同じリージョンに2つのハブと4つのスポークがあるデュアルISPトポロジを設定する

ダウンロード オプション

  • PDF     (2.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (2.5 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 12 月 31 日
Document ID:222683

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、SD-WANウィザードを使用して、2つのハブと4つのスポークが同じリージョンにあるデュアルISPトポロジを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Secure Firewall Threat Defense(FTD)
    • Cisco Secure Firewall Management Center(FMC)
    • ソフトウェア定義型WAN(SD-WAN)

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • FTDバージョン7.6.0
    • FMCバージョン7.6.0

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    サポートされるソフトウェアおよびハードウェアプラットフォーム

    マネージャ

    FTD

    対応プラットフォーム

    • FMC >= 7.6.0およびFMC REST API

    • cdFMC >= 7.6.0

    • FDM – サポートされていません

    • ハブFTD >= 7.6.0

    • スポークFTD >= 7.3.0

    FMC >= 7.6.0で管理可能なすべてのプラットフォーム

    設定

    ネットワーク図

    Network Topology Diagramネットワークトポロジ図

    Device Listデバイス一覧

    ステップ 1:WAN-1をVPNインターフェイスとするSD-WANトポロジの作成

    Devices > VPN > Site To Siteの順に移動します。Addを選択し、Topology Nameフィールドに、VPNインターフェイスとしてWAN-1を使用する最初のトポロジの適切な名前を入力します。SD-WAN Topology>Createの順にクリックします。

    SDWAN Topology with WAN 1 as the VPN InterfaceWAN-1をVPNインターフェイスとするSD-WANトポロジの作成

    ステップ 2:プライマリハブでのダイナミック仮想トンネルインターフェイス(DVTI)の設定

    Add Hubをクリックし、Deviceドロップダウンリストからプライマリハブを選択します。Dynamic Virtual Tunnel Interface(DVTI)の横にある+アイコンをクリックします。 名前、セキュリティゾーン、およびテンプレートIDを設定し、DVTIのトンネル送信元インターフェイスとしてWAN-1を割り当てます。

    Configure a Loopback Interface

    Borrow IPドロップダウンリストから、物理インターフェイスまたはループバックインターフェイスを選択します。現在のトポロジでは、DVTIはループバックインターフェイスのIPアドレスを継承します。[OK] をクリックします。

    Configure DVTI on WAN 1

    アドレスプールを選択するか、Spoke Tunnel IP Address Poolの横にある+アイコンをクリックして、新しいアドレスプールを作成します。スポークを追加すると、ウィザードによってスポークトンネルインターフェイスが自動的に生成され、このIPアドレスプールからIPアドレスがこれらのスポークインターフェイスに割り当てられます。

    Create Spoke IP Address Pool

    プライマリハブの設定が完了したら、Addを選択して、トポロジにプライマリハブを保存します。

    Save Primary Hub in Topology

    ステップ 3:セカンダリハブでのDVTIの設定

    ここで、再度Add Hubを選択し、手順1と2を繰り返して、WAN-1をVPNインターフェイスとするトポロジ内のセカンダリハブを設定します。[Next] をクリックします。

    Configure the DVTI on the Secondary Hub

    ステップ 4:スポークの設定

    Add Spokeを選択して単一のスポークデバイスを追加するか、Add Spoke (Bulk Addition) をクリックしてトポロジに複数のスポークを追加します。現在のトポロジでは、複数のブランチFTDをトポロジに追加するために後者のオプションを使用します。Add Bulk Spokeダイアログボックスで、スポークとして追加するために必要なFTDを選択します。すべてのスポークのWAN-1の論理名と一致する共通のInterface Name Pattern、またはWAN-1に関連付けられているSecurity Zoneのいずれかを選択します。

