Templates e Policies no Cisco SD-WAN

/ / Published in Cisco, Network

No SD-WAN as configurações são feitas no vManage, através de policies e templates.

As policies são usadas para determinar como o tráfego de dados e de controle será encaminhado, e também para configurar as regras de segurança (Firewall, IPS, AMP, Filtro de URL e Umbrella).

E usamos os templates para fazer as configurações dos roteadores (hostname, interfaces, rotas e demais opções).

Data e Control Policies, Centralized e Localized

As Políticas de Dados e Controle são destinadas a controlar o Plano de Dados (tráfego propriamente) e o Plano de Controle (roteamento), respectivamente, sendo que as políticas centralizadas impactam em todo o ambiente (ou em parte, de acordo com os filtros utilizados), enquanto as políticas locais afetam devices ou sites específicos.

Podemos ver as Control Policies como regras de roteamento, como filtros aplicados no OSPF em uma rede tradicional, que impactam como as rotas são aprendidas e divulgadas. Já a Data Policy é equivalente as access-lists, que aplicamos em uma interface para bloquear um determinado tráfego.

As políticas centralizadas são aplicadas nas controladoras (vSmart) enquanto que as políticas locais são aplicadas diretamente nos roteadores.

Data and Control Policies

Os principais componentes usados na construção das políticas centralizadas (mais comuns no SD-WAN) são:

  • Lists: Podemos criar listas de sites, de prefixos, de VPNs, de SLA,…, que serão usadas nas políticas.
  • Policy Definition: Tipo de política que será criada, como Control Policy, Data Policy, App Route Policy,…, e onde criamos as regras (match and action).
  • Policy Application: Onde a política será aplicada, por exemplo um lista de sites, ou VPNs. Também podemos definir a direção se for uma Control Policy.

Security Policy

Security Policy é outro tipo de política que temos no SD-WAN, e onde fazemos as configurações de segurança, usadas quando temos cEdges.

cEdge são os appliances Cisco, rodando IOS-XE-SD-WAN. Também temos os vEdges, equipamentos herdados da Viptella, e que não suportam todas as funcionalidades de segurança.

Neste tipo de política temos a possibilidade de criar regras de firewall (IP/Porta de origem x IP/Porta de destino, por exemplo), ativar o IPS e a proteção contra malware (AMP), além de fazer filtro de URL localmente ou ainda configurar a integração com o Cisco Umbrella.

Security Policy

O firewall utilizado é do tipo “Zone Based”, e suporta regras de camada 7 inclusive.

Templates

Diferente do que estávamos acostumados, a configuração dos roteadores não é mais via linha de comando. Todos os parâmetros dos roteadores são definidos via templates, no vManage.

Na verdade você pode configurar o roteador manualmente, via linha de comando, desde que não coloque ele como vManage Mode, mas isso não faz muito sentido quando falamos de SD-WAN. Esta opção (CLI mode) é importante para casos específicos, mas em geral trabalhamos no modo vManage, aproveitando todos os benefícios da solução.

Os dois principais tipos de templates são:

  • Feature Template: Templates para cada parte da configuração. Temos Features Templates para configurar interfaces, NTP, logging e AAA, rotas, e assim por diante.

Feature Template

  • Device Template: Template onde agregamos todos os Features Templates que precisamos. É o Device Template que aplicamos ao roteador, e é necessário criar um Device Templates para cada modelos de roteador, mas podemos usar o mesmo Device Templates para equipamentos do mesmo modelo. Também é no Device Template que chamamos a Security Policy.

Device Template

Os templates podem engessar um pouco nossas opções, porém eles nos trazem grandes ganhos, principalmente em ambientes homogêneo. Podemos, por exemplo, ter um único Device Template aplicados a todos os roteadores do ambiente (se forem todos do mesmo modelo, e os locais tiverem exatamente as mesmas necessidades), agilizando a configuração, minimizando possíveis erros de configuração e principalmente garantindo a padronização do ambiente.

Também existe o CLI Template, que podemos usar criar configurações  para os cEdges, herdadas dos vEdges mas que ainda não estão no Feature Template.

Podemos olhar os templates como formulários onde temos as definições de campos que serão preenchidos. Os campos podem ser preenchidos com valores Default, podem ser preenchidos globalmente, com valores que serão aplicados para todos os roteadores (NTP server por exemplo), ou ainda criar campos do tipo variáveis (Device Specific). Neste caso o “campo” é preenchido na hora que template é associado ao roteador.

É bastante comum o uso de variáveis, já que cada equipamento tem hostname, IPs, rotas,… e outros itens que são específicos de cada device.

Default Global e Device Specific

Tem muito mais conteúdo para cada um destes itens, mas imagino que esse post é um bom ponto de partida para quem esta interessado em SD-WAN.

Para conhecer mais sobre policies e templates no Cisco SD-WAN acesse os links abaixo:

Até a próxima.

Tagged under: , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Cisco Security Report 2010
Reset Cisco FTD (zerar FTD sem reinstalar)
Ativando licenças no Cisco ASA

You must be logged in to post a comment.