09思科SD-WAN策略框架-集中式数据策略

小乔

思科SD-WAN策略框架-集中式数据策略

目录：

• 章节1：集中式数据策略-穿越Breakout/DIA
• 章节2：集中式数据策略-VPN成员资格
• 章节3：集中式数据策略-服务链
• 章节4：集中式数据策略-应用流量选路
  

思科SD-WAN数据策略详解

• 数据策略在vManage上配置，在vSmart控制器上启用，并在vEdge路由器上实施
• 与控制策略相比，数据策略允许更轻松的细粒度流量控制
• 控制策略和数据策略都可以平等的实现某些目标。控制策略作用于CPM路由通告，数据策略作用于应用程序流量特征
• 数据策略用于许多服务①服务链 ②Cflowd ③NAT ④流量策略 ⑤更多
  

数据策略申请

• 数据策略可以在三个方向应用：从服务（上游），从隧道（下游），全部（上游和下游）
  

• 如果不同的数据策略适用于不同的方向，则他们可以用于用统一站点
  

一、集中式数据策略-穿越Breakout / 专用互联网接入DIA

   1. 思科SD-WAN 架构在启用DIA方面提供了很大的灵活性

   2.穿越（流量从本地出）可以通过以下方式提出：

• 路由
• 策略
• 与首选项和备份选项结合使用
• 使用策略将基于云的安全性作为本地服务
  

   3. 提供本地穿越时，NAT是必须的功能

   4. 如果不需要NAT或需要特殊需求以进行公共寻址，则可以提供服务端突破

1.1  Internet Breakout Leverage  互联网本地穿越  （一般sd-WAN都开启）

本地站点不通过数据中心DC去互联网，而是本地上互联网， 站点选择是最合适的突破点。

• 企业可以从集中突破逐步发展到分布式突破
• 路由平面根据需要启用主/备份
• 策略进一步增强了选择和突破的粒度
• 与基于云的安全解决方案的部署保持一致
  

1.2  数据策略示例： 带有NAT的DIA

问题：需要向访客wifi用户提供本地互联网出口，访客wifi用户需要与公司用户隔离

解决方案：通过网络地址转换NAT在访客VPN中部署出具策略。

数据策略配置：

• 在传输接口上定义NAT
• 访客中匹配流量
• 通过传输侧接口上本地定义NAT的wifi NPN
  

1.3 数据策略配置

1.3.1 第一种：使用默认路由的本地穿越

• Service VPN中的静态路由：可以是默认值或更详细
• 将流量重定向到VPN0中： ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
• 可以与Tracker配合使用，以监视超出第一条网关的internet可用性
  

1 2 3 4 5

vpn 0 #在VPN0开启nat（internet出口的IP接口） interface ge0/0 nat ! vpn 1 #在VPN1开启默认路由（将VPN1的路由表送到VPN0上面） ip route 0.0.0.0/0 vpn 0

1.3.2 第二种：使用数据策略进行本地穿越　

• 策略现在重定向而不是静态路由：万一本地出口失败，查找可以回退到本地服务VPN路由表
• 将流量重定向到VPN0中的接口： ①接口必须启用NAT②多个接口可实现按流负载均衡③依靠VPN路由表
• 可以与Tracker配合使用，以监视超出第一条网关的internet可用性
• 可以指定要使用的本地TLOC
  

①站点配置

1 2 3 4

vEdge vpn 0 interface ge0/0   nat

②vSmart配置

[size=1em]

1 2 3 4 5 6 7 8 9 10

vSmart policy   #定义10.0.0.0/8如果本地互联网断开，就走VNP路由表tunnel（从另一个站点上互联网）   data-policy internet-breakout    vpn-list VPN1     sequence 10      match source-ip 10.0.0.0/8      !      action accept       nat use-vpn 0        local—tloc public-internet

1.3.3 第三种：使用数据策略进行本地穿越　

• 使用GUI/Realtim或通过CLI可见的计数器show policy data-policy-filter
• 使用cflowd模板进行导出配置（可以看见源地址访问记录）
  

1. Local Breaout cFlowd and Counting功能

2. Local Breaout logging breakout traffic功能---默认1000数据包记录一次

1.3.4 第四种：使用数据策略的NAT服务平面

1.5 SD-WAN 互联网穿越的选项

    1. 数据策略构建还可以用于使用已定义的DPI签名（如O365、FaceBook、Youtobe）在本地穿越特定的应用

    2.例如：Office365将在本地分解； 通过区域出口的所有其他互联网流量

    3.支持O365所需的安排：本地穿越的数据策略；来自区域出口的默认路线有两个目的

• 所有非O365流量的突破
• O365会话建立涉及O365核心协议以外的许多协议，需要从某处缺省路由来处理那些应用程序并允许O365运行成功
• 对于大多数应用程序，存在类似的条件
  

二、集中式数据策略-VPN成员资格

• OMP架构的默认行为是将任何已配置的VPN通告给配置了该VPN的任何节点：自动建立连接，而无需不必要的配置和操作开销。
• 某些VPN可能属于敏感性质，因此必须严格控制其成员资格。
• VPN成员资格策略用于将VPN信息从vSmart的分发闲置为明确批准的分发：可以建立白名单和黑名单行为。
• 使用VPN成员资格策略，未明确允许参与VPN的节点可能已配置了VPN，但仅会看到本地连接盒路由信息。
  

• Site3能收到VPN1和VPN2
• Site1和Site2能收到VPN2，但是不能收到VPN1
  

问题：即使vEdge路由器在本地定义了相同的VPN，也阻止站点学习VPN的可达性。

解决方案：部署VPN成员资格策略以过滤OMP通告。

数据策略配置：

• VPN1在站点1上定义，但是与VPN1相关的OMP更新不会从vSmart发送到站点1；
• vSmart将不接受与来自站点1的VPN1相关的任何OMP更新。
  

流量工程/路径冗余

① 配置站点列表

[size=1em]

1 2 3 4 5 6 7 8 9 10 11

Policy lists site-list Branch1   site-id 130 ! site-list Branch2   site-id 140 ! vpn-list VPN10   vpn 10 ! !

②配置策略

[size=1em]

1 2 3 4 5 6 7 8 9 10 11

policy vpn-membership vpnMembership_-489217129   sequence 10    match     vpn-list VPN10    !    action accept    !   ! default-action reject !

③策略应用

[size=1em]

1 2 3 4 5 6 7 8

apply-policy site-list Branch1   vpn-membership vpnMembership_-489217129 ! site-list Branch2   vpn-membership vpnMembership_-489217129 ! !

三、集中式数据策略-服务链

本地服务和远程服务/OMP。

3.1 服务链：本地服务

3.2 服务链：远程服务

四、集中式数据策略-应用流量选路

本地TLOC选择，首选项失败后，回退到路由远程TLOC选择

....

作者：CARLOS_CHIANG
出处：http://www.cnblogs.com/yaoyaojcy/



来源: 01思科SD-WAN架构概念和基本术语介绍
来源: 02思科SD-WAN控制层面连接的建立过程
来源: 03SD-WAN控制层面连接的建立过程
来源: 04思科SD-WAN OMP协议原理详解（Overlay Management Protocol）
来源: 05思科SD-WAN Segmentation
来源: 06思科SD-WAN 设备集、产品线
来源: 07思科SD-WAN 策略框架概论
来源: 08思科SD-WAN策略框架-集中式控制策略