    Choose Spokes to Add to the Topology

    Nextをクリックすると、スポークが指定されたパターンまたはセキュリティゾーンのインターフェイスを持っているかどうかがウィザードで検証されます。

    Save the Spokes in the Topology

    Addを選択すると、ウィザードによって、各スポークのトンネル送信元IPアドレスとしてハブDVTIが自動的に選択されます。

    Save the Spokes in the Topology

    ステップ 5:認証の設定

    Nextをクリックして、認証の設定を行います。デバイス認証では、Authentication Typeドロップダウンリストから、手動事前共有キー、自動生成された事前共有キー、または証明書を選択できます。Transform SetsおよびIKEv2 Policiesドロップダウンリストから、1つ以上のアルゴリズムを選択します。

    Configure the Authentication Settings

    手順 6:SD-WANの設定

    Nextをクリックして、SD-WANの設定を行います。この手順には、スポークトンネルインターフェイスの自動生成と、オーバーレイネットワークのボーダーゲートウェイプロトコル(BGP)設定が含まれます。Spoke Tunnel Interface Security Zoneドロップダウンリストから、セキュリティゾーンを選択するか、+をクリックしてセキュリティゾーンを作成します。このゾーンに、スポークの自動生成されたスタティック仮想トンネルインターフェイス(SVTI)がウィザードによって自動的に追加されます。

    オーバーレイトンネルインターフェイス間のBGP設定を自動化するには、Enable BGP on the VPN Overlay Topologyチェックボックスにチェックマークを付けます。 Autonomous System Numberフィールドに、Autonomous System(AS;自律システム)番号を入力します。Redistribute Connected Interfacesチェックボックスをオンにして、ドロップダウンリストからインターフェイスグループを選択するか、+を選択して、オーバーレイトポロジでのBGPルート再配布のハブとスポークの接続LANインターフェイスを持つインターフェイスグループを作成します。

    Configure the SDWAN Settings

    Community Tag for Local Routesフィールドに、接続されて再配布されたローカルルートのタグを付けるためにBGPコミュニティアトリビュートを入力します。この属性により、簡単なルートフィルタリングが可能になります。別のASにセカンダリハブがある場合は、Secondary Hub is in the Different Autonomous System チェックボックスにチェックマークを付けます。最後に、Enable Multiple Paths for BGP チェックボックスにチェックマークを付けて、BGPが複数のリンク間でトラフィックのロードバランシングを行えるようにします。

    Overlay Routing Configuration

    SD-WANトポロジを保存して検証するには、Finishをクリックします。

    Save and Validate the SDWAN Topology

    トポロジは、Devices > Site-to-site VPNで表示できます。最初のSD-WANトポロジのトンネルの総数は8です。

    View the Topology under Site to Site VPN

    手順 7:WAN-2をVPNインターフェイスとするSD-WANトポロジの作成

    ステップ1 ~ 6を繰り返して、WAN-2をVPNインターフェイスとして使用するSD-WANトポロジを設定します。2番目のSD-WANトポロジのトンネルの総数は8です。最終的なトポロジは次の図のようになります。

    Create an SDWAN Topology with WAN 2 as the VPN Interface

    ステップ 8:(等コストマルチパス)ECMPゾーンの設定

    各ブランチで、Routing > ECMPの順に移動し、次に示すようにプライマリとセカンダリの両方のハブに接続するWANインターフェイスとSVTIに対してECMPゾーンを設定します。これにより、リンクの冗長性が提供され、VPNトラフィックのロードバランシングが可能になります。

    Configure ECMP Zones

    ステップ 9:ハブのBGP Local Preferenceの変更

    セカンダリハブで、Routing > General Settings > BGPの順に選択します。Enable BGPをクリックして、AS Numberを設定し、Best Path Selectiondefault local preferenceの値をプライマリハブで設定されている値よりも低い値に設定します。[Save] をクリックします。これにより、プライマリハブへのルートがセカンダリハブへのルートよりも優先されるようになります。プライマリハブがダウンすると、セカンダリハブへのルートが引き継がれます。

