В Cisco Viptela sdwan AAR можно настроить на основе приложения? Например. Филиалы пытаются получить доступ к приложениям DC, но между двумя сайтами у нас есть подложка и накладка, но я настроил AAR на основе приложения, например, ICMP, но не с указанием пункта назначения. Будет ли это применимо к приложениям DC в моем случае?

Здравствуйте, Я применил централизованную политику для DIA, а также создал шаблон, который применил к определенному местоположению. Мой вопрос: какая конфигурация в конечном итоге будет применяться к этому местоположению? В целом, мой вопрос: когда мы применяем конфигурацию через централизованную политику, а также применяем ту же конфигурацию через шаблон, какая из них имеет приоритет и будет применена на маршрутизаторе cEdge?

Здравствуйте, все. Простой вопрос. В1. Можно ли настроить полностью заданный статический маршрут с помощью шаблона функций vManage? Пример: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 10.0.0.2 Спасибо.

Здравствуйте, Я использую Cisco Catalyst SD-WAN версии 20.15.1 (на локальных оркестраторах). У меня возникает проблема с подключением любого виртуального пограничного маршрутизатора C8000V, когда я устанавливаю автоматическую авторизацию сертификатов WAN Edge Cloud (подписанных менеджером), но у меня не возникает такой проблемы, если авторизация сертификатов WAN Edge Cloud установлена в ручной режим (рекомендуется Enterprise CA). Когда я пытаюсь подключить маршрутизатор C8000V с помощью автоматического процесса авторизации (подписанного менеджером), это не удается. В журналах vBond отображается сбой проверки сертификата с кодом «ERR_CERT_VER_FAIL». ------------------ vBond:~$ cat /var/log/vsyslog 9 февраля 10:30:19 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: vbond-reject-vedge-connection severity-level:major host-name:"vBond" system-ip:10.3.3.2 uuid:"C8K-9C82B27D-FC58-6716-B992-3A616D67FE6E" organization-name:"NCRATLEOS-NOC-LAB" sp-organization-name:"NCRATLEOS-NOC-LAB" reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:19 Feb 9 10:30:19 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: control-connection-auth-fail severity-level:major host-name:"vBond" system-ip:10.3.3.2 personality:vbond peer-type:vedge peer-system-ip::: local-system-ip:10.3.3.2 local-color:default reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:19 9 февраля 10:30:21 vBond VBOND_0[1635]: %Viptela-vBond-vbond_0-5-NTCE-1400002: Уведомление: vbond-reject-vedge-connection severity-level:major host-name:"vBond" system-ip:10.3.3.2 uuid:"C8K-BC9FCD48-8689-6C4D-A509-43608B131407" organization-name:"NCRATLEOS-NOC-LAB" sp-organization-name:"NCRATLEOS-NOC-LAB" reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:21 Feb 9 10:30:21 vBond VBOND_0[1635]: %Viptela-vBond-vbond_0-5-NTCE-1400002: Уведомление: control-connection-auth-fail severity-level:major host-name:"vBond" system-ip:10.3.3.2 personality:vbond peer-type:vedge peer-system-ip::: local-system-ip:10.3.3.2 local-color:default reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:21 9 февраля 10:30:23 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: vbond-reject-vedge-connection severity-level:major host-name:"vBond" system-ip:10.3.3.2 uuid:"ASR-6332d2ad-329a-4b26-a0f4-175965c51b78" organization-name:"NCR-NOC-CAIRO-LAB" sp-organization-name:"NCR-NOC-CAIRO-LAB" reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:23 Feb 9 10:30:23 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: control-connection-auth-fail severity-level:major host-name:"vBond" system-ip:10.3.3.2 personality:vbond peer-type:vedge peer-system-ip::: local-system-ip:10.3.3.2 local-color:default reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:23 ------------------------- Корневой центр сертификации установлен на маршрутизаторе, и я сравнил его с корневым центром сертификации, установленным на vManage и vBond. Он выглядит одинаково (одинаковый серийный номер, одинаковый эмитент и название организации). Кроме того, NTP синхронизирован, а DNS-сервер установлен правильно. Связь в порядке. Это вывод команды «show sdwan control connection-history». ------------------- PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE vmanage dtls 10.3.3.1 11 0 192.168.74.11 12946 192.168.74.11 12946 public-internet tear_down 0 vbond dtls 0.0.0.0 0 0 192.168.74.12 12346 192.168.74.12 12346 public-internet tear_down 0 vbond dtls 0.0.0.0 0 0 192.168.74.12 12346 192.168.74.12 12346 public-internet tear_down 0 vbond dtls 0.0.0.0 0 0 192.168.74.12 12346 192.168.74.12 12346 public-internet connect 0 ----------------------- и я вижу только RootCA, установленный на cEdge, но не сертификат устройства: ------------- cEdge61#show sdwan control local-properties | include chassis-num|serial-num chassis-num/unique-id C8K-D175064E-AB76-2C6D-4FAA-024A075D8BA2 serial-num No certificate installed subject-serial-num N/A enterprise-serial-num No certificate installed -------------------- Есть ли идеи, почему не работает только автоматическая авторизация, а ручная работает? В графическом интерфейсе vManage я вижу, что CSR сгенерирован, но установка сертификата не удалась. Означает ли это, что у vManage есть какие-то проблемы с процессом подписания CSR? Заранее спасибо,

