2. 程式人生 > >SD-WAN 本地策略與中心策略配置(三)

SD-WAN 本地策略與中心策略配置(三)

阿新 發佈:2019-11-17

目錄

  • 1. Localized Policy配置
  • 2. Centralized Policy配置
  • 3. Application Route and Traffice Policy

1. Localized Policy配置

重點說明:Localized Policy是直接推送策略到vEdge。

建立入口: Configuration -> Policies -> Custom Options -> Localized Policy ->CLI Policy,Add Policy:

新增策略,定義策略名稱和描述:

#配置命令
policy
 app-visibility
 flow-visibility

策略關聯到模板:Configuration->Templates->Edit:

點選"Additional Templates",在Policy裡面選中剛建立好的策略,然後update:

前後對比下配置(要養成良好的習慣去驗證下配置):

沒問題就勾選,點選"OK",開始批量下發配置(算是實現自動化配置了):

執行的過程:

登陸裝置檢視配置已經下發成功:

2. Centralized Policy配置

重點說明:Centralized Policy是先推送策略到vSmart,vSmart再推送給vEdge。

建立入口: Configuration -> Policies -> ->Centralized Policy,Add Policy:

1)Creat Groups of Interest:

定義Application:

定義Color(不同線路型別進行著色區分):

備註:mpls線路著色為mpls,internet線路著色為public-internet.

定義Site:

備註:兩個站點:站點A(id=100)和站點B(id=101)

定義SLA:

備註:SLA針對丟包、延時、抖動定義不同的閾值,用於關聯應用策略探測鏈路的質量。

定義TLOC(類似路由的下一跳):

# TLOCs的定義:
OMP adverties to its peers the routes and servies that it has learned from its local site,along with their corresponding transport location mappings,which are called TLOCs。
# TLOC包含4個元素:
- system ip: 可看作Router id;
- color:對廣域網線路著色,可看作標記;
- encap:支援ipsec和gre,建議用ipsec;
- preference: 預設為0,值越大越優先;

定義VPN:

2)Configure Topology and VPN Membership:

點選"Topology"->Custom Control(Route & TLOC):

選擇Route,先定義路由:

選擇TLOC,定義訪問關係:


備註:預設動作有個action是reject,所以要建立TLOC。

3)Configure Traffic Rules:

點選“Next”,進入到到第三環節:配置流規則

備註:為什麼是應用在outbound方向呢?因為是vSmart推送策略給Site的,是out方向。

預覽下配置:

接下來,先把vSmart納管到vManage,要不然的話,是無法正常推送策略:

備註:把vSmart裝置裡面的show run配置copy過來,通過CLI模板建立,然後推送模板。

4)Apply Policies to Sites and VPNs:

開始推送策略,點選如下圖的Active:

驗證策略是否推送成功:
從vEdge1去往172.16.2.0的兩條廣域網線路已經打上了優先順序200和100

選擇最優路徑為mpls線路(另一條作為備份)

模擬中斷mpls線路,立馬切換到internet線路(丟2包):

3. Application Route and Traffice Policy

測試場景:

場景1:vEdge-2去往vEdge-1的WEB流量在滿足SLA需求的前提下走public-internet;

場景2:vEdge-2去往2.2.2.2的 telnet 流量被安全策略阻止掉;

1)在vEdge-2驗證去往1.1.1.1和2.2.2.2均為負載的(前提條件)

2)建立web應用條件:Centralized Policy->Application Aware Routing->Add Policy:

3)建立telnet應用條件:Centralized Policy->Traffic Data->Add Policy:

4)在"Traffic Rules"裡匯入已建立好的 web 和 telnet 應用:
入口:Policy->Centralized Policy->Edit->Traffic Rules

備註:如果這步沒有做,直接在"Policy Application"點選"Application Aware Routing" , "Traffic Data",裡面是空的。

5)新建Application-Aware-Routing策略:

6)新建Traffic Data策略:

備註:app route預設action none,traffice policy預設action accept

7)驗證下效果

可以從vEdge-2的PC能夠正常訪問vEdge-1下的2.2.2.2的http流量,但到2.2.2.2的telnet流量異常:

視覺化實時看下介面應用的流量:

至此,整個SD-WAN的實驗就告一段落了,這裡也感謝XX培訓機構提供的實驗平臺,能夠給大家演示一輪SD-WAN實驗,也過上一把癮哈。

希望理論的知識點大家多多研究下,然後結合這幾次的實驗好好鞏固。

如果大家喜歡我的文章,請分享給身邊需要的人,並多多支援哈,感激不盡。

SD-WAN實驗文章連結如下:

SD-WAN控制器安裝與初始化(一)

SD-WAN配置及應用模板配置(二)

SD-WAN本地策略與中心策略配置(三)

如果喜歡的我的文章,歡迎關注我的公眾號:點滴技術,掃碼關注,不定期分享

相關推薦

SD-WAN 本地策略中心策略配置()

目錄 1. Localized Policy配置 2. Centralized Policy配置 3. Application Route and Traffice Policy 1. Loc

Hibernate各種主鍵生成策略配置詳解

文檔 最簡 重啟 如果 自定義 早期 出錯 lsp 當地時間 1、assigned 主鍵由外部程序負責生成,在 save() 之前必須指定一個。Hibernate不負責維護主鍵生成。與Hibernate和底層數據庫都無關,可以跨數據庫。在存儲對象前,必須要使用主鍵的sett

計算機配置策略配置的區別---運維筆記

軟件設置 區別 計算機配置 範圍 域用戶 運維 策略 windows 指正 組策略配置計算機和用戶的不同點在其應用範圍。 若組策略對計算機進行了配置,則受配置計算機的軟件設置,Windows 設置,管理分配等都直接受組策略影響。若組策略對用戶進行了配置,則只有計算機用用戶賬

SRX 配置策略IDS日誌

flow hive sys policy read user ids ESS struct SRX配置策略日誌set system syslog file policy_session user infoset system syslog file policy_sessi

CAC安全中心威脅情報 ——一種新型釣魚郵件威脅應對策略

CAC安全中心威脅情報 ——一種新型釣魚郵件威脅與應對策略 1、 釣魚郵件威脅情報 2018年9月7日,Coremail CAC安全中心發現有一種新型的釣魚郵件正在呈現擴散趨勢,由於該釣魚郵件的偽裝程度較高,部分使用者容易輕信誤點選釣魚連結。此類郵件通常會偽裝成企業內部的使用者,向

Jenkins 本地Maven倉庫隔離策略

color 一個 保持 覆蓋 version repo size install 相互 一、概述   如果只使用一個Maven倉庫,很容易會造成擁有相同的GroupID/ArtifactID/Version的JOB,在install時會在本地Maven倉庫相互覆蓋,所以我們

JVM內存分配回收策略

failure ret 虛擬機 收集器 字符 設置 足夠 java 選擇 對象優先在Eden分配 大多數情況下,對象在新生代Eden區中分配。 當Eden區沒有足夠空間進行分配時,虛擬機將發起一次Minor GC。 Minor GC:新生代GC,指發生在新生代的垃圾收

DDoS攻擊防範策略

公司 pread 軟件 狀態信息 黑名單 協同工作 acl策略 etc yun DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊的主要目的是讓指定目標無法提供正常服務,甚至從互聯網上消失,是目前最強大、最難防禦的攻擊之一。 按照發起

Hibernate檢索策略檢索方式

類加載 應用 .get 利用 com attr 額外 att 取值 hibernate的Session在加載Java對象時,一般都會把魚這個對象相關聯的其他Java對象也都加載到緩存中,以方便程序的調用。但很多情況下,我們不需要加載太多無用的對象到緩存中,一來會占用大量的內

Java - "JUC線程池" 線程狀態拒絕策略源碼分析

int 簡單 his 類型 post 由於 lec java turn Java多線程系列--“JUC線程池”04之 線程池原理(三) 本章介紹線程池的生命周期。在"Java多線程系列--“基礎篇”01之 基本概念"中,我們介紹過,線程有5種狀態:新建狀態,就緒狀態,運

CSRF Token介紹應對策略

中轉 文章 一次 第三方 情況 策略 泄露 .com 異步 原文地址:點擊打開鏈接 最近模擬登陸,發現CsrfToken是個很麻煩的問題,所以看了一下CsrfToken的一些介紹。發現這篇文章寫得很不錯,所以轉載過來。 CSRF 背景與介紹 CSRF(Cross Sit

Ajax跨域請求 同源策略Jsonp

就是 pen 針對 api 自己的 發送請求 cdn esp 自己 同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是

網站搭建策略方法

ron 硬盤 步驟 模板 order 聯網 .html jin 應用服務器 網站搭建策略與方法 隨著大數據的到來,中國的互聯網進一步發展,很多人都想搭建一個網站,其實搭建一個網站有很多方法,並且很容易。 工具/原料 一臺電腦+ECS 基本的電腦操作

JVM 內存分配回收策略

要求 VM 大數 足夠 minor 直接進入老年代 OS 情況 內存分配   Java堆是垃圾收集器管理的主要區域。因為基本采用分代收集算法,所以Java堆可以細分為新生代和老年代,更細致是Eden、From Survivor和To Survivor。劃分的目的是更好地回收

實戰講解XXE漏洞的利用防禦策略

gcd oam copyright 解析xml MQ 包括 實驗 將他 Coding 現在許多不同的客戶端技術都可以使用XMl向業務應用程序發送消息,為了使應用程序使用自定義的XML消息,應用程序必須先去解析XML文檔,並且檢查XML格式是否正確。當解析器允許XML外部實體

算法設計優化策略——滑動窗口

唯一的雪花“滑動窗口”和上篇博客中介紹的“等價轉換”一樣也為一種算法優化的思想。同樣,下面通過一個例子,來介紹這種思想。唯一的雪花(Unique snowflake,UVa 11572)輸入一個長度為n(n<=10^6)的序列A,找到一個盡量長的連續子序列AL~AR,使得該序列中沒有相同的元素。在讀完題

瀏覽器的同源策略跨域處理

主機 tle ora 如何 不支持 tex html5 讀取數據 阻止 一、 同源策略 如果兩個頁面的協議,端口(如果有指定)和域名都相同,則兩個頁面具有相同的源。 下表給出了相對http://store.company.com/dir/page.html同源檢測的示例:

路由策略策略路由的區別。

網絡這兩中方案都是為了控制網絡流量的可達性或調整網絡流量的路徑: 一、路由策略。(Route-Policy)路由策略是通過修改路由表的路由條目來控制數據流量的可達性。即對接受和發布的路由進過濾。這種方式稱為路由策略。 二、策略路由。(Traffic-Policy)策略路由是通過用戶制定的策略進行轉發,且該策略

本地策略、域策略

本地策略、域策略本地策略、域策略一、本地安全策略概述1、本地安全策略:本地安全策略影響本地計算機的安全設置2、打開方法:控制面板 → 管理工具”→ 本地安全策略 → 運行secpol.msc命令3、本地安全策略的分類本地安全策略主要包含:帳戶策略和本地策略。4、帳戶策略(1)密碼策略① 密碼必須符合復雜性需求

4.PaloAlto安全NAT策略

subscript a20 dev ffffff -o alt 技術 不同 dip 1.NAT 1.1 NAT的類型 源NAT:用於內部用戶上網 目的NAT--用於私有網絡中的服務器為公有網絡提供服務 1.2 源NAT的類型 靜態IP 一對一固定轉換(雙向NAT