Я установил запись каталога конфигурации « Dual Router SD-WAN Branch with Dual Transport and TLOC-Ext», которая создала политику AAR и QoS. Я хочу скопировать политику AAR и QoS, чтобы я мог изменить ее для разных типов сайтов и добавить элементы политики данных трафика в зависимости от типа сайта. Есть ли способ скопировать эту политику?

Привет всем экспертам, Я новичок в SD-WAN, изучаю, стоит ли переносить текущую локальную сетевую инфраструктуру компании на SD-WAN. Я вижу различные преимущества, но не понимаю, что на самом деле дает Azure. Насколько я понимаю, большую часть управления сетью можно осуществлять напрямую с помощью Cisco SD-WAN, так какие же преимущества она действительно дает? С уважением

Я хочу создать конфигурацию функции OMP, которую можно будет использовать в нескольких системных профилях. Если я внесу изменения в функцию OMP, я хочу, чтобы она обновила все системные профили, которые ссылаются на эту функцию. Я вижу, что есть атрибут «shared», но не знаю, как он работает.

HW: C9500-24Y4C Программное обеспечение: Cisco IOS XE Software, версия 17.12.05 (Cisco IOS Software [Dublin], Catalyst L3 Switch Software (CAT9K_IOSXE), версия 17.12.5 MACSEC: поддерживается Использование лицензии: network-advantage (C9500 Network Advantage) TEST-N-C9500-SW1#sh mka sessions Общее количество сеансов MKA....... 1 Защищенные сеансы... 0 Ожидающие сеансы... 1 ==================================================================================================== Интерфейс Local-TxSCI Имя политики Унаследованный ключ-сервер Port-ID Peer-RxSCI MACsec-Peers Статус CKN Twe1/0/6 8054.8f2e.ac07/000d MACSEC-AWS НЕТ ДА 13 8054.8f2e.ac07/0000 0 Init XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX TEST-N-C9500-SW1#sh mka sessions detail Подробное состояние MKA для сеанса MKA Состояние: ИНИЦИАЛИЗАЦИЯ — поиск однорангового узла (ожидание получения первого MKPDU однорангового узла) Локальный Tx-SCI............. 8054.8f2e.ac07/000d MAC-адрес интерфейса.... 8054.8f2e.ac07 Идентификатор порта MKA...... 13 Имя интерфейса........... TwentyFiveGigE1/0/6 Идентификатор сеанса аудита......... CAK Имя (CKN)........... XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Идентификатор участника (MI)... XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Номер сообщения (MN)...... 873 Роль EAP................. NA Сервер ключей............... ДА Набор шифров MKA......... AES-256-CMAC Последний статус SAK........ Без Rx, без Tx Последний SAK AN............ 0 Последний SAK KI (KN)....... FIRST-SAK-INITIALIZING (0) Старый статус SAK........... FIRST-SAK Старый SAK AN............... 0 Старый SAK KI (KN).......... FIRST-SAK (0) Время ожидания передачи SAK... 0 с (не ожидается ответ от каких-либо одноранговых узлов) Время вывода SAK из эксплуатации.......... 0 с (нет старого SAK для вывода из эксплуатации) Время перегенерирования SAK........... 0 с (интервал перегенерирования SAK не применим) Название политики MKA.......... MACSEC-AWS Приоритет сервера ключей...... 255 Защита от задержки......... НЕТ Таймер защиты от задержки.......... 0 с (не включен) Смещение конфиденциальности... 0 Гибкость алгоритма........ 80C201 Перегенерация SAK при потере активного однорангового узла........ НЕТ Отправка безопасного объявления... ОТКЛЮЧЕНО Вычисление SSCI на основе SCI... ДА Набор шифров SAK... (NULL) Возможности MACsec... 3 (целостность, конфиденциальность и смещение MACsec) Желаемое MACsec... ДА Количество активных одноранговых узлов с поддержкой MACsec... 0 Количество активных одноранговых узлов с поддержкой MACsec, ответивших... 0 Список активных одноранговых узлов: MI MN Rx-SCI (одноранговый узел) KS RxSA Приоритет SSCI Установлено--------------------------------------------------------------------------------------- Список потенциальных одноранговых узлов: MI MN Rx-SCI (одноранговый узел) KS RxSA SSCI Приоритет установлен---------------------------------------------------------------------------------------

Привет всем, У меня есть 5 устройств ISR1100-4GLTE, работающих под управлением ОС Viptela vEdge (20.9.8), и я хотел бы перейти на IOS XE (17.09.08). Я попытался установить IOS XE с помощью USB через CLI, как показано на рисунках 1 и 2 , но получил ошибку « This does not look like a tar archive » (Это не похоже на архив tar ) и « ERROR: install: Изображение не поддерживается ». Также я попытался установить «isr1100be-universalk9.17.09.08.SPA.bin» через FTP, но не смог, так как, согласно сообщению об ошибке, поддерживается только формат .tar ( см. рисунок 3 ). В этой ссылке упоминается, что возможно перенести ISR1100-4GLTE на IOS-XE -> Перенос маршрутизаторов SD-WAN ISR1100 с Viptela OS на Cisco IOS XE — Cisco Если у вас есть решение, поделитесь им, но было бы хорошо узнать, может ли ISR1100-4GLTE поддерживать «.bin». Текущая версия: viptela-20.9.8-x86_64.tar (Viptela vEdge OS - 20.9.8) Цель: isr1100be-universalk9.17.09.08.SPA.bin (IOS XE - 17.09.08) ПРИЛОЖЕНИЕ 1: edge# vshell vedge:~$ df -h Файловая система Размер Использовано Доступно Использование% Смонтировано на none 1,8 ГБ 4,0 КБ 1,8 ГБ 1% /dev/dev/ mmcblk0p1 2,0 ГБ 408 МБ 1,6 ГБ 20% /boot/ dev / loop0 139 МБ 139 МБ 0 100% /rootfs. ro /dev/mmcblk0p2 3.7G 44M 3.5G 2% /rootfs.rw aufs 3.7G 44M 3.5G 2% / tmpfs 1.8G 2.6M 1.8G 1% /run shm 1,8 ГБ 314 МБ 1,5 ГБ 18 % /dev/shm tmp 600 МБ 248 КБ 600 МБ 1 % /tmp/ dev / sda1 32 ГБ 1,7 ГБ 31 ГБ 6 % /run/media/sda1 tmplog 120M 6.2M 114M 6% /var/volatile/log/tmplog svtmp 2.0M 1.3M 796K 62% /etc/sv/ dev / sdb1 32G 1.9G 31G 6% /run/media/sdb1 vedge:~$ cd /run/media/sdb1 vedge:/run/media/sdb1$ ls -l total 1887936 drwxrwx--- 3 root admin 32768 Nov 20 2025 EFI drwxrwx--- 2 root admin 32768 19 ноября 22:23 System Volume Information -rwxrwx--- 1 root admin 688790284 19 ноября 21:39 c1100-universalk9.17.09.08.SPA. bin -rwxrwx--- 1 root admin 870001494 19 ноября 21:39 isr1100be-universalk9.17.09.08.SPA. bin -rwxrwx--- 1 root admin 187155349 20 ноября 2025 viptela-20.9.8-x86_64.tar. gz -rwxrwx--- 1 root admin 187155349 20 ноября 2025 viptela-image-genericx86_64.tar.gz ПРИЛОЖЕНИЕ 2: vedge# запрос на установку программного обеспечения /run/media/sdb1/isr1100be-universalk9.17.09.08.SPA.bin Ошибка: причина ошибки «/run/media/sdb1/isr1100be-universalk9.17.09.08.SPA.bin является локальным» причина ошибки «Установка /home/admin/isr1100be-universalk9.17.09.08.SPA.bin» причина ошибки «Не удалось установить: tar: Это не похоже на архив tar tar: Выход с статусом сбоя из-за предыдущих ошибок причина ошибки «ОШИБКА: установка: образ не поддерживается» причина ошибки «установка: образ не поддерживается» ПРИЛОЖЕНИЕ 3: vedge# запрос на установку программного обеспечения ftp://user:password@192.168.100.102:21/path/isr1100be-universalk9.17.09.08.SPA.bin Ошибка: причина ошибки «Найдено /home/admin/isr1100be-universalk9.17.09.08.SPA.bin, загрузка не требуется» причина ошибки «Установка /home/admin/isr1100be-universalk9.17.09.08.SPA.bin» причина ошибки «Не удалось установить: tar: Это не похоже на архив tar tar: Выход с статусом ошибки из-за предыдущих ошибок причина ошибки «ОШИБКА: установка: образ не поддерживается» причина ошибки «установка: образ не поддерживается» Спасибо

У меня есть маршрутизатор, и оба интернет-провайдера отключены, и теперь маршрутизатор не работает, и нужна консоль, но можно ли настроить его через консоль, так как интернет-провайдер должен изменить IP-адрес WAN.

