SD-WANオンデマンドトンネルの設定と確認

はじめに

このドキュメントでは、SD-WANオンデマンドトンネルを作成するための設定および検証手順について説明します。

前提条件

使用するコンポーネント

このドキュメントは、次のソフトウェアとハードウェアのバージョンに基づいています。

• vManageバージョン20.9.3
• Ciscoエッジルータバージョン17.9.3
  
  

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景 

Cisco SD-WANは、任意の2つのCisco SD-WANスポークデバイス間のダイナミックオンデマンドトンネルをサポートします。これらのトンネルは、2つのデバイス間にトラフィックが存在するときにのみ設定されるようにトリガーされ、帯域幅の使用率とデバイスのパフォーマンスが最適化されます。

長所

オンデマンドトンネルには、次の利点があります。

• パフォーマンスの向上。特に、フルメッシュネットワークで動作する処理能力の低いプラットフォームのパフォーマンスが向上します。

• スポーク間でオンデマンドトンネルを使用する際のハブアンドスポーク導入における遅延の改善。

• 非アクティブ状態のトンネルは双方向フォワーディング検出(BFD)プローブを必要としないため、ネットワークで生成されるBFDトラフィックが少なくなり、ネットワークの帯域幅使用量が削減されます。

• CPUとメモリの使用率を最適化しながら、スポーク間の直接トンネル。

設定

コンフィギュレーション

オンデマンドトンネルを設定する手順を次に示します。

手順1:VPN 0機能テンプレートの下のハブサイトルータでのみ、トラフィックエンジニアリングを有効にします。ハブサイトとスポークサイト用に個別のVPN 0機能テンプレートを用意することを推奨します。

Configuration > Templates > Feature Templateの順に移動します。ハブルータに割り当てられた正しいVPN 0機能テンプレートを検索するには、3つのドットをクリックしてEditを選択します。

1. サービスセクションの下

2. New Serviceをクリックします。

3. サービスタイプからTEを選択します。

Add、Updateの順にクリックします。
TEの有効化

手順2:CiscoエッジルータでOMPパス制限を推奨値の16に増やす。 

Configuration> Template> Feature Templateの順に移動し、OMP機能テンプレートを検索し、3つのドットをクリックしてEditを選択します。 

Basic Configurationで、Number of Paths Advertised per Prefix、ECMP Limitの順に探し、値を16に変更します。 
OMP:ECMP制限

注: vSmarts OMPのsend-path-limitを4より大きい値、推奨値の16に変更する方法の詳細については、Cisco SD-WAN構成ガイドのルーティング構成ガイドを参照してください。

ステップ3：システム機能テンプレートを作成またはクローニングして、オンデマンドトンネルを有効にし、必要に応じてオンデマンドトンネルアイドルタイムアウトタイマーを変更します（デフォルト値は10分）。このシステムテンプレートをオンデマンドスポークサイト専用に適用します。 

Configuration > Templates > Feature Templates の順に移動し、System機能テンプレートを検索します。次に、3つのドットをクリックして、Editを選択します。 

On Advanced セクション：On-demand Tunnelを有効にします。  サイト間でトラフィックの受け渡しがない場合に、デフォルトの10分よりも早くトンネルをダウンさせるには、オプションでオンデマンドのトンネルのアイドルタイムアウトを調整します。

オンデマンドトンネルの有効化

ステップ4:matchタブセットサイトリスト（一致するオンデマンドスポークサイト）でルートシーケンスを使用してカスタムトポロジポリシーを作成し、actionタブでTLOCリスト（一致するHubのtlocs）をbackupに設定する必要があります。 

オンデマンドのスポークリストとHUBバックアップTLOCリストを作成します。 

ドロップダウンメニューからConfiguration > Policies > Custom Optionsの順に移動し、Centralized Policy > Listsの順に選択して、対象のグループを作成します。

• Siteをクリックして、すべてのオンデマンドサイトのすべてのサイトIDを含む新しいサイトリストを作成します。
• TLOCで、バックアップとして使用されるすべてのHUB tlocを含むTLOCリストを作成します。   
  
  

対象のグループのリストを作成したら、ドロップダウンメニューからCustom Optionsに移動し、Centralized Policy > Topology > Topology > Add Topology > Custom Control (Route & TLOC)の順に選択します。

• トポロジの名前と説明を入力します。
• 鉛筆のアイコンをクリックし、Save Match And Actionをクリックして、デフォルトアクションをAcceptに変更します。 
• Sequence Typeをクリックして、Routeを選択します。新しいシーケンスを追加するには、Sequence Ruleをクリックします。
• MatchタブでSiteをクリックし、正しいサイトリストを選択します。

シーケンスの作成

• ActionタブでAcceptをクリックし、TLOC ActionでBackupを選択し、TLOC で正しいTLOCリストを選択します。完了したら、Save Match and Actionsをクリックします。

アクションポリシーセット

Configuration > Policies > Centralized Policyの順に移動して、制御トポロジポリシーをメインポリシーに割り当てます。 
アクティブなポリシーを検索し、3つのドットをクリックしてEditを選択します。

クリック

1.トポロジ

2.トポロジ

3. トポロジの追加

4.既存のインポート

5.カスタムコントロール（ルートおよびTLOC）

6. ドロップダウンメニューからポリシーを検索し、[インポート]をクリックします。

既存のポリシーのインポート

Policy Application > Topology > New Site/Region Listの順にクリックします。 

アウトバウンドのサイトリストで、正しいサイトリスト名を選択します。

ポリシーアウトバンドの適用

Addをクリックし、Save Policy Changesをクリックします。これはアクティブなポリシーであるため、変更はvSmartsにプッシュされます。

注:Cisco vSmart Controller集中制御ポリシーの設定については、『Cisco SD-WAN設定ガイド』を参照してください。

確認

確認するには、show sdwan system on-demand remote-systemコマンドを実行します。 出力から、On-demand: yesを見つけることができます。 ステータスがinactiveの場合は、サイト間のトンネルがダウンしていることを示しています。  

Spoke#show sdwan system on-demand remote-system
SITE-ID    SYSTEM-IP     ON-DEMAND       STATUS     IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100      192.168.0.70       no           -                   -
100      192.168.0.71       no           -                   -
1000     192.168.0.72       yes          inactive            -
1000     192.168.0.73       yes          inactive            -
200      192.168.0.80       no           -                   -

オンデマンドサイト間でトラフィックを生成した後、同じ出力を確認できます。この場合、ステータスはActiveを示し、トンネルがダウンするまでの残り秒数を示します。

Spoke#show sdwan system on-demand remote-system
SITE-ID    SYSTEM-IP     ON-DEMAND       STATUS     IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100      192.168.0.70       no           -                   -
100      192.168.0.71       no           -                   -
1000     192.168.0.72       yes          active              105
1000     192.168.0.73       yes          active              105
200      192.168.0.80       no           -                   -

この例では、トンネルのダウン時にサイト192.168.0.72と192.168.0.73のBFDが消失していることが確認できます。

Spoke#show sdwan bfd sessions
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX
SYSTEM IP        SITE ID     STATE       COLOR            COLOR            SOURCE IP                    IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec  UPTIME       TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70     100         up          public-internet  public-internet  <removed>                   <removed>                       12346       ipsec  5           2000           0:03:22:04      2
192.168.0.71     100         up          public-internet  public-internet  <removed>                   <removed>                       12346       ipsec  5           2000           0:03:22:03      2
192.168.0.80     200         up          public-internet  public-internet  <removed>                   <removed>                       12346       ipsec  5           2000           0:03:22:04      2
192.168.0.70     100         up          mpls             mpls             <removed>                   <removed>                       12346       ipsec  5           2000           0:03:22:03      2
192.168.0.71     100         up          mpls             mpls             <removed>                   <removed>                       12346       ipsec  5           2000           0:03:22:04      2
192.168.0.80     200         up          mpls             mpls             <removed>                   <removed>                       12346       ipsec  5           2000           0:03:22:03      2

サイト間のトンネルがアップしているときに、サイト192.168.0.72と192.168.0.73のBFDがアップしていることに気付きます。

Spoke#show sdwan bfd sessions
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX
SYSTEM IP        SITE ID     STATE       COLOR            COLOR            SOURCE IP                    IP                              PORT                ENCAP  MULTIPLIER  INTERVAL(msec  UPTIME          TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70     100         up          public-internet  public-internet  <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:27      2
192.168.0.71     100         up          public-internet  public-internet  <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
192.168.0.80     200         up          public-internet  public-internet  <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:27      2
192.168.0.73     1000        up          public-internet  public-internet  <removed>                <removed>                                       5063        ipsec  5           2000           0:00:00:03     3
192.168.0.72     1000        up          public-internet  public-internet  <removed>                <removed>                                       12346       ipsec  5           2000           0:00:00:03      2
192.168.0.70     100         up          mpls             mpls             <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:26      2
192.168.0.71     100         up          mpls             mpls             <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
192.168.0.80     200         up          mpls             mpls             <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
192.168.0.73     1000        up          mpls             mpls             <removed>                <removed>                                     12346       ipsec  5           2000           0:00:00:03        3
192.168.0.72     1000        up          mpls             mpls             <removed>                <removed>                                      12346       ipsec  5           2000           0:00:00:03      2

vMange GUIでMonitor > DeviceまたはMonitor > Network（コード20.6以前）に移動し、デバイスを見つけてWAN > Tunnelに移動し、Down番号に注目することで、同じ結果を得ることができます。

オンデマンドトンネルの監視

同じメニューで、下にスクロールしてReal Timeをクリックします。 デバイスオプションで、オンデマンドでリモートを検索します。

次の例は、オンデマンドトンネルがダウンした場合の出力を示します。

オンデマンドのトンネルダウン
次の例は、オンデマンドトンネルが稼働しているときの出力を示します。

オンデマンドのトンネルアップ

トラブルシュート

詳細な手順については、『SD-WANダイナミックオンデマンドトンネルのトラブルシューティング』を参照してください。

関連情報

• シスコのテクニカルサポートとダウンロード