SD-WANオンデマンドトンネルの設定と確認

はじめに

このドキュメントでは、SD-WANオンデマンドトンネルを作成するための設定および検証手順について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、次のソフトウェアとハードウェアのバージョンに基づいています。

• vManageバージョン20.9.3
• Ciscoエッジルータバージョン17.9.3
  
  

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Cisco SD-WANは、任意の2つのCisco SD-WANスポークデバイス間のダイナミックオンデマンドトンネルをサポートします。これらのトンネルは、2つのデバイス間にトラフィックが存在する場合にのみ設定され、帯域幅の使用率とデバイスのパフォーマンスが最適化されます。

長所

オンデマンドトンネルには、次の利点があります。

• パフォーマンスの向上。特に、フルメッシュネットワークで動作する処理能力の低いプラットフォームのパフォーマンスが向上します。

• スポーク間でオンデマンドトンネルが使用される場合のハブアンドスポーク導入における遅延の改善。

• 非アクティブ状態のトンネルは双方向フォワーディング検出(BFD)プローブを必要とせず、ネットワークで生成されるBFDトラフィックが少ないため、ネットワークでの帯域幅使用量が削減されます。

• CPUとメモリの使用率を最適化しながら、スポーク間の直接トンネル。

設定

コンフィギュレーション

次に、オンデマンドトンネルを設定する手順を示します。

ステップ1:VPN 0機能テンプレートの下のハブサイトルータでのみ、トラフィックエンジニアリングを有効にします。ハブサイトとスポークサイト用に個別のVPN 0機能テンプレートを用意することを推奨します。

Configuration > Templates > Feature Templateの順に移動します。ハブルータに割り当てられている正しいVPN 0機能テンプレートを検索し、3つのドットをクリックしてEditを選択します。

1. Service セクションでNew Serviceをクリックします。
2. serviceタイプからTEを選択します。
3. Addをクリックし、次にUpdateをクリックします。
   TEを有効にする
   

ステップ2:CiscoエッジルータでOMPパス制限を推奨値の16に増やす。 

Configuration> Template> Feature Templateの順に移動し、OMP機能テンプレートを検索し、3つのドットをクリックして、Editを選択します。 

Basic Configurationで、Number of Paths Advertised per PrefixとECMP Limitを探し、値を16に変更します。 
OMP - ECMP制限

注: vSmarts OMPのsend-path-limitを4より大きい値、推奨値を16に変更するには、詳細な手順についてCisco SD-WAN 設定ガイドのルーティング設定ガイドを参照してください。

ステップ3：システム機能テンプレートを作成またはクローニングして、オンデマンドトンネルを有効にし、必要に応じてオンデマンドトンネルのアイドルタイムアウトタイマーを変更します（デフォルト値は10分）。このシステムテンプレートを特にオンデマンドスポークサイトに適用します。 

Configuration > Templates > Feature Templatesの順に移動し、System機能テンプレートを検索し、3つのドットをクリックして、Editを選択します。 

On Advanced セクションで、On-demand Tunnelを有効にします。  サイト間でトラフィックの受け渡しがない場合に、デフォルトの10分よりも早くトンネルをダウンさせるには、オプションでオンデマンドのトンネルのアイドルタイムアウトを調整します。

オンデマンドトンネルの有効化

ステップ4:matchタブセットサイトリスト（一致するオンデマンドスポークサイト）でルートシーケンスを使用してカスタムトポロジポリシーを作成し、actionタブでTLOCリスト（一致するハブTLOC）をbackupに設定する必要があります。 

オンデマンドのスポークリストとHUBバックアップTLOCリストを作成します。 

ドロップダウンメニューからConfiguration > Policies > Custom Optionsの順に移動し、Centralized Policy > Listsの順に選択し、対象のグループを作成します。

• Siteをクリックすると、すべてのオンデマンドサイトのすべてのサイトIDを含む新しいサイトリストが作成されます。
• TLOCで、バックアップとして使用されるすべてのハブTLOCを含むTLOCリストを作成します。   
  
  

対象のグループのリストを作成したら、Custom Optionsに移動し、ドロップダウンメニューからCentralized Policy > Topology > Topology > Add Topology > Custom Control (Route & TLOC)の順に選択します。

• トポロジの名前と説明を入力します。
• 鉛筆アイコンをクリックして、デフォルトアクションをAcceptに変更してから、Save Match And Actionをクリックします。 
• Sequence Typeをクリックし、Routeを選択します。新しいシーケンスを追加するには、Sequence Ruleをクリックします。
• MatchタブでSiteをクリックし、正しいサイトリストを選択します。

シーケンスの作成

• [操作]タブで、[承諾]をクリックし、[TLOC操作]で[バックアップ]を選択し、[TLOC]で[正しいTLOCリスト]を選択します。完了したら、Save Match and Actionsをクリックします。

アクションポリシーセット

制御トポロジポリシーをメインポリシーに関連付けます。Configuration > Policies > Centralized Policyの順に移動します。 

アクティブなポリシーを探し、3つのドットをクリックして、Editを選択します。

次のアイコン:

1.トポロジ

2.トポロジ

3. トポロジの追加

4. 既存のインポート

5. カスタムコントロール（RouteおよびTLOC）

6. ドロップダウンメニューからポリシーを探し、インポートをクリックします。

既存のポリシーのインポート

Policy Application > Topology > New Site/Region Listの順にクリックします。

発信サイトリストで、正しいサイトリスト名を選択します。

ポリシーアウトバンドの適用

Addをクリックし、Save Policy Changesをクリックします。これはアクティブなポリシーであるため、変更はvSmartsにプッシュされます。

注:Cisco vSmart Controller集中制御ポリシーの設定については、『Cisco SD-WAN設定ガイド』を参照してください。

確認

確認するには、show sdwan system on-demand remote-systemコマンドを実行します。 出力から、On-demand: yesを探すことができます。 ステータスにinactiveが表示されている場合は、サイト間のトンネルがダウンしていることを意味します。  

Spoke#show sdwan system on-demand remote-system
SITE-ID    SYSTEM-IP     ON-DEMAND       STATUS     IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100      192.168.0.70       no           -                   -
100      192.168.0.71       no           -                   -
1000     192.168.0.72       yes          inactive            -
1000     192.168.0.73       yes          inactive            -
200      192.168.0.80       no           -                   -

オンデマンドサイト間でトラフィックを生成した後、同じ出力を確認できます。この場合、ステータスはActiveを示しています。 これは、トンネルがダウンするまでの残り秒数を示しています。

Spoke#show sdwan system on-demand remote-system
SITE-ID    SYSTEM-IP     ON-DEMAND       STATUS     IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
100      192.168.0.70       no           -                   -
100      192.168.0.71       no           -                   -
1000     192.168.0.72       yes          active              105
1000     192.168.0.73       yes          active              105
200      192.168.0.80       no           -                   -

この例では、トンネルがダウンしている間に、サイト192.168.0.72と192.168.0.73のBFDが失われていることがわかります。

Spoke#show sdwan bfd sessions
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX
SYSTEM IP        SITE ID     STATE       COLOR            COLOR            SOURCE IP                    IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec  UPTIME       TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70     100         up          public-internet  public-internet                                            12346       ipsec  5           2000           0:03:22:04      2
192.168.0.71     100         up          public-internet  public-internet                                            12346       ipsec  5           2000           0:03:22:03      2
192.168.0.80     200         up          public-internet  public-internet                                            12346       ipsec  5           2000           0:03:22:04      2
192.168.0.70     100         up          mpls             mpls                                                       12346       ipsec  5           2000           0:03:22:03      2
192.168.0.71     100         up          mpls             mpls                                                       12346       ipsec  5           2000           0:03:22:04      2
192.168.0.80     200         up          mpls             mpls                                                       12346       ipsec  5           2000           0:03:22:03      2

サイト間のトンネルがアップ状態のときに、サイト192.168.0.72と192.168.0.73のBFDがアップ状態であることがわかります。

Spoke#show sdwan bfd sessions
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX
SYSTEM IP        SITE ID     STATE       COLOR            COLOR            SOURCE IP                    IP                              PORT                ENCAP  MULTIPLIER  INTERVAL(msec  UPTIME          TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.0.70     100         up          public-internet  public-internet  <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:27      2
192.168.0.71     100         up          public-internet  public-internet  <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
192.168.0.80     200         up          public-internet  public-internet  <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:27      2
192.168.0.73     1000        up          public-internet  public-internet                                                         5063        ipsec  5           2000           0:00:00:03     3
192.168.0.72     1000        up          public-internet  public-internet                                                         12346       ipsec  5           2000           0:00:00:03      2
192.168.0.70     100         up          mpls             mpls             <removed>                <removed>                                      12346       ipsec  5           2000           0:03:27:26      2
192.168.0.71     100         up          mpls             mpls             <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
192.168.0.80     200         up          mpls             mpls             <removed>                <removed>                                       12346       ipsec  5           2000           0:03:27:26      2
192.168.0.73     1000        up          mpls             mpls                                                                  12346       ipsec  5           2000           0:00:00:03        3
192.168.0.72     1000        up          mpls             mpls                                                                   12346       ipsec  5           2000           0:00:00:03      2

vManage GUIの場合は、Monitor > DeviceまたはMonitor > Network（コード20.6以前）に移動してデバイスを探し、Down番号に重点を置いてWAN > Tunnelに移動すると、同じ結果が得られます。

オンデマンドトンネルの監視

同じメニューで、下にスクロールしてReal Timeをクリックします。 デバイスオプションで、On Demand Remoteを検索します。

次の例は、オンデマンドトンネルがダウンした場合の出力を示しています。

オンデマンドのトンネルダウン
次の例は、オンデマンドトンネルが稼働しているときの出力を示しています。

オンデマンドのトンネルアップ

トラブルシュート

詳細な手順については、『SD-WANダイナミックオンデマンドトンネルのトラブルシューティング』を参照してください。

関連情報

• シスコのテクニカルサポートとダウンロード