Я вижу, что где-то между версиями 20.12 и 20.18 в vManage произошло значительное изменение графического интерфейса. Кто-нибудь может сказать, в какой версии было сделано это изменение?

Всем привет, У меня есть контроллеры SDWAN, хостируемые и управляемые Cisco, и я пытаюсь добавить новый маршрутизатор C8200. Я подключаю интернет-соединение напрямую к маршрутизаторам, что означает публичный IP-адрес на интерфейсах. Конфигурация системы в порядке, IP-адрес vBond задан вручную. Интерфейсы работают как туннельные, так и физические, я могу пинговать 8.8.8.8, что означает, что интернет доступен. При отображении локальных свойств SDWAN оба интерфейса отображаются как UP. Команда show control connections показывает, что подключение vBond работает. Команда show SDWAN control connection history показывает, что соединение vBond находится в состоянии connect с сообщением DCON fail. Кто-нибудь может мне помочь с устранением неполадки?

Я открыл заявку в службу поддержки по этому вопросу, но мне интересно, сталкивался ли кто-нибудь с подобными проблемами. Я использую облачное развертывание, контроллеры работают под управлением версии кода 20.9.5.3. По какой-то причине пользователи, которые не входили в vManage около 30 дней, похоже, имеют какую-то блокировку неактивности теневого аккаунта, и я не могу их разблокировать. Используется Radius, а параметр «Неактивные дни до блокировки» отключен. Я знаю, что учетные записи пользователей не заблокированы, так как я могу без проблем входить в другие ресурсы. Пользователи могут подключаться по SSH к маршрутизаторам WAN Edge, но не к контроллеру vManage. При просмотре пользователей все статусы показывают, что они активны. Я пытался разблокировать учетные записи через GUI и CLI, но оба способа оказались безуспешными. Единственное решение, которое я нашел на данный момент, — удалить локальную учетную запись, а затем создать ее заново.

Здравствуйте Я работаю над развертыванием SDWAN Viptela Было настроено несколько версий централизованной политики, которые были активны на одном этапе, а затем деактивированы Ниже приведены примеры только для ознакомления политика v1 контроль политики 1 данные политики 1 политика v2 политика управления 2 политика данных 2 политика v3 контроль политики 3 данные политики 3 статус активен Если я проверю vManage на наличие текущей конфигурации политики, то будет отображена информация об активной политике Конфигурации из политик v1 и v2 все еще находятся в vSmart и являются активными конфигурациями? Поэтому невозможно просмотреть полную конфигурацию политики в vManage?

Привет, друзья! Я пытался установить часовой пояс SDWAN-контроллеров на IST, но в командной строке не нашел таких опций. Там есть только опции UTC, а регион Азия в командной строке не отображается. Если у вас есть командная строка или документ для настройки этого, поделитесь, пожалуйста.

Здравствуйте, Я имею в виду рисунок 5-25 из книги «Cisco Catalyst SD-WAN: проектирование, развертывание и защита вашей WAN»: ![IMG_20251222_115652.jpg] В ней говорится: «Решением проблемы является создание интерфейсов обратной связи в режиме привязки на концентраторе для удаленных филиалов, которые физически там не присутствуют. Означает ли это, что несколько интерфейсов обратной связи в качестве туннельных интерфейсов могут быть привязаны к одному и тому же физическому интерфейсу? Если физические интерфейсы одновременно являются туннельными интерфейсами, будут ли они по-прежнему перенаправлять трафик на loopback? [image: 6d79f367a031d33df4a5e1f8a9aa5b69ee941e68.jpg]

