セカンダリリージョン

表 1. 機能の履歴

機能名

リリース情報

説明

マルチリージョン ファブリック:セカンダリリージョン

Cisco IOS XE リリース 17.8.1a

Cisco SD-WAN リリース 20.8.1

Cisco vManage リリース 20.8.1

セカンダリリージョンは、マルチリージョン ファブリック アーキテクチャに別のファセットを提供し、異なるプライマリ アクセス リージョン内のエッジルータ間のダイレクトトンネル接続を可能にします。エッジルータをセカンダリリージョンに割り当てると、ルータは 2 つのリージョンで同時に効果的に動作し、プライマリリージョンとセカンダリリージョンを介して異なるパスを使用できます。

セカンダリリージョンに関する情報

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

最も基本的な マルチリージョン ファブリック アーキテクチャでは、各デバイスは 1 つのリージョンに属します。あるリージョンのエッジルータから別のリージョンのエッジルータへの接続は、境界ルータとリージョン 0 を介してルーティングされるため、複数のホップが必要です。

セカンダリリージョンは、アーキテクチャに別のファセットを提供し、追加の機能を有効にします。セカンダリリージョンは、プライマリリージョンよりも単純に動作します。エッジルータのみが含まれ、異なるプライマリリージョン内のエッジルータ間のダイレクトトンネル接続が可能になります。エッジルータをセカンダリリージョンに追加すると、ルータは 2 つのリージョンで同時に効果的に動作し、プライマリリージョンとセカンダリリージョンを介して異なるパスを使用できます。

ネットワーク内に複数のセカンダリリージョンを作成して、さまざまなエッジルータセットの特定のルーティングニーズに対応できますが、エッジルータは複数のセカンダリリージョンに属することはできません。

図 1. セカンダリリージョンを含む マルチリージョン ファブリック

セカンダリリージョンの使用

次のいずれかに対してセカンダリリージョンパスを構成できます。

  • プライマリリージョンとセカンダリリージョンのパスを使用したロードバランシング

  • パフォーマンスの高いプレミアムパスとすることができる、セカンダリリージョンパスを使用するように特定のアプリケーションに指示

プライマリリージョンパスとセカンダリリージョンパス

ダイレクトパスはより少ないホップを使用するため、ダイレクトパスが宛先に到達可能な場合は、デフォルトでは、オーバーレイ マネジメント プロトコル(OMP)は、ルーティング フォワーディング レイヤへのダイレクトパスのみを有効にします。その結果、アプリケーション認識型ポリシーを含む転送レイヤは、ダイレクトパスのみを使用できます。このホップ数の比較を無効にして、トラフィックが直接のセカンダリリージョンパス(より少ないホップ)またはプライマリリージョンパス(より多くのホップ)のいずれかを使用できるようにすることができます。ホップ数の比較を無効にすると、OMP は等コスト マルチパス ルーティング(ECMP)をすべてのルートに適用し、パケットは使用可能なすべてのパスを使用できます。Cisco vManage を使用してプライマリリージョンパスとセカンダリリージョンパスの両方を使用するようにデバイスを設定を参照してください。

図 2. セカンダリリージョンを使用するダイレクトパスと、プライマリリージョンとコアリージョンを使用するマルチホップパス

制御ポリシー

Cisco vSmart コントローラ のセカンダリリージョンの制御ポリシーを作成する場合、プライマリリージョンパスまたはセカンダリリージョンパスのどちらを使用しているかに応じてトラフィックを一致させることができます。

ワークフロー

  1. デバイスで、デバイスレベルのセカンダリリージョンを構成します。

    Cisco vManage を使用したエッジルータのセカンダリリージョン ID の設定を参照してください。

  2. デバイスで、セカンダリリージョンを使用できる TLOC を指定します。

    CLI を使用した TLOC のセカンダリリージョンモードの設定を参照してください。

  3. セカンダリリージョンのみ、またはプライマリリージョンとセカンダリリージョンの両方で動作するように TLOC を構成します。

    Cisco vManage を使用した TLOC のセカンダリリージョンモードの設定を参照してください。

  4. デバイスがプライマリリージョンパスとセカンダリリージョンパスの両方を使用できるようにします。

    Cisco vManage を使用してプライマリリージョンパスとセカンダリリージョンパスの両方を使用するようにデバイスを設定を参照してください。

  5. Cisco vSmart コントローラ をセカンダリリージョンに割り当てます。セカンダリリージョンを使用するデバイスのいずれのアクセスリージョンでも動作しない Cisco vSmart コントローラ を使用します。これを確実にするために、セカンダリリージョンでのみ動作し、どのアクセスリージョンでも動作しない Cisco vSmart コントローラ を割り当てることをお勧めします。たとえば、リージョン 0 でのみ動作する Cisco vSmart コントローラ を、セカンダリリージョンでも動作するように割り当てることができます。

