IWAN

Данная концепция состоит из набора инструментов, судя по всему репозиторий которых еще не заполнен. Во главе которой находится pfr, ниже рассмотрена настройка 3 версии.

Решение обеспечивает транспортно независимую WAN с интеллектуальным управлением маршрутов, при одновременном снижении операционных затрат, позволяет увеличить пропускную способность без ущерба для производительности, надежности и безопасности. Короче, http://www.cisco.com/go/iwan .

IWAN

PfrV3 поддерживается на версиях ПО не младше IOS 15.4(3)M and IOS-XE 3.13
Текущая конструкция использует в качестве транспорта DMVPN Туннели, поверх имеющихся двух провайдеров Интернет. MPLS для испытаний не хватило.

VRF


!
ip vrf IWAN-PRIMARY
rd 65511:101
!
ip vrf IWAN-SECONDARY
rd 65511:102
!после добавления команды ip vrf на интерфейс адресация сбрасывается. Тревога!
interface GigabitEthernet0/0
description ISP_WAN_MPLS
bandwidth 50000
ip vrf forwarding IWAN-PRIMARY
ip address x.x.x.x 255.255.255.248
ip access-group ACL_PROTECT_WAN_IN in
ip pim sparse-mode
load-interval 30
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ISP_WAN_INET
bandwidth 100000
ip vrf forwarding IWAN-SECONDARY
ip address y.y.y.y 255.255.255.248
ip access-group ACL_PROTECT_WAN_IN in
load-interval 30
duplex auto
speed auto
!
ip route vrf IWAN-PRIMARY 0.0.0.0 0.0.0.0 x.x.x.GW1

ip route vrf IWAN-SECONDARY 0.0.0.0 0.0.0.0 y.y.y.GW2

ACL будет таким:

ip access-list extended ACL_PROTECT_WAN_IN
permit udp object-group DMVPN_SPOKE eq non500-isakmp object-group DMVPN_HUB eq non500-isakmp
permit udp object-group DMVPN_SPOKE eq isakmp object-group DMVPN_HUB eq isakmp
permit esp object-group DMVPN_SPOKE object-group DMVPN_HUB
permit icmp object-group DMVPN_SPOKE object-group DMVPN_HUB

в object-group соответственно адреса Hub and Spoke.

После настройки интерфейсов необходимо настроить IPSEC:

!Keyring
!

crypto ikev2 keyring DMVPN-KEYRING1
peer ANY
address 0.0.0.0 0.0.0.0
pre-shared-key Cisco1
!
!IKEv2 Profile

crypto ikev2 profile FVRF-IKEv2-IWAN-PRIMARY
match fvrf IWAN-PRIMARY
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local DMVPN-KEYRING1
!

crypto ikev2 keyring DMVPN-KEYRING2
peer ANY
address 0.0.0.0 0.0.0.0
pre-shared-key Cisco1
!
!
crypto ikev2 profile FVRF-IKEv2-IWAN-SECONDARY
match fvrf IWAN-SECONDARY
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local DMVPN-KEYRING2
!
!IPSEC
!
crypto ipsec security-association replay window-size 512
!
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-sha-hmac
mode transport
!
crypto ipsec profile DMVPN-PROFILE1
set transform-set AES256/SHA/TRANSPORT
set ikev2-profile FVRF-IKEv2-IWAN-PRIMARY
!
crypto ipsec profile DMVPN-PROFILE2
set transform-set AES256/SHA/TRANSPORT
set ikev2-profile FVRF-IKEv2-IWAN-SECONDARY

DMVPN

Дополнительные заголовки вводит определенные накладные расходы в общую длину пакета

  • GRE only 24 bytes
  • IPsec (Transport Mode): 36 bytes
  • IPsec (Tunnel Mode): 52 bytes
  • IPsec (Transport Mode) + GRE: 60 bytes
  • IPsec (Tunnel Mode) + GRE: 76 bytes

Необходимо сделать на HUB:

1. Использовать интерфейс в качестве источника
2. Установить tunnel vrf на интерфейсе, определяющего провайдера.
3. Для учета других потенциальных издержек Cisco рекомендует настраивать туннельные интерфейсы с MTU 1400 байт.
4. Чтобы избежать проблем с фрагментацией на туннельном интерфейсе нужно настроить MSS.
5. Так же необходимо установить bandwidth, реальной полосы канала.
6. Определить NHS
7. Использовать аутентификцаию в NHRP
8. Привязать к определенной группе
9. Установить holdtime  в 600
10. Принять IPSEC profile

!
interface Tunnel100
description ** DMVPN Tunnel over Internet **
bandwidth 20000
ip address 192.168.254.1 255.255.255.252
no ip redirects
ip mtu 1400
ip pim nbma-mode
ip pim sparse-mode
ip nhrp authentication NhrpAuth
ip nhrp map multicast dynamic
ip nhrp map group spoke-1.5Mbps service-policy output prm-dscp#egress-iwan8#shape-1.5M
ip nhrp map group spoke-6.3Mbps service-policy output prm-dscp#egress-iwan8#shape-6.3M
ip nhrp map group spoke-10Mbps service-policy output prm-dscp#egress-iwan8#shape-10M
ip nhrp map group spoke-15Mbps service-policy output prm-dscp#egress-iwan8#shape-15M
ip nhrp map group spoke-20Mbps service-policy output prm-dscp#egress-iwan8#shape-20M
ip nhrp map group spoke-44Mbps service-policy output prm-dscp#egress-iwan8#shape-44M
ip nhrp map group spoke-100Mbps service-policy output prm-dscp#egress-iwan8#shape-100M
ip nhrp network-id 102
ip nhrp holdtime 600
ip nhrp redirect
ip tcp adjust-mss 1360
performance monitor context PrmAM_AVP4_c
cdp enable
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 102
tunnel vrf IWAN-SECONDARY
tunnel protection ipsec profile DMVPN-PROFILE2
domain path inet
end

EIGRP

Далее необходимо настроить маршрутизацию.
В данной ситуации используется два интернет канала от провайдера, поэтому используется EIGRP маршрутизация. Ничего лишнего.

!
router eigrp IWAN-EIGRP
!
address-family ipv4 unicast autonomous-system 400
 !
af-interface Tunnel100
hello-interval 20
hold-time 60
exit-af-interface
!
af-interface Tunnel200
hello-interval 20
hold-time 60
exit-af-interface
!
topology base
exit-af-topology

network 1.1.1.1 0.0.0.0
network 192.168.253.0 0.0.0.255 network 192.168.254.0 0.0.0.255
network a.a.a.a 0.0.0.255
eigrp router-id 1.1.2.1
eigrp stub connected summary
exit-address-family

!

PfRv3

У каждого маршрутизатора своя роль:

  • Hub Master Controller (MC) – Основной контроллер процесса. Все принимаемые политики располагаются на нем, все решения по управлению потоками трафика принимаются на нем.
  • Hub Border Router – Пограничный маршрутизатор HUB. Терминирует интерфейсы WAN.Генерирует пробы(мониторинг за состоянием каналов связи между офисами)
  • Branch Master Controller – Это мастер контроллер офиса. Не имеет локальных политик, получает их из из основного, участвует в процессе принятия решения по движению трафика.
  • Branch Border Router – Пограничный маршрутизатор Офиса. Никаких настроек нет, кроме включения pfr в офисе.WAN интерфейсы определяются автоматически.

Настройка политик:

Политики настраиваются на HUB MC, затем распространяются на все Spoke MC и транзитные MC. Необходимо определить тип трафика(основываясь на DSCP к примеру) и назначить приоритет и пороговое значение для параметров сети(задержки, потери, jitter). Можно использовать готовые шаблоны или создать собственный.

HUB Master Controller


Настройка MC на HUB состоит из двух этапов: определить доменное имя и определить глобальные политики, которые будут распространяться на всю область. Можно использовать глобальную таблицу VRF или использовать конкретную.

domain default
vrf default

master hub
source-interface Loopback0
password 7 106D000A061843
load-balance
advanced
collector 172.25.139.139 port 9991
class VOICE sequence 10
match dscp ef policy voice
path-preference mpls fallback inet
class VIDEO sequence 20
match dscp af41 policy real-time-video
path-preference mpls fallback inet
class BULK-DATA sequence 30
match dscp af13 policy bulk-data
path-preference inet fallback mpls

Hub Border Router


Настройка border маршрутизатора состоит из настройки домена и интерфейса:

!
domain default

vrf default

border
source-interface Loopback0
master 1.1.1.1
password 7 062506324F4158
collector 172.25.139.139 port 9991
!

interface Tunnel100
 domain path inet

Branch Router


domain default
vrf default
border
source-interface Loopback0
master local
password 7 123A0C0411045D
collector 172.25.139.139 port 9991
master branch
source-interface Loopback0
password 7 01300F17580457
hub 1.1.1.1
collector 172.25.139.139 port 9991

Overview:


#show domain default master status

*** Domain MC Status ***

Master VRF: Global

Instance Type: Hub
Instance id: 0
Operational status: Up
Configured status: Up
Loopback IP Address: 1.1.1.1
Load Balancing:
Admin Status: Enabled
Operational Status: Up
Enterprise top level prefixes configured: 0
Max Calculated Utilization Variance: 0%
Last load balance attempt: 3d17h ago
Last Reason: Variance less than 20%
Total unbalanced bandwidth:
External links: 0 Kbps Internet links: 0 Kpbs
Route Control: Enabled
Mitigation mode Aggressive: Disabled
Policy threshold variance: 20
Minimum Mask Length: 28
Syslog TCA suppress timer: 180 seconds
Traffic-Class Ageout Timer: 5 minutes
Channel Unreachable Threshold Timer: 1 seconds
Minimum Packet Loss Calculation Threshold: 15 packets
Minimum Bytes Loss Calculation Threshold: 1 bytes

Borders:
IP address: 1.1.1.1
Connection status: CONNECTED (Last Updated 2d14h ago )
Interfaces configured:
Name: Tunnel100 | type: external | Service Provider: inet | Status: UP
Number of default Channels: 2

Name: Tunnel200 | type: external | Service Provider: mpls | Status: UP
Number of default Channels: 2


#show domain default master status

*** Domain MC Status ***

Master VRF: Global

Instance Type: Branch
Instance id: 0
Operational status: Up
Configured status: Up
Loopback IP Address: 1.1.2.1
Load Balancing:
Operational Status: Up
Max Calculated Utilization Variance: 2%
Last load balance attempt: 3d22h ago
Last Reason: Variance less than 20%
Total unbalanced bandwidth:
External links: 0 Kbps Internet links: 0 Kpbs
Route Control: Enabled
Mitigation mode Aggressive: Disabled
Policy threshold variance: 20
Minimum Mask Length: 28
Syslog TCA suppress timer: 180 seconds
Traffic-Class Ageout Timer: 5 minutes
Minimum Packet Loss Calculation Threshold: 15 packets
Minimum Bytes Loss Calculation Threshold: 1 bytes
Minimum Requirement: Met

Borders:
IP address: 1.1.2.1
Connection status: CONNECTED (Last Updated 2d14h ago )
Interfaces configured:
Name: Tunnel200 | type: external | Service Provider: mpls | Status: UP
Number of default Channels: 2

Name: Tunnel100 | type: external | Service Provider: inet | Status: UP
Number of default Channels: 2

2 thoughts on “IWAN

  1. IWAN как то все сумбурно, возможно сбросить на почту конфиг

    1. Дмитрий, приветствую! Конфиг чего сбросить? IWAN – это концепция, солянка из Cisco технологий.

Leave a Reply

Your email address will not be published. Required fields are marked *