    Modify the BGP Local Preference on the Hub

    すべてのデバイスに設定を展開します。

    確認

    トンネルステータスの確認

    SD-WANトポロジのVPNトンネルがアップしているかどうかを確認するには、Device > VPN > Site-to-Siteの順に移動します。

    Verify Tunnel Statuses in Site to Site VPN Topology

    SD-WAN VPNトンネルの詳細を表示するには、Overview > Dashboards > Site-to-site VPNの順に選択します。

    Verify Tunnel Statuses in Site to Site VPN Dashboard

    各VPNトンネルの詳細を表示するには、次の手順を実行します。

    1. トンネルにカーソルを合わせます。
    2. View Full Information(View Full Information Icon)アイコンをクリックします。トンネルの詳細とその他のアクションを示すペインが表示されます。
    3. サイドペインのCLI Detailsタブをクリックして、showコマンドとIPSecセキュリティアソシエーションの詳細を表示します。

    CLI Details

    仮想トンネルインターフェイス(VTI)の確認

    ハブのダイナミックVTIおよびスポークのスタティックVTIを表示するには、次の手順を実行します。

    1. [Device] > [Device Management]に移動します。
    2. ハブ・デバイスまたはスポーク・デバイスの編集アイコンを選択します。
    3. Interfaceタブをクリックします。
    4. ポリシーの横の [レポート(Report)] 仮想トンネル tab.


    各VTIでは、名前、IPアドレス、IPsecモード、トンネル送信元インターフェイスの詳細、トポロジ、およびリモートピアIPなどの詳細を表示できます。

    プライマリハブのDVTI:

    DVTIs on the Primary Hub

    セカンダリハブのDVTI:

    DVTIs on the Secondary Hub

    スポークのSVTI:

    SVTIs on the Spoke

    ロードバランシング、デュアルISPの冗長性、およびハブレベルの冗長性を確認するには、ブランチ1からハブへのトラフィックのみが使用されます。設定の詳細を次に示します。

    10.1.0.0.100:ブランチ1のクライアントが接続されたネットワーク

    10.10.0.0.100 – ハブ接続ネットワークのクライアント

    WAN-1_static_vti_1:ISP 1経由でハブ1へSVTI
    WAN-2_static_vti_3:ISP 2を経由したハブ1へのSVTI
    WAN-1_static_vti_2:ISP 1経由でハブ2へSVTI
    WAN-2_static_vti_4:ISP 2経由でハブ2へSVTI

    VPNトラフィックのロードバランシングの確認

    トンネルステータスは、サイト間VPNダッシュボードで確認できます。理想的には、すべてのトンネルがアクティブである必要があります。

    VPN Load Balancing Dashboard

    プライマリハブへのルートが優先されます。Branch 1でのshow routeコマンドは、ISP 1とISP 2の2つのSVTIの間で、プライマリハブに対するVPNトラフィックがロードバランシングされていることを示しています。

    VPN Load Balancing Route

    実際のVPNトラフィック用に取得された出力インターフェイスは、統合イベントで確認できます。

    VPN Load Balancing Events

    デュアルISP冗長性の確認

    ISP-2がダウンしている場合、トンネルステータスには、ISP-1経由のトンネルがアクティブであることが示されます。

    Link Redundancy Dashboard

    プライマリハブへのルートが優先されます。ブランチ1でのshow routeコマンドは、VPNトラフィックがISP-1上のSVTIを経由してプライマリハブにルーティングされることを示しています。

    Link Redundancy Routes

    実際のVPNトラフィック用に取得された出力インターフェイスは、統合イベントで確認できます。

    Link Redundancy Events

    ハブレベルの冗長性の確認

    プライマリハブがダウンすると、セカンダリハブへのトンネルがアクティブであることを示すトンネルステータスが表示されます。

    Hub Redundancy Dashboard

    プライマリハブがダウンしているため、セカンダリハブへのルートが優先されます。Branch 1でのshow routeコマンドは、ISP 1とISP 2の2つのSVTIの間で、セカンダリハブに対してVPNトラフィックがロードバランシングされていることを示しています。

    Hub Redundancy Route

    実際のVPNトラフィック用に取得された出力インターフェイスは、統合イベントで確認できます。

    Hub Redundancy Events

    更新履歴

    改定 発行日 コメント
    1.0
    02-Jan-2025
    初版

    提供

    • アシュリンレロイダルバ
      シスコソフトウェアエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています