Guida introduttiva - Configurazione semplificata e policy di Catalyst SD-WAN
Sommario
Introduzione
Questo documento è una guida introduttiva per la configurazione semplificata e le policy in Catalyst SD-WAN.
Riepilogo
Con il software Cisco Catalyst SD-WAN versione 20.12/17.12, si consiglia di iniziare la migrazione dalla configurazione tradizionale basata sui modelli di dispositivi e funzionalità al nuovo approccio alla configurazione basato sui gruppi di configurazione e sui gruppi di criteri. In questo documento vengono descritti dettagli importanti per il nuovo approccio di configurazione.
L'obiettivo principale di questo documento è quello di servire da guida per iniziare con l'utilizzo di nuovi costrutti per la configurazione, i criteri e l'onboarding, con la versione 20.12 golden release. Il documento non copre le spiegazioni di singole caratteristiche.
Nuove distribuzioni
Per utilizzare correttamente il nuovo approccio alla configurazione, è necessario eseguire i seguenti passaggi:
- Rete: definizione della gerarchia di rete e dei costruttori di sistema
- Configurazione: creazione della configurazione con i gruppi di configurazione mediante il flusso di lavoro
- Applicazioni: definire applicazioni personalizzate, se necessario, utilizzando il Catalogo applicazioni
- Criteri: creare criteri utilizzando i gruppi di criteri
- Topologia: Definisci topologia
- Onboard: dispositivi onboard e tag
- Distribuisci: consente di associare e distribuire gruppi di configurazione e gruppi di criteri. Attivare Topologia.
Diagramma di flusso per nuove distribuzioni
Distribuzioni esistenti
- Eseguire i passi descritti nella sezione Distribuzioni esistenti
- Utilizzare lo strumento di conversione per convertire la configurazione o i criteri esistenti in nuovi criteri o configurazioni
Miglioramento dell'esperienza utente e semplificazione operativa
Cisco Catalyst SD-WAN offre una migliore esperienza utente e semplifica le operazioni.
- Interfaccia utente comune: è stata introdotta una nuova struttura UX in Catalyst SD-WAN Manager e in altri prodotti Cisco per garantire la coerenza in User eXperience e offrire un aspetto comune a tutti i prodotti.
- Configurazione: configurazione semplificata, creazione di policy e installazione con flussi di lavoro intuitivi basati sulle finalità e l'utilizzo di impostazioni predefinite intelligenti consigliate da Cisco.
- Monitoraggio: informazioni approfondite sulle prestazioni e lo stato della rete e delle applicazioni con nuovi widget e dashboard personalizzabili e migliorati.
- Risoluzione dei problemi: viste della topologia dinamica di siti e reti, accesso agli strumenti di risoluzione dei problemi basati sul contesto, creazione di rapporti sulle prestazioni di rete e applicazioni in base a una pianificazione.
Vantaggi
| Facilità d'uso |
Workflow intuitivi e guidati |
| Espansione della configurazione |
Riduzione dell'espansione (indipendenza dal modello, riutilizzo, struttura) |
| Creazione della configurazione |
Impostazioni predefinite intelligenti più rapide e semplici |
| Modifica della configurazione |
Modifica ora, distribuzione selettiva in seguito |
| Visibilità |
Nuovi dashboard, monitoraggio delle prestazioni di applicazioni/siti |
| Guida alla risoluzione dei problemi |
Topologia del sito, guida agli strumenti per la risoluzione dei problemi |
Definizione della gerarchia di rete e dei costrutti di sistema
Gerarchia di rete
Fornisce una nozione di "gerarchia", ovvero siti, aree e aree, per la rete. È possibile creare questa rete in base alla rete in uso.
Esempio:
NHM (Network Hierarchy Manager)
In questo modo è possibile definire nomi di sito facili da usare e semplificare le operazioni.
Costrutti di sistema
Questi pool automatizzano le assegnazioni di ID sito e IP sistema durante la distribuzione della configurazione del dispositivo.
È possibile definire il pool IP per le assegnazioni automatiche IP sistema. L'ID sito viene assegnato dal pool Global_Site.
Aggiungi parametri pool
Visualizza e gestisci pool
Flussi di lavoro
Un workflow è una raccolta di passi guidati che consentono di eseguire facilmente una determinata operazione.
- L'obiettivo di un flusso di lavoro è aiutare gli utenti principianti a creare facilmente le configurazioni e distribuirle nel dispositivo.
- La maggior parte delle manopole di configurazione e delle impostazioni sono impostate sui valori predefiniti smart consigliati da Cisco.
- Gli utenti devono specificare solo alcune configurazioni.
- Le manopole di configurazione avanzate sono disponibili all'esterno del workflow, dove il gruppo di configurazione può essere modificato manualmente.
In una raccolta flussi di lavoro sono elencati tutti i flussi di lavoro disponibili.