Всем привет, SDWAN-Edge1(config)# ip ssh client algorithm mac ? ^% Недопустимый ввод обнаружен в маркере «^». SDWAN-Edge1(config)# ip ssh server algorithm mac ? ^% Недопустимый ввод обнаружен в маркере «^». Я не могу изменить MAC-адрес в маршрутизаторе SD-WAN. Когда я выполняю команду show run all, я вижу ip ssh server algorithm mac hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com ip ssh client algorithm mac hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com Как я могу это изменить?

Мой вопрос: поддерживает ли лицензия esential SDWAN IPsec для развертывания VPN Hub and Spoke IPsec? BoQ приведен ниже. L-DNA-TIER-ADD Да Лицензия Cisco DNA Subscription для маршрутизации и SD-WAN 7 0,00 2 0,00 C1100-8P-DNA-PF Да ISR1100 8-портовый выбор платформы для DNA 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. IOSXE-CTRL-MODE-PF Режим запуска IOS XE SD-WAN для унифицированного образа — развертывание Opt 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. SL-1100-8P-NE-E-L Да Cisco ISR1100 8-портовый сетевой стек Essentials Lic 3 0,00 2 0,00 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. SDWAN-UMB-ESS Да Cisco Umbrella для DNA Essentials 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. SDWAN-ONPREM-PF Вариант развертывания Cisco SDWAN On Prem 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. FL-1100-8P-HSEC-L Да IPSEC HSEC Лицензия для Cisco ISR 1100 8P Series 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. DNA-P-T1-E-5Y Да Cisco DNA Essentials On-Prem Lic 5Y — до 200 М (Aggr, 400 М) Н/Д 4300,20 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. SVS-PSTL1-T1-E5Y Success Track L1 — DNA Essentials OnPrem Lic, T1, 5Y 3 741,60 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. DSTACK-T1-E Да Cisco DNA Essentials Stack — до 200 Мбит/с (агрегированная скорость, 400 Мбит/с) 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г. DNA-HSEC-UPGD Да Лицензия на соблюдение экспортных ограничений США для всех ISR 3 0,00 2 0 Первоначальный срок — 60,00 месяцев | Срок автоматического продления — 0 месяцев | Модель оплаты — предоплата | Запрашиваемая дата начала — 31 января 2025 г. | Запрашиваемая дата окончания — 30 января 2030 г.

Здравствуйте. Я пытаюсь применить интерфейс из NIM (интерфейс 10 ГБ) к сервису VPN (vpn 100). Но когда я применяю шаблон, появляется следующая ошибка: Устройство: поставщик данных вернул CONFD_ERRCODE_INCONSISTENT_VALUE (38): несоответствующее значение: устройство отклонило одну или несколько команд: vrf forwarding 100 Я попробовал сделать то же самое с одним из нативных интерфейсов TenGiga маршрутизатора (у него 2 интерфейса Te, но мне нужно 4 Te), и это сработало сразу. NIM не поддерживается для конфигурации SD-WAN? Если да, то я не смогу использовать интерфейсы 4-10 Гб на моем SD-WAN и буду ограничен только 2? Надеюсь, вы сможете мне помочь.

Здравствуйте, эксперт! я внедряю Catalyst Sd-WAN и мне нужна архитектура и дизайн для интеграции моего решения Sd-wan в мою существующую платформу биллинга. Я планирую разработать свои предложения sd-wan с использованием существующего биллинга. Заранее спасибо.

Здравствуйте, Я пытаюсь настроить VRRP в сервисе VPN с помощью списка префиксов. Кто-нибудь знает, где я могу определить этот список префиксов? Я попробовал в Policy List-> Prefix, но при попытке применить настройки получаю ошибку. Недопустимая ссылка /vmanage-cfs:templates/template{vip_internal_temp_device_C8500L-XXXXXX 6bd13125-fb5a-4c8d-b228-77e9908669ab}/vpn/vpn-instance{100}/interface{GigabitEthernet0/0/1}/vrrp{110}/track-prefix-list Спасибо Анестис

Привет, команда! Возможно, это прозвучит глупо, но я не смог найти простого способа сделать это без использования надстройки CLI. Пытаюсь создать адрес loopback в рамках определенной службы VPN, которая используется для управления сетью. Но интерфейс добавления функций в Service VPN позволяет использовать только SVI или Ethernet. Не могу найти место для добавления loopback. Есть какие-нибудь идеи? Спасибо.

