この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Catalyst SD-WANエンタープライズオーバーレイネットワーク、トラッカーの使いやすさ、およびユースケースについて説明します。
Catalyst SD-WANエンタープライズオーバーレイネットワークは、通常、外部の多様なワークロード、アプリケーション、およびサービスと相互に作用し、クラウド、データセンター/ハブ、またはリモートブランチに配置されます。SD-WANコントロールプレーンは、スケーラブルな方法でオーバーレイ上でこれらのサービスに向けてルートをアドバタイズする役割を担います。重要なアプリケーションやサービスが特定のパスで到達不能になる状況では、ネットワークオペレータは通常、これらのイベントを検出し、ユーザトラフィックをより適切なパスにリダイレクトして、無期限のトラフィックのブラックホール化を防ぐ必要があります。これらのタイプのネットワーク障害を検出して修正するために、Catalyst SD-WANコントロールプレーンはトラッカーを利用して外部サービスの状態を監視し、必要に応じてルーティングを変更します。
トラッカーは、特定のエンドポイントに向けてプローブパケットを送信し、対象モジュールにエンドポイントの到達可能性ステータスの変更(アップまたはダウン)を通知するコントロールプレーンの到達可能性検出メカニズムです。トラッカーは、ネイティブのCisco IOS-XE® IP SLA機能のスケーラブルでハイレベルな抽象化として設計されており、さまざまなプローブ(HTTP、ICMP、DNSなど)を形成できます。 トラッカーがクライアントモジュールにステータスの変更を通知すると、そのモジュールは、ルートまたはルートのセットのインストールまたはアンインストールなど、トラフィックのブラックホールを防ぐために適切なアクションを実行できます。 SD-WANとSD-Routingソリューションの両方におけるトラッカーの現在のアプリケーションには、DIA(Direct Internet Access)トラッカー、SIG(Secure Internet Gateway)トラッカー、サービストラッカー、スタティックルートトラッカー、トラッカーグループなどが含まれますが、これらに限定されません。
サービス障害に対して復元力のある可用性の高いネットワークを構築するには、トラッカー構成/モデルの各タイプを使用するタイミングを理解することが重要です。この記事の目的は、トラッカーの各タイプが使用される場所と方法を説明することです。ここでは、各種トラッカー、各トラッカーの主な使用例、および各ソリューションを実装するための基本設定ワークフローについて説明します。 最後に、Cisco IOS-XE®のトラッカーに関する一般的な注意事項について説明します。
この記事では、さまざまなユースケースに対処するエンドポイントトラッカー(SD-WANおよびSD-Routing固有)とオブジェクトトラッカー(ネイティブIOS-XE)の違いを示します。
この表は、Cisco Catalyst SD-WANソリューションで使用可能なすべてのタイプのトラッカーの概要を示しています。
上の表から、トラッカーを分類できる4つの領域があります。それは、トラッカーの関連付け、トラッカーのOS、トラッカーの配置、およびトラッカーアプリケーションです。次のセクションでは、各分類について説明します。
エンドポイントトラッカーおよびゲートウェイトラッキング機能は、いずれもコントローラモード(SD-WAN)の使用を目的としていますが、オブジェクトトラッカーは自律モード(SDルーティング)の使用を目的としています。
3.トラッカー配置:この分類は、トラッカーが構成される場所を記述します。現在、Cisco Catalyst SD-WANでは、インターフェイス、スタティックルート、またはサービスへのトラッカーの適用がサポートされています。
4.トラッカーアプリケーション:この分類は、Cisco Catalyst SD-WANでサポートされる使用例と機能の概要を説明します。トラッカーには多数のアプリケーション領域がありますが、そのうちのいくつかは、Direct Internet Access(DIA)、Secure Internet Gateway(SIG)、Secure Service Edge(SSE)、サービス側VPNトラッキングなどがあります。
次に、Cisco Catalyst SD-WANエッジ(cEdgeまたはvEdgeとも呼ばれます)での複数の使用例に対する、サービス/トランスポートVPNを通過するトラッカープローブのトラフィックを視覚的に示します。
設定グループの使用中は、エンドポイントトラッカーという用語がトラッカーに置き換えられました。従来の設定では、前の分類チャートで示したように、古い用語が引き続き使用されます。
ゲートウェイトラッキングは、Cisco Catalyst SD-WANで、トランスポート側のVPNのSD-WANエッジプラットフォームで設定された任意またはすべてのデフォルトスタティックルートに対して使用される、暗黙的なトラッキング方式です。デフォルトでは、Catalyst SD-WAN Managerの基本システムプロファイル設定(Track Default Gateway)で有効になっています。これにより、トランスポートVPNの各デフォルトスタティックルートで指定されているネクストホップアドレスを継続的に監視し、ネクストホップへの到達可能性に障害が発生した場合にリンク/ルートのフェールオーバーを保証できます(ゲートウェイとも呼ばれます。そのため、gateway-trackingという名前になります)。 ゲートウェイトラッキングの詳細については、設定ガイドを参照してください。
ここで使用されるプローブのタイプは、ARP要求の不明なユニキャストのフラッディングされたパケットです。使用される間隔は次のとおりです。
ゲートウェイトラッキングとともに、SD-WANエッジの転送トラッキングも使用して、ローカルデバイスとCisco Catalyst SD-WAN Validator間のルーテッドパスをチェックします。これは、ICMPプローブを定期的な3秒の間隔で使用することで実行されます。これは、SD-WANシステムコンフィギュレーションモードで「track-transport」キーワードを使用して設定します。これは、それぞれのWANエッジからCisco Catalyst SD-WANバリデータへのDTLS接続を定期的に監視するのに役立ちます。トランスポートトラッキングの詳細については、設定ガイドを参照してください。
ゲートウェイトラッキングは、トランスポートVPNまたはグローバルルーティングテーブル(GRT)に属するすべてのスタティックデフォルトルートについて、SD-WAN上でデフォルトで暗黙的に設定される機能です。 この機能の使用は、必ずしもManagerテンプレートの設定の観点から始まるものではありませんが、オプション#3、#81などを指定してDHCPサーバを使用するシナリオでは、受信または取得したデフォルトスタティックルートから発展する可能性もあります。
Cisco Catalyst SD-WANでデフォルトで適用:
!
system
track-transport
track-default-gateway
!
