Bước 1: Tạo ra Site-List
Mở vManage GUI và điều hướng đến configurations/policies và chọn tab Centralized Policy. Click nút Add Policy.
Hình 5-19: Thêm vào Centralized Policy.
Chọn Site từ list pane bên trái. Click nút New Site List. Tôi đã có cái tên cho site list đầu tiên là Remote-Sites và đã thêm site 10 và 20 vào list.
Hình 5-20: Adding Site Lists.
Cũng bằng cách này chúng ta đã tạo 1 DataCenter site-list. Hình 5-12 hiển thị 2 sites của chúng ta. Để chuyển tiếp đến phần Configure Topology and VPN Membership section, click nút Next ở dưới (không kiển thị trong hình).
Hình 5-21: Site Lists DataCenter and Remote-Sites.
Ví dụ 5-5 cho thấy cấu hình liên quan đến site lists. Cấu hình sẽ được gửi đến vSmart như là một phần cấu hình chính sách hoàn chỉnh khi chúng ta kích hoạt chính sách là bước cuối cùng. Lưu ý rằng ở đây hệ thống cũng tự động tạo ra prefix-list với prefix 0.0.0.0/0 le 32 bao gồm toàn bộ tất cả các subnets bao gồm 172.16.30.0/24.
policy
lists
site-list DataCenter
site-id 30
!
site-list Remote-Sites
site-id 10
site-id 20
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
Ví dụ 5-5: Site List Configuration.
Step-2: Create Control Policy
Mở Add Topology drop-down menu và chọn Custom Control (Route & TLOC) option.
Hình 5-22: configure Centralized Policy Step 1: Control Policy TLOC.
Đặt cho nó cái tên và description và chọn nút Sequence Type. Điều này có thể tạo sequence đầu tiên bên dưới Control Policy.
Hình 5-23: Configure Centralized Policy Step 2: Control Policy TLOC.
Chọn TLOC từ cửa sổ pop-up Add Control Policy. Bằng cách làm này sequence đầu tiên sẽ matches với TLOCs.
Hình 5-24: Configure Centralized Policy Step 3: Control Policy TLOC.
Click chọn Action và chọn Accept option.
Hình 5-25: Configure Centralized Policy Step 4: Control Policy TLOC.
Click chọn Match và mở Site List từ cửa sổ Match Conditions. Chọn site list DataCenter.
Hình 5-26: Configure Centralized Policy Step 5: Control Policy TLOC.
Click nút Save Match and Actions.
Hình 5-27: Configure Centralized Policy Step 6: Control Policy TLOC.
Hình 5-28 hiển thị TLOC sequence đầu tiên. Chúng ta đã tạo sequence bên trong Control Policy HUB_AND_SPOKE_POLICY nơi mà chúng ta match với TLOCs của DataCenter và set hành động là permit.
Hình 5-28: Configure Centralized Policy Step 6: Control Policy TLOC.
Tạo thêm sequence mới bên bên dưới Control Policy. Sequence này sẽ match với OMP Routes. Ngoài ra, sequence này cũng matched với default IP prefix bởi vì chúng ta không xác định rõ ràng bất kỳ IP prefix nào.
Hình 5-29: Configure Centralized Policy Step 7: Control Policy OMP Route.
Quá trình của việc tạo 1 route sequence là hoàn toàn giống với những gì chúng ta đã làm với sequence lên quan đến TLOC. Set điều kiện Match and Action.
Hình 5-30: Configure Centralized Policy Step 8: Control Policy OMP Route.
Hình 5-31 cho thấy trình tự liên quan đến TLOC được liệt kê trước trình tự liên quan đến OMP Route.
Hình 5-31: Configure Centralized Policy Step 9: Control Policy OMP Route.
