CISCO思科SDWAN控制器接口参数配置教程

CISCO 思科 SDWAN的控制器主要有三个组件，分别为vManage、vBond和vSmart。其中，vManage属于管理平面，主要涉及设备管理、监控，设备配置与策略的定义和调用等功能。

vBond属于协调平面，可以视作一个编排器，负责协调Edge 路由器和控制器的连接，Edge要正常完成注册，首先都会找到vBond，因为该设备执行Edge 路由器与控制器之间的初始化身份验证，当身份验证成功，vBond将告知Edge路由器有关vManage和vSmart的信息，最终Edge路由器通过vBond的信息建立与vManage和vSmart的DTLS隧道。vSmart属于控制平面，相关策略的推送调用离不开vSmart的工作。

在初始化配置三个组件的时候，几乎都会设置如下内容

config 
! 
system 
 host-name vManage 
 system-ip x.x.x.x 
 site-id xxxx 
 organization-name "SDWAN_Org_Name" 
 vbond x.x.x.x
! 
vpn 0
 interface eth0
  ip address x.x.x.x/x
  no shutdown
  tunnel-interface
   allow-service all
   allow-service sshd
   allow-service netconf
  !
 !
 ip route 0.0.0.0/0 x.x.x.x
vpn 512
 interface eth1
  ip address x.x.x.x/x
  no shutdown
 !
commit

可以看到主要包含了system配置、vpn0配置和vpn512配置。vpn512下的配置，主要是用来带外管理的接口配置，这里不过多介绍，system下的配置我们主要涉及了如下内容：

host-name：示例中配置了系统主机名为vManage
system-ip ：系统IP，是vBond、vManage、vSmart、WAN Edge等设备都需要定义一个唯一的IP，地址位于我们的传输 VPN (VPN 0) 中，可以将其视作动态路由协议汇总的Router ID。
site-id ：标识通告前缀的源位置，vManage、vSmart和Edge设备都需要配置，该ID不必具备唯一性，这也和OMP&TLOC工作有密切的关系。
organization-name ：定义了要在证书身份验证过程中匹配的OU，可以设置为任何内容，只要它在整个 Cisco SD-WAN域中保持一致。
vbond：告知设备vbond的IP地址。若是在vbond自身配置，则需要跟一个“local”参数，表示该设备就是vbond自己。

vpn0中的配置比较简单，主要配置了接口的IP地址以及tunnel接口下允许的服务，以便在WAN隧道连接上允许或禁止的服务类型。值得注意的是，在 vEdge 路由器上，service-name 可以是 bgp、dhcp、dns、https、icmp、netconf、ntp、ospf、sshd 和stun中的全部或其中之一。默认情况下，在 vEdge 路由器隧道接口上启用 DHCP、DNS、HTTPS 和 ICMP。

在vSmart控制器上，service-name 可以是 dhcp、dns、icmp、netconf、ntp、sshd 和stun中的全部或一项或多项。默认情况下，在 vSmart 控制器隧道接口上启用 DHCP、DNS 和 ICMP。

在vManage上，service-name 可以是 dhcp、dns、https、icmp、netconf、ntp、sshd 和stun中的全部或一种或多种。默认情况下，在 vManage隧道接口上启用 DHCP、DNS、ICMP 和 HTTPS。

vManage# show run vpn 0
vpn 0
 interface eth0
  ip address x.x.x.x/24
  tunnel-interface
   allow-service dhcp
   allow-service dns
   allow-service icmp
   no allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service stun
   allow-service https
  !
...