レガシーの設定および設定グループに従って、これを確認する方法を次に示します。
Service Insertion 1.0 Trackingは20.3/17.3リリースで導入され、サービスアドレス(またはフォワーディングアドレス)が到達可能または使用可能であることを確認するための機能です。この情報は、エッジがコントロール/データポリシーからネクストホップ情報を動的に追加または取り消すのに役立ちます。Service Insertion 1.0の設定では、サービスアドレスに対するトラッカー(トラッキングアドレス)がデフォルトで有効になっています。これに基づいて、フォワーディングアドレスとサービスアドレスは1.0で同じです。サービストラッカーがサービスで自動的に設定されていても、これらのトラッカーを無効にするには、no track-enableコマンドを使用するか、または設定グループ/レガシー設定のトラッカーノブを無効にします。Service Insertion 1.0のサービスに関連するトラッカーでは、これらのみが2つの可能な操作(イネーブル/ディセーブル)であるため、これ以上調整できるパラメータ(しきい値、乗数、間隔など)はありません。 ここで使用されるプローブのタイプは、ICMPエコー要求パケットです。
Service insertion 1.0のトラッキングの詳細については、設定ガイドを参照してください。 Service insertion 1.0(SPE)トラッキングで使用されるデフォルトの間隔は次のとおりです。
Service Fabric 2.0のトラッキングは、20.13/17.13リリース以降で導入されたCisco Catalyst SD-WANのService Insertion 2.0機能の一部として提供されています。この新しいバリアントのサービス挿入では、設定プロファイルとテンプレートで使用されるデフォルトの方式に、rx/txインターフェイスごとのservice-HAペアの各定義済みサービスアドレス(または転送アドレス)を指す暗黙的なトラッカーが依然として存在します。ただし、Service Fabric 2.0では、フォワーディングアドレスをトラッキングアドレスから分割できるようになりました。これは、サービスアドレス自体とは異なるエンドポイントアドレスを追跡する別のエンドポイントトラッカーを定義するだけで簡単に実行できます。この項は、次の項でさらに詳しく説明します。
サービストラッカーの主な使用例は、サービスの到達可能性のスケーラブルなモニタリング、特にサービスチェーンのモニタリングです。サービスチェーンは、複数のVPNで構成されるネットワークに導入できます。各VPNは異なる機能または組織を表し、VPN間のトラフィックがファイアウォールを通過するようにします。たとえば、大規模なキャンパスネットワークでは、部門間トラフィックはファイアウォールを通過し、部門内トラフィックは直接ルーティングできます。サービスチェーンは、Payment Card Industry Data Security Standard(PCI DSS)など、オペレータが規制コンプライアンスを満たす必要があるシナリオで見られます。PCIトラフィックは、一元化されたデータセンターまたは地域ハブのファイアウォールを通過する必要があります。
設定は、SD-WANにService Insertion 1.0をセットアップする通常のワークフローと同じです。Service Insertion 1.0 Trackerは、すべてのサービスアドレスに対してデフォルトで有効になっています。
1. Add Serviceボタンをクリックします。
2. サービスタイプを選択します。
3. サービスアドレスを登録します(最大4個。カンマで区切ります)。
4. トラッキングノブが有効になっていることを確認します(デフォルト)。 これは、必要に応じて無効にすることができます。
1. New Serviceボタンをクリックします
2. サービスタイプを選択します。
3. サービスアドレスを登録します(最大4個。カンマで区切ります)。
4. トラッキングノブが有効になっていることを確認します(デフォルト)。 これは、必要に応じて無効にすることができます。
注:ステップ3が(設定グループまたはレガシー設定から)設定された瞬間に、トラッカーは自動的に様々な定義済みサービスアドレスに対して開始されます
CLIの観点からは、Service Insertion 1.0の設定は次のようになります。
!
sdwan
service firewall vrf 1
ipv4 address 10.10.1.4
!
検証の手順は、前のセクションで使用したインターフェイスベースのエンドポイントトラッカーの一部として実行される同様の手順に拡張されます。
明示的に設定されたエンドポイントトラッカーには、2つの検証オプションがあります。
Individual Trackerで確認し、設定したトラッカー名に基づいて、トラッカーの統計情報(トラッカーのタイプ、ステータス、エンドポイント、エンドポイントのタイプ、VPNインデックス、ホスト名、ラウンドトリップ時間)を表示します。
トラッカーでフラップが検出されると、このセクションの各ログに、ホスト名、アタッチポイント名、トラッカー名、新しい状態、アドレスファミリ、VPN IDなどの詳細が入力されます。
EdgeのCLIで次のコマンドを実行します。
Router#show endpoint-tracker
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
1:1:9:10.10.1.4 1:10.10.1.4 Up IPv4 1 5 10.10.1.4
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
1:10.10.1.4 10.10.1.4 IP 300 3 60 service
Router#show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*5 icmp-echo 10.10.1.4 RTT=1 OK 51 seconds ago
NAT DIA Endpoint Trackerトラッカーは、主にSD-WANエッジプラットフォーム上のNAT DIAインターフェイス経由のアプリケーションの到達可能性を監視するために指定されます。
Direct Internet Access(DIA;ダイレクトインターネットアクセス)の使用例では、NAT DIAトラッカーは主にトランスポート側のインターフェイスを追跡し、別の利用可能なトランスポート側のインターフェイスまたはSD-WANオーバーレイトンネル(データポリシーを使用)へのフェールオーバーをトリガーするために使用されます。 この機能は20.3/17.3リリース以降で導入され、NATフォールバック機能オプションは20.4/17.4リリースから使用可能です。トラッカーがNAT DIAインターフェイスを介してローカルインターネットが利用できないと判断した場合、ルータはサービスVPNからNATルートを取り消し、ローカルルーティング設定に基づいてトラフィックを再ルーティングします。トラッカーは、インターフェイスへのパスのステータスを定期的にチェックし続けます。パスが再び機能していることを検出すると、ルータはインターネットへのNATルートを再インストールします。 DIA Trackerの詳細については、設定ガイドを参照してください。
トラッカー定義では、NAT DIAインターフェイス経由で到達可能なエンドポイントのIPアドレスを指定するか(「endpoint-ip」として設定)、エンドポイントに完全修飾ドメイン名(FQDN)を提供するか(「endpoint-dns-name」として設定)を選択できます。
ここで使用されるプローブのタイプはHTTP要求パケットで、HTTP API要求のPDUスタックに非常によく似ています。使用される間隔は次のとおりです。
DIAは、インターネットに向かうブランチトラフィックをデータセンターにバックホールすることを避けるために、ブランチサイトでの最適化として導入されることがよくあります。しかし、ブランチサイトのDIAを使用する場合は、NAT DIAルートに沿った到達可能性が欠如していても、ブラックホール化とサービス停止を回避するために代替パスにフォールバックする必要があります。ローカルDIAブレークアウト障害時に(NATフォールバックを使用したSD-WANオーバーレイ経由で)DCへのフォールバックを使用するサイト用。これらのインターフェイスベースのエンドポイントトラッカーをブランチ側のエッジにあるDIA対応インターフェイスで活用して、障害を検出し、バックアップ/DCパスへのフェールオーバーを開始します。これにより、DIAを使用してインターネットトラフィックを最適化しながら、企業の中断を最小限に抑えながら、インターネットサービスの高可用性を実現できます。
この機能セットを有効にするには、これらのインターフェイスベースのエンドポイントトラッカーを手動で設定する必要があります。ユーザが希望する設定方法のタイプに応じて、設定方法を次に示します。
1. エンドポイントトラッカー名を定義します。
2. エンドポイントトラッカーの種類(HTTP-defaultとICMPの間)を選択します。