Ví dụ 5-5 cho thấy cấu hình của Control Policy. Prefix-list được tự động tạo ra với prefix 0.0.0.0/0 được thêm bên dưới match route (OMP route) section bởi vì chúng ta không chỉ định rõ subnet nào.
control-policy HUB_AND_SPOKE_POLICY
sequence 1
match tloc
site-list DataCenter
!
action accept
!
!
sequence 11
match route
prefix-list _AnyIpv4PrefixList
site-list DataCenter
!
action accept
!
!
default-action reject
Ví dụ 5-6: Configuration Related to TLOC/OMP Control-Policy Sequence.
Bằng cách click vào nút Next, bạn sẽ chuyển tiếp cửa sổ Configure Traffic Rules.
Hình 5-31: Configure Centralized Policy Step 10: Control Policy.
Chúng ta không sử dụng bất kỳ traffic rules nào vì vậy click Next để di chuyển đến cửa sổ Apply Policy to Sites and VPN.
Hình 5-32: Configure Centralized Policy Step 11: Control Policy.
Step-3: Apply Control Policy
Đặt cho Centralized Policy một cái tên và vài description. Lưu ý rằng bạn chỉ có thể activate 1 Centralized Policy tại một thời điểm và đó là lý do tại sao tôi sử dụng cái tên định nghĩa là version. Chọn site list Remote-Sites từ Outbound Site List field. Bằng cách làm này chúng ta có thể thêm Control Policy Hub_and_Spoke_Policy đến sites 10 và 20 đã được định nghĩa trong Remote-Sites site-list. Hãy nhớ rằng policy tổng thể là Centralized Policy và Control Policy là chính sách được sử dụng để thiết lập topology. Chọn nút Add.
Hình 5-33: Configure Centralized Policy Step 12: Apply Policy.
Ví dụ 5-7 cho thấy cấu hình CLI đã được tạo ra trong giai đoạn Apply Policies to Sites and VPNs.
apply-policy
site-list Remote-Sites
control-policy HUB_AND_SPOKE_POLICY out
Ví dụ 5-7: Configure Centralized Policy Step 12 from the CLI: Apply Policy
Hình 5-34 cho thấy rằng Control Policy Hub_and_Spoke_Policy đã được attached vào site list Branch-Sites. Bạn có thể kiểm tra cấu hình đã được tạo ra bằng cách click vào nút Preview. Click nút Save Policy.
Hình 5-34: Configure Centralized Policy Step 13: Activating Policy.
Step-4 Activate Centralized Policy
Bước cuối cùng, chúng ta activate Centralized Policy bằng cách chọn Activate từ tùy chọn drop-down menu […]
Hình 5-35: Configure Centralized Policy Step 14: Activating Policy.
Bạn sẽ bị hỏi để confirm the activation. Click nút Activate.
Hình 5-36: Configure Centralized Policy Step 14: Activating Policy.
Hình 5-37 cho thấy rằng Centralized Policy bây giờ đã được áp dụng thành công trên vSmart.
Hình 5-37: Configure Centralized Policy Step 14: Activating Policy.
Policy Verification
Chúng ta có thể xác minh Centralized Policy có hiệu lực từ trong vManage GUI bằng cách xác minh các TLOC và OMP route của vEdge1 nhận được từ vSmart. Hình 5-38 cho thấy rằng ngoài local TLOCs, vEdge1 chỉ nhận được các TLOCs của site 30 (DataCenter).
Hình 5-38: Centralized Policy Verification – TLOC routes.
Chúng ta cũng thấy rằng vEdge1 chỉ nhận được từ site 30 liên quan đến OMP routes từ vSmart.
Hình 5-39: Centralized Policy Verification – OMP routes.
Hình 5-40 xác mình rằng vEdge1 đã cài đặt OMP route 172.16.30.0/24 và VPN10 RIB (Routing Information Base).
Hình 5-40: Centralized Policy Verification – IP routes.
Chúng ta cũng có thể thấy rằng ở đây chỉ có 2 BFD session từ vEdge1 (site 10: Branch-Site) đến vEdge3 (site 30: DataCenter), một là trên mạng Public-Internet transport và một nữa là trên mạng MPLS transport.
Hình 5-41: Centralized Policy Verification – BFD Sessions.
Hình 5-42 minh họa mô hình mà chúng ta đã tạo ra với Centralized Policy. Ở đây không có tunnel nào giữa vEdge1 và vEdge2.
Hình 5-42: Final Topology – Hub and Spoke.
Ví dụ 5-8 cho thấy rằng chúng ta không thể ping đến end-point 172.16.20.20 được nữa nhưng chúng ta có thể ping end-point 172.16.30.30.
PC1-10> ping 172.16.20.20
*172.16.10.1 icmp_seq=1 ttl=64 time=0.140 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=2 ttl=64 time=0.126 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=3 ttl=64 time=0.131 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=4 ttl=64 time=0.128 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=5 ttl=64 time=0.210 ms (ICMP type:3, code:0, Destination network unreachable)
PC1-10> ping 172.16.30.30
84 bytes from 172.16.30.30 icmp_seq=1 ttl=62 time=2.646 ms
84 bytes from 172.16.30.30 icmp_seq=2 ttl=62 time=4.439 ms
84 bytes from 172.16.30.30 icmp_seq=3 ttl=62 time=2.830 ms
84 bytes from 172.16.30.30 icmp_seq=4 ttl=62 time=2.663 ms
84 bytes from 172.16.30.30 icmp_seq=5 ttl=62 time=2.298 ms
Ví dụ 5-8: Data Plane Testing.
Ví dụ 5-9 cho thấy cấu hình vSmart dã hoàn thành.
vsmart# sh run
system
host-name vsmart
system-ip 10.100.100.13
site-id 100
admin-tech-on-failure
organization-name nwkt
vbond 10.100.0.11
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$jKzSSqC2GCJveJV4$VxMCv59Qv2J.lDd2luqXXJ9dUuv3iz VKXPEbE3b43AAry3n6 ptI7DqunO0y0TzxaUVRGAUZ7E/ySEiWdyt8/60
!
user ciscotacro
description CiscoTACReadOnly
group operator
status enabled
!
user ciscotacrw
description CiscoTACReadWrite
group netadmin
status enabled
!
!
logging
disk
enable
!
!
ntp
server 10.100.0.14
version 4
exit
!
!
omp
no shutdown
graceful-restart
!
vpn 0
interface eth0
ip address 10.100.0.13/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service stun
!
no shutdown
!
ip route 0.0.0.0/0 10.100.0.1
!
vpn 512
interface eth1
ip dhcp-client
no shutdown
!
!
policy
lists
site-list DataCenter
site-id 30
!
site-list Remote-Sites
site-id 10
site-id 20
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
!
!
control-policy HUB_AND_SPOKE_POLICY
sequence 1
match tloc
site-list DataCenter
!
action accept
!
!
sequence 11
match route
prefix-list _AnyIpv4PrefixList
site-list DataCenter
!
action accept
!
!
default-action reject
!
!
apply-policy
site-list Remote-Sites
control-policy HUB_AND_SPOKE_POLICY out
!
!
vsmart#
Ví dụ 5-9: Conplete vSmart Configuration.
Spoke-to-Spoke traffic
Nếu chúng ta muốn cho phép các traffic flow giữa các spoke sites mà không trực tiếp qua tunneling chúng ta có thể làm OMP route summarization trên Hub site. Trong vú dụ của chúng ta, tôi có thêm null route bên dưới cấu hình VPN10 cho mạng 172.16.0.0/10. Static route này là tự động redistributed vào trong quá trình quảng bá OMP route. Centralized Policy cho phép các OMP routes từ site 30 quảng bá đến sites 10 và 20.
Hình 5-43: Spoke-to-Spoke: OMP Summary Route Advertisement.
Hình 5-44 cho thấy rằng vEdge3 quảng báo OMP Summary route 172.16.0.0/19 đến vSmart.
Hình 5-44: Spoke-to-Spoke: OMP Summary Route Advertisement – vEdge3.
Hình 5-45 cho thấy rằng vSmart lần lượt quảng bá OMP Summary route 172.16.0.0/19 đến cả hai vEdge1 và vEdge2.
Hình 5-45:Spoke-to-Spoke: OMP Summary Route Advertisement – vSmart.
Hình 5-46 và 5-47 xác minh cả hay vEdge1 và vEdge2 đã nhận được OMP Summary route 172.16.0.0/19 từ vSmart.
Hình 5-46: Spoke-to-Spoke: Received OMP Summary Route – vEdge1.
Hình 5-47: Spoke-to-Spoke: Received OMP Summary Route – vEdge2.
Hình 5-48 xác minh rằng chúng ta cũng có kết nối data plane giữa site 10 và site 20 mặc dù chúng ta không có GRE tunnel hoặc BFD Session giữa các sites (hình 5-49 và 5-50).
Hình 5-48: Spoke-to-Spoke: Data Plane Testing.
Hình 5-49: Spoke-to-Spoke: GRE Tunnels of vEdge2.
Hình 5-50: Spoke-to-Spoke: BFD Sessions of vEdge2.
Tóm tắt
Chương này bắt đầu bằng cách giải thích các tác vụ cần thiết để thay đổi vSmart từ CLI managed sang chế độ vManaged. Tiếp theo, nó giải thích cách xây dựng một chính sách tập trung trong đó có Control Policy từ chối các TLOC và OMP routes nhận được từ site 10 quảng bá đến site 20 và ngược lại. Do đó, không có GRE tunnel giữa site 10 và site 20 và chúng bị giới hạn lẫn nhau. Phần cuối cùng mô tả cách chúng ta cho phép lưu lượng truy cập giữa site 10 và site 20 bằng cách sử dụng OMP route summariztion tại site 30.
Mở vManage GUI và điều hướng đến configurations/policies và chọn tab Centralized Policy. Click nút Add Policy.
Hình 5-19: Thêm vào Centralized Policy.
Chọn Site từ list pane bên trái. Click nút New Site List. Tôi đã có cái tên cho site list đầu tiên là Remote-Sites và đã thêm site 10 và 20 vào list.
Hình 5-20: Adding Site Lists.
Cũng bằng cách này chúng ta đã tạo 1 DataCenter site-list. Hình 5-12 hiển thị 2 sites của chúng ta. Để chuyển tiếp đến phần Configure Topology and VPN Membership section, click nút Next ở dưới (không kiển thị trong hình).
Hình 5-21: Site Lists DataCenter and Remote-Sites.
Ví dụ 5-5 cho thấy cấu hình liên quan đến site lists. Cấu hình sẽ được gửi đến vSmart như là một phần cấu hình chính sách hoàn chỉnh khi chúng ta kích hoạt chính sách là bước cuối cùng. Lưu ý rằng ở đây hệ thống cũng tự động tạo ra prefix-list với prefix 0.0.0.0/0 le 32 bao gồm toàn bộ tất cả các subnets bao gồm 172.16.30.0/24.
policy
lists
site-list DataCenter
site-id 30
!
site-list Remote-Sites
site-id 10
site-id 20
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
Ví dụ 5-5: Site List Configuration.
Step-2: Create Control Policy
Mở Add Topology drop-down menu và chọn Custom Control (Route & TLOC) option.
Hình 5-22: configure Centralized Policy Step 1: Control Policy TLOC.
Đặt cho nó cái tên và description và chọn nút Sequence Type. Điều này có thể tạo sequence đầu tiên bên dưới Control Policy.
Hình 5-23: Configure Centralized Policy Step 2: Control Policy TLOC.
Chọn TLOC từ cửa sổ pop-up Add Control Policy. Bằng cách làm này sequence đầu tiên sẽ matches với TLOCs.
Hình 5-24: Configure Centralized Policy Step 3: Control Policy TLOC.
Click chọn Action và chọn Accept option.
Hình 5-25: Configure Centralized Policy Step 4: Control Policy TLOC.
Click chọn Match và mở Site List từ cửa sổ Match Conditions. Chọn site list DataCenter.
Hình 5-26: Configure Centralized Policy Step 5: Control Policy TLOC.
Click nút Save Match and Actions.
Hình 5-27: Configure Centralized Policy Step 6: Control Policy TLOC.
Hình 5-28 hiển thị TLOC sequence đầu tiên. Chúng ta đã tạo sequence bên trong Control Policy HUB_AND_SPOKE_POLICY nơi mà chúng ta match với TLOCs của DataCenter và set hành động là permit.
Hình 5-28: Configure Centralized Policy Step 6: Control Policy TLOC.
Tạo thêm sequence mới bên bên dưới Control Policy. Sequence này sẽ match với OMP Routes. Ngoài ra, sequence này cũng matched với default IP prefix bởi vì chúng ta không xác định rõ ràng bất kỳ IP prefix nào.
Hình 5-29: Configure Centralized Policy Step 7: Control Policy OMP Route.
Quá trình của việc tạo 1 route sequence là hoàn toàn giống với những gì chúng ta đã làm với sequence lên quan đến TLOC. Set điều kiện Match and Action.
Hình 5-30: Configure Centralized Policy Step 8: Control Policy OMP Route.
Hình 5-31 cho thấy trình tự liên quan đến TLOC được liệt kê trước trình tự liên quan đến OMP Route.
Hình 5-31: Configure Centralized Policy Step 9: Control Policy OMP Route.
Ví dụ 5-5 cho thấy cấu hình của Control Policy. Prefix-list được tự động tạo ra với prefix 0.0.0.0/0 được thêm bên dưới match route (OMP route) section bởi vì chúng ta không chỉ định rõ subnet nào.
control-policy HUB_AND_SPOKE_POLICY
sequence 1
match tloc
site-list DataCenter
!
action accept
!
!
sequence 11
match route
prefix-list _AnyIpv4PrefixList
site-list DataCenter
!
action accept
!
!
default-action reject
Ví dụ 5-6: Configuration Related to TLOC/OMP Control-Policy Sequence.
Bằng cách click vào nút Next, bạn sẽ chuyển tiếp cửa sổ Configure Traffic Rules.
Hình 5-31: Configure Centralized Policy Step 10: Control Policy.
Chúng ta không sử dụng bất kỳ traffic rules nào vì vậy click Next để di chuyển đến cửa sổ Apply Policy to Sites and VPN.
Hình 5-32: Configure Centralized Policy Step 11: Control Policy.
Step-3: Apply Control Policy
Đặt cho Centralized Policy một cái tên và vài description. Lưu ý rằng bạn chỉ có thể activate 1 Centralized Policy tại một thời điểm và đó là lý do tại sao tôi sử dụng cái tên định nghĩa là version. Chọn site list Remote-Sites từ Outbound Site List field. Bằng cách làm này chúng ta có thể thêm Control Policy Hub_and_Spoke_Policy đến sites 10 và 20 đã được định nghĩa trong Remote-Sites site-list. Hãy nhớ rằng policy tổng thể là Centralized Policy và Control Policy là chính sách được sử dụng để thiết lập topology. Chọn nút Add.
Hình 5-33: Configure Centralized Policy Step 12: Apply Policy.
Ví dụ 5-7 cho thấy cấu hình CLI đã được tạo ra trong giai đoạn Apply Policies to Sites and VPNs.
apply-policy
site-list Remote-Sites
control-policy HUB_AND_SPOKE_POLICY out
Ví dụ 5-7: Configure Centralized Policy Step 12 from the CLI: Apply Policy
Hình 5-34 cho thấy rằng Control Policy Hub_and_Spoke_Policy đã được attached vào site list Branch-Sites. Bạn có thể kiểm tra cấu hình đã được tạo ra bằng cách click vào nút Preview. Click nút Save Policy.
