APIC-EM IWAN APP

安装APIC-EM | 使用 APIC-EM | 使用 IWAN APP | 使用 REST API


如果想要使用 APIC-EM IWAN APP 作为广域网的 SDN 控制器,凭借 IWAN 技术建立软件定义广域网(SD-WAN),必須严格遵照 CVD (Cisco Validated Design) 设计广域网架构。

IWAN APP 1.1.0 版的基本要求如下:

  • 必须使用 MPLS VPN 或 Internet 线路。(如果使用点对点专线,則需在专线路由器后面加一台 IWAN 专用路由器)
  • 如果只有 Internet 线路,总部和所有分支都必须使用固定的 public IP。(如果还有MPLS VPN线路,则无此限制)
  • 用来建立 VPN 的 Internet 线路,不建议同时作为员工上网使用。
  • HUB 端(总部或数据中心)必须使用 ASR1000 或 ISR4400 路由器连接线路(BR Router),使用ASR1000、ISR4400、或CSR000v 作为执行路径选择的路由器(hub MC),SPOKE 端(分公司)则必须使用 ISR4000、ISR G2、或 CSR1000v 路由器 [2016.06.08 updated]。
  • 在总部/数据中心端,每一台 BR Router 只能连接一条 WAN 线路。支持的架构,大致如下图所示:
APICEM1.png

准备工作

  • 到 右上角 admin > Settings 进入 APIC-EM 配置画面
  • 选择左侧 Prime Credentials,配置 Prime Infrastructure 的 IP 地址、用户名、密码。在下面步骤配置路由器时,APIC-EM会使用此用户名,自动配置 PI。
Screen%20Shot%202016-05-27%20at%2013.08.30.png
  • 选择左侧 CLI Credentials,增加 IWAN 路由器的用户名、密码。

小提示:APIC-EM 的用户名不支持符号,请使用字母、数字、下划线


配置 IWAN HUB 企业总部或数据中心站点

  • 确认 HUB 的 License 已开启 (ASR1000 的 AES / ISR4000 的 SEC和APP / CSR1000v 的 AX)
  • IWAN HUB 的预配置
hostname 自定路由器名称
enable secret 5 准备工作中在 CLI Credentials 里提供的密码
username xxx privilege 15 secret 5 准备工作中在 CLI Credentials 里提供的密码 (必须为privilege 15)
!
!(端口、路由必須先配好)
interface GigabitEthernet1
 ip address x.x.x.x m.m.m.m
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
router eigrp 10
 network 10.1.20.0 0.0.0.255
 network 10.1.30.0 0.0.0.255
!
snmp-server community xxx RO
  • 选择左侧 IWAN 图示 > Configure Hub Site & Settings
Screen%20Shot%202016-05-27%20at%2015.53.48.png
  • 在 System 畫面中,Netflow Destination IP 填入准备工作中 Prime Infrastructure 的 IP 地址,Prime Infrastructure 使用端口 9991;SNMP Read Community 则配置 IWAN HUB 的预配置中的 SNMP community 名称
  • 在 Certified IOS releases 畫面中,上传 Branch 使用的 IOS XE 软件 (没上传也没关系)
  • 在 IP Address Pools 畫面中,在 Remote Site Count 中,配置 Branch 数量;在 Service Provider Count 中,配置 MPLS VPN/Internet 云的数量,然后点击 Add Address Pool,输入供 DMVPN Tunnel 与 Branch LAN 使用的网段 (可以给一大段,APIC-EM 会自己切)
Screen%20Shot%202016-05-27%20at%2013.31.40.png
  • 在 Service Providers 畫面中,配置 MPLS VPN 和 Internet 的名称。MPLS VPN请选private,Internet请选 Public
Screen%20Shot%202016-05-27%20at%2013.35.47.png
  • 在 IWAN aggregation site 畫面中,先选好正确数量的 HUB 站点与路由器,再按+号与…符号进行路由器、线路、以及LAN侧的配置。
Screen%20Shot%202016-05-27%20at%2013.46.13.png
  • 确认配置后,APIC-EM将开始配置路由器。需等待十余分钟。

配置 IWAN SPOKE 分公司站点


常见问题

1. 出现如下图发现已经有IWAN加密配置,但 show run 却看不到。
解:在路由器配置模式下,输入:crypto key zeroize rsa sdn-network-infra-iwan

Screen%20Shot%202016-06-08%20at%2018.50.22.png
除非特别注明,本页内容采用以下授权方式: Creative Commons Attribution-ShareAlike 3.0 License