注:ICMPエンドポイントトラッカーのタイプは、20.13/17.13リリース以降で導入されています。
3. エンドポイントを選択します(エンドポイントIPデフォルトとエンドポイントDNS名の間)。
注:Endpoint DNS Nameを選択した場合は、Transport VPN/VRFでTransport VPN設定プロファイルを使用して、有効なDNSサーバまたはネームサーバが定義されていることを確認してください。
4. トラッカープローブの送信先のアドレスまたはDNS名(FQDN)を入力します(形式は前の手順によって異なります)。
5. (オプション)プローブ間隔(デフォルト= 60秒)と再試行回数(デフォルト= 3回)を変更して、障害検出時間を短縮できます。
ステップ 1:インターフェイスベースのエンドポイントトラッカーの定義:設定>テンプレート>機能テンプレート>システムテンプレート>トラッカーセクション:
1. TrackerサブセクションでNew Endpoint Trackerボタンを選択します。
2.エンドポイントトラッカー名を定義します。
3. ここではDIAの使用例が問題となるため、インターフェイスとして(interface-defaultとstatic-routeの間の)Tracker Typeを選択します。
4. エンドポイントのタイプ(IP Address-defaultとDNS名の間)を選択します。
5. トラッカープローブの送信先のエンドポイントIPアドレスまたはエンドポイントDNS名を入力します(形式は前の手順によって異なります)。
6. (オプション)プローブのしきい値(デフォルト= 300ミリ秒)、間隔(デフォルト= 60秒)、およびマルチプレクサ(デフォルト= 3回)を変更できます。
ステップ 2:Interface-Based Endpoint TrackerをトランスポートVPNのインターフェイスに適用します(Templates > Feature Templates > Cisco VPN Interface Ethernet > Advancedセクション)。
1.前のステップ1で定義したEndpoint Trackerの名前をTrackerフィールドに入力します。
CLIの観点からは、設定は次のようになります。
(i) IP Address Endpoint :
!
endpoint-tracker t22
tracker-type interface
endpoint-ip 8.8.8.8
!
interface GigabitEthernet1
endpoint-tracker t22
end
!
(ii) DNS Name Endpoint :
!
endpoint-tracker t44
tracker-type interface
endpoint-dns-name www.cisco.com
!
interface GigabitEthernet1
endpoint-tracker t44
end
!
明示的に設定されたエンドポイントトラッカーには、2つの検証オプションがあります。
Individual Trackerで確認し、設定したトラッカー名に基づいたトラッカーの統計情報(トラッカーのタイプ、ステータス、エンドポイント、エンドポイントのタイプ、VPNインデックス、ホスト名、ラウンドトリップ時間)を表示します。
トラッカーでフラップが検出されると、このセクションの各ログに、ホスト名、アタッチポイント名、トラッカー名、新しい状態、アドレスファミリ、VPN IDなどの詳細が入力されます。
EdgeのCLIで次のコマンドを実行します。
Router#show endpoint-tracker interface GigabitEthernet1
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
GigabitEthernet1 t22 Up IPv4 2 2 172.21.30.2
Router#sh ip sla sum
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*2 http 8.8.8.8 RTT=4 OK 56 seconds ag
o
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
t22 8.8.8.8 IP 300 3 60 interface
t44 www.cisco.com DNS_NAME 300 3 60 interface
エンドポイントトラッカーがSIGトンネル/SSEのユースケースに使用されている場合、主に企業がクラウドベースのセキュリティスタックの提供を求めていることを示しています。これは、Secure Internet Gateway(SIG)またはSecure Service Edge(SSE)プロバイダー(Cisco、Cloudflare、Netskope、ZScalarなど)を利用することで、簡単に利用できるようになりつつあります。SIGトンネルとSSEはどちらも、クラウドセキュリティ導入モデルの一部として提供され、ブランチはクラウドを使用して必要なセキュリティソリューションを提供します。SIGトンネルのユースケースは、Cisco Catalyst SD-WANをそのようなSIGプロバイダー(20.4/17.4リリース以降)と統合する最初の製品でしたが、クラウド提供のセキュリティオファリングの進化に伴い、Cisco(Cisco Secure Access経由)やZScalarなどのプロバイダーのユースケースをカバーするために、SSEのユースケース(20.13/17.13リリース以降)が導入されました。
IT部門は、保護と接続を俊敏性を高めるために、信頼性の高い明確なアプローチを必要としています。現在では、Microsoft 365やSalesforceなどのクラウドアプリケーションへの直接アクセスをリモート従業員に提供して、セキュリティを強化することが一般的になっています。請負業者、パートナー、Internet of Things(IoT)デバイスなどがネットワークアクセスを必要としているため、クラウドで提供されるネットワーキングとセキュリティに対する需要は日々拡大しています。 クラウドエッジにおいて、エンドデバイスにより近いネットワーク機能とセキュリティ機能の統合は、Cisco SASEと呼ばれるサービスモデルとして知られています。Cisco SASEは、クラウドで提供されるネットワーキング機能とセキュリティ機能を組み合わせて、いつでもどこからでも、すべてのユーザやデバイスにアプリケーションへの安全なアクセスを提供します。 Secure Service Edge(SSE)は、組織が作業環境のセキュリティを向上させると同時に、エンドユーザとIT部門の複雑さを軽減できるようにするネットワークセキュリティアプローチです。 SIGトンネル/SSEトラッカーの詳細については、設定ガイドを参照してください。
このようなインターフェイスベースのエンドポイントトラッカーは、よく知られたSaaSアプリケーションURLエンドポイントや特定のURLエンドポイントに関する情報を追跡する必要がある、SIGトンネル/SSEのユースケースで使用されます。現在、SSEアーキテクチャはSSEコア機能とSD-WAN機能に分割されているため、SSEの方がより一般的に使用されるシナリオとなっています。次に、サイト(この場合はDC)から作成されたIPSecトンネル内で、アクティブまたはスタンバイのロールを選択します。 ユーザは、該当するトンネルインターフェイスの下にトラッカーを接続するかどうかを選択できます。
Cisco Secure Access(シスコによる)などのSSEプロバイダーの場合、デフォルトで設定されている暗黙のエンドポイントトラッカーが使用されます。ただし、ユーザは、カスタムエンドポイントトラッカーを作成し、それをIPSecトンネルインターフェイスに接続するかどうかを選択できます。SSEで使用されるdefault/implicit endpoint trackerのパラメータは次のとおりです。
Cisco SSEの場合:
トラッカー名: DefaultTracker
追跡中のエンドポイント:http://service.sig.umbrella.com
エンドポイントの種類: API_URL
しきい値:300ミリ秒
乗算: 3
間隔:60秒
Zscaler SSEの場合:
トラッカー名: DefaultTracker
追跡中のエンドポイント:http://gateway.zscalerthree.net/vpnte
エンドポイントの種類: API_URL
しきい値:300ミリ秒
乗数: 3
間隔:60秒
SIGトンネルの場合、デフォルト/暗黙的なエンドポイントトラッカーは定義されていません。したがって、SIGプロバイダークラウドに向かうIPSecトンネルインターフェイスを追跡する場合、ユーザはインターフェイスベースのエンドポイントトラッカーを手動で設定する必要があります。
SSEプロバイダーの場合、ユーザはエンドポイントトラッカーを明示的に定義する必要はありません(必要な場合を除く)。 ただし、ワークフローは設定のタイプによって異なります。