Здравствуйте, В нашей компании мы пытаемся внедрить Cisco SD-WAN NAT DIA на Service VPN 6136 только для потоков трафика из приложений O365 через локальный TLOC общедоступного Интернета . У нас есть еще 2 транспорта: LTE (интернет-соединение с низкой пропускной способностью) и MPLS. Однако, поскольку VPN 6136 является корпоративным VPN, у нас включена резервная система , поэтому, если публичный интернет TLOC становится недоступным, трафик O365 корпоративного VPN все равно может достичь своего назначения через центр обработки данных. Сложность возникает, когда мы хотим контролировать , на какой TLOC переключается резервный вариант . Когда происходит отказ и DIA недоступен в филиалах, для трафика O365 мы хотим переключиться на MPLS, чтобы трафик использовал такой транспорт для прохождения через SD-WAN Overlay до центра обработки данных. Для некоторых других потоков трафика мы хотим переключиться на LTE, также используя DIA. Можно ли настроить это с помощью централизованной политики данных, используя ту же группу политик, в которой настроена DIA , и добавить правило в политику трафика, которое соответствует трафику O365 и устанавливает локальное действие TLOC на MPLS TLOC? Или, как только поток трафика из O365 первоначально сопоставляется с последовательностью DIA (применяемой ранее), политика больше не обрабатывается в отношении потока трафика O365, и, если DIA недоступен через желаемый TLOC, он переключается на TLOC, выбранный маршрутизатором? Спасибо, Хуан

Здравствуйте, Компания, в которой я работаю, рассматривает возможность внедрения Cisco SD-WAN, и один из вопросов, который возник при проектировании, был следующим: «Можем ли мы использовать существующий интернет-канал (общедоступный Интернет в качестве транспортной сети), использовать существующий пограничный интернет-маршрутизатор и разместить маршрутизатор SD-WAN cEdge за существующим пограничным интернет-маршрутизатором? Является ли этот проект приемлемым? Как маршрутизатор cEdge будет получать доступ к Интернету, если он находится за другим устройством L3 (маршрутизатором)? Заранее спасибо. С уважением, ~zK

Привет, Я читал этот пример: https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/216012-why-traffic-is-not-load-balanced-over-ec.html В выводе show sdwan вижу, что всегда отображается один и тот же IP-адрес, но разный цвет удаленного узла. Возможно, это IP удаленной системы, а не IP TLOC?

Среда и архитектура Все контроллеры находятся на месте (vManage, vSmart, vBond) и расположены в одной локальной подсети за брандмауэром/NAT UniFi. У нас есть 5 статических публичных IP-адресов. Я настроил NAT 1:1 (перенаправление портов), сопоставив уникальный публичный IP-адрес каждому контроллеру. Проблема: нам нужно подключить внешние маршрутизаторы vEdge, расположенные в публичном Интернете. Для этого vBond должен узнать и объявить публичные IP-адреса vManage и vSmart. Сценарий A (частные IP-адреса): Когда я настраиваю контроллеры с использованием их частных IP-адресов, локальная плоскость управления запускается успешно. Однако подключение внешних vEdge не удается, потому что vBond объявляет частные IP-адреса (недоступные из Интернета) внешним маршрутизаторам. Сценарий B (публичные IP-адреса): Когда я настраиваю контроллеры на связь через их публичные IP-адреса (для поддержки внешних устройств), подключение не удается. Резюме: Я перехожу на публичное развертывание плоскости управления с использованием NAT 1:1 и перенаправления портов. Моя цель — настроить контроллеры на связь через публичный IP-адрес vBond, чтобы vBond мог использовать STUN для правильной идентификации и регистрации публичных IP-адресов vSmart и vManage, обеспечивая подключение к внешнему сайту. Внутренняя связь работает, но при переключении конфигурации на использование публичного IP-адреса связь пропадает. Мне нужно проверить, что мои политики NAT hairpinning и loopback правильно позволяют внутренним контроллерам достигать vBond через его публичный адрес. Мне также удалось подключить маршрутизатор vEdge с помощью частного IP-адреса vbond, мне просто нужна настройка, которая работает через публичный Интернет.

Здравствуйте У меня есть вопрос, касающийся маршрутизации с учетом приложений (AAR) в Cisco Catalyst SDWAN Насколько я понимаю настройку, BFD отслеживает и рассчитывает SLA если сайт настроен с двумя интерфейсами, оба с DIA — может ли программное обеспечение контролировать и рассчитывать SLA и использовать AAR для топологии DIA?

