Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Mô Hình Hub And Spoke Với Các Site Spoke Bị Giới Hạn (Phần 2)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Mô Hình Hub And Spoke Với Các Site Spoke Bị Giới Hạn (Phần 2)

    Bước 1: Tạo ra Site-List
    Mở vManage GUI và điều hướng đến configurations/policies và chọn tab Centralized Policy. Click nút Add Policy.

    Hình 5-19: Thêm vào Centralized Policy.
    Chọn Site từ list pane bên trái. Click nút New Site List. Tôi đã có cái tên cho site list đầu tiên là Remote-Sites và đã thêm site 10 và 20 vào list.

    Hình 5-20: Adding Site Lists.
    Cũng bằng cách này chúng ta đã tạo 1 DataCenter site-list. Hình 5-12 hiển thị 2 sites của chúng ta. Để chuyển tiếp đến phần Configure Topology and VPN Membership section, click nút Next ở dưới (không kiển thị trong hình).

    Hình 5-21: Site Lists DataCenter and Remote-Sites.
    Ví dụ 5-5 cho thấy cấu hình liên quan đến site lists. Cấu hình sẽ được gửi đến vSmart như là một phần cấu hình chính sách hoàn chỉnh khi chúng ta kích hoạt chính sách là bước cuối cùng. Lưu ý rằng ở đây hệ thống cũng tự động tạo ra prefix-list với prefix 0.0.0.0/0 le 32 bao gồm toàn bộ tất cả các subnets bao gồm 172.16.30.0/24.

    policy
    lists
    site-list DataCenter
    site-id 30
    !
    site-list Remote-Sites
    site-id 10
    site-id 20
    !
    prefix-list _AnyIpv4PrefixList
    ip-prefix 0.0.0.0/0 le 32

    Ví dụ 5-5: Site List Configuration.
    Step-2: Create Control Policy
    Mở Add Topology drop-down menu và chọn Custom Control (Route & TLOC) option.

    Hình 5-22: configure Centralized Policy Step 1: Control Policy TLOC.
    Đặt cho nó cái tên và description và chọn nút Sequence Type. Điều này có thể tạo sequence đầu tiên bên dưới Control Policy.

    Hình 5-23: Configure Centralized Policy Step 2: Control Policy TLOC.
    Chọn TLOC từ cửa sổ pop-up Add Control Policy. Bằng cách làm này sequence đầu tiên sẽ matches với TLOCs.

    Hình 5-24: Configure Centralized Policy Step 3: Control Policy TLOC.
    Click chọn Action và chọn Accept option.

    Hình 5-25: Configure Centralized Policy Step 4: Control Policy TLOC.
    Click chọn Match và mở Site List từ cửa sổ Match Conditions. Chọn site list DataCenter.

    Hình 5-26: Configure Centralized Policy Step 5: Control Policy TLOC.
    Click nút Save Match and Actions.

    Hình 5-27: Configure Centralized Policy Step 6: Control Policy TLOC.
    Hình 5-28 hiển thị TLOC sequence đầu tiên. Chúng ta đã tạo sequence bên trong Control Policy HUB_AND_SPOKE_POLICY nơi mà chúng ta match với TLOCs của DataCenter và set hành động là permit.

    Hình 5-28: Configure Centralized Policy Step 6: Control Policy TLOC.
    Tạo thêm sequence mới bên bên dưới Control Policy. Sequence này sẽ match với OMP Routes. Ngoài ra, sequence này cũng matched với default IP prefix bởi vì chúng ta không xác định rõ ràng bất kỳ IP prefix nào.

    Hình 5-29: Configure Centralized Policy Step 7: Control Policy OMP Route.
    Quá trình của việc tạo 1 route sequence là hoàn toàn giống với những gì chúng ta đã làm với sequence lên quan đến TLOC. Set điều kiện Match and Action.

