はじめに
このドキュメントでは、SD-WANウィザードを使用して、2つのハブと4つのスポークが同じリージョンにあるデュアルISPトポロジを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Secure Firewall Threat Defense(FTD)
- Cisco Secure Firewall Management Center(FMC)
- ソフトウェア定義型WAN(SD-WAN)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- FTDバージョン7.6.0
- FMCバージョン7.6.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
サポートされるソフトウェアおよびハードウェアプラットフォーム
マネージャ
|
FTD
|
対応プラットフォーム
|
|
-
ハブFTD >= 7.6.0
-
スポークFTD >= 7.3.0
|
FMC >= 7.6.0で管理可能なすべてのプラットフォーム
|
設定
ネットワーク図
ネットワークトポロジ図
デバイス一覧
ステップ 1:WAN-1をVPNインターフェイスとするSD-WANトポロジの作成
Devices > VPN > Site To Siteの順に移動します。Addを選択し、Topology Nameフィールドに、VPNインターフェイスとしてWAN-1を使用する最初のトポロジの適切な名前を入力します。SD-WAN Topology>Createの順にクリックします。
WAN-1をVPNインターフェイスとするSD-WANトポロジの作成
ステップ 2:プライマリハブでのダイナミック仮想トンネルインターフェイス(DVTI)の設定
Add Hubをクリックし、Deviceドロップダウンリストからプライマリハブを選択します。Dynamic Virtual Tunnel Interface(DVTI)の横にある+アイコンをクリックします。 名前、セキュリティゾーン、およびテンプレートIDを設定し、DVTIのトンネル送信元インターフェイスとしてWAN-1を割り当てます。

Borrow IPドロップダウンリストから、物理インターフェイスまたはループバックインターフェイスを選択します。現在のトポロジでは、DVTIはループバックインターフェイスのIPアドレスを継承します。[OK] をクリックします。

アドレスプールを選択するか、Spoke Tunnel IP Address Poolの横にある+アイコンをクリックして、新しいアドレスプールを作成します。スポークを追加すると、ウィザードによってスポークトンネルインターフェイスが自動的に生成され、このIPアドレスプールからIPアドレスがこれらのスポークインターフェイスに割り当てられます。

プライマリハブの設定が完了したら、Addを選択して、トポロジにプライマリハブを保存します。

ステップ 3:セカンダリハブでのDVTIの設定
ここで、再度Add Hubを選択し、手順1と2を繰り返して、WAN-1をVPNインターフェイスとするトポロジ内のセカンダリハブを設定します。[Next] をクリックします。

ステップ 4:スポークの設定
Add Spokeを選択して単一のスポークデバイスを追加するか、Add Spoke (Bulk Addition) をクリックしてトポロジに複数のスポークを追加します。現在のトポロジでは、複数のブランチFTDをトポロジに追加するために後者のオプションを使用します。Add Bulk Spokeダイアログボックスで、スポークとして追加するために必要なFTDを選択します。すべてのスポークのWAN-1の論理名と一致する共通のInterface Name Pattern、またはWAN-1に関連付けられているSecurity Zoneのいずれかを選択します。

Nextをクリックすると、スポークが指定されたパターンまたはセキュリティゾーンのインターフェイスを持っているかどうかがウィザードで検証されます。

Addを選択すると、ウィザードによって、各スポークのトンネル送信元IPアドレスとしてハブDVTIが自動的に選択されます。

ステップ 5:認証の設定
Nextをクリックして、認証の設定を行います。デバイス認証では、Authentication Typeドロップダウンリストから、手動事前共有キー、自動生成された事前共有キー、または証明書を選択できます。Transform SetsおよびIKEv2 Policiesドロップダウンリストから、1つ以上のアルゴリズムを選択します。

手順 6:SD-WANの設定
Nextをクリックして、SD-WANの設定を行います。この手順には、スポークトンネルインターフェイスの自動生成と、オーバーレイネットワークのボーダーゲートウェイプロトコル(BGP)設定が含まれます。Spoke Tunnel Interface Security Zoneドロップダウンリストから、セキュリティゾーンを選択するか、+をクリックしてセキュリティゾーンを作成します。このゾーンに、スポークの自動生成されたスタティック仮想トンネルインターフェイス(SVTI)がウィザードによって自動的に追加されます。
オーバーレイトンネルインターフェイス間のBGP設定を自動化するには、Enable BGP on the VPN Overlay Topologyチェックボックスにチェックマークを付けます。 Autonomous System Numberフィールドに、Autonomous System(AS;自律システム)番号を入力します。Redistribute Connected Interfacesチェックボックスをオンにして、ドロップダウンリストからインターフェイスグループを選択するか、+を選択して、オーバーレイトポロジでのBGPルート再配布のハブとスポークの接続LANインターフェイスを持つインターフェイスグループを作成します。

Community Tag for Local Routesフィールドに、接続されて再配布されたローカルルートのタグを付けるためにBGPコミュニティアトリビュートを入力します。この属性により、簡単なルートフィルタリングが可能になります。別のASにセカンダリハブがある場合は、Secondary Hub is in the Different Autonomous System チェックボックスにチェックマークを付けます。最後に、Enable Multiple Paths for BGP チェックボックスにチェックマークを付けて、BGPが複数のリンク間でトラフィックのロードバランシングを行えるようにします。