    Cisco vManage を使用した Cisco vSmart コントローラへのリージョンの割り当て」を参照してください。

用語

マルチリージョン ファブリック アーキテクチャへのセカンダリリージョンの導入により、ここで使用される用語を明確にすることが重要です。

用語

説明または同等の用語

コアリージョン

リージョン 0

アクセスリージョン

リージョン 0 以外のリージョン

プライマリ アクセス リージョン

プライマリリージョン

セカンダリ アクセス リージョン

セカンダリリージョン

プライマリリージョンパス

エッジルータから境界ルータへ、コアリージョンを経由、別の境界ルータへ、別のリージョンのエッジルータへのパス

セカンダリリージョンパス

あるプライマリリージョンのエッジルータ 1 から別のプライマリリージョンのエッジルータ 2 へのダイレクトパス。エッジルータ 1 と 2 は同じセカンダリリージョンにあります

セカンダリリージョンの利点

  • 異なるプライマリリージョン間で、あるエッジルータから別のエッジルータにダイレクトトンネルを使用して特定のトラフィックをルーティングする機能。

  • 異なるプライマリリージョン間のダイレクトトンネルで、データセンターへのトラフィックなど、大量のスループットを提供する機能。大量のスループットを直接ルーティングすると、過剰なトラフィックボリュームによる境界ルータの過負荷を防ぐことができます。

パスのタイプ、リージョン、またはロールによるルートの一致

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

パスタイプ

マルチリージョン ファブリック アーキテクチャの制御ポリシーを設定する場合、ルートが次のいずれかを使用しているかどうかに応じてルートを一致させることができます。

  • 階層パス:アクセスリージョンから境界ルータへ、リージョン 0 を経由して、別の境界ルータへ、さらに別のアクセスリージョンのエッジルータへのホップを含むルートに一致します。

    階層パスルートを表示するには、show sdwan omp routes コマンドを使用し、[REGION PATH] 列に 3 つのリージョンをリストするルートを書き留めます。

  • ダイレクトパス:あるエッジルータから別のエッジルータへのダイレクトパス(ダイレクトルート)に一致します。セカンダリリージョンを構成し、2 つのエッジルータをセカンダリリージョンに追加することにより、異なるアクセスリージョンのエッジルータ間のダイレクトパスを有効にすることができます。セカンダリリージョンに関する情報を参照してください。

    ダイレクトパスルートを表示するには、show sdwan omp routes コマンドを使用し、[REGION PATH] 列に 1 つのリージョンをリストするルートを書き留めます。

  • トランスポート ゲートウェイ パス:トランスポートゲートウェイ機能が有効になっているルータによって再発信されたルートに一致します。

    トランスポートゲートウェイについては、トランスポートゲートウェイに関する情報を参照してください。

リージョンとロール

パスタイプによる一致と同様に、ルートを発信するデバイスのリージョンまたはロール(エッジルータまたは境界ルータ)によってルートを一致させることができます。

セカンダリリージョンの制約事項

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

  • セカンダリリージョンは、境界ルータではなく、エッジルータにのみ適用されます。

  • ルータは、1 つのセカンダリリージョンにのみ属することができます。

  • セカンダリリージョンに割り当てる Cisco vSmart コントローラ は、セカンダリリージョンを使用するデバイスのプライマリ(アクセス)リージョンで動作してはなりません。これを確実にするために、セカンダリリージョンでのみ動作し、どのアクセスリージョンでも動作しない Cisco vSmart コントローラ を割り当てることをお勧めします。

  • トランスポートゲートウェイとして構成されているルータでセカンダリリージョンを構成することはできません。


    (注)  

    このようなルータでセカンダリリージョンを構成しようとすると、エラーが発生します。

セカンダリリージョンのユースケース

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

ユースケース 1:特定のアプリケーション トラフィック

マルチリージョン ファブリック アーキテクチャを使用している組織は、境界ルータの帯域幅の需要を削減するためにダイレクトパスルートを使用して、2 つの異なるリージョン(リージョン 1 とリージョン 2)のサイト間で特定のアプリケーション トラフィックをルーティングすることを選択します。組織は、この目的のために 2 つのサイト間にキャリアを配置します。