    Hình 5-30: Configure Centralized Policy Step 8: Control Policy OMP Route.
    Hình 5-31 cho thấy trình tự liên quan đến TLOC được liệt kê trước trình tự liên quan đến OMP Route.

    Hình 5-31: Configure Centralized Policy Step 9: Control Policy OMP Route.
    Ví dụ 5-5 cho thấy cấu hình của Control Policy. Prefix-list được tự động tạo ra với prefix 0.0.0.0/0 được thêm bên dưới match route (OMP route) section bởi vì chúng ta không chỉ định rõ subnet nào.

    control-policy HUB_AND_SPOKE_POLICY
    sequence 1
    match tloc
    site-list DataCenter
    !
    action accept
    !
    !
    sequence 11
    match route
    prefix-list _AnyIpv4PrefixList
    site-list DataCenter
    !
    action accept
    !
    !
    default-action reject

    Ví dụ 5-6: Configuration Related to TLOC/OMP Control-Policy Sequence.
    Bằng cách click vào nút Next, bạn sẽ chuyển tiếp cửa sổ Configure Traffic Rules.

    Hình 5-31: Configure Centralized Policy Step 10: Control Policy.
    Chúng ta không sử dụng bất kỳ traffic rules nào vì vậy click Next để di chuyển đến cửa sổ Apply Policy to Sites and VPN.

    Hình 5-32: Configure Centralized Policy Step 11: Control Policy.
    Step-3: Apply Control Policy
    Đặt cho Centralized Policy một cái tên và vài description. Lưu ý rằng bạn chỉ có thể activate 1 Centralized Policy tại một thời điểm và đó là lý do tại sao tôi sử dụng cái tên định nghĩa là version. Chọn site list Remote-Sites từ Outbound Site List field. Bằng cách làm này chúng ta có thể thêm Control Policy Hub_and_Spoke_Policy đến sites 10 và 20 đã được định nghĩa trong Remote-Sites site-list. Hãy nhớ rằng policy tổng thể là Centralized Policy và Control Policy là chính sách được sử dụng để thiết lập topology. Chọn nút Add.

    Hình 5-33: Configure Centralized Policy Step 12: Apply Policy.
    Ví dụ 5-7 cho thấy cấu hình CLI đã được tạo ra trong giai đoạn Apply Policies to Sites and VPNs.

    apply-policy
    site-list Remote-Sites
    control-policy HUB_AND_SPOKE_POLICY out

    Ví dụ 5-7: Configure Centralized Policy Step 12 from the CLI: Apply Policy
    Hình 5-34 cho thấy rằng Control Policy Hub_and_Spoke_Policy đã được attached vào site list Branch-Sites. Bạn có thể kiểm tra cấu hình đã được tạo ra bằng cách click vào nút Preview. Click nút Save Policy.

    Hình 5-34: Configure Centralized Policy Step 13: Activating Policy.
    Step-4 Activate Centralized Policy
    Bước cuối cùng, chúng ta activate Centralized Policy bằng cách chọn Activate từ tùy chọn drop-down menu […]

    Hình 5-35: Configure Centralized Policy Step 14: Activating Policy.
    Bạn sẽ bị hỏi để confirm the activation. Click nút Activate.

    Hình 5-36: Configure Centralized Policy Step 14: Activating Policy.
    Hình 5-37 cho thấy rằng Centralized Policy bây giờ đã được áp dụng thành công trên vSmart.

    Hình 5-37: Configure Centralized Policy Step 14: Activating Policy.
    Policy Verification
    Chúng ta có thể xác minh Centralized Policy có hiệu lực từ trong vManage GUI bằng cách xác minh các TLOC và OMP route của vEdge1 nhận được từ vSmart. Hình 5-38 cho thấy rằng ngoài local TLOCs, vEdge1 chỉ nhận được các TLOCs của site 30 (DataCenter).

    Hình 5-38: Centralized Policy Verification – TLOC routes.
    Chúng ta cũng thấy rằng vEdge1 chỉ nhận được từ site 30 liên quan đến OMP routes từ vSmart.

    Hình 5-39: Centralized Policy Verification – OMP routes.
    Hình 5-40 xác mình rằng vEdge1 đã cài đặt OMP route 172.16.30.0/24 và VPN10 RIB (Routing Information Base).

    Hình 5-40: Centralized Policy Verification – IP routes.
    Chúng ta cũng có thể thấy rằng ở đây chỉ có 2 BFD session từ vEdge1 (site 10: Branch-Site) đến vEdge3 (site 30: DataCenter), một là trên mạng Public-Internet transport và một nữa là trên mạng MPLS transport.

    Hình 5-41: Centralized Policy Verification – BFD Sessions.
    Hình 5-42 minh họa mô hình mà chúng ta đã tạo ra với Centralized Policy. Ở đây không có tunnel nào giữa vEdge1 và vEdge2.

    Hình 5-42: Final Topology – Hub and Spoke.
    Ví dụ 5-8 cho thấy rằng chúng ta không thể ping đến end-point 172.16.20.20 được nữa nhưng chúng ta có thể ping end-point 172.16.30.30.

    PC1-10> ping 172.16.20.20
    *172.16.10.1 icmp_seq=1 ttl=64 time=0.140 ms (ICMP type:3, code:0, Destination network unreachable)
    *172.16.10.1 icmp_seq=2 ttl=64 time=0.126 ms (ICMP type:3, code:0, Destination network unreachable)
    *172.16.10.1 icmp_seq=3 ttl=64 time=0.131 ms (ICMP type:3, code:0, Destination network unreachable)
    *172.16.10.1 icmp_seq=4 ttl=64 time=0.128 ms (ICMP type:3, code:0, Destination network unreachable)
    *172.16.10.1 icmp_seq=5 ttl=64 time=0.210 ms (ICMP type:3, code:0, Destination network unreachable)
    PC1-10> ping 172.16.30.30
    84 bytes from 172.16.30.30 icmp_seq=1 ttl=62 time=2.646 ms
    84 bytes from 172.16.30.30 icmp_seq=2 ttl=62 time=4.439 ms
    84 bytes from 172.16.30.30 icmp_seq=3 ttl=62 time=2.830 ms
    84 bytes from 172.16.30.30 icmp_seq=4 ttl=62 time=2.663 ms
    84 bytes from 172.16.30.30 icmp_seq=5 ttl=62 time=2.298 ms

    Ví dụ 5-8: Data Plane Testing.
    Ví dụ 5-9 cho thấy cấu hình vSmart dã hoàn thành.

    vsmart# sh run
    system
    host-name vsmart
    system-ip 10.100.100.13
    site-id 100
    admin-tech-on-failure
    organization-name nwkt
    vbond 10.100.0.11
    aaa
    auth-order local radius tacacs
    usergroup basic
    task system read write
    task interface read write
    !
    usergroup netadmin
    !
    usergroup operator
    task system read
    task interface read
    task policy read
    task routing read
    task security read
    !
    usergroup tenantadmin
    !
    user admin
    password $6$jKzSSqC2GCJveJV4$VxMCv59Qv2J.lDd2luqXXJ9dUuv3iz VKXPEbE3b43AAry3n6 ptI7DqunO0y0TzxaUVRGAUZ7E/ySEiWdyt8/60
    !
    user ciscotacro
    description CiscoTACReadOnly
    group operator
    status enabled
    !
    user ciscotacrw
    description CiscoTACReadWrite
    group netadmin
    status enabled
    !
    !
    logging
    disk
    enable
    !
    !
    ntp
    server 10.100.0.14
    version 4
    exit
    !
    !
    omp
    no shutdown
    graceful-restart
    !
    vpn 0
    interface eth0
    ip address 10.100.0.13/24
    ipv6 dhcp-client
    tunnel-interface
    allow-service all
    allow-service dhcp
    allow-service dns
    allow-service icmp
    no allow-service sshd
    allow-service netconf
    no allow-service ntp
    no allow-service stun
    !
    no shutdown
    !
    ip route 0.0.0.0/0 10.100.0.1
    !
    vpn 512
    interface eth1
    ip dhcp-client
    no shutdown
    !
    !
    policy
    lists
    site-list DataCenter
    site-id 30
    !
    site-list Remote-Sites
    site-id 10
    site-id 20
    !
    prefix-list _AnyIpv4PrefixList
    ip-prefix 0.0.0.0/0 le 32
    !
    !
    control-policy HUB_AND_SPOKE_POLICY
    sequence 1
    match tloc
    site-list DataCenter
    !
    action accept
    !
    !
    sequence 11
    match route
    prefix-list _AnyIpv4PrefixList
    site-list DataCenter
    !
    action accept
    !
    !
    default-action reject
    !
    !
    apply-policy
    site-list Remote-Sites
    control-policy HUB_AND_SPOKE_POLICY out
    !
    !
    vsmart#