SD-WANトポロジを保存して検証するには、Finishをクリックします。

トポロジは、Devices > Site-to-site VPNで表示できます。最初のSD-WANトポロジのトンネルの総数は8です。

手順 7:WAN-2をVPNインターフェイスとするSD-WANトポロジの作成
ステップ1 ~ 6を繰り返して、WAN-2をVPNインターフェイスとして使用するSD-WANトポロジを設定します。2番目のSD-WANトポロジのトンネルの総数は8です。最終的なトポロジは次の図のようになります。

ステップ 8:(等コストマルチパス)ECMPゾーンの設定
各ブランチで、Routing > ECMPの順に移動し、次に示すようにプライマリとセカンダリの両方のハブに接続するWANインターフェイスとSVTIに対してECMPゾーンを設定します。これにより、リンクの冗長性が提供され、VPNトラフィックのロードバランシングが可能になります。

ステップ 9:ハブのBGP Local Preferenceの変更
セカンダリハブで、Routing > General Settings > BGPの順に選択します。Enable BGPをクリックして、AS Numberを設定し、Best Path Selectionでdefault local preferenceの値をプライマリハブで設定されている値よりも低い値に設定します。[Save] をクリックします。これにより、プライマリハブへのルートがセカンダリハブへのルートよりも優先されるようになります。プライマリハブがダウンすると、セカンダリハブへのルートが引き継がれます。

すべてのデバイスに設定を展開します。
確認
トンネルステータスの確認
SD-WANトポロジのVPNトンネルがアップしているかどうかを確認するには、Device > VPN > Site-to-Siteの順に移動します。

SD-WAN VPNトンネルの詳細を表示するには、Overview > Dashboards > Site-to-site VPNの順に選択します。

各VPNトンネルの詳細を表示するには、次の手順を実行します。
- トンネルにカーソルを合わせます。
- View Full Information(
)アイコンをクリックします。トンネルの詳細とその他のアクションを示すペインが表示されます。
- サイドペインのCLI Detailsタブをクリックして、showコマンドとIPSecセキュリティアソシエーションの詳細を表示します。

仮想トンネルインターフェイス(VTI)の確認
ハブのダイナミックVTIおよびスポークのスタティックVTIを表示するには、次の手順を実行します。
- [Device] > [Device Management]に移動します。
- ハブ・デバイスまたはスポーク・デバイスの編集アイコンを選択します。
- Interfaceタブをクリックします。
- ポリシーの横の [レポート(Report)] 仮想トンネル tab.
各VTIでは、名前、IPアドレス、IPsecモード、トンネル送信元インターフェイスの詳細、トポロジ、およびリモートピアIPなどの詳細を表示できます。
プライマリハブのDVTI:

セカンダリハブのDVTI:

スポークのSVTI:

ロードバランシング、デュアルISPの冗長性、およびハブレベルの冗長性を確認するには、ブランチ1からハブへのトラフィックのみが使用されます。設定の詳細を次に示します。
10.1.0.0.100:ブランチ1のクライアントが接続されたネットワーク
10.10.0.0.100 – ハブ接続ネットワークのクライアント
WAN-1_static_vti_1:ISP 1経由でハブ1へSVTI
WAN-2_static_vti_3:ISP 2を経由したハブ1へのSVTI
WAN-1_static_vti_2:ISP 1経由でハブ2へSVTI
WAN-2_static_vti_4:ISP 2経由でハブ2へSVTI
VPNトラフィックのロードバランシングの確認
トンネルステータスは、サイト間VPNダッシュボードで確認できます。理想的には、すべてのトンネルがアクティブである必要があります。

プライマリハブへのルートが優先されます。Branch 1でのshow routeコマンドは、ISP 1とISP 2の2つのSVTIの間で、プライマリハブに対するVPNトラフィックがロードバランシングされていることを示しています。

実際のVPNトラフィック用に取得された出力インターフェイスは、統合イベントで確認できます。

デュアルISP冗長性の確認
ISP-2がダウンしている場合、トンネルステータスには、ISP-1経由のトンネルがアクティブであることが示されます。

プライマリハブへのルートが優先されます。ブランチ1でのshow routeコマンドは、VPNトラフィックがISP-1上のSVTIを経由してプライマリハブにルーティングされることを示しています。

実際のVPNトラフィック用に取得された出力インターフェイスは、統合イベントで確認できます。

ハブレベルの冗長性の確認
プライマリハブがダウンすると、セカンダリハブへのトンネルがアクティブであることを示すトンネルステータスが表示されます。

プライマリハブがダウンしているため、セカンダリハブへのルートが優先されます。Branch 1でのshow routeコマンドは、ISP 1とISP 2の2つのSVTIの間で、セカンダリハブに対してVPNトラフィックがロードバランシングされていることを示しています。

実際のVPNトラフィック用に取得された出力インターフェイスは、統合イベントで確認できます。