前提条件として、SIG/SSEクレデンシャルをAdministration > Settings > External Services > Cloud Credentialsの順に定義する必要があります。
1. Cloud Provider Credentialsで、UmbrellaまたはCisco SSE(あるいはその両方)のオプションを切り替えます。
2. パラメータ(組織ID、APIキー、シークレットなど)を定義します。
Set configuration group Configuration > Policy Groups > Secure Internet Gateway/Secure Service Edgeの順に選択します。
1. Add Secure Internet GatewayまたはAdd Secure Service Edgeをクリックします。
2. 名前と説明を定義します。
3. SIG/SSE Providerの下にあるオプションボタンを1つ選択します(UmbrellaまたはCisco SSE)。
4. Trackerセクションで、トラッカープローブの送信元に使用する送信元IPアドレスを定義します。
5. 明示的/カスタムエンドポイントトラッカーを定義することを選択した場合は、トラッカーの追加をクリックし、エンドポイントトラッカーのパラメータ(名前、エンドポイントのAPI URL、しきい値、プローブ間隔、および乗数)を入力します。
6. Configurationセクションで、パラメータ(Interface Name、Description、Tracker、Tunnel Source Interface、Datacenter Primary/Secondaryなど)を定義できるトンネルインターフェイスを作成します。
注:ステップ6では、ユーザに対して、定義されたエンドポイントトラッカーを各IPSecトンネルに接続するオプションが提供されます。これはオプションのフィールドです。
7. High Availabilityセクションで、インターフェイスペアを作成し、アクティブインターフェイスとバックアップインターフェイスを、それぞれの重みとともに定義します。次に、上記の設定済みポリシーグループを関連するエッジに適用します。
レガシー設定を設定します。Configuration > Templates > Feature Templates > Cisco Secure Internet Gateway feature template:
1. SIG Providerの下にあるラジオボタンの1つ(Umbrella、ZScalar、またはGeneric)を選択します。
2. [Tracker (BETA)]セクションで、トラッカープローブの送信元として使用する送信元IPアドレスを定義します。
5. 明示的/カスタムエンドポイントトラッカーを定義することを選択した場合は、[新しいトラッカー]をクリックし、エンドポイントトラッカーのパラメータ(名前、エンドポイントのAPI URL、しきい値、間隔、および乗数)を入力します。
6. Configurationセクションで、Add Tunnelをクリックしてトンネルインターフェイスを作成します。トンネルインターフェイスでは、パラメータ(Interface Name、Description、Tracker、Tunnel Source Interface、Datacenter Primary/Secondaryなど)を定義できます。
注:ステップ6では、定義されたエンドポイントトラッカーを各IPSecトンネルに接続するオプションがユーザに提供されます。これはオプションのフィールドです。
7. High Availabilityセクションで、アクティブインターフェイスとバックアップインターフェイスを、それぞれの重みとともに定義します。
CLIの観点からは、設定は次のようになります。
(i) For the default interface-based endpoint tracker applied with SSE
!
endpoint-tracker DefaultTracker
tracker-type interface
endpoint-api-url http://service.sig.umbrella.com
!
interface Tunnel16000101
description auto primary-dc
ip unnumbered GigabitEthernet1
ip mtu 1400
endpoint-tracker DefaultTracker
end
!
(ii) For the custom interface-based endpoint tracker (can be applied in SIG & SSE use-cases)
!
endpoint-tracker cisco-tracker
tracker-type interface
endpoint-api-url http://www.cisco.com
!
interface Tunnel16000612
ip unnumbered GigabitEthernet1
ip mtu 1400
endpoint-tracker cisco-tracker
end
!
明示的に設定されたエンドポイントトラッカーの検証オプションがあります。
Individual Trackerで確認し、設定したトラッカー名に基づいて、トラッカーの統計情報(トラッカーのタイプ、ステータス、エンドポイント、エンドポイントのタイプ、VPNインデックス、ホスト名、ラウンドトリップ時間)を表示します。
トラッカーでフラップが検出されると、このセクションのそれぞれのログに、ホスト名、アタッチポイント名、トラッカー名、新しい状態、アドレスファミリ、およびVPN IDなどの詳細が記録されます。
EdgeのCLIで次のコマンドを実行します。
Router#show endpoint-tracker interface Tunnel16000612
Interface Record Name Status Address Family RTT in msecs Probe ID Nex
t Hop
Tunnel16000612 cisco-tracker Up IPv4 26 31 None
Router#show endpoint-tracker interface Tunnel16000101
Interface Record Name Status Address Family RTT in msecs Probe ID Nex
t Hop
Tunnel16000101 DefaultTracker Up IPv4 1 1059 None
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(
s) Tracker-Type
DefaultTracker http://gateway.zscalerthree.net/vpnte API_URL 300 3 60
interface
cisco-tracker http://www.cisco.com API_URL 300 3 60
interface
20.13/17.13リリースで導入されたService Fabric 2.0トラッキングは、Service Insertion 1.0トラッキングの拡張バリアントです。このリリースでは、ユーザがトラッカーをより大きくカスタマイズできるようになっています。デフォルトの動作は、以前のバージョンのService Insertion(1.0)から維持され、rx/txごとのservice-HAペアの各サービスアドレス(または転送アドレス)の定義を使用して、デフォルトでトラッカーが開始されます。ただし、Service Insertion 2.0では、トラッキングアドレス(トラッキング対象のIP/エンドポイント)をフォワーディングアドレス(通常はサービスアドレス)から分離できます。 これは、VPNレベルで定義されたカスタムエンドポイントトラッカーを使用して行われます。 Service Fabric 2.0トラッカーの詳細については、構成ガイドを参照してください。
デフォルトのトラッカーを使用する場合、トラッカープローブの仕様は次のようになります。
ユーザーがカスタムトラッカーを使用することを選択した場合、トラッカープローブの仕様は次のようになります。
前のセクションで説明したService Insertion 1.0の使用例もここでも適用されます。
サービス挿入2.0のワークフローベースの設定がサポートされています。これはウィザードによるアプローチであり、標準的な設定グループのワークフロー手順に従いながら、ユーザエクスペリエンスを簡素化するのに役立ちます。
1. Configuration > Service Insertion > Service Chain DefinitionsセクションでService Chain - Configurationグループを定義します。
a. Add Service Chain Definitionボタンをクリックします。
b.サービスの名前と説明の詳細を入力します。
c.ドロップダウンから選択して、リスト形式のサービスタイプを入力します。