    Ví dụ 5-9: Conplete vSmart Configuration.
    Spoke-to-Spoke traffic
    Nếu chúng ta muốn cho phép các traffic flow giữa các spoke sites mà không trực tiếp qua tunneling chúng ta có thể làm OMP route summarization trên Hub site. Trong vú dụ của chúng ta, tôi có thêm null route bên dưới cấu hình VPN10 cho mạng 172.16.0.0/10. Static route này là tự động redistributed vào trong quá trình quảng bá OMP route. Centralized Policy cho phép các OMP routes từ site 30 quảng bá đến sites 10 và 20.

    Hình 5-43: Spoke-to-Spoke: OMP Summary Route Advertisement.
    Hình 5-44 cho thấy rằng vEdge3 quảng báo OMP Summary route 172.16.0.0/19 đến vSmart.

    Hình 5-44: Spoke-to-Spoke: OMP Summary Route Advertisement – vEdge3.
    Hình 5-45 cho thấy rằng vSmart lần lượt quảng bá OMP Summary route 172.16.0.0/19 đến cả hai vEdge1 và vEdge2.

    Hình 5-45:Spoke-to-Spoke: OMP Summary Route Advertisement – vSmart.
    Hình 5-46 và 5-47 xác minh cả hay vEdge1 và vEdge2 đã nhận được OMP Summary route 172.16.0.0/19 từ vSmart.

    Hình 5-46: Spoke-to-Spoke: Received OMP Summary Route – vEdge1.

    Hình 5-47: Spoke-to-Spoke: Received OMP Summary Route – vEdge2.
    Hình 5-48 xác minh rằng chúng ta cũng có kết nối data plane giữa site 10 và site 20 mặc dù chúng ta không có GRE tunnel hoặc BFD Session giữa các sites (hình 5-49 và 5-50).

    Hình 5-48: Spoke-to-Spoke: Data Plane Testing.

    Hình 5-49: Spoke-to-Spoke: GRE Tunnels of vEdge2.

    Hình 5-50: Spoke-to-Spoke: BFD Sessions of vEdge2.
    Tóm tắt

    Chương này bắt đầu bằng cách giải thích các tác vụ cần thiết để thay đổi vSmart từ CLI managed sang chế độ vManaged. Tiếp theo, nó giải thích cách xây dựng một chính sách tập trung trong đó có Control Policy từ chối các TLOC và OMP routes nhận được từ site 10 quảng bá đến site 20 và ngược lại. Do đó, không có GRE tunnel giữa site 10 và site 20 và chúng bị giới hạn lẫn nhau. Phần cuối cùng mô tả cách chúng ta cho phép lưu lượng truy cập giữa site 10 và site 20 bằng cách sử dụng OMP route summariztion tại site 30.

Working...
X