На определенном клиентском сайте Catalyst SD-WAN Edge используется MPLS и интернет-туннель для обратной связи с удаленным сайтом Catalyst SD-WAN Edge. Политика предпочитает VOIP-звонки MPLS-туннелю. MPLS-соединение на сайте 1 выходит из строя. VOIP-звонки переключаются на интернет-туннель. Будут ли сохранены или прерваны текущие звонки (т. е. активные звонки на момент переключения)? Другими словами, будут ли VOIP-звонки плавно переключаться на интернет-туннель с возможностью нескольких секунд простоя без потери активного звонка, или мои активные звонки будут прерваны, вынуждая пользователей совершать новые звонки? Необходимо ли уменьшить стандартный таймер BFD и множитель для достижения этой цели?

Привет, сообщество! Я пытался найти матрицу совместимости обновлений для старых версий vEDGE v15, v17, v18 и v19, но не смог найти ничего полезного. Может ли кто-нибудь предоставить действующую матрицу для этих версий? Буду благодарен за любую помощь в виде официальных URL-адресов или документов. С уважением,

Всем привет! Моя сеть и IP-адреса указаны ниже. ![dilsarahm_0-1742477471286.png] Частные IP-адреса для vManage — 10.0.0.1, vBond — 10.0.0.2, vSmart — 10.0.0.3, а публичные адреса: vManage — 125.214.180.5, vBond — 125.214.180.3, vSmart — 125.214.180.4. Я настроил NAT между маршрутизаторами ISP и EDGE, и vEdge может достигать всех вышеуказанных публичных IP-адресов. Но он не устанавливает контрольное соединение с vManage, потому что vBond рекламирует частный IP-адрес vManage. ![dilsarahm_1-1742477858997.png] Я настроил NAT hairpinning и политики на FTD, но это по-прежнему не работает. Я приложил конфигурации для контроллеров, и было бы здорово, если бы кто-нибудь помог решить эту проблему. Заранее спасибо. ![dilsarahm_2-1742478061508.png] [image: 7c91843052e6af35ab82e01803431ce57e0db34c.png] [image: 85b0a89a5b4511a2310cdac2eac75ec935d4feff.png] [image: 5fd5930a2d1f1cad7004a81fd1920925d018f218.png]

У меня в офисе есть два маршрутизатора SD-WAN, и я хочу установить с ними туннельную сессию. IP-адрес WAN каждого маршрутизатора SD-WAN установлен как частный IP-адрес и преобразуется FW в один и тот же глобальный IP-адрес. Могут ли два маршрутизатора SD-WAN с одинаковым глобальным IP-адресом установить туннельную сессию друг с другом? Я попытался настроить, но сессия BFD не запускается.

Привет всем, Я перешел из режима CLI в режим vManage, и система сбросила пароль входа в систему до значения по умолчанию. Система сообщила, что это можно сделать только через шаблон устройства, но я не могу войти в систему. Я попробовал следующее решение, но, похоже, vManage не позволяет мне создать новый логин пользователя [) Я попытался изменить пароль для администратора, но система все равно сбросила его до значения по умолчанию. ![chocolate2395777_0-1716533916623.png] Можно ли узнать, есть ли какой-либо способ сбросить пароль, или мне нужно переустановить систему, и как избежать этой проблемы в следующий раз? Спасибо [image: 3dd9f0361463e60c789c4ac34047a0cbfb035a5b.png]

В Viptela у меня есть два устройства SDWAN, где ISP-A подключен к SDWAN-1, а ISP-B подключен к SDWAN-2, а также расширение TLOC между SDWAN-1 и SDWAN-2. Я специально сделал SDWAN-1 основным маршрутизатором, а SDWAN-2 — вторичным. Вопрос: будет ли балансировка нагрузки выполняться на sdwan-1, где ISP-A и расширение TLOC на sdwan-1?

