SD-WAN Lab сводит меня с ума
-
Я создаю лабораторию SD-WAN и столкнулся с некоторыми проблемами с CSR1kv. До начала работы с маршрутизатором все было в порядке, все работало так, как я и планировал. Затем я перевел его в режим контроллера, чтобы подключить к SD-WAN, и начались проблемы. Чтобы маршрутизатор мог подключиться к контроллерам, ему необходимо пройти через эмулированного интернет-провайдера, с которым он взаимодействует по протоколу BGP. Конфигурация BGP приведена ниже: router bgp 33.1
bgp asnotation dot
bgp log-neighbor-changes
aggregate-address 172.130.0.0 255.255.0.0 summary-only
redistribute connected route-map REDIST-CONN-BGP
neighbor ISP1-PEERS peer-group
neighbor ISP1-PEERS remote-as 22.1
сосед ISP1-PEERS capability orf prefix-list send
сосед ISP1-PEERS prefix-list INBOUND в
соседе ISP1-PEERS route-map ISP1-IN в
соседе 172.24.128.1 peer-group ISP1-PEERS
сосед 172.24.128.2 peer-group ISP1-PEERS
! Код CSR1Kv — 17.3.8a Я попытался снова реализовать эту конфигурацию, но маршрутизатор не позволяет мне это сделать. Например, команда neighbor 172.24.128.1 peer-group ISP1-PEERS не принимает имя группы одноранговых узлов. CLI принимает команду без имени группы одноранговых узлов, но отклоняет ее при попытке подтверждения (как и следовало ожидать). Карты маршрутов могут быть применены, поскольку имя карты маршрута отклоняется, например ![jlimbo987_0-1755280781700.png] Аналогичным образом, строка конфигурации ORF «neighbor ISP1-PEERS capability orf prefix-list send» отклоняет все значения после ключевого слова «orf». Мне подсказали, что это может быть проблема с лицензией, но зачем нужна лицензия для подключения к контроллеру, который будет продвигать лицензию? Мне это кажется немного странным. У меня есть файл лицензии, который я могу установить, но рабочий процесс для этого просто безумный. Это означало бы выход из режима контроллера для отключения интеллектуального лицензирования (что приведет к удалению конфигурации и файловой системы), применение достаточной конфигурации для scp лицензии на маршрутизатор, затем установку лицензии, затем возврат в режим контроллера (что снова приведет к удалению конфигурации и файловой системы), применить достаточное количество настроек, чтобы скопировать файл конфигурации bootstrap и применить конфигурацию bootstrap (что приведет к удалению конфигурации), а затем применить достаточное количество настроек, чтобы скопировать сертификаты, и снова настроить BGP для подключения к контроллеру. Я не хочу проходить через все это, если у меня нет уверенности, что это решит проблему, а я очень скептически отношусь к тому, что это поможет. Тем временем я попытался настроить прямой пиринг BGP без группы пирингов, и пиринг застрял в активном состоянии, а Wireshark показывает множество повторных передач TCP из-за повторного использования номера порта. Может ли кто-нибудь подсказать, почему это происходит и как это обойти?
-
Привет,
@jlimbo987
. То, с чем вы столкнулись, вполне логично, учитывая, что вы перевели CSR1000v в режим контроллера (SD-WAN personality). После этого CLI больше не является традиционным IOS XE — это CLI в стиле vEdge, и доступна только часть функций. Peer-groups, ORF и некоторые из расширенных настроек BGP просто не существуют в режиме SD-WAN, поэтому команды отклоняются. Это не проблема лицензии, а особенность конструкции. В режиме контроллера вы больше не можете рассматривать CSR как обычный маршрутизатор IOS XE, он должен управляться с помощью шаблонов vManage, а не настраиваться локально, как в автономном режиме. Конечно, если вам нужно эмулировать ISP для доступности перед загрузкой, у вас есть два варианта: Оставить CSR в автономном режиме IOS XE для запуска BGP/peer-groups и работы в качестве маршрутизатора ISP, а также использовать отдельный vEdge/CSR1000v (в режиме контроллера) для роли WAN Edge.
Если вы настаиваете на запуске в режиме контроллера, вам придется использовать только функции BGP, поддерживаемые IOS XE SD-WAN, которые более ограничены и не поддерживают классический синтаксис peer-group. Именно поэтому вы замечаете изменения в поведении режима конфигурации (config-transaction, чувствительность к регистру, потеря привычек
do
и
ctrl-c
) — они являются частью модели SD-WAN CLI, а не ошибками или пробелами в лицензировании. Итак, мой друг из Cisco, то, что вы видите, не является проблемой лицензии. Это ограничение CSR1000v в режиме SD-WAN. Если вы хотите лабораторию «ISP» с полным BGP, лучше оставить один CSR в традиционном режиме IOS XE, а другой выделить для тестирования SD-WAN. Надеюсь, это поможет, и МИР! -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил твою проблему, пожалуйста, отметь его как «Принятое решение». Буду очень признателен! -
Спасибо, Энес. Благодарю за ответ. Моя лабораторная конструкция включает 2 интернет-провайдера, которые подключаются через BGP-пиринг к основному сайту и через PPPoE к меньшим сайтам (где у меня успешно подключен 1 CSR). Каждый сайт имеет 2 CSR, по 1 для каждого интернет-провайдера. ![jlimbo987_0-1755357897870.png] Если я правильно вас понимаю, то с точки зрения дизайна, сайт HQ должен отделить интернет-маршрутизаторы от SD-WAN и сделать что-то вроде этого: ![jlimbo987_1-1755358034716.png]
-
Привет, Энис, спасибо, что спас мое здравомыслие. Мне удалось заставить его работать, но при этом возникли некоторые дополнительные проблемы. Я переделал дизайн в соответствии с вышеуказанным и добавил соседство ospf между маршрутизатором bgp и маршрутизатором sd-wan. Это было не так просто, как можно было бы подумать. Я обнаружил, что нельзя запустить соседство ospf с интерфейса, действующего как источник туннеля sdwan. В результате я настроил маршрутизатор sd-wan на источник туннеля из loopback, а не из порта upstream, и запустил ospf на физическом соединении. Loopback также запускает ospf, который успешно рекламируется. Маршрутизатор успешно присоединился к SD-WAN, и все контрольные соединения работают и удовлетворяют требованиям. После исследования выяснилось, что маршрутизатор SD-WAN отбрасывает входящие приветствия OSPF, в результате чего сосед отображается как застрявший в состоянии init, но на маршрутизаторе SD-WAN нет списка соседей. Еще раз спасибо, друг, береги себя.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти