思科軟件定義廣域網端到端部署指南

簡介
思科® SD-WAN 解決方案是企業級重疊廣域網架構,可推動企業實現全數字化轉型,並過渡到雲。該解決方案可以
在大規模網絡中完全集成路由、安全、集中策略和協調功能,具有多租戶、雲交付、高度自動化、安全、可擴展、
應用感知和豐富的分析等特點。思科 SD-WAN 技術解決了常見廣域網部署的各種問題和挑戰。
本指南介紹思科軟件定義廣域網網絡實施,展示組織常用的一些部署模式和功能。本指南並不會詳盡地介紹所有部
署選項,而只重點介紹最佳實踐,並幫助成功配置和部署思科 SD-WAN 網絡。
示例 SD-WAN 網絡包含一個數據中心(具有兩台思科 vEdge 5000 路由器)和五個遠程站點(混合使用運行 SDWAN 軟件映像的思科 vEdge 1000 路由器、思科 vEdge 100 路由器以及思科 ISR 4351 和 4331 路由器)。利用
我們所介紹的數據中心現有環境部署,可以在從廣域網向軟件定義廣域網遷移期間,通過數據中心連接至非軟件定
義廣域網站點。本指南將介紹遠程站點新環境部署,但是其中的配置概念也適用於現有環境部署。
注意:運行 SD-WAN 軟件映像的思科 ISR 4000 和 1000 路由器以及思科 ASR 1000 路由器也稱為 IOS XE SDWAN 路由器。思科 IOS XE SD-WAN 路由器與思科 vEdge 路由器一起,統稱為思科廣域網邊緣路由器。
開始部署的必備條件:
• 已安裝思科廣域網邊緣路由器,並且這些路由器隨時可進行配置。 IOS XE SD-WAN 路由器應該已從 IOS XE
轉換為 SD-WAN 代碼。有關轉換的信息,請參閱附錄 B。
• 已配置與思科廣域網邊緣路由器鄰接的設備。
• 已使用思科雲託管服務設置並部署 SD-WAN 控制器。
• 理解思科 SD-WAN 解決方案及其相關概念,但無需具備部署經驗。有關 SD-WAN 解決方案的背景信息,請
參閱《軟件定義廣域網設計指南》,網址為:
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/CVD-SD-WAN-Design2018OCT.pdf。
有關本部署指南中使用的硬件型號和軟件版本,請參閱附錄 A。有關部分配套的網絡設備配置,請參閱附錄 F。有
關 vEdge 設備的配置摘要,請參閱附錄 G 和 H。
有關其他文檔(包括面向 SaaS 的 Cloud onRamp 部署指南),請參閱 http://www.cisco.com/go/cvd 上的設
計區。
SD-WAN 部署概述
為了獲得功能完備的 SD-WAN 重疊,需要執行一系列步驟。下圖展示的是一個工作流程示例

1. 網絡規劃 – 規劃設備佈局、系統 IP 地址和站點 ID;規劃廣域網邊緣設備配置、策略和代碼版本;規劃配
套的設備配置,包括為滿足廣域網邊緣通信需求而必須開放的任何防火牆端口。制定詳細的遷移計劃。
2. 部署軟件定義廣域網控制器 – 應部署 vManage、vSmart 控制器和 vBond 協調器;應安裝證書;並且這些
控制器應相互執行身份驗證。
3. 調整併升級控制器 – 可以驗證軟件定義廣域網控制器狀態,並根據常用最佳實踐配置適當進行調整。必要
時,可以升級這些控制器。
4. 上傳授權序列號文件 – 授權序列號文件包含所有經授權可以進入網絡的廣域網邊緣路由器的序列號和機箱
編號,應上傳到 vManage 中。該文件上傳到 vManage 中或完成同步後,將分發給 vBond 和 vSmart 控
制器。請注意,可以上傳多個授權序列號文件,重複的設備條目會被忽略。
5. 配置功能模板和設備模板 – 配置功能模板和設備模板,並將這些模板與廣域網邊緣設備關聯,必要時為參
數值創建變量。 vManage 會構建完整配置並將其推送到廣域網邊緣設備。建議在部署分支機構之前,先部
署數據中心。
6. 配置本地化策略 – 配置本地化策略,並將該策略與目標設備模板關聯。請注意,如果設備模板已與廣域網
邊緣設備關聯,則需要首先關聯本地化策略,再在功能模板中執行任何策略引用。
7. 配置集中策略 – 使用 vManage 配置所有集中策略,這些策略將下載到網絡中的 vSmart 控制器上。
SD-WAN 部署概述
7
8. 啟動/升級廣域網邊緣路由器 – 啟動廣域網邊緣路由器,以與 vBond、vSmart 和 vManage 設備建立控制
連接。此操作可以通過手動引導配置或自動調配過程完成。自動調配包括適用於 vEdge 路由器的非接觸調
配 (ZTP) 流程,或適用於 IOS XE SD-WAN 路由器的思科網絡即插即用 (PnP) 流程。此外,請根據需要升
級廣域網邊緣路由器,可以通過 vManage GUI 手動執行,也可以在自動調配過程中自動執行。
請注意,上述步驟的順序可靈活調整,但以下幾點例外:
• 網絡規劃和 SD-WAN 控制器部署應首先執行。
• 計劃升級到新代碼版本時,應首先升級 vManage 設備,然後升級 vBond 和 vSmart 控制器,再升級廣域網邊
緣路由器。
• 需要先上傳授權序列號文件,然後才能成功使任何廣域網邊緣路由器上線。
• 必須在 vManage GUI 中將設備模板與廣域網邊緣路由器關聯,才能通過 ZTP 或 PnP 流程成功使這些路由器
上線。
• 本地化策略需與設備模板關聯。如果設備模板已與 vEdge 設備關聯,則必須先關聯本地化策略,然後才可以
在設備模板內引用任何策略組件(路由器策略、前綴列表等)。