Catalyst SD-WAN AppQoE DRE – トポロジ、設定、検証
内容
はじめに
このドキュメントでは、データ冗長性排除(DRE)最適化のセットアップを作成および設定する方法について説明します。
背景説明
このドキュメントの目的は、統合アプリケーションQuality of Experience(AppQoE)ソリューションの一部であるDREのセットアップを作成および設定する方法に関するガイダンスの出発点を提供し、エンドツーエンドの一貫したポリシーフレームワークとモニタリングを提供して、多数の導入ユースケースに対応することです。
AppQoEソリューションの構成要素:
- 前方誤り訂正(FEC)およびパケット複製(PD):パケット損失の問題に対処します。FECについては、TechZoneブログを参照してください。
- TCP最適化:WAN遅延の問題に対処します。片面TCPオプトユースケースのTechZoneの記事を参照してください。
- DRE最適化:低帯域幅の問題に対応。通常、DRE最適化はTCP最適化とともに使用されます。
既存のCCO DREドキュメントには、完全なエンドツーエンドのプロセス説明は含まれていません。このドキュメントでは、DREソリューションのエンドツーエンドの説明を段階的に示します。
DREの機能に関する技術的な詳細な説明は、この文書の適用範囲外です。技術詳細とDRE機能の詳細については、このドキュメントを参照してください。
DRE最適化
DREは、以前に見られたパターンをキャッシュすることによって冗長データを削除するデュアルサイドソリューションです。DRE機能を、WAN経由のデータ量を削減する圧縮機能を提供するLempel-Ziv-Welch(LZW)アルゴリズムと組み合わせることで、Unified Threat Defense(UTD)およびSecure Sockets Layer(SSL)プロキシとの完全にセキュアな統合ソリューションが実現します。
アプリケーションやプロトコルに依存せず、WANトラフィックを約60 ~ 90 %削減するクラウド対応ソリューションです。
スケーラブルなソリューションを実現するために、さまざまな導入シナリオがサポートされています。
- この統合ソリューションは、Integrated Service Node(ISN)と呼ばれるブランチサービスを導入するためのワンボックスソリューションを提供します。
- 外部サービスノード(ESN)は、外部サービスノード展開(通常はデータセンターとハブ)のエッジルータやサービスコントローラ(SC)を代行受信しないように分離されています。アプリケーショントラフィックに基づくフローのリダイレクトは、データポリシーを使用して実現されます。
コントロール接続
注:ESNは、コントローラ(以前のvSmart)と制御接続を形成しません。 ESNはSD-WAN Managerへの制御接続を備えています。
ISNおよびESNを使用したAppQoE DREセットアップを構築する手順
1. システム(インターフェイスおよびハードウェア)とトポロジ
1.1.トポロジとインターフェイス
ESNには次のインターフェイスが必要です。
- コントローラ(ManagerおよびValidator(一時的))へのVPN0インターフェイス接続。
ESNからコントローラへの接続は、直接またはSC経由で行うことができます。ESNに追加のWAN回線が不要になるため、SCを使用することをお勧めします。
- サービスコントローラへの接続用の別のVPN0インターフェイス。
- オプション:VPN512管理インターフェイス。
1.2.ディスク要件
ラボのセットアップでは、DRE最適化が動作するのに150 GBのディスクで十分です。
これは、ラボ環境での機能検証にのみ有効で、実稼働用ではありません。正確なディスクおよびその他の推奨事項については、このCCOリンクを確認してください。
注:この追加のディスク要件は、ISNおよびESNに対してのみ適用されます。SCでは必要ありません。
1.3. SD-WANファブリックへのデバイスの追加
- テンプレートの使用(20.6/17.6以降で使用可能):AppQoe機能テンプレート。追加テンプレートとしてデバイステンプレートに指定できます。
- 構成グループの使用(20.14/17.14以降で使用可能):構成グループのサービス/LANプロファイルで使用可能なAppQoE機能パーセル。
1.4. C8000vの詳細
c8kvを使用している場合は、アプリケーション負荷の高いCPUプロファイル設定が有効になっていることを確認します。これは役に立つ記事だ。
2. ブランチ:AppQoE ISNの設定
デバイスモデルのAppQoE機能テンプレートを作成します(ここに示すテンプレートを使用)。
次に、この機能テンプレートをデバイステンプレートに指定します。
3. DC/Hub:AppQoE ESN構成
デバイスモデルのAppQoE機能テンプレートを作成します。
次に、この機能テンプレートをデバイステンプレートに指定します。
4. DC/Hub:AppQoE SC構成
デバイスモデルのAppQoE機能テンプレートを作成します。
次に、この機能テンプレートをデバイステンプレートに指定します。
5. 中央集中型トラフィックデータポリシー
- 2つの異なるポリシーが必要です。1つは内部サービスノード(ISN)用、もう1つはサービスコントローラ(SC)用です。
- ポリシーの方向は両方とも'All'である必要があります。
- ISNの場合はService-node-groupを空白にし、SCに指定する必要があります。
- DRE最適化は、通常、TCP最適化とともに使用されます。DREを有効にすると、TCP最適化も有効になります。
この例では、ブランチロケーションのWebクライアントが定義され、DCサイトのWebサーバが定義されています。そのため、対象のトラフィックに合わせて調整できます。
A.ブランチISN
UI – テンプレート
シーケンス1 – クライアント10.107.1.10からサーバ10.109.1.10:
シーケンス2 – サーバからクライアントへ:
CLI:
ISN# show sdwan policy from-vsmart
from-vsmart data-policy _CorpVPN_DRE-data-policy-ISN-2
direction all
vpn-list CorpVPN
sequence 1
match
source-ip 10.107.1.10/32
destination-ip 10.109.1.10/32
action accept
tcp-optimization
dre-optimization
sequence 11
match
source-ip 10.109.1.10/32
destination-ip 10.107.1.10/32
action accept
tcp-optimization
dre-optimization
default-action accept
from-vsmart lists vpn-list CorpVPN
vpn 1
B. DC/ハブSC
UI – テンプレート