Raccolta flussi di lavoro
Gruppi di configurazione
Configuration Groups è un nuovo approccio alla configurazione del fabric basato su principi di semplicità, riutilizzabilità e struttura.
Struttura dei gruppi di configurazione
Gruppi di configurazione
- Raggruppamento logico di dispositivi che hanno uno scopo comune nella WAN.
- L'utente definisce e può personalizzare questo raggruppamento in base alle proprie esigenze aziendali.
Ad esempio: Est/Ovest, Americhe/APJC/EMEAR, Retail Store/Distribution Center
Profili funzionalità
- "bucket" flessibili di configurazione che possono essere condivisi tra i gruppi di configurazione.
- Creazione di profili di feature in base alle feature necessarie
- Unire i profili per completare la configurazione del dispositivo, ad esempio i blocchi predefiniti
- Generazione, salvataggio e riutilizzo
Ad esempio: profilo base, profilo WAN, profilo LAN
Esempi di distribuzione del gruppo di configurazione
Nota:
- I gruppi di configurazione sono indipendenti dal modello di dispositivo
- I profili delle funzionalità possono essere condivisi tra i gruppi di configurazione
Caso di utilizzo 1: cliente governativo
Esempio: caso 1 - Gruppi di configurazione
HUB gruppo di configurazione
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Opzione Crea flusso di lavoro gruppo di configurazione
profilo WAN
Esempio di caso 1 - Profilo WAN 1
Utilizzando il workflow, è possibile generare la configurazione completa del profilo WAN per questo Use Case.
Entità quali l'IP statico effettivo, l'indirizzo IP/subnet/hop successivo predefinito statico e così via possono essere specificate come globali o specifiche del dispositivo.
È possibile specificare l'opzione specifica del dispositivo con i valori effettivi durante la distribuzione del gruppo di configurazione nei dispositivi.
Profilo LAN
Esempio di caso 1 - Profilo LAN 1
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo LAN per questo Use-Case.
- 2 VPN
- Routing BGP in ciascuna VPN (numero AS, prefissi di rete, router adiacenti)
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
| NOTA: La configurazione avanzata, ad esempio la ridistribuzione della route e l'annuncio della route predefinita, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione e le sottointerfacce, se queste verranno utilizzate durante la distribuzione. |
Profilo di sistema
Esempio di utilizzo 1 - Profilo di sistema 1
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo di sistema per questo Use-Case, ovvero OMP, AAA, NTP, Logging e così via.
| NOTA: La configurazione avanzata, come la ridistribuzione OMP-BGP e qualsiasi altra modifica apportata alle funzioni del sistema come OMP, AAA, NTP e così via, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione. |
Gruppo di configurazione TipoSito1
Eseguire il flusso di lavoro Crea gruppo di configurazione.
profilo WAN
Esempio di caso 1 - Profilo WAN 2
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo WAN per questo Use-Case. Interfacce Ethernet per Internet e Starlink. DHCP.
| NOTA: L'interfaccia cellulare per il collegamento LTE, incluso il percorso statico, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione. |
Profilo LAN
Esempio di caso 1 - Profilo LAN 2
Utilizzando il flusso di lavoro, è possibile generare una parte della configurazione del profilo LAN per questo Use-Case. 2 VPN, route statica DIA.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
| NOTA: SVI, SSID wireless, porte degli switch di accesso e così via devono essere configurati dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione. |
Profilo di sistema
Esempio di caso 1 - Profilo di sistema 2
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo di sistema per questo Use-Case, ovvero OMP, AAA, NTP, Logging e così via.
| NOTA: La configurazione avanzata, ad esempio il monitoraggio delle prestazioni delle applicazioni, deve essere configurata dopo il flusso di lavoro modificando manualmente il gruppo di configurazione. |
Profilo CLI
Esempio di utilizzo 1 - Profilo CLI 2
Le funzionalità non supportate tramite GUI, ad esempio l'abilitazione App/Flow Visibility (NBAR), possono essere configurate utilizzando un profilo CLI.
Visibilità app/flusso
Per abilitare la visibilità dell'applicazione e del flusso, utilizzare il profilo/pacchetto CLI.
(Nella versione 20.13 e successive è disponibile in Impostazioni avanzate in Gruppo di criteri)
Tuttavia, nella versione 20.12, se è configurato un criterio AAR, la visibilità App/Flusso è abilitata. E la configurazione con il profilo/pacchetto CLI non è richiesta.