ネットワーク管理者は、次のように、リージョン 1 のエッジルータとリージョン 2 のエッジルータのセカンダリリージョンを構成し、2 つのルータが両方ともセカンダリリージョン 5 にあるようにします。

  • エッジルータ ER10

    • プライマリリージョン:1
    • セカンダリリージョン:5

  • エッジルータ ER20

    • プライマリリージョン:2
    • セカンダリリージョン:5

ネットワーク管理者は、エッジルータ ER10 とエッジルータ ER20 の間にダイレクトトンネルを設定し、ダイレクトトンネルを介して特定のアプリケーション トラフィックをルーティングするポリシーを設定します。

ユースケース 2:大容量データセンター

マルチリージョン ファブリック アーキテクチャを使用する組織には、エッジルータ ER10 がサービスを提供するデータセンターがリージョン 1 にあります。リージョン 2、3、および 4 のサイト(エッジルータ ER20、ER30、および ER40 によってサービスを提供)はデータセンターに接続し、大量のトラフィックを生成します。組織は、コアリージョンにプレミアム サービス プロバイダー リンクを使用します。

コアリージョンで使用されるプレミアムリンクを介して大量のデータセンタートラフィックをルーティングしないようにするために、ネットワーク管理者は、データセンター(ER10)を含み、ダイレクトトンネルを使用してデータセンターに接続できるようにするための各リモートサイト(ER20、ER30、および ER40)を含むセカンダリリージョンを構成します。大量のトラフィックにダイレクトトンネルを使用すると、コアリージョンの帯域幅の需要が減少します。

プライマリリージョンとセカンダリリージョンの構成は次のとおりです。

  • データセンター:エッジルータ ER10

    • プライマリリージョン:1
    • セカンダリリージョン:5

  • リモートサイト:エッジルータ ER20

    • プライマリリージョン:2
    • セカンダリリージョン:5

  • リモートサイト:エッジルータ ER30

    • プライマリリージョン:3
    • セカンダリリージョン:5

  • リモートサイト:エッジルータ ER40

    • プライマリリージョン:4
    • セカンダリリージョン:5

Cisco vManage を使用したセカンダリリージョンの設定

Cisco vManage を使用したエッジルータのセカンダリリージョン ID の設定

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

  1. Cisco vManage メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. 次のいずれかを実行します。

    • デバイスのシステムテンプレートを作成します。

    • テーブルで、デバイスの既存のシステムテンプレートを見つけます。テンプレートの行で […] をクリックし、[Edit] を選択します。

  4. [Basic Configuration] セクションの [Secondary Region ID] フィールドで、グローバルモードを有効にして、1 ~ 63 の範囲でセカンダリリージョンの番号を入力します。

  5. 既存のテンプレートを編集している場合は、[Update]、[Configure Device] の順にクリックして、テンプレートを使用して更新をデバイスにプッシュします。

Cisco vManage を使用した TLOC のセカンダリリージョンモードの設定

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

はじめる前に

この手順では、Cisco VPN インターフェイス イーサネット テンプレートを使用して TLOC のセカンダリリージョンモードを設定する方法について説明します。テンプレートを適用するインターフェイスの指定方法など、テンプレートの一般的な使用方法については、『Cisco SD-WAN Systems and Interfaces Configuration Guide』の「Configure VPN Ethernet Interface」を参照してください。

TLOC のセカンダリリージョンモードの設定

  1. Cisco vManage メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. 次のいずれかを実行します。

    • デバイスの Cisco VPN インターフェイス イーサネット テンプレートを作成します。

    • テーブルで、デバイスの既存の Cisco VPN インターフェイス イーサネット テンプレートを見つけます。テンプレートの行で […] をクリックし、[Edit] を選択します。

  4. [Tunnel] セクションに移動し、そのセクション内の [Advanced Options] セクションに移動します。

  5. [Enable Secondary Region] フィールドで、グローバルモードを有効にして、次のいずれかのオプションを選択します。

    オプション

    説明

    Only in Secondary Region

    セカンダリリージョンのトラフィックのみを処理するようにインターフェイスを構成します。

    Shared Between Primary and Secondary Regions

    プライマリリージョンとセカンダリリージョンでトラフィックを処理するようにインターフェイスを構成します。

    (注)  

    インターフェイスは、システムレベルでデバイスに構成されたセカンダリリージョンの割り当てを継承します。

  6. 既存のテンプレートを編集している場合は、[Update]、[Configure Device] の順にクリックして、テンプレートを使用して更新をデバイスにプッシュします。

