-policy drop-unwanted-routes in
!
!
policy
lists
site-list 20-30
site-id 20
site-id 30
!
prefix-list drop-list
ip-prefix 10.200.1.0/24
!
!
control-policy drop-unwanted-routes
sequence 10
match route
prefix-list drop-list
!
action reject
!
!
default-action accept
!
!

Segmentasi CLI Rujukan

CLI paréntah pikeun ngawaskeun segmentation (VRFs).

  • nembongkeun dhcp
  • nembongkeun ipv6 dhcp
  • némbongkeun ip vrf ringkes
  • nunjukkeun paréntah igmp
  • nunjukkeun grup ip igmp
  • némbongkeun paréntah pim

Dokumén / Sumberdaya

CISCO SD-WAN Katalis Segméntasi [pdf] Pituduh pamaké
SD-WAN, SD-WAN Katalis Segmentasi, Katalis Segmentasi, Segmentasi

Rujukan

Tulisan patali

Ninggalkeun komentar

alamat surélék anjeun moal diterbitkeun. Widang diperlukeun ditandaan *