Уважаемые коллеги, Мне нужна ваша помощь, чтобы понять одну вещь. Когда я запустил автоматический скрипт для установки SD-WAN в CML 2.8, все работало как ожидалось ( https://github.com/cisco-open/sdwan-lab-deployment-tool/)) . Когда я решил вручную установить каждый компонент в CML 2.8 (Manager, Validator и Controller), используя начальную конфигурацию, я смог увидеть только Manager из GUI. Я пробовал все, но безрезультатно... При генерации сертификата для Validator я вижу, что Manager не может отправить сертификат в Validator. В то же время GUI не показывает Validator, даже настроенный с базовой конфигурацией. Теперь я думаю, что, возможно, эта проблема связана с тем, что я не генерирую лицензии из Cisco Smart Account из-за ручного развертывания или какой-либо другой проблемы с этой версией 20.15.1? В любом случае, у меня нет права использовать Cisco Smart Account и Plug and Play... Мне интересно понять, что происходит...

![ritupatel_0-1743404307645.png] ![ritupatel_2-1743404338180.png] Установка сертификата vManage не удалась . Помогите мне решить эту проблему. [image: caee9e59d72d90f13033ff03cb711ca0a2013f88.png] [image: 4afab5c73650a8dabb428b42aecc2608f690628a.png]

Всем привет! Я готовился к экзамену ENSDWI и выполнял некоторые лабораторные работы. Я столкнулся со странной проблемой, когда соединение BFD не формируется между соединениями MPLS и MPLS, но формируется с цветами biz-internet. Я постараюсь разъяснить сценарий, проблему и то, что я обнаружил на данный момент, а также то, в чем мне нужна помощь. Сценарий и топология: ![Topology.png] У меня есть 2 сайта DC и 3 филиала. Я приложил схему сети. Согласно схеме, TLOC продлен между BR1-1 (Интернет продлен от BR1-2) и BR1-2 WAN Edges (MPLS продлен от BR1-1). 2) Контрольные соединения работают нормально (оба транспорта), и я могу пинговать транспортную сеть с WAN Edges на всех сайтах. NAT включен на транспортном интерфейсе (не включен на интерфейсе расширения TLOC). biz-internet color, который был расширен от BR1-2, работает нормально и имеет все «включенные» туннели управления и BFD. (Изображение прилагается) ![bfdBR1.png] Проблема Итак, в BR1-2 mpls color не устанавливает соединение bfd со всеми сайтами на mpls color. Но тот же mpls color устанавливает сеансы bfd с другим транспортным цветом, как показано на изображении. ![bfdBR2.png] Что я обнаружил и заметил Во время устранения неполадки я зашел в один из маршрутизаторов филиала и увидел, что расширенный IP-адрес tloc (10.51.1.2 и 10.61.1.1) был преобразован и отображен как транспортный IP-адрес. Я имею в виду, что 10.51.1.2 (адрес интерфейса BR1-2) является расширенным IP-адресом tloc для biz-internet color и был преобразован в публичный IP-адрес biz internet 209.165.201.5 (адрес интерфейса BR1-1). Но для цвета mpls to mpls адрес MPLS tloc 10.51.1.2 (адрес интерфейса BR1-2) должен быть преобразован таким же образом, как biz-internet, чтобы отображаться как 192.168.20.5 на вкладке сеансов bfd, но вместо этого отображается адрес MPLS tloc. ![transl.png] Еще более странно то, что когда я проверяю таблицу преобразования NAT, она показывает, что преобразование выполнено. Порты в таблице преобразования и в сессиях bfd выделены на картинке ниже. ![natt.png] ![natrans.png] Для справки я покажу то же самое для цвета biz-internet. ![biznat.png] ![biznatt.png] Теперь самое странное: если я изменил цвет mpls на другой. Например, я изменил его на зеленый и просмотрел сеансы bfd, и вот, оно работает! При той же конфигурации и том же IP. ![color.png] Теперь мой вопрос: является ли нормальным поведением, что расширение tloc mpls не формирует сеанс bfd с другим транспортом mpls, если применяется NAT. Мне пришла в голову мысль, что теоретически sd-wan предполагает, что NAT не требуется для соединения mpls. Я буду очень благодарен за помощь экспертов в этой странной ситуации. Приношу извинения всем, кому это может показаться слишком длинным для чтения, но я все еще ищу любую информацию по этому поводу на странице документации. [image: 1dcfc6bc55352555757b550707c31f48eb38657d.png] [image: dda224c0153021602aa7feaab5b65d1349303eb6.png] [image: 02b5ff66f63a2b0a509c62b6abfb53eb2a21f37e.png] [image: a7199de9486941ae559483c87e7917ae430f36b6.png] [image: adefbff40014264787f5d3a3e6168f41be72d5a4.png] [image: e432bc8cda462ba5df710bb04c7596593faf8389.png] [image: 82a0944daa48cb2350b3f39e13b92513d2f12e83.png] [image: 4cdac3f379e7cd333c4960322e4055d3f22b12b6.png] [image: 13f4605d49a4f17bbb6d21b15c2b8015657054bf.png]