Gruppo di configurazione TipoSito2
Eseguire il flusso di lavoro Crea gruppo di configurazione.
profilo WAN
Esempio di caso 1 - Profilo WAN 3
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo WAN per questo Use-Case. Ethernet interface (interfaccia Ethernet per Internet). DHCP.
| NOTA: L'interfaccia cellulare per il collegamento LTE, incluso il percorso statico, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione. |
Profilo LAN
Esempio di caso 1 - Profilo LAN 3
Utilizzando il flusso di lavoro, è possibile generare una parte della configurazione del profilo LAN per questo Use-Case. 1 VPN, route statica DIA.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
| NOTA: La SVI, la porta dello switch di accesso e così via devono essere configurate dopo il workflow, modificando manualmente il gruppo di configurazione. |
Profilo di sistema
Uguale al gruppo di configurazione SiteType1
Profilo CLI
Uguale al gruppo di configurazione SiteType1
Gruppo di configurazione TipoSito3
Eseguire il flusso di lavoro Crea gruppo di configurazione.
Profilo WAN
Uguale al gruppo di configurazione SiteType2
Profilo LAN
Esempio di caso 1 - Profilo LAN 4
Utilizzando il flusso di lavoro, è possibile generare una parte della configurazione del profilo LAN per questo Use-Case. 1 VPN, route statica DIA.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
| NOTA: SVI, Wireless SSID, porta dello switch di accesso e così via, devono essere configurati dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione. |
Profilo di sistema
Uguale al gruppo di configurazione SiteType1
Profilo CLI
Uguale al gruppo di configurazione SiteType1
Caso di utilizzo 2: Cliente di vendita al dettaglio
Esempio: Caso 2 - Gruppi di configurazione
Sede centrale e magazzino del gruppo di configurazione
Eseguire il flusso di lavoro Crea gruppo di configurazione.
profilo WAN
Utilizzando il workflow, è possibile generare tutta la configurazione del profilo WAN per questo use-case.
Profilo LAN
Utilizzando il flusso di lavoro, è possibile generare tutta la configurazione del profilo LAN per questo Use-Case.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Profilo di sistema
Utilizzando il flusso di lavoro, è possibile generare tutte le configurazioni del profilo di sistema per questo Use Case.
| NOTA: Se sono necessarie modifiche o se è necessaria una configurazione avanzata, ad esempio il monitoraggio delle prestazioni delle applicazioni, è necessario configurarle dopo il flusso di lavoro modificando manualmente il gruppo di configurazione. |
Archivi gruppo di configurazione
Eseguire il flusso di lavoro Crea gruppo di configurazione.
profilo WAN
Utilizzando il flusso di lavoro, è possibile generare la maggior parte della configurazione del profilo WAN per questo Use-Case.
| NOTA: L'interfaccia cellulare per il collegamento LTE, incluso il routing, deve essere configurata dopo il flusso di lavoro, modificando manualmente il gruppo di configurazione. |
Profilo LAN
Utilizzando il flusso di lavoro, è possibile generare tutta la configurazione del profilo LAN per questo Use-Case.
Entità quali sottointerfacce effettive Dot1Q e qualsiasi altra entità contrassegnata come specifica del dispositivo possono essere specificate con valori effettivi durante la distribuzione del gruppo di configurazione ai dispositivi.
Profilo di sistema
Uguale a Configuration Group HQ e Warehouse.
Associa
Nella pagina di modifica del gruppo di configurazione (Configurazione -> Gruppi di configurazione), è possibile associare i dispositivi al gruppo di configurazione.
Fare clic su Associate Devices (Associa dispositivi) e seguire i passaggi del workflow.
Associa dispositivo - Gruppi di configurazione
Implementazione
Eseguire il flusso di lavoro Distribuisci gruppo di configurazione.
Distribuisci flusso di lavoro gruppo di configurazione
| NOTA:
|
Riutilizzabilità
- I gruppi di configurazione sono indipendenti dal modello di dispositivo.
Gruppo di configurazione - Agnostico modello di dispositivo
| NOTA: Se una particolare configurazione non è supportata su un modello di dispositivo, il corrispondente Feature Parcel Push non viene eseguito e viene visualizzato un messaggio appropriato come parte dell'attività di distribuzione. Esempio: una periferica non supporta Wi-Fi, ma il gruppo di configurazione contiene un pacchetto Wi-Fi. Al momento della distribuzione, la configurazione del pacchetto Wi-Fi viene ignorata e il messaggio dell'attività di distribuzione informa che il push della configurazione Wi-Fi è stato ignorato. |
- Utilizza variabili di configurazione - valori specifici del dispositivo
Gruppo di configurazione - Variabili specifiche del dispositivo
Per un profilo di feature è possibile definire alcune configurazioni come specifiche del dispositivo, in modo analogo alle variabili di modello.
Esempio: indirizzo IP interfaccia, numeri di porta, nome interfaccia e così via.
Questi valori specifici del dispositivo possono essere forniti al momento della distribuzione. E può essere diverso a seconda del tipo di apparecchio.
Gruppo di configurazione - Variabili specifiche del dispositivo Esempio 1
Esempio di gruppo di configurazione - variabili specifiche del dispositivo 2
Esempio di gruppo di configurazione - variabili specifiche del dispositivo 3
- Riutilizzare i profili delle feature
I profili di feature possono essere riutilizzati tra i gruppi di configurazione.
Figura:
Per diversi dispositivi, se le configurazioni WAN e di sistema sono le stesse e differiscono solo nella configurazione LAN, ad esempio, i profili WAN e di sistema possono essere riutilizzati nei rispettivi gruppi di configurazione e avere un profilo LAN diverso in ciascuno di essi.
Riutilizza profili funzionalità - 1
Profilo LAN 1
Riutilizza profili funzionalità - 2
Profilo LAN 2
Riutilizza profili funzionalità - 3
Profilo LAN 3
Catalogo applicazioni
I dispositivi tradizionali sono stati in grado di modificare i flussi di traffico mediante la corrispondenza condizionale di indirizzi IP di origine e/o di destinazione, porte di origine e destinazione e protocolli. Poiché un numero sempre maggiore di applicazioni dipende dal DNS o è integrato nel protocollo HTTP, è più difficile identificare con precisione il traffico di rete a livello di applicazione.
Il motore NBAR (Network Based Application Recognition) di Cisco è in grado di classificare oltre 1500 applicazioni fornendo ai tecnici di rete la capacità di classificare e manipolare i flussi di traffico con maggiore granularità. Cisco Catalyst SD-WAN Manager consente di connettersi a un repository di applicazioni Cisco in cui le firme per le applicazioni possono essere aggiornate rapidamente; questa funzionalità è importante quando i provider di cloud modificano le posizioni di hosting o i modelli di traffico.
Il catalogo applicazioni consente di creare applicazioni personalizzate in base alla corrispondenza di nome server, indirizzo IP, porte o protocollo. L'applicazione viene quindi definita per una famiglia di applicazioni, un gruppo di applicazioni, una classe di traffico e una pertinenza aziendale specifici.
Catalogo applicazioni
Le applicazioni possono essere trascinate in base alla pertinenza aziendale e/o alla classificazione del traffico appropriata. Al momento del salvataggio delle modifiche, le definizioni vengono aggiornate nel database.
| NOTA: le classificazioni delle applicazioni sono globali e una modifica apportata al catalogo delle applicazioni influisce su tutte le classificazioni dei dispositivi. |
Gruppi di criteri
Analogamente ai gruppi di configurazione, un gruppo di criteri è un raggruppamento di criteri distribuiti ai dispositivi associati al gruppo di criteri.
Il gruppo di criteri affronta la creazione e la distribuzione delle politiche in base alle finalità. Un'interfaccia utente e un flusso di lavoro semplificati semplificano la creazione di una regola, il raggruppamento delle regole e la distribuzione ai dispositivi.
| Prerequisito: L'associazione e la distribuzione del gruppo di configurazione a un dispositivo è un prerequisito per la distribuzione del gruppo di criteri a tale dispositivo. |
Gruppi di criteri
Priorità delle applicazioni e SLA
Con questa finalità di criterio, è possibile specificare:
- Routing compatibile con le applicazioni e criteri SLA
- Criteri QoS
- Criteri dati traffico
- criteri DIA
- Criteri SIG
Sono disponibili due modalità.
Modalità semplice
Questa è la modalità predefinita.
Modalità semplice
In questo modo è possibile definire in modo semplice e rapido la priorità dell'applicazione e lo SLA per la rete.
| NOTA: 1. L'azione criterio predefinita è DROP 2. I criteri di corrispondenza possono essere solo applicazioni. Se sono necessari i prefissi, utilizzare la modalità avanzata |
Modalità avanzata
Si tratta di una modalità completa e flessibile.
Modalità avanzata
| NOTA: 1. L'azione criterio predefinita è DROP 2. L'elenco delle applicazioni e la classe del traffico sono essenzialmente un elenco delle applicazioni. È possibile utilizzare uno dei due per trovare una corrispondenza con un elenco di applicazioni. Il mapping delle applicazioni alla classe traffico può essere eseguito in Catalogo applicazioni. La modalità Semplice genera regole utilizzando una o entrambe le opzioni, mentre la modalità Avanzata fornisce solo Elenco applicazioni. |
Quality of Service (QoS)
Nell'opzione QoS Queue, è possibile aggiungere un criterio QoS:
Aggiungi criterio QoS
Accodamento modelli
Successivamente è possibile definire il criterio Dati traffico (Aggiungi criterio traffico).
Aggiungere le regole in base al traffico desiderato e reindirizzarle alle classi di inoltro appropriate.
Criterio QoS 2
Routing compatibile con applicazioni
È possibile definire classi SLA e utilizzarle in un criterio Traffico per realizzare le finalità di un criterio AAR.
Criterio AAR
Visibilità app/flusso
Per abilitare la visibilità dell'applicazione e del flusso, utilizzare il profilo/pacchetto CLI nel gruppo di configurazione.
(Nella versione 20.13 e successive è disponibile in Impostazioni avanzate in Gruppo di criteri)
Tuttavia, nella versione 20.12, se è configurato un criterio AAR, la visibilità App/Flusso è abilitata. E la configurazione con il profilo/pacchetto CLI non è richiesta.
Criteri traffico
Le policy sul traffico possono anche essere usate per creare una policy DIA, il reindirizzamento SIG e così via. Aggiungere le regole come richiesto.
Criteri traffico
| NOTA: Se si crea un criterio SLA e priorità applicazione in modalità semplice e quindi si passa alla modalità avanzata, alcune opzioni di corrispondenza non saranno disponibili per la selezione. Esempio: il prefisso dei dati di destinazione è disattivato. |
Sicurezza integrata
Definisce i criteri di sicurezza per NGFW, IPS, Malware e filtro contenuti integrati
Secure Internet Gateway/Secure Service Edge
Definisce le impostazioni necessarie per stabilire tunnel per il contenuto basato su cloud e le entità di sicurezza, ad esempio Cisco Secure Access.
| NOTA: Con l'approccio di configurazione legacy, questo era disponibile come modello di feature. |
Sicurezza DNS
Definire le impostazioni per consentire l'utilizzo dei servizi di sicurezza DNS basati su cloud per il filtro del contenuto.
Gruppi di interesse
Definire gli elenchi di oggetti da utilizzare nei criteri. Esempio: elenchi applicazioni, elenchi VPN, elenchi siti, elenchi prefissi e così via.
Inoltre, per i criteri di protezione, definire i profili come i profili di ispezione avanzata, i criteri di decrittografia SSL e così via.
Gruppi di politiche - Gruppi di interesse
Associa e distribuisci
Analogamente ai gruppi di configurazione, associare i dispositivi al gruppo di criteri e distribuirli.
Regole localizzate
I criteri localizzati, ad esempio ACL, Route, Device Access e così via, sono definiti nei gruppi di configurazione.
Topologia
Definire la topologia di rete.
Iniziate con una mesh completa o Hub-n-Spoke e, se necessario, personalizzatela.
Menu Topologia
Topologia e VPN
Durante la creazione della topologia e la specifica delle VPN, tenere presenti le modifiche alla struttura.
Il nuovo design consente il mapping dinamico del nome della VPN all'ID della VPN, anziché il mapping 1:1.
Mapping di un nome VPN a più ID VPN
Figura:
Si supponga che esista una VPN con il nome Corporate in due gruppi di configurazione diversi.
Uno ha l'ID VPN 10 e l'altro l'ID VPN 20.
Nell'elenco delle VPN del flusso di lavoro della topologia è visualizzata un'istanza della sola VPN aziendale.
Dopo aver selezionato la VPN aziendale, il gestore SD-WAN determina gli ID VPN in base alla topologia.
Si supponga che vi siano 2 dispositivi in 2 siti:
1. Dispositivo1 nel sito 100 con Corporate come VPN 10
2. Device2 nel sito 200 con Corporate come VPN 20
Se entrambi i siti 100 e 200 fanno parte della topologia, SD-WAN Manager crea un elenco VPN con entrambi gli ID VPN (10 e 20).
Se solo il sito 100 fa parte della topologia, SD-WAN Manager crea un elenco VPN che avrà solo l'ID VPN 10.
Se solo il sito 200 fa parte della topologia, SD-WAN Manager crea un elenco VPN che avrà solo l'ID VPN 20.
Mapping di più nomi VPN allo stesso ID VPN
È possibile configurare più criteri di topologia con lo stesso nome VPN mappati a ID VPN diversi in siti diversi.
SD-WAN Manager determina il mapping effettivo in base alla topologia associata a ciascun sito.
Figura:
Due utenti possono creare due diversi gruppi di configurazione.
Uno specifica l'ID VPN 100 come Finance VPN e l'altro come Engineering VPN.
Quindi possono creare la topologia utilizzando i rispettivi nomi VPN.
Carico
Per caricare i router fisici, utilizzare il flusso di lavoro di connessione rapida.
Utilizzando questo flusso di lavoro, predefinire il nome host, l'indirizzo IP del sistema e il nome/ID del sito per i dispositivi da caricare. Manager li genera automaticamente, ma è possibile modificarli se lo si desidera. È inoltre possibile contrassegnare i dispositivi che possono essere utilizzati per associare automaticamente i dispositivi ai gruppi di configurazione.
Durante il processo di onboarding PnP ZTP, i dispositivi stabiliscono le connessioni del tunnel del control plane al gestore SD-WAN. SD-WAN Manager ora trasferisce la configurazione predefinita del fabric ai dispositivi e questi ultimi si uniscono al fabric SD-WAN.
Flusso di lavoro di connessione rapida
Descrizione flusso di lavoro connessione rapida
Applicazione di tag
I dispositivi possono essere associati a tag definiti dall'utente.
I tag possono essere utilizzati per raggruppare, descrivere, trovare o gestire i dispositivi.
Tag consente il raggruppamento di dispositivi che possono essere utilizzati in altre funzioni.
Esempi di tag
Esempio: associazione dei gruppi di configurazione ai dispositivi.
È possibile impostare le regole del gruppo di configurazione in modo da associare automaticamente i dispositivi con tag specifici a tale gruppo di configurazione.
Aggiungi tag
In Configurazione->Dispositivi, è possibile creare / aggiungere / rimuovere tag dai dispositivi.
Regole tag nel gruppo di configurazione
Nella pagina Gruppo di configurazione -> Dispositivi associati è possibile aggiungere/modificare le regole di tag.
Illustrazione
Applicazione di tag all'illustrazione
Distribuzioni esistenti
Nella rete SD-WAN, i dispositivi che utilizzano la configurazione e le policy legacy possono coesistere con i dispositivi che utilizzano la configurazione e le policy semplificate.
In questa sezione vengono forniti alcuni suggerimenti per i clienti che desiderano trarre vantaggio dalla configurazione semplificata e dalle regole.
Il primo passaggio prevede la migrazione dei dispositivi dai modelli di dispositivo ai gruppi di configurazione. Al termine, è possibile distribuire gruppi di criteri e/o topologia.
Gruppi di configurazione
I modelli di dispositivo e i gruppi di configurazione forniscono la configurazione dei dispositivi periferici. Quindi è facile che si verifichi la coesistenza. I passaggi per la migrazione da un modello di dispositivo a un gruppo di configurazione sono i seguenti:
| Passaggio 1 |
Estrarre una copia dei valori dei dispositivi dai modelli di dispositivo. A tale scopo, dalla finestra Configuration à Templates, fare clic sui puntini di sospensione (...) a destra del gruppo di dispositivi e selezionare "Export CSV" (Esporta CSV). |
| Passaggio 2 |
Creare un gruppo di configurazione (manualmente o con lo strumento di conversione). |
| Passaggio 3 |
Scollegare il modello dal dispositivo. A questo punto, il dispositivo mantiene la configurazione nel punto di attacco, ma non riceve alcuna modifica futura apportata al modello del dispositivo (o ai modelli delle funzionalità dei componenti). |
| Passaggio 4 |
Associare i dispositivi al nuovo gruppo di configurazione. |
| Passaggio 5 |
Distribuire i dispositivi associati al gruppo di configurazione. Per semplificare questo processo, aprire il file CSV esportato e modificare le intestazioni di colonna CSV in modo che corrispondano alle nuove variabili del gruppo di configurazione. |
| Passaggio 6 |
Dopo la schermata di input delle variabili del dispositivo, è possibile visualizzare in anteprima la configurazione del dispositivo. In questo modo viene visualizzata un'anteprima delle parti del gruppo di configurazione che non corrispondono all'istanza precedente o delle variabili modificate dal modello di dispositivo. |
Il mantenimento di uno schema di denominazione coerente per le variabili semplifica le impostazioni specifiche del dispositivo. Se tutti i valori di dispositivo si trovano in un unico CSV, è necessario rinominare le intestazioni di colonna una sola volta.
| NOTA: esiste uno script Python che funziona con i file CSV per i modelli di dispositivo o i gruppi di configurazione per consolidare e alfabetizzare le intestazioni di colonna. Lo script è disponibile qui: |
Gruppi di criteri
I dispositivi configurati tramite i gruppi di configurazione possono utilizzare un criterio centralizzato oppure eseguire la migrazione a un gruppo di criteri, ma non entrambi contemporaneamente per la stessa applicazione. In sostanza, l'obiettivo è mantenere la stessa policy di base per i dispositivi periferici. I gruppi di regole combinano le regole AAR e di dati originali in un unico componente SLA PG e priorità dell'applicazione. In sostanza, stiamo solo cambiando il modo in cui viene costruita la configurazione delle policy (ma non inviata al SD-WAN Manager).
È importante notare che non è possibile fare riferimento a criteri dati o AAR in un elenco siti con un sito che dispone del componente Priorità applicazione e SLA in quanto entrambi configurano la stessa impostazione.
I criteri centralizzati possono fare riferimento a un sito che utilizza un gruppo di criteri (con priorità delle applicazioni e SLA) solo se configurano componenti diversi di un criterio centralizzato.
