Маршрутизация с учетом приложений Catalyst SDWAN

seanrb2020

Здравствуйте У меня есть вопрос, касающийся маршрутизации с учетом приложений (AAR) в Cisco Catalyst SDWAN Насколько я понимаю настройку, BFD отслеживает и рассчитывает SLA если сайт настроен с двумя интерфейсами, оба с DIA — может ли программное обеспечение контролировать и рассчитывать SLA и использовать AAR для топологии DIA?

Royalty

Привет,
@seanrb2020
, Извините за запоздалый ответ! Надеюсь, я правильно понял, что под DIA вы имеете в виду прямой доступ в Интернет! Для ясности: существует два основных метода реализации прямого доступа в Интернет, который иногда называют разделенным туннелированием или локальной маршрутизацией. Эти два метода: Использование централизованной политики трафика данных с последовательностью правил DIA, аналогичной (но более мощной) маршрутизации на основе политик
Использование маршрута NAT DIA через группы конфигурации, впервые представленные в версии 20.8.1, или устаревшие, но все еще широко используемые шаблоны. Это настраивается в профиле функции Service VPN (группы конфигурации) или шаблоне функции Service VPN (шаблоны). Чтобы прямо ответить на ваш вопрос: нет, политика AAR не будет работать с каким-либо методом прямого доступа в Интернет. Ничто не мешает одновременному применению AAR и DIA, но если пакет соответствует маршруту NAT DIA или правилу NAT централизованной политики данных, DIA будет иметь
полный
приоритет. Это мой опыт работы с несколькими версиями контроллера SD-WAN и WAN Edge, который кратко описан в руководствах по настройке SD-WAN. Чтобы продемонстрировать это, рассмотрим в качестве примера следующую топологию с указанными условиями: Сайт 1 с двумя TLOC (транспортными сетями WAN) с поддержкой NAT: biz-internet, mpls
Политика AAR с оператором match для класса SLA, который определяет максимальную допустимую потерю пакетов на уровне 5 %.
Централизованная политика данных трафика с правилом DIA, которое NAT-обрабатывает весь трафик, направленный на 1.1.1.1/32, в VPN0, применяется к сайту 1 в VPN 2001 from-service.
biz-internet имеет 10% потерь пакетов
mpls имеет потерю пакетов 2% Подводя итог, biz-internet
не
соответствует политике AAR, поскольку его потеря пакетов превышает 5%. MPLS соответствует политике, поскольку его потеря пакетов составляет менее 5%. Поскольку правило DIA не указывает никаких конкретных TLOC с действием
Local TLOC
, все TLOC с поддержкой NAT являются кандидатами для использования в DIA. Если пакет поступает в интерфейс LAN VPN 2001 со стороны службы, предназначенный для 1.1.1.1, и если AAR и DIA работают совместно, можно было бы ожидать, что для DIA будет выбран только mpls. Это неверно. Для DIA могут использоваться как biz-internet, так и mpls, поскольку правило DIA имеет приоритет над политикой AAR. Рассмотрим ту же топологию, но с следующими условиями (изменения выделены жирным шрифтом): Сайт 1 с двумя TLOC с поддержкой NAT (транспортные сети WAN): biz-internet, mpls
Политика AAR с оператором match для класса SLA, который определяет максимальную допустимую потерю пакетов 5%,
и предпочтительным цветом biz-internet в качестве действия
Политика трафика с правилом DIA, которое NAT-преобразует весь трафик, предназначенный для 1.1.1.1/32, в VPN0 (утечка маршрута NAT), примененная к сайту 1 в vpn 2001
biz-internet имеет 2% потерю пакетов
mpls имеет 2% потерю пакетов Подводя итог, можно сказать, что оба TLOC соответствуют требованиям. Поскольку правило DIA не указывает никаких конкретных TLOC, все TLOC с поддержкой NAT являются кандидатами для использования в DIA. Если пакет поступает на интерфейс LAN VPN 2001 со стороны службы, предназначенный для 1.1.1.1, и если AAR и DIA работают совместно, можно было бы ожидать, что для DIA будет выбран только biz-internet, поскольку это предпочтительный цвет, определенный в политике AAR. Это неверно. Как biz-internet, так и mpls могут использоваться для DIA, поскольку правило DIA имеет приоритет над политикой AAR. Маршрут NAT DIA с использованием групп конфигурации или шаблонов работает аналогичным образом. Допустим, у вас есть 3 TLOC: biz-internet, mpls, LTE. Рассмотрим случай, когда пакет поступает на интерфейс LAN, настроенный в Service VPN 2001. Даже если VPN 2001 настроен с маршрутом NAT DIA с политикой AAR, которая определяет конкретный TLOC, он не используется. Трафик распределяется по всем 3 TLOC независимо от их соответствия. Для пояснения: AAR можно использовать с политикой данных, и они могут работать совместно. Раньше политика данных всегда переопределяла AAR, но это изменилось с выпуском SD-WAN 20.6.1/17.6.1. Однако AAR нельзя использовать совместно с
некоторыми
(на самом деле, на момент написания статьи их все еще много) правилами/функциями в рамках политики данных. Как бы запутанно это ни звучало, политика AAR оценивается до политики данных, но во многих случаях все же может быть переопределена политикой данных. Например, даже если NAT исключить из политики, в AAR может быть установлен предпочтительный цвет biz-internet. Даже если biz-internet соответствует требованиям, политика данных, настроенная только с действием, которое устанавливает Local TLOC только mpls, будет означать, что используется MPLS. Пример совместной работы: если политика данных устанавливает действие Local TLOC как для biz-internet, так и для mpls. Поскольку политика AAR предпочитает biz-internet, что совпадает с одним из TLOC, указанных в правиле политики данных, будет использоваться только biz-internet. См. следующие выдержки из Руководства по настройке SD-WAN: Примечание
.
Когда настроены как маршрутизация с учетом приложений, так и политики данных, если правила политики данных содержат такие действия, как перенаправление DNS, NextHop, безопасный интернет-шлюз, NAT VPN или услуга, трафик, соответствующий этим правилам, будет пропускать политику AAR, даже если трафик также соответствует правилам, определенным в политике AAR. Действия политики данных переопределяют правила AAR. Если у вас есть возможность настроить тестовую среду (лабораторию), вы можете настроить свои политики и использовать FIA (Feature Invocation Array) для получения полного вывода процесса принятия решений по пересылке пакетов. Как следует из названия, он отображает вызванные функции, их результаты и влияние на путь пересылки. Он похож на инструмент packet-tracer на ASA и движок LINA Cisco Secure Firewall. Я бы не рекомендовал полагаться на функцию «Simulate Flows» графического интерфейса пользователя (или show sdwan policy service-path для CLI) в таких сценариях. Сложное управление трафиком, описанное здесь, может привести к ошибкам, и я видел несоответствия между симуляцией (независимо от того, указаны ли все пути) и реальным поведением. Поскольку AAR использовать нельзя, для отслеживания
доступности
TLOC и переключения на другой TLOC с поддержкой NAT можно использовать NAT DIA Tracker.
Пороговое
значение в трекере можно использовать в качестве меры задержки/задержки. Надеюсь, это поможет, дайте мне знать, если что-то непонятно.

ebleta

Да, Cisco SD-WAN поддерживает мониторинг и расчет SLA с использованием BFD для Application-Aware Routing (AAR) даже в топологии Dual Internet Access (DIA) с двумя интерфейсами.
Вот несколько ссылок, которые вам помогут
https://www.cisco.com/c/en/us/td/docs/solutions/CVD/SDWAN/cisco-sdwan-application-aware-routing-deploy-guide.html#ProcessMonitorEventsSLABFDApproutechanges
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/ios-xe-17/policies-book-xe/application-aware-routing.html
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/ios-xe-17/policies-book-xe/m-enhanced-application-aware-routing.html

seanrb2020

большое спасибо за это подробное объяснение