Здравствуйте, Согласно этой ссылке: https://learningnetwork.cisco.com/s/article/cisco-sd-wan-vpn-segmentation, количество сервисных VPN, которые можно назначить на маршрутизаторе WAN Edge, составляет 64 (за вычетом VPN 0 и VPN 512 = 62); однако это число выше для более крупных платформ (ASR-1000 и C8500). Я просто хотел уточнить, были ли какие-либо обновления IOS в отношении количества сервисных VPN, которые можно назначить/использовать. Число VPN по-прежнему составляет 62 (64) для маршрутизаторов малого и среднего класса и 298 (300)? «С точки зрения масштабируемости VPN, все маршрутизаторы Cisco WAN Edge могут поддерживать до 64 VPN. Вычитая зарезервированные VPN, Transport VPN 0 и Management VPN 512, остается 62 VPN, доступных для использования в качестве сервисных VPN. Кроме того, некоторые более крупные платформы, такие как серия ASR-1000 и Catalyst 8500, могут поддерживать до 300 VPN. Наконец, одному или нескольким физическим интерфейсам и/или логическим подинтерфейсам (тегам 802.1Q) может быть назначен VPN». Заранее благодарю. \ С уважением, ~zK

Здравствуйте, сообщество! Я столкнулся с очень странной проблемой BFD при развертывании Cisco SD-WAN (IOS-XE 17.05.04c). Хотя большинство наших сайтов, использующих один и тот же шаблон и транспорт, работают отлично, два конкретных сайта испытывают состояние BFD DOWN через частный транспорт MPLS. Настройка: Оборудование: C1121-4P (WAN Edge) и C8300 (DC WAN Edge). Транспорт 1: private2 (L2VPN MPLS). Транспорт 2: biz-internet (Интернет). Конфигурация: Края TYPE-1 используют один и тот же шаблон устройства . Около 40 устройств на шаблон. Проблема: BFD private2 к концентратору 1 не работает. BFD private2 к концентратору 2 (тот же интерфейс/цвет/подсеть) работает. BFD biz-internet к концентратору 1 работает. BFD biz-internet к концентратору 2 работает. Проблема возникает только с двумя сайтами в одном городе и одним и тем же провайдером MPLS L2VPN ISP. private2 Данные по устранению неполадок: Доступность подстилающего уровня: ICMP Ping между IP-адресами TLOC успешен (размер 1400, бит DF установлен) и с DSCP. Парадокс трафика: Edge show sdwan tunnel statistics показывает увеличение инкапсуляции (tx-pkts) . Hub 1 monitor capture на физическом интерфейсе (VPN 0 ingress) показывает НУЛЕВОЕ количество пакетов, поступающих с этих краев. Счетчики: SdwanImplicitAclDrop присутствуют, но не увеличиваются . Это не несоответствие TLOC/SPI. Аномалии в графическом интерфейсе vManage: При использовании инструмента «Устранение неполадок» -> «Обнаружение подстилающего уровня» vManage не видит «Remote Transport Private2» для этих конкретных пар (от края к концентратору 1 и наоборот). Классификация SLA: Вывод show sdwan tunnel remote-system-ip * sla для работающего Hub 2 показывает все сопоставленные классы SLA ( Realtime, Business-Critical и т. д.). Однако для неработающего Hub 1 отображается только all_tunnels . Это подтверждает, что BFD никогда не был достаточно работоспособным, чтобы политика App-route могла даже оценить соединение. Контекст масштабирования: Многие другие маршрутизаторы на разных сайтах используют того же private2 провайдера и тот же Hub 1 без каких-либо проблем. Ограничения: Клиент указывает на успешный ICMP-ping как доказательство того, что провайдер MPLS не виноват. Однако многие другие сайты используют тот же шаблон/провайдера/Hub и работают отлично. Вопросы: Как Edge может сообщать об успешной инкапсуляции/TX, если физический интерфейс Hub ничего не видит? Почему vManage Underlay Discovery не работает, если существует базовая IP-доступность? Есть ли какие-либо известные ошибки на уровне ASIC в C1121-4P, из-за которых он не может передавать инкапсулированные пакеты на физический провод при определенных условиях MTU/L2VPN? Буду очень благодарен за любую помощь!

Я приложил свой файл конфигурации шаблона cli и шаблона функции. Сессия BFD завершается после подключения созданного шаблона устройства, но работает нормально после подключения шаблона cli. Конфигурации после подключения шаблона устройства и конфигурации после подключения шаблона cli приведены ниже.