2. Configuration > Service Insertion > Service Chain ConfigurationsセクションでService Chain Instance - Configurationグループを定義します。
a. Add Service Chain Configurationをクリックします。
b. Service Chain Definitionステップで、Select Existingというタイトルのオプションボタンを選択し、以前に定義したサービスを選択します。
c. サービスチェーンコンフィギュレーションの開始ステップの名前と説明を入力します。
d. Service Chain Configuration for Manually Connected Servicesステップで、Service Chain VPN-IDを選択します。
e.次に、サービスチェーンインスタンス(サブタブで表示)で定義されている各サービスについて、サービス詳細で接続タイプ(IPv4、IPv6、またはトンネル接続)を指定します。
f. Advancedチェックボックスを選択します。アクティブバックアップ/HAのユースケースが必要な場合(バックアップノブのパラメータ追加も有効にする)、またはカスタムエンドポイントトラッカーを定義する必要がある場合(カスタムトラッカノブも有効にする)でも同様です。
g.出力(tx)トラフィックが1つのインターフェイスを介してサービスに向かい、サービスからのリターントラフィックが別のインターフェイスを介して入力(rx)されるシナリオの場合は、サービスからのトラフィックは別のインターフェイスで受信されますノブをオンにします。
h. AdvancedおよびCustom Trackerノブを有効にして、サービスIPv4アドレス(フォワーディングアドレス)、SD-WANルータインターフェイス(サービスの接続先)、およびトラッカーエンドポイント(トラッキングアドレス)を定義します。 間隔や乗数などのカスタムトラッカーパラメータを変更することもできます([編集]ボタンをクリックします)。
i.その後に定義する各サービスについて、手順(e)、(f)、(g)および(h)を繰り返します。
3. Configuration > Configuration Groups > Service Profile > Service VPN > Add Feature > Service Chain Attachment Gatewayの下で、Service Chain InstanceをEdge - Configurationグループの設定プロファイルに接続します。
a.このService Chain Attachment Gatewayパーセルの名前と説明を入力します。
b.以前に定義したサービスチェーン定義を選択します(ステップ1)。
c.ステップ2で実行した詳細を再度追加/確認します。トラッカーの定義に関しては、前の手順2との唯一の違いは、トラッカー名を指定する機会が得られ、トラッカータイプも選択できることです(service-icmpからipv6-service-icmpまで)。
CLIの観点からは、設定は次のようになります。
!
endpoint-tracker tracker-service
tracker-type service-icmp
endpoint-ip 10.10.1.4
!
service-chain SC1
service-chain-description FW-Insertion-Service-1
service-chain-vrf 1
service firewall
sequence 1
service-transport-ha-pair 1
active
tx ipv4 10.10.1.4 GigabitEthernet3 endpoint-tracker tracker-service
!
Individual Trackerで確認し、設定したトラッカー名に基づいて、トラッカーの統計情報(トラッカーのタイプ、ステータス、エンドポイント、エンドポイントのタイプ、VPNインデックス、ホスト名、ラウンドトリップ時間)を表示します。
トラッカーでフラップが検出されると、このセクションのそれぞれのログに、ホスト名、アタッチポイント名、トラッカー名、新しい状態、アドレスファミリ、およびVPN IDなどの詳細が記録されます。
EdgeのCLIで次のコマンドを実行します。
Router#show endpoint-tracker
Interface Record Name Status Address Family RTT in msecs Probe ID Next Hop
1:101:9:tracker-service tracker-service Up IPv4 10 6 10.10.1.4
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
tracker-service 10.10.1.4 IP 300 3 60 service-icmp
Router#show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*6 icmp-echo 10.10.1.4 RTT=1 OK 53 seconds ago
Router#show platform software sdwan service-chain database
Service Chain: SC1
vrf: 1
label: 1005
state: up
description: FW-Insertion-Service-1
service: FW
sequence: 1
track-enable: true
state: up
ha_pair: 1
type: ipv4
posture: trusted
active: [current]
tx: GigabitEthernet3, 10.10.1.4
endpoint-tracker: tracker-service
state: up
rx: GigabitEthernet3, 10.10.1.4
endpoint-tracker: tracker-service
state: up
2つ目のタイプのエンドポイントトラッカーは、スタティックルートベースのエンドポイントトラッカーと呼ばれます。名前が示すように、これらのタイプのトラッカーは主に、サービス側VPNで定義されたスタティックルートのネクストホップアドレスを追跡するために使用されます。デフォルトでは、「接続」および「スタティック」ルートタイプはすべてOMPプロトコルにアドバタイズされます。その後、それぞれのサービスVPNを含むすべてのリモートサイトがその宛先プレフィックス(ネクストホップは発信元サイトのTLOCを指す)を認識します。 発信側サイトは、特定のスタティックルートが開始されたサイトです。
ただし、スタティックルートのネクストホップアドレスが到達不能になった場合、ルートはOMPにアドバタイズされるのを停止しません。これにより、発信元サイト宛てのフローに対してトラフィックがブラックホール化する問題が発生します。このため、ネクストホップアドレスが到達可能な場合にだけスタティックルートをOMPにアドバタイズできるように、スタティックルートにトラッカーを接続する必要があります。この機能は、基本的なIPアドレスタイプのスタティックルートベースのエンドポイントトラッカー用に20.3/17.3リリースで導入されました。20.7/17.7リリース以降では、トラッカープローブをネクストホップIPアドレスの特定のTCPポートまたはUDPポートにのみ送信する機能がサポートされるようになりました(ファイアウォールを使用してトラッキング目的でのみ特定のポートを開く場合)。 スタティックルートトラッカーの詳細については、設定ガイドを参照してください。
ここで使用されるプローブのタイプは、単純なICMPエコー要求パケットです。使用される間隔は次のとおりです。
このタイプのスタティックルートベースのエンドポイントトラッカーは、スタティックルートのネクストホップアドレスのサービス側トラッキングに使用されます。このような一般的なシナリオの1つは、アクティブ/スタンバイファイアウォールのペアに対応するLAN側のネクストホップアドレスを追跡することです。この場合、どの外部インターフェイスが「アクティブ」ファイアウォールの役割を果たしているかによって、外部IPアドレスが共有されます。特定のポートだけがユースケースに基づく目的で開かれているファイアウォール規則が非常に制限されていると思われる場合は、スタティックルートトラッカーを使用して、LAN側ファイアウォールの外部インターフェイスに属するネクストホップIPアドレス宛ての特定のTCP/UDPポートを追跡できます。
これらのスタティックルートベースのエンドポイントトラッカーは、この機能セットを有効にするために手動で設定する必要があります。ユーザが希望する設定方法のタイプに応じて、設定方法を次に示します。
1. 定義する新しい(エンドポイント)トラッカーの名前、説明、およびトラッカー名を入力してください。