Hình 5-34: Configure Centralized Policy Step 13: Activating Policy.
Step-4 Activate Centralized Policy
Bước cuối cùng, chúng ta activate Centralized Policy bằng cách chọn Activate từ tùy chọn drop-down menu […]
Hình 5-35: Configure Centralized Policy Step 14: Activating Policy.
Bạn sẽ bị hỏi để confirm the activation. Click nút Activate.
Hình 5-36: Configure Centralized Policy Step 14: Activating Policy.
Hình 5-37 cho thấy rằng Centralized Policy bây giờ đã được áp dụng thành công trên vSmart.
Hình 5-37: Configure Centralized Policy Step 14: Activating Policy.
Policy Verification
Chúng ta có thể xác minh Centralized Policy có hiệu lực từ trong vManage GUI bằng cách xác minh các TLOC và OMP route của vEdge1 nhận được từ vSmart. Hình 5-38 cho thấy rằng ngoài local TLOCs, vEdge1 chỉ nhận được các TLOCs của site 30 (DataCenter).
Hình 5-38: Centralized Policy Verification – TLOC routes.
Chúng ta cũng thấy rằng vEdge1 chỉ nhận được từ site 30 liên quan đến OMP routes từ vSmart.
Hình 5-39: Centralized Policy Verification – OMP routes.
Hình 5-40 xác mình rằng vEdge1 đã cài đặt OMP route 172.16.30.0/24 và VPN10 RIB (Routing Information Base).
Hình 5-40: Centralized Policy Verification – IP routes.
Chúng ta cũng có thể thấy rằng ở đây chỉ có 2 BFD session từ vEdge1 (site 10: Branch-Site) đến vEdge3 (site 30: DataCenter), một là trên mạng Public-Internet transport và một nữa là trên mạng MPLS transport.
Hình 5-41: Centralized Policy Verification – BFD Sessions.
Hình 5-42 minh họa mô hình mà chúng ta đã tạo ra với Centralized Policy. Ở đây không có tunnel nào giữa vEdge1 và vEdge2.
Hình 5-42: Final Topology – Hub and Spoke.
Ví dụ 5-8 cho thấy rằng chúng ta không thể ping đến end-point 172.16.20.20 được nữa nhưng chúng ta có thể ping end-point 172.16.30.30.
PC1-10> ping 172.16.20.20
*172.16.10.1 icmp_seq=1 ttl=64 time=0.140 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=2 ttl=64 time=0.126 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=3 ttl=64 time=0.131 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=4 ttl=64 time=0.128 ms (ICMP type:3, code:0, Destination network unreachable)
*172.16.10.1 icmp_seq=5 ttl=64 time=0.210 ms (ICMP type:3, code:0, Destination network unreachable)
PC1-10> ping 172.16.30.30
84 bytes from 172.16.30.30 icmp_seq=1 ttl=62 time=2.646 ms
84 bytes from 172.16.30.30 icmp_seq=2 ttl=62 time=4.439 ms
84 bytes from 172.16.30.30 icmp_seq=3 ttl=62 time=2.830 ms
84 bytes from 172.16.30.30 icmp_seq=4 ttl=62 time=2.663 ms
84 bytes from 172.16.30.30 icmp_seq=5 ttl=62 time=2.298 ms
Ví dụ 5-8: Data Plane Testing.
Ví dụ 5-9 cho thấy cấu hình vSmart dã hoàn thành.
vsmart# sh run
system
host-name vsmart
system-ip 10.100.100.13
site-id 100
admin-tech-on-failure
organization-name nwkt
vbond 10.100.0.11
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$jKzSSqC2GCJveJV4$VxMCv59Qv2J.lDd2luqXXJ9dUuv3iz VKXPEbE3b43AAry3n6 ptI7DqunO0y0TzxaUVRGAUZ7E/ySEiWdyt8/60
!
user ciscotacro
description CiscoTACReadOnly
group operator
status enabled
!
user ciscotacrw
description CiscoTACReadWrite
group netadmin
status enabled
!