シーケンス1 -
シーケンス2 -
CLI:
SC# show sdwan policy from-vsmart
from-vsmart data-policy _CorpVPN_DRE-data-policy-SC_ESN-2
direction all
vpn-list CorpVPN
sequence 1
match
source-ip 10.107.1.10/32
destination-ip 10.109.1.10/32
action accept
tcp-optimization
dre-optimization
service-node-group SNG-APPQOE
sequence 11
match
source-ip 10.109.1.10/32
destination-ip 10.107.1.10/32
action accept
tcp-optimization
dre-optimization
service-node-group SNG-APPQOE
default-action accept
from-vsmart lists vpn-list CorpVPN
vpn 1
検証 – CLI
ブランチISN
ISN# show sdwan appqoe dreopt status
DRE ID : 52:54:dd:2a:74:d7-018eafaa99e1-f9ff51aa
DRE uptime : 04:10:59:59
Health status : GREEN
Health status change reason : None
Last health status change time : 04:10:59:59
Last health status notification sent time : 1 second
DRE cache status : Active
Disk cache usage : 2%
Disk latency : 25 ms
Active alarms:
None
Configuration:
Profile type : S
Maximum connections : 750
Maximum fanout : 35
Disk size : 60 GB
Memory size : 2048 MB
CPU cores : 1
Disk encryption : ON
ISN# show sdwan appqoe flow active
T:TCP, S:SSL, U:UTD, D:DRE
Flow ID VPN ID Source IP Port Destination IP Port Tx Bytes Rx Bytes Services
--------------------------------------------------------------------------------------------------------------
54382538667 1 10.107.1.10 55340 10.109.1.10 80 263663268 640416 TD
ISN# show sdwan appqoe dreopt statistics
Total connections : 4
Max concurrent connections : 1
Current active connections : 1
Total connection resets : 0
Total original bytes : 3570 MB
Total optimized bytes : 1633 MB
Overall reduction ratio : 54%
Disk size used : 2%
Cache details:
Cache status : Active
Cache Size : 59132 MB
Cache used : 2%
Oldest data in cache : 01:22:02:49
Replaced(last hour): size : 0 MB
DC/ハブSC
SC# show service-insertion type appqoe service-node-group
Service Node Group name : SNG-APPQOE
Service Context : appqoe/1
Member Service Node count : 1
Service Node (SN) : 10.115.1.10
Auto discovered : No
SN belongs to SNG : SNG-APPQOE
Current status of SN : Alive
System IP : 10.1.90.2
Site ID : 90
Time current status was reached : Sat Apr 6 07:26:16 2024
Cluster protocol VPATH version : 2 (Bitmap recvd: 3)
Cluster protocol incarnation number : 1
Cluster protocol last sent sequence number : 1714282683
Cluster protocol last received sequence number: 1931795
Cluster protocol last received ack number : 1714282682
Health Markers:
AO Load State
tcp GREEN 0%
ssl RED/NOT AVAILABLE
dre GREEN 0%
http RED/NOT AVAILABLE
utd chnl RED/NOT AVAILABLEDC/ハブESN
ESN# show sdwan appqoe dreopt status
DRE ID : 52:54:dd:c3:40:17-018eb15f4fc3-49ee2d0f
DRE uptime : 04:11:28:50
Health status : GREEN
Health status change reason : None
Last health status change time : 04:11:28:50
Last health status notification sent time : 1 second
DRE cache status : Active
Disk cache usage : 2%
Disk latency : 10 ms
Active alarms:
None
Configuration:
Profile type : S
Maximum connections : 750
Maximum fanout : 35
Disk size : 60 GB
Memory size : 2048 MB
CPU cores : 1
Disk encryption : ON
ESN# show sdwan appqoe flow active
T:TCP, S:SSL, U:UTD, D:DRE