2. ネクストホップIPアドレスだけを追跡する必要があるか(Addressオプションボタンを選択)、または特定のTCP/UDPポートだけを追跡する必要があるか(Protocolオプションボタンを選択)に応じて、エンドポイントのタイプを選択します。
3. アドレスをIPアドレス形式で入力します。また、前のステップでエンドポイントタイプとしてプロトコルを選択した場合は、プロトコル(TCPまたはUDP)とポート番号を入力します。
4. 必要に応じて、プローブ間隔、再試行回数、および遅延制限に指定されたデフォルト値を変更できます。
1. [IPv4/IPv6スタティックルートの追加]ボタンを選択します。
2. ネットワークアドレス、サブネットマスク、ネクストホップ、アドレス、ADなどの詳細を入力します。
3. Add Next Hop With Trackerボタンをクリックします。
4. ネクストホップアドレスとADを再入力し、前に作成した(エンドポイント)トラッカー名をドロップダウンリストから選択します。
1. [新しいエンドポイントトラッカー]ボタンを選択します。
2. 定義する新しい(エンドポイント)トラッカーの名前を指定します。
3. Tracker Typeオプションボタンをstatic-routeに変更します。
4. ネクストホップIPアドレスとしてエンドポイントタイプを選択します(「IPアドレス」ラジオボタンを選択)。
5. エンドポイントIPをIPアドレス形式で入力します。
6. 必要に応じて、プローブ間隔、再試行回数、および遅延制限に指定されたデフォルト値を変更できます。
1. New IPv4/IPv6 Routeボタンを選択します。
2. プレフィックス、ゲートウェイなどの詳細を入力します。
3. Add Next Hop With Trackerボタンをクリックします。
4. ネクストホップアドレス、AD(距離)を再入力し、以前に作成した(エンドポイント)トラッカー名を手動で入力します。
CLIの観点からは、設定は次のようになります。
(i) For the static-route-based endpoint tracker being used with IP address :
!
endpoint-tracker nh10.10.1.4-s10.20.1.0
tracker-type static-route
endpoint-ip 10.10.1.4
!
track nh10.10.1.4-s10.20.1.0 endpoint-tracker
!
ip route vrf 1 10.20.1.0 255.255.255.0 10.10.1.4 track name nh10.10.1.4-s10.20.1.0
!
(ii) For the static-route-based endpoint tracker being used with IP address along with TCP/UDP port :
!
endpoint-tracker nh10.10.1.4-s10.20.1.0-tcp-8484
tracker-type static-route
endpoint-ip 10.10.1.4 tcp 8484
!
track nh10.10.1.4-s10.20.1.0-tcp-8484 endpoint-tracker
!
ip route vrf 1 10.20.1.0 255.255.255.0 10.10.1.4 track name nh10.10.1.4-s10.20.1.0-tcp-8484
!
明示的に設定されたエンドポイントトラッカーの検証には、2つのエリアがあります。
1. デバイスオプションで、「エンドポイントトラッカー情報」を入力します。
2. Individual Tracker (Attach Point Name)で確認し、設定したトラッカー名に基づいたトラッカーの統計情報(トラッカーの状態、関連するトラッカーレコード名、デバイスからエンドポイントまでの待機時間、最終更新タイムスタンプ)を確認します。
トラッカーでフラップが検出されると、このセクションの各ログに、ホスト名、アタッチポイント名、トラッカー名、新しい状態、アドレスファミリ、VPN IDなどの詳細が入力されます。
EdgeのCLIで次のコマンドを実行します。
Router#sh endpoint-tracker static-route
Tracker Name Status RTT in msec Probe ID
nh10.10.1.4-s10.20.1.0 UP 1 3
Router#show track endpoint-tracker
Track nh10.10.1.4-s10.20.1.0
Ep_tracker-object
State is Up
2 changes, last change 00:01:54, by Undefined
Tracked by:
Static IP Routing 0
Router#sh endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
nh10.10.1.4-s10.20.1.0 10.10.1.4 IP 300 3 60 static-route
Router#sh ip sla summ
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID Type Destination Stats Return Last
Code Run
-----------------------------------------------------------------------
*3 icmp-echo 10.10.1.4 RTT=1 OK 58 seconds ago
EFT-BR-11#sh ip static route vrf 1
Codes: M - Manual static, A - AAA download, N - IP NAT, D - DHCP,
G - GPRS, V - Crypto VPN, C - CASA, P - Channel interface processor,
B - BootP, S - Service selection gateway
DN - Default Network, T - Tracking object
L - TL1, E - OER, I - iEdge
D1 - Dot1x Vlan Network, K - MWAM Route
PP - PPP default route, MR - MRIPv6, SS - SSLVPN
H - IPe Host, ID - IPe Domain Broadcast
U - User GPRS, TE - MPLS Traffic-eng, LI - LIIN
IR - ICMP Redirect, Vx - VXLAN static route
LT - Cellular LTE, Ev - L2EVPN static route
Codes in []: A - active, N - non-active, B - BFD-tracked, D - Not Tracked, P - permanent, -T Default Track
Codes in (): UP - up, DN - Down, AD-DN - Admin-Down, DL - Deleted
Static local RIB for 1
M 10.20.1.0/24 [1/0] via 10.10.1.4 [A]
T [1/0] via 10.10.1.4 [A]
オブジェクトトラッカーは、自律モードでの使用を目的として設計されたトラッカーです(使用例)。 これらのトラッカーの使用例は、VRRPベースのインターフェイス/トンネルトラッキングからサービスVPN NATトラッキングまでさまざまです。
VRRPトラッキングの使用例では、VRRP状態はトンネルリンクステータスに基づいて決定されます。トンネルまたはインターフェイスがプライマリVRRPでダウンしている場合、トラフィックはセカンダリVRRPに転送されます。LANセグメントのセカンダリVRRPルータがプライマリVRRPになり、サービス側トラフィックにゲートウェイを提供します。この使用例はservice-VPNにのみ適用され、SD-WANオーバーレイ(SSEの場合はインターフェイスまたはトンネル)で障害が発生した場合にLAN側のVRRPロールのフェールオーバーに役立ちます。 トラッカーをVRRPグループにアタッチするには、オブジェクトトラッカーのみを使用できます(エンドポイントトラッカーは使用できません)。 この機能は、Cisco Catalyst SD-WANエッジ用の20.7/17.7リリースから導入されました。
この場合、トラッカーによって使用されるプローブはありません。代わりに、回線プロトコルの状態を使用してトラッカーの状態(アップ/ダウン)が決定されます。 インターフェイス回線プロトコルベースのトラッカーには反応間隔がありません。インターフェイス/トンネル回線プロトコルがダウンすると、トラック状態もダウン状態になります。シャットダウンまたはデクリメントのいずれかのアクションに応じて、VRRPグループはそれに応じて再コンバージェンスします。 VRRPインターフェイストラッカーの詳細については、設定ガイドを参照してください。