Per eseguire la migrazione di un dispositivo da un criterio centralizzato a un gruppo di criteri, è necessario eseguire i passaggi seguenti:
| Passaggio 1 |
Creare i componenti del gruppo di criteri necessari (priorità e contratto di servizio dell'applicazione, sicurezza integrata, gateway Internet sicuro/Secure Service Edge, sicurezza DNS). |
| Passaggio 2 |
Creare il gruppo di criteri e associare i componenti necessari. |
| Passaggio 3 |
Dissociare l'ID del sito da tutti gli elenchi siti che sono riferimenti in AAR o criteri dati. |
| Passaggio 4 |
Associare i dispositivi al gruppo di criteri e salvare il gruppo di criteri. |
| Passaggio 5 |
Distribuire il gruppo di criteri ai dispositivi selezionati. A questo punto, SD-WAN Manager invia configurazioni aggiornate ai dispositivi Edge (per QoS/SIG) e ai controller, in modo che i controller possano inviare policy di dati aggiornate ai dispositivi edge. |
| Nota: sebbene i gruppi di criteri possano coesistere con un criterio centralizzato, si consiglia di mantenere un criterio centralizzato (per AAR e criteri dati) durante la conversione dei dispositivi periferici in gruppi di configurazione. A questo punto, avviare la migrazione da Criteri centralizzati a Gruppi di criteri per la funzionalità all'interno del componente Priorità applicazione e SLA. Questa procedura è estremamente semplice e consente di ridurre la confusione tra il personale operativo. |
| NOTA: |
Topologia
I dispositivi configurati tramite i gruppi di configurazione possono utilizzare un criterio centralizzato oppure eseguire la migrazione a una topologia. In sostanza, l'obiettivo è quello di mantenere la stessa policy di controllo sottostante per i controller SD-WAN. La topologia è l'ultima iterazione dei criteri di controllo.
È importante notare che non è possibile che un criterio di controllo faccia riferimento a un elenco siti a cui è associato un sito con una topologia, in quanto entrambi configurano la stessa impostazione.
È possibile disporre di un criterio centralizzato con un solo criterio dati e/o AAR e di un criterio topologico quando configurano componenti diversi.
Passaggi per eseguire la migrazione di un dispositivo da un criterio centralizzato a un gruppo di criteri:
| Passaggio 1 |
Creare i componenti della topologia necessari |
| Passaggio 2 |
Dissociare i lati dall'elenco di topologia precedente nel criterio centralizzato. |
| Passaggio 3 |
Dissociare l'ID del sito dagli elenchi siti a cui si fa riferimento in AAR o in Criteri dati. |
| Passaggio 4 |
Attivare la topologia. A questo punto, SD-WAN Manager invia le configurazioni aggiornate ai Controller e modifica tutte le route trasmesse ai dispositivi periferici. |
| Nota: anche se la topologia può coesistere con un criterio centralizzato, si consiglia di mantenere un criterio centralizzato (per la topologia e la modifica della route) durante la conversione dei dispositivi periferici in gruppi di configurazione. A questo punto, avviare la migrazione da Criterio centralizzato a Topologia per la funzionalità di modifica delle topologie e di modifica del routing. Questa procedura è estremamente semplice e consente di ridurre la confusione tra il personale operativo. |
Strumento di conversione
Ambito
Lo strumento di conversione esegue una conversione 1 a 1 dei modelli in gruppi di configurazione. Lo strumento raccoglie i modelli da un'istanza di SD-WAN Manager, li converte in gruppi di configurazione (compresi profili e pacchetti di funzionalità) e carica i costrutti appena convertiti in SD-WAN Manager.
* Si prevede che la conversione delle politiche in gruppi di politiche sarà disponibile in Strumento di conversione a ottobre 2024.
Dettagli di accesso
È disponibile una versione beta dello strumento. Per ulteriori informazioni, visitare il sito sdwan-ux-conversion-tool@cisco.com.
Modalità d'uso
Prerequisito
Prima di usare lo strumento, verificare che il gestore SD-WAN sia in esecuzione sulla versione 20.12.x. In caso contrario, eseguire l'aggiornamento alla versione 20.12 prima di procedere.
Flusso di lavoro dello strumento di conversione
| Passaggio 1 |
Accedere allo strumento utilizzando le credenziali fornite da Cisco. Nota: non si tratta di credenziali CCO. Per ulteriori informazioni, visitare il sito sdwan-ux-conversion-tool@cisco.com). |
| Passaggio 2 |
Selezionare il flusso di lavoro ‘Conversion Tool’ dalla home page. · Se il flusso di lavoro è stato già eseguito e si dispone del file JSON con le configurazioni convertite, è necessario selezionare il flusso di lavoro ‘Upload from a file’. |
| Passaggio 3 |
Accesso: Fornire l'IP o l'URL di SD-WAN Manager insieme alle credenziali utente. · L'utente deve disporre dell'accesso in lettura/scrittura. · I campi relativi alle porte e ai sottodomini sono facoltativi. |
| Passaggio 4. |
Importa: Fare clic sul pulsante 'Raccogli' per recuperare tutti i costrutti legacy (modelli di dispositivo, modelli di funzionalità, criteri e costrutti associati) da SD-WAN Manager. · Una volta raccolti, è necessario scaricare il file JSON contenente tutte le configurazioni. Questo file deve essere usato in questo passaggio in un secondo momento, invece di raccogliere di nuovo da SD-WAN Manager. |
| Passaggio 5. |
Selezionare: Selezionare i modelli e i criteri da convertire nei nuovi equivalenti. Fare clic su "Migra" per convertire i costrutti selezionati. |
| Passaggio 6. |
Trasforma: In questa pagina vengono visualizzati tutti i costrutti appena convertiti. Una volta pronti, fare clic su ‘Upload’ per trasferire queste configurazioni su SD-WAN Manager. · Nel caso in cui non si sia ancora pronti per eseguire il push a SD-WAN Manager, è possibile scaricare le configurazioni convertite come file JSON e utilizzare il flusso di lavoro ‘Upload from a file’ in un secondo momento. |
| Passaggio 7. |
Riepilogo: A questo punto, le configurazioni vengono sottoposte a push e create in SD-WAN Manager. Durante il push delle configurazioni, è possibile visualizzare l'indicatore di stato. Una volta completato il caricamento, è possibile visualizzare il riepilogo delle configurazioni caricate. · È possibile utilizzare i collegamenti rapidi ‘Configuration Groups’, ‘Feature Profiles’ e ‘Policy Groups’ per visualizzare i nuovi costrutti nel proprio SD-WAN Manager. · In caso di errore, in questa fase è disponibile anche il ripristino dello stato precedente. L'esecuzione di un rollback rimuove tutti i costrutti sottoposti a push in SD-WAN Manager durante questo flusso di lavoro/sessione. |
Post-conversione
I nuovi costrutti sono pronti per l'uso. Eseguire i passaggi della sezione "Distribuzioni esistenti" per eseguire la migrazione dei dispositivi ai gruppi di configurazione appena convertiti.
Considerazioni
- Le conversioni fornite dallo strumento servono da guida. Analizzare e testare prima della distribuzione in un ambiente di produzione.
- Lo strumento non considera la funzionalità di indipendenza dalla periferica dei gruppi di configurazione. Gli utenti possono analizzare i propri modelli prima di scegliere quali convertire o analizzare i gruppi di configurazione convertiti e associare i dispositivi di conseguenza per trarre vantaggio dalla funzionalità indipendente dai dispositivi.
- I nomi delle variabili e i valori globali dei costrutti legacy vengono copiati nei costrutti appena convertiti.
- Lo strumento non invia la configurazione ai dispositivi. Dopo aver eseguito le conversioni, l'utente è responsabile di scollegare i dispositivi dai modelli e di associarli ai nuovi gruppi di configurazione.
20.12 Considerazioni
| No. |
Descrizione articolo |
| 1 |
È necessario eseguire il push della configurazione DNS tramite il profilo aggiuntivo CLI quando si distribuisce il gruppo di configurazione sul server perimetrale con versione inferiore a 17.12. |
| 2 |
La creazione della topologia richiede la selezione dei siti invece di scegliere un'area definita in NHM. |
| 3 |
Il flusso di lavoro Crea gruppo di configurazione non crea una VPN512 e un'interfaccia in questa VPN nel profilo WAN. Se necessario, è possibile crearlo manualmente modificando il gruppo di configurazione. |
| 4 |
Possibilità di copiare/duplicare i profili delle funzionalità. Criterio non supportato. Un insieme di script Python può eseguire questa operazione ed è situato: |
| 5 |
Prima di creare un pacchetto di funzionalità correlato alla configurazione dei criteri (criteri localizzati), è necessario associare un profilo di oggetto criteri al gruppo di configurazione. Esempio: ACL |
| 6 |
Importa CSV per variabili di interfaccia inserisce punti e virgola nella stringa e non riesce |
| 7 |
Le configurazioni di Ottimizzazione AppQoE (TCP Opt e DRE) e Correzione perdite (FEC e Pkt Dup) continuano a utilizzare modelli e criteri legacy. Configurabile tramite il profilo CLI anche in Configuration/Policy Group. (20,14 in UI Parcel) |
| 8 |
Cloud onRamp per SaaS continua a utilizzare i modelli/criteri legacy. |
| 9 |
TrustSec / SGT supportato solo con il profilo CLI |
| 10 |
Supporto di UC Voice/DSP Farm/SRST solo con profilo CLI (a partire da 20,13 nel pacchetto UI) |
Informazioni correlate
- Canale Cisco SD-WAN e Cloud Networking YouTube: https://www.youtube.com/@CiscoSDWANandCloudNetworking
- UX2.0 - Semplificazione operativa: 1. Configurare un sito per un singolo router: https://www.youtube.com/watch?v=98z-d3knd
- Supporto tecnico Cisco e download
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
16-Aug-2024 |
Versione iniziale |
Feedback