Flow ID VPN ID Source IP Port Destination IP Port Tx Bytes Rx Bytes Services
--------------------------------------------------------------------------------------------------------------
20022800299 1 10.107.1.10 55340 10.109.1.10 80 2998777 1074725760 TD
ESN# show sdwan appqoe dreopt statistics
Total connections : 4
Max concurrent connections : 1
Current active connections : 1
Total connection resets : 0
Total original bytes : 4294 MB
Total optimized bytes : 1634 MB
Overall reduction ratio : 61%
Disk size used : 2%
Cache details:
Cache status : Active
Cache Size : 59132 MB
Cache used : 2%
Oldest data in cache : 01:22:04:08
Replaced(last hour): size : 0 MB
検証 – ダッシュボード
SD-WAN ManagerデバイスダッシュボードでAppQoE DREデータを表示するには、次の点を確認します。
- コントローラとデバイスの時刻は、ネットワークタイムプロトコル(NTP)を設定することで同期されます。 また、
Clock setコマンドを使用して、クロックを手動で設定することもできます。 - デバイス設定(ISN/SC/ESN)に次のCLIを追加します。
policy ip visibility features multi-sn enable
policy ip visibility features dre enable
policy ip visibility features sslproxy enable - (for SSL traffic)
注:これらのダッシュボードを表示するには、オンデマンドトラブルシューティングを有効にする必要があります。ここに示すダッシュボード画面には、リアルタイムの情報は表示されないことに注意してください。
最新のデータを取得するには、Tools > On Demand Troubleshootingに移動し、適切なデバイスを選択して、Data Typeとして「DPI」を選択し、次に示すように、過去3時間のDPI統計情報を取得できます。
ブランチISN
約900 MBのデータがダウンロードされました(3個の200 MBファイルと3個の100 MBファイル) – オリジナルトラフィック(黄色)。
最適化により、WAN経由で送信されるトラフィックは8.07 MBのみとなり、帯域幅使用量は約90 %削減されました。Optimized Traffic(BLUE)。
DC/ハブSC
複数のESNが存在する場合は、Controllerタブに累積データが表示され、Service Nodetabに個々のESNデータが表示されます。
DC/ハブESN
LOAD計算
例:
たとえば、TCP最適化でサポートされる最大セッション数は= 40000です。
(最大セッションの値は、サービスノードのshow sdwan appqoe rm-resources CLI出力で確認できます)。
Max sessionsの値はデバイス固有であることに注意してください。
40000/16 = 2500、各ブロックのサイズ。
現在のセッション数が3000の場合は、2番目のブロックに入ります。
LOAD = (2/16) x 100 = 12 % (小数点なし)。
DREおよびSSLプロキシについても同じです。対応する最大セッションの値が、計算の対象となります。
Router#show sdwan appqoe rm-resources
==========================================================
RM Resources
==========================================================
RM Global Resources :
Max Services Memory (KB) : 12221390
Available System Memory(KB) : 0
Used Services Memory (KB) : 24442780
Used Services Memory (%) : 0
System Memory Status : GREEN
Num sessions Status : GREEN
Overall HTX health Status : GREEN
Registered Service Resources :
TCP Resources:
Max Sessions : 40000
Used Sessions : 0
Memory Per Session : 64
SSL Resources:
Max Sessions : 40000
Used Sessions : 0
Memory Per Session : 50
DRE Resources:
Max Sessions : 22000
Used Sessions : 0
Memory Per Session : 50
HTTP Resources:
Max Sessions : 0
Used Sessions : 0
Memory Per Session : 0
現在の接続数がMaxセッションの約95 %に達すると、サービスノードはFULL(黄色のステータス)としてマークされ、このサービスノードの新しいフローに対してAppQoEがバイパスされます。
パフォーマンスと拡張性
1. Catalyst 8000エッジプラットフォームファミリ、ASR1000およびISR4000 SD-WAN TCP最適化およびDREパフォーマンスとスケール
2. Cisco 8000シリーズセキュアルータSD-WAN TCP最適化& DREパフォーマンスおよびスケール
FAQ
Q:ファイル転送アプリケーションでは、SOAP over HTTPを使用し、WS-Security(WSS)がメッセージレベルで適用されています。
DREはこのシナリオでも有効ですか。または、WSSを使用したメッセージレベルの暗号化には根本的な互換性がないのですか。
A: WSセキュリティではTLSレベルの暗号化は使用されません。したがって、DREでは機能しません。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
13-Aug-2025
|
「LOAD value calculation, FAQ, Link to Performance and Scale」を追加。 |
1.0 |
30-Apr-2024
|
初版 |
フィードバック