!
logging
disk
enable
!
!
ntp
server 10.100.0.14
version 4
exit
!
!
omp
no shutdown
graceful-restart
!
vpn 0
interface eth0
ip address 10.100.0.13/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service stun
!
no shutdown
!
ip route 0.0.0.0/0 10.100.0.1
!
vpn 512
interface eth1
ip dhcp-client
no shutdown
!
!
policy
lists
site-list DataCenter
site-id 30
!
site-list Remote-Sites
site-id 10
site-id 20
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
!
!
control-policy HUB_AND_SPOKE_POLICY
sequence 1
match tloc
site-list DataCenter
!
action accept
!
!
sequence 11
match route
prefix-list _AnyIpv4PrefixList
site-list DataCenter
!
action accept
!
!
default-action reject
!
!
apply-policy
site-list Remote-Sites
control-policy HUB_AND_SPOKE_POLICY out
!
!
vsmart#
Ví dụ 5-9: Conplete vSmart Configuration.
Spoke-to-Spoke traffic
Nếu chúng ta muốn cho phép các traffic flow giữa các spoke sites mà không trực tiếp qua tunneling chúng ta có thể làm OMP route summarization trên Hub site. Trong vú dụ của chúng ta, tôi có thêm null route bên dưới cấu hình VPN10 cho mạng 172.16.0.0/10. Static route này là tự động redistributed vào trong quá trình quảng bá OMP route. Centralized Policy cho phép các OMP routes từ site 30 quảng bá đến sites 10 và 20.
Hình 5-43: Spoke-to-Spoke: OMP Summary Route Advertisement.
Hình 5-44 cho thấy rằng vEdge3 quảng báo OMP Summary route 172.16.0.0/19 đến vSmart.
Hình 5-44: Spoke-to-Spoke: OMP Summary Route Advertisement – vEdge3.
Hình 5-45 cho thấy rằng vSmart lần lượt quảng bá OMP Summary route 172.16.0.0/19 đến cả hai vEdge1 và vEdge2.
Hình 5-45:Spoke-to-Spoke: OMP Summary Route Advertisement – vSmart.
Hình 5-46 và 5-47 xác minh cả hay vEdge1 và vEdge2 đã nhận được OMP Summary route 172.16.0.0/19 từ vSmart.
Hình 5-46: Spoke-to-Spoke: Received OMP Summary Route – vEdge1.
Hình 5-47: Spoke-to-Spoke: Received OMP Summary Route – vEdge2.
Hình 5-48 xác minh rằng chúng ta cũng có kết nối data plane giữa site 10 và site 20 mặc dù chúng ta không có GRE tunnel hoặc BFD Session giữa các sites (hình 5-49 và 5-50).
Hình 5-48: Spoke-to-Spoke: Data Plane Testing.
Hình 5-49: Spoke-to-Spoke: GRE Tunnels of vEdge2.
Hình 5-50: Spoke-to-Spoke: BFD Sessions of vEdge2.
Tóm tắt
Chương này bắt đầu bằng cách giải thích các tác vụ cần thiết để thay đổi vSmart từ CLI managed sang chế độ vManaged. Tiếp theo, nó giải thích cách xây dựng một chính sách tập trung trong đó có Control Policy từ chối các TLOC và OMP routes nhận được từ site 10 quảng bá đến site 20 và ngược lại. Do đó, không có GRE tunnel giữa site 10 và site 20 và chúng bị giới hạn lẫn nhau. Phần cuối cùng mô tả cách chúng ta cho phép lưu lượng truy cập giữa site 10 và site 20 bằng cách sử dụng OMP route summariztion tại site 30.