当前位置: 移动技术网 > IT编程>脚本编程>Python > SD-WAN 本地策略与中心策略配置(三)

SD-WAN 本地策略与中心策略配置(三)

2019年11月17日  | 移动技术网IT编程  | 我要评论

2014年国考职位表,蒂法游戏,异形枪

目录

1. localized policy配置

重点说明:localized policy是直接推送策略到vedge。

创建入口: configuration -> policies -> custom options -> localized policy ->cli policy,add policy:

添加策略,定义策略名称和描述:

#配置命令
policy
 app-visibility
 flow-visibility

策略关联到模板:configuration->templates->edit:

点击"additional templates",在policy里面选中刚创建好的策略,然后update:

前后对比下配置(要养成良好的习惯去验证下配置):

没问题就勾选,点击"ok",开始批量下发配置(算是实现自动化配置了):

执行的过程:

登陆设备查看配置已经下发成功:

2. centralized policy配置

重点说明:centralized policy是先推送策略到vsmart,vsmart再推送给vedge。

创建入口: configuration -> policies -> ->centralized policy,add policy:

1)creat groups of interest:

定义application:

定义color(不同线路类型进行着色区分):

备注:mpls线路着色为mpls,internet线路着色为public-internet.

定义site:

备注:两个站点:站点a(id=100)和站点b(id=101)

定义sla:

备注:sla针对丢包、延时、抖动定义不同的阈值,用于关联应用策略探测链路的质量。

定义tloc(类似路由的下一跳):

# tlocs的定义:
omp adverties to its peers the routes and servies that it has learned from its local site,along with their corresponding transport location mappings,which are called tlocs。
# tloc包含4个元素:
- system ip: 可看作router id;
- color:对广域网线路着色,可看作标记;
- encap:支持ipsec和gre,建议用ipsec;
- preference: 缺省为0,值越大越优先;

定义vpn:

2)configure topology and vpn membership:

点击"topology"->custom control(route & tloc):

选择route,先定义路由:

选择tloc,定义访问关系:


备注:默认动作有个action是reject,所以要创建tloc。

3)configure traffic rules:

点击“next”,进入到到第三环节:配置流规则

备注:为什么是应用在outbound方向呢?因为是vsmart推送策略给site的,是out方向。

预览下配置:

接下来,先把vsmart纳管到vmanage,要不然的话,是无法正常推送策略:

备注:把vsmart设备里面的show run配置copy过来,通过cli模板创建,然后推送模板。

4)apply policies to sites and vpns:

开始推送策略,点击如下图的active:

验证策略是否推送成功:
从vedge1去往172.16.2.0的两条广域网线路已经打上了优先级200和100

选择最优路径为mpls线路(另一条作为备份)

模拟中断mpls线路,立马切换到internet线路(丢2包):

3. application route and traffice policy

测试场景:

场景1:vedge-2去往vedge-1的web流量在满足sla需求的前提下走public-internet;

场景2:vedge-2去往2.2.2.2的 telnet 流量被安全策略阻止掉;

1)在vedge-2验证去往1.1.1.1和2.2.2.2均为负载的(前提条件)

2)创建web应用条件:centralized policy->application aware routing->add policy:

3)创建telnet应用条件:centralized policy->traffic data->add policy:

4)在"traffic rules"里导入已创建好的 web 和 telnet 应用:
入口:policy->centralized policy->edit->traffic rules

备注:如果这步没有做,直接在"policy application"点击"application aware routing" , "traffic data",里面是空的。

5)新建application-aware-routing策略:

6)新建traffic data策略:

备注:app route默认action none,traffice policy默认action accept

7)验证下效果

可以从vedge-2的pc能够正常访问vedge-1下的2.2.2.2的http流量,但到2.2.2.2的telnet流量异常:

可视化实时看下接口应用的流量:

至此,整个sd-wan的实验就告一段落了,这里也感谢xx培训机构提供的实验平台,能够给大家演示一轮sd-wan实验,也过上一把瘾哈。

希望理论的知识点大家多多研究下,然后结合这几次的实验好好巩固。

如果大家喜欢我的文章,请分享给身边需要的人,并多多支持哈,感激不尽。

sd-wan实验文章链接如下:

sd-wan控制器安装与初始化(一)

sd-wan配置及应用模板配置(二)

sd-wan本地策略与中心策略配置(三)

如果喜欢的我的文章,欢迎关注我的公众号:点滴技术,扫码关注,不定期分享

点滴技术

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网