SD-WAN自動トンネリングのトラブルシューティング

はじめに

このドキュメントでは、SD-WAN自動トンネリングの仕組みについて説明します。

概要

この記事では、SD-WANルータの自動トンネリングの仕組みについて説明します。

前提条件と設定ガイドは次の場所から入手できます。

• Cisco SD-WANセキュリティ設定ガイド、Cisco IOS XEリリース17.x
• vEdgeルータ向けセキュリティ設定ガイド、Cisco SD-WANリリース20

詳細

Cisco vManageで設定が完了すると、テンプレートがSD-WANルータにプッシュされます。

• SD-WANルータはAPIコール(management.api.umbrella.comに対し、キーとシークレットを使用)を実行して、Umbrellaダッシュボードにトンネルを作成します 
• 次に、SD-WANルータ（v17.5より前）はハードコードされたFQDNを解決し、最も近いDCを決定します。
  • global-a.vpn.sig.umbrella.com
  • global-b.vpn.sig.umbrella.com
• v17.5以降では、vManageはUmbrellaトンネルDCを選択するオプションを提供します。これは、ハードコードされたFQDNが望ましくない包括トンネルDCに解決される場合に役立ちます。

       screenshot.png

• SD-WANルータがUmbrella VPNヘッドエンドへのIPSec接続を開始

トラブルシューティングとFAQ

Q:Umbrellaダッシュボードにトンネル登録が表示されない場合はどうなりますか。

A: Umbrella Management APIのキーとシークレットが正しいかどうかを確認します。  TCP 443経由でmanagement.api.umbrella.comへの接続をブロックするものがないことを確認します。

Q:IPSec自動トンネルが領域の外側のDCに接続されているのはなぜですか。

A：次にUmbrellaトンネルDCのリストを示します。トンネル経由でCisco Umbrellaに接続します。Umbrellaはエニーキャストテクノロジーを使用して最も近いDCを決定します。選択したDCは地理的に最も近くにない可能性があります。

接続されたUmbrellaトンネルDCが理想的でない場合は、SD-WANルータをv17.5にアップグレードするか、手動による方法cEdge vEdgeを使用してください。

Q:Umbrellaダッシュボードのトンネル名を変更してお客様のサイトを反映するとどうなりますか。

A：特定の状況（ルータのリブートなど）では、SD-WANルータがUmbrellaダッシュボードにAPIコールを発信して、トンネルが存在するかどうか、または新しいトンネルのプロビジョニングが必要かどうかを確認するため、この設定はお勧めしません。デフォルトのトンネル名が変更されている場合、APIコールは新しいトンネルをプロビジョニングするため、お客様は新しいトンネルを適切なポリシーに関連付ける必要があります。