VRRPベースのインターフェイストラッキングを実装するために必要な基準に基づいて、複数の使用例があります。現在サポートされている2つのモードは、(i)インターフェイス(ローカルTLOCにバインドされた任意のトンネルインターフェイスを意味します)または(ii) SIGインターフェイス(SIGトンネルインターフェイスに関連します)です。 いずれの場合も、追跡される部分はインターフェイス回線プロトコルです。
インターネットを使用したデュアルルータ:トラックオブジェクトはVRRPグループにバインドされます。トラッカーのオブジェクト(この場合はSIGトンネルインターフェイス)がダウンした場合、VRRPプライマリルータに通知され、プライマリからバックアップへの状態遷移がトリガーされ、バックアップルータがプライマリになります。この状態の変化は、次の2種類の動作によって影響を受けたり、トリガーしたりできます。
TLOCの優先度の変更:他のSDWANサイトから、VRRPがサービスVPN上で実行されているサイトに着信する非対称トラフィックを回避するために、VRRPプライマリルータのTLOCの優先度は、設定されている場合に1ずつ上げられます。この値は、設定グループで変更することもできます。これにより、WANからLANへのトラフィックがVRRPプライマリルータ自体に引き付けられるようになります。LANからWANへのトラフィックは、VRRPプライマリのVRRPメカニズムによって引き付けられます。この機能は、VRRPインターフェイストラッカーとは独立しています。これは、CLIから見たオプションのコマンド(tloc-change-pref)です。
オブジェクトトラッカーの設定は、レガシー設定のシステムテンプレートを使用して行います。その後、service-VPNイーサネットインターフェイス機能テンプレートの下で、オブジェクトトラッカーをそれぞれのVRRPグループに接続します。構成グループでは、オブジェクトトラッカーを各サービスプロファイルのイーサネットインターフェイスプロファイルに追加するオプションを直接取得することで、このメカニズムが簡素化されています。 ユーザが希望する設定方法のタイプに応じて、設定方法を次に示します。
CLIの観点からは、設定は次のようになります。
(i) Using interface (Tunnel) Object Tracking :
!
track 10 interface Tunnel1 line-protocol
!
interface GigabitEthernet3
description SERVICE VPN 1
no shutdown
vrrp 10 address-family ipv4
vrrpv2
address 10.10.1.1
priority 120
timers advertise 1000
track 10 decrement 40
tloc-change increase-preference 120
exit
exit
!
(ii) Using SIG interface Object Tracking :
!
track 20 service global
!
interface GigabitEthernet4
description SERVICE VPN 1
no shutdown
vrrp 10 address-family ipv4
vrrpv2
address 10.10.2.1
priority 120
timers advertise 1000
track 20 decrement 40
tloc-change increase-preference 120
exit
exit
!
VRRPのユースケースで明示的に設定されたオブジェクトトラッカーを確認するには、2つのオプションがあります。
1. Device Optionsの下で、「VRRP Information」と入力します。
2.個々のVRRPグループ(グループID)で確認し、設定したオブジェクトトラッカーIDに基づいてトラッカーの統計情報(トラックプレフィックス名、トラック状態、不連続時間、および最終状態変更時間)を表示します。
オブジェクトトラッカーで状態変化が検出されると、それに対応するVRRPグループにアタッチされているによってその状態が変更されます。このセクションには、host name、if number、grp id、addr type、if name、vrrp group-state、state change-reason、vpn idなどの詳細が、それぞれのログ(名前はVrrp Group State Change)として入力されます。
EdgeのCLIで次のコマンドを実行します。
Router#show vrrp 10 GigabitEthernet 3
GigabitEthernet3 - Group 10 - Address-Family IPv4
State is MASTER
State duration 59 mins 56.703 secs
Virtual IP address is 10.10.1.1
Virtual MAC address is 0000.5E00.010A
Advertisement interval is 1000 msec
Preemption enabled
Priority is 120
State change reason is VRRP_TRACK_UP
Tloc preference configured, value 120
Track object 10 state UP decrement 40
Master Router is 10.10.1.3 (local), priority is 120
Master Advertisement interval is 1000 msec (expires in 393 msec)
Master Down interval is unknown
FLAGS: 1/1
Router#show track 10
Track 10
Interface Tunnel1 line-protocol
Line protocol is Up
7 changes, last change 01:00:47
Tracked by:
VRRPv3 GigabitEthernet3 IPv4 group 10
Router#show track 10 brief
Track Type Instance Parameter State Last Change
10 interface Tunnel1 line-protocol Up 01:01:02
Router#show interface Tunnel1
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Interface is unnumbered. Using address of GigabitEthernet1 (172.25.12.1)
MTU 9980 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 2/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel linestate evaluation up
Tunnel source 172.25.12.1 (GigabitEthernet1)
サービス側NATオブジェクトトラッカーは20.8/17.8リリースで導入された機能であり、service-VPN NATで使用される内部グローバルアドレス(内部スタティックNATおよび内部ダイナミックNAT)は、(i)内部ローカルアドレスが到達可能であると見つかった場合、または(ii) LAN/サービス側インターフェイスの回線プロトコルが接続されているオブジェクトトラッカーに従ってアップしている場合にのみ、OMPにアドバタイズされます。したがって、使用できるオブジェクトトラッカータイプは、(i)ルートまたは(ii)インターフェイスです。 LANプレフィクスまたはLANインターフェイスの状態に応じて、OMPを介したNATルートアドバタイズメントは追加または削除されます。Cisco SD-WAN Managerでイベントログを表示して、どのNATルートアドバタイズメントが追加または削除されたかを監視できます。
この場合、トラッカーによって使用されるプローブはありません。代わりに、(i)ルーティングテーブル内にルーティングエントリが存在するか、(ii)回線プロトコルの状態を使用して、トラッカーの状態(アップ/ダウン)が決定されます。 ルーティングエントリまたはインターフェイスの回線プロトコルに基づくトラッカーが存在する場合、対応する間隔はありません。ルーティングエントリまたはインターフェイスの回線プロトコルがダウンすると、トラックの状態もダウンの状態になります。オブジェクトトラッカーに関連付けられたNAT文で使用される内部グローバルアドレスは、ただちにOMPにアドバタイズされなくなります。 Service VPN NATトラッカーの詳細については、設定ガイドを参照してください。
LANインターフェイスまたはLANプレフィクスがダウンすると、サービス側のNATオブジェクトトラッカーが自動的にダウンします。イベントログは Cisco SD-WANマネージャ どのNATルートアドバタイズメントが追加または削除されるかを監視します。次の使用例では、クライアントは大規模ブランチのサーバにアクセスする必要があります。ただし、大きなブランチエッジ(HAの場合)のサーバを指すルートが削除された場合や、LAN側(サービス側)インターフェイスが大きなブランチのいずれかのエッジでダウンした場合に、問題が発生します。このような場合、オブジェクトトラッカーでサービス側NATを適用するときは、OMPへの内部グローバルアドレスアドバタイズメントを制御することで、クライアントからのインバウンド方向のトラフィックが常に大きなブランチ内の正しいエッジに向いていることを確認してください。OMPへのルートアドバタイズメントでこのような制御が強制されない場合、各エッジから大規模ブランチ内のサーバへの到達不能が原因で、トラフィックがブラックホール化してしまいます。
オブジェクトトラッカーの設定は、レガシー設定のシステムテンプレートを介して行われます。その後、オブジェクトトラッカーをservice-VPN機能テンプレートのそれぞれのNATステートメント(内部スタティックまたは内部ダイナミック)にアタッチします。構成グループでは、オブジェクトトラッカーを各サービスプロファイルのイーサネットインターフェイスプロファイルに追加するオプションを直接取得することで、このメカニズムが簡素化されています。 ユーザが希望する設定方法のタイプに応じて、設定方法を次に示します。
1. Add NAT Poolボタンをクリックして、NATプールを作成します(SSNATをトリガーするために必須)。
2. NatPool Name、Prefix Length、Range Start、Range End、およびDirectionなどのNATプールの詳細を指定します。
3. 同じセクションのStatic NATに移動し、Add New Static NATボタンをクリックします。(オブジェクトトラッカーを内部ダイナミックプールNATに接続することもできます)。
4. 送信元IP、変換済み送信元IP、スタティックNAT方向などの詳細を指定します。
5. Associate Object Trackerフィールドで、ドロップダウンリストから以前に作成したオブジェクトトラッカーを選択します。
1. New NAT Poolボタンをクリックして、NAT Poolを作成します(SSNATをトリガーするために必須)。
2. NATプール名、NATプールプレフィックス長、NATプール範囲の開始、NATプール範囲の終了、NAT方向などのNATプールの詳細を提供します。
3. 同じセクションのスタティックNATに移動し、New Static NATボタンをクリックします。(オブジェクトトラッカーを内部ダイナミックプールNATに接続することもできます)。
4. 送信元IPアドレス、変換済み送信元IPアドレス、スタティックNAT方向などの詳細を提供します。
5. 「オブジェクト・トラッカーの追加」フィールドに、以前に作成したオブジェクト・トラッカーの名前を入力します。
CLIの観点からは、設定は次のようになります。
(i) Using route-based object tracking on SSNAT (inside static or inside dynamic) :
!
track 20 ip route 192.168.10.4 255.255.255.255 reachability
ip vrf 1
!
ip nat pool natpool10 14.14.14.1 14.14.14.5 prefix-length 24
ip nat inside source list global-list pool natpool10 vrf 1 match-in-vrf overload
ip nat inside source static 10.10.1.4 15.15.15.1 vrf 1 match-in-vrf track 20
!
(ii) Using interface-based object tracking on SSNAT (inside static or inside dynamic) :
!
track 20 interface GigabitEthernet3 line-protocol
!
ip nat pool natpool10 14.14.14.1 14.14.14.5 prefix-length 24
ip nat inside source list global-list pool natpool10 vrf 1 match-in-vrf overload
ip nat inside source static 10.10.1.4 15.15.15.1 vrf 1 match-in-vrf track 20
!
NATの使用例では、明示的に設定されたオブジェクトトラッカーの確認には2つの領域があります。
1. デバイスオプションで、「IP NAT Translation」と入力します。
2. Individual NAT Translationで、設定したObject Tracker IDに基づいてエントリの統計情報(Insideローカルアドレス/ポート、Insideグローバルアドレス/ポート、Outsideローカルアドレス/ポート、Outsideグローバルアドレス/ポート、VRF ID、VRF名およびプロトコル)を表示します。
OMPにプルーニングされているNATルートに対応するオブジェクトトラッカーで状態変化が検出されると、「NAT Route Change」という名前のイベントが表示されます。このイベントには、ホスト名、オブジェクトトラッカー、アドレス、マスク、ルートタイプ、更新などの詳細が含まれています。このアドレスとマスクは、スタティックNAT文の下で設定された内部グローバルアドレスにマッピングされます。
EdgeのCLIで次のコマンドを実行します。
Router#show ip nat translations vrf 1
Pro Inside global Inside local Outside local Outside global
--- 15.15.15.1 10.10.1.4 --- ---
icmp 15.15.15.1:4 10.10.1.4:4 20.20.1.1:4 20.20.1.1:4
Total number of translations: 2
Router#show track 20
Track 20
IP route 192.168.10.4 255.255.255.255 reachability
Reachability is Up (OSPF)
4 changes, last change 00:02:56
VPN Routing/Forwarding table "1"
First-hop interface is GigabitEthernet3
Tracked by:
NAT 0
Router#show track 20 brief
Track Type Instance Parameter State Last Change
20 ip route 192.168.10.4/32 reachability Up 00:03:04
Remote-Router#show ip route vrf 1 15.15.15.1
Routing Table: 1
Routing entry for 15.15.15.1/32
Known via "omp", distance 251, metric 0, type omp
Redistributing via ospf 1
Advertised by ospf 1 subnets
Last update from 10.10.10.12 on Sdwan-system-intf, 00:03:52 ago
Routing Descriptor Blocks:
* 10.10.10.12 (default), from 10.10.10.12, 00:03:52 ago, via Sdwan-system-intf
Route metric is 0, traffic share count is 1
Remote-Router#show sdwan omp routes 15.15.15.1/32
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 1 15.15.15.1/32 1.1.1.3 1 1003 C,I,R installed 10.10.10.12 mpls ipsec - None None -
1.1.1.3 2 1003 Inv,U installed 10.10.10.12 biz-internet ipsec - None None -
1.1.1.3 3 1003 C,I,R installed 10.10.10.12 public-internet ipsec - None None -
改定 | 発行日 | コメント |
---|---|---|
2.0 |
17-Feb-2025
|
投稿者を追加しました。 |
1.0 |
11-Feb-2025
|
初版 |