Cisco vManage を使用してプライマリリージョンパスとセカンダリリージョンパスの両方を使用するようにデバイスを設定

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

  1. Cisco vManage メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. 次のいずれかを実行します。

    • デバイスの Cisco OMP テンプレートを作成します。

    • テーブルで、デバイスの既存の OMP テンプレートを見つけます。テンプレートの行で […] をクリックし、[Edit] を選択します。

  4. [Best Path] セクションに移動し、[Ignore Region-Path Length During Best-Path Algorithm] フィールドで [On] を選択します。

    [On] を選択すると、テンプレートは [Direct-Tunnel Path] と [Hierarchical Path] を自動的に選択します。


    (注)  

    デフォルト値は [Off] です。デフォルトでは、ダイレクトパスのホップ数が少ないため、OMP は階層パスよりもダイレクトトンネルパスを優先します。

  5. 既存のテンプレートを編集している場合は、[Update]、[Configure Device] の順にクリックして、テンプレートを使用して更新をデバイスにプッシュします。

CLI を使用したセカンダリリージョンの設定

CLI を使用したエッジルータのセカンダリリージョン ID の設定

  1. コンフィギュレーション モードを入力します。

    Device#config-transaction

  2. システム コンフィギュレーション モードを開始します。

    Device(config)#system

  3. リージョンとセカンダリリージョンを割り当てます。

    デバイスには、1 つのセカンダリリージョンのみを割り当てることができます。以前にデバイスにセカンダリリージョンを割り当てていた場合は、新しいセカンダリリージョンの割り当てが以前の割り当てに置き換わります。

    1 つ以上の TLOC インターフェイスのセカンダリ リージョン トラフィックを有効にすると、インターフェイスは、システムレベルで割り当てたセカンダリリージョン ID を継承します。

    Device(config-system)#region region-id secondary-region region-id

Device#config-transaction
Device(config)#system
Device(config-system)#region 1 secondary-region 20

CLI を使用した TLOC のセカンダリリージョンモードの設定

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

  1. コンフィギュレーション モードを入力します。

    Device#config-transaction

  2. VPN 0 コンフィギュレーション モードを開始します。

    Device(config)#sdwan

  3. インターフェイスを指定します。

    Device(config-sdwan)#interface interface

  4. トンネル インターフェイス コンフィギュレーション モードを開始します。

    Device(config-sdwan-interface)#tunnel-interface

  5. TLOC に対して次のいずれかのモードを選択して、TLOC がプライマリリージョンおよびセカンダリリージョンのトラフィックに使用されるように、またはセカンダリリージョンのトラフィック専用に使用されるように TLOC を設定します。

    モード

    説明

    secondary-only

    TLOC は、デバイスのセカンダリリージョンのトラフィックのみを処理できます。

    secondary-shared

    TLOC は、デバイスのプライマリリージョンとセカンダリリージョンのトラフィックを処理できます。

    		 
    Device(config-tunnel-interface)#region {secondary-only | secondary-shared}

例 1

この例では、プライマリリージョンとセカンダリリージョンのトラフィックを処理するように TLOC を設定します。


Device#config-transaction
Device(config)#sdwan
Device(config-sdwan)#interface GigabitEthernet0/0/0
Device(config-interface-GigabitEthernet0/0/0)#tunnel-interface
Device(config-tunnel-interface)#region secondary-shared

例 2

この例では、TLOC がセカンダリリージョンのトラフィックを処理しない、デフォルトの動作を復元します。


Device#config-transaction
Device(config)#sdwan
Device(config-sdwan)#interface GigabitEthernet0/0/0
Device(config-interface-GigabitEthernet0/0/0)#tunnel-interface
Device(config-tunnel-interface)#no region

CLI を使用してプライマリリージョンパスとセカンダリリージョンパスの両方を使用するようにデバイスを設定

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

  1. コンフィギュレーション モードを入力します。

    Device#config-transaction

  2. OMP コンフィギュレーション モードを開始します。

    Device(config)#sdwan omp

  3. デバイスがプライマリリージョンパス(複数ホップ)とセカンダリリージョンパス(ダイレクトパス)の両方を使用できるようにします。

    Device(config-omp)#best-path region-path-length ignore

(注)  

この機能を無効にするには、このコマンドの no 形式を使用します。

Cisco vManage を使用したデバイスのセカンダリリージョンの割り当ての確認

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

  1. Cisco vManage メニューから、[Monitor] > [Devices] の順に選択します。

  2. テーブルで、デバイスをクリックします。

  3. [Real Time] をクリックします。

  4. [Device Options] フィールドで、[Control Local Properties] を選択します。

    [Region ID Set] フィールドには、プライマリリージョンとセカンダリリージョンが表示されます。

CLI を使用したデバイスのセカンダリリージョンの割り当ての確認

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

デバイスで show sdwan running-config system コマンドを使用して、セカンダリリージョンが設定されていることを確認します。[region] フィールドと [secondary-region] フィールドには、プライマリリージョンとセカンダリリージョンが表示されます。

Device#show sdwan running-config system
system
 system-ip             175.2.55.10
 domain-id             1
 site-id               2200
 region 2
  secondary-region 20
 !

デバイスで show sdwan omp summary コマンドを使用して、プライマリリージョン ID([region-id] フィールド内)とセカンダリリージョン ID([secondary-region-id] フィールド内)を確認することもできます。

Device#show sdwan omp summary
...
region-id                    1
secondary-region-id          20

CLI を使用したインターフェイスのセカンダリリージョンモードの確認

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

インターフェイスのセカンダリリージョンモードを表示するには、show sdwan running-config sdwan コマンド(Cisco IOS XE SD-WAN デバイス)または show running-config vpn 0 interface interface-name コマンド(Cisco vEdge デバイス)を使用します。[region] フィールドにモードが表示されます。モードオプションは、[secondary-only] と [secondary-shared] です。

次の例は、Cisco IOS XE SD-WAN デバイス の場合です。 

Device#show sdwan running-config sdwan
sdwan
 interface GigabitEthernet1
  ip address 173.3.1.11/24
  tunnel-interface
   encapsulation ipsec
   color 3g
   no allow-service bgp
   allow-service dhcp
   allow-service dns
   allow-service icmp
   no allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service ospf
   no allow-service stun
   allow-service https
   region secondary-only
  !
  no shutdown
 !
!

次の例は、Cisco vEdge デバイス の場合です。 

Device#show running-config vpn 0 interface ge0/1
vpn 0
 interface ge0/1
  ip address 173.3.1.11/24
  tunnel-interface
   encapsulation ipsec
   color 3g
   no allow-service bgp
   allow-service dhcp
   allow-service dns
   allow-service icmp
   no allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service ospf
   no allow-service stun
   allow-service https
   region secondary-only
  !
  no shutdown
 !
!

CLI を使用したインターフェイスのセカンダリリージョンの割り当ての確認

サポートされている最小リリース:Cisco IOS XE リリース 17.8.1aCisco vManage リリース 20.8.1

デバイスで、show sdwan control local-properties コマンド(Cisco IOS XE SD-WAN デバイス)または show control local-properties コマンド(Cisco vEdge デバイス)を使用して、各インターフェイスのリージョン割り当てを表示します。

show sdwan control local-properties コマンドの出力では、インターフェイスごとに、[REG IDs] 列にリージョンの割り当てが表示されます。

Device#show sdwan control local-properties
...
                  PUBLIC          PUBLIC PRIVATE         PRIVATE   PRIVATE                      MAX   RESTRICT/           LAST         SPI TIME    NAT  VM  
INTERFACE         IPv4            PORT   IPv4            IPv6      PORT    VS/VM COLOR    STATE CNTRL CONTROL/     LR/LB  CONNECTION   REMAINING   TYPE CON REG
                                                                                                      STUN                                              PRF IDs
----------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet1       172.2.2.11      12366  172.2.2.11      ::        12366    4/1  lte      up     2      no/yes/no   No/No  0:00:00:16   0:11:58:49  N    5  2   
GigabitEthernet2       173.2.2.11      12366  173.2.2.11      ::        12366    4/0  3g       up     2      no/yes/no   No/No  0:00:00:16   0:11:58:49  N    5  2,10

show control local-properties コマンドの出力では、インターフェイスごとに、[REGION IDs] 列にリージョンの割り当てが表示されます。

Device#show control local-properties
           PUBLIC          PUBLIC PRIVATE         PRIVATE  PRIVATE                     MAX     CONTROL/           LAST         SPI TIME    NAT  CON REGION
INTERFACE  IPv4            PORT   IPv4            IPv6     PORT     VS/VM COLOR  STATE CNTRL   STUN        LR/LB  CONNECTION   REMAINING   TYPE PRF IDs   
----------------------------------------------------------------------------------------------------------------------------------------------------------
ge0/0      172.3.1.11      12366  172.3.1.11      ::       12366    4/1  lte     up     2      no/yes/no   No/No  0:00:00:04   0:11:59:38  N    5  3 
ge0/1      173.3.1.11      12366  173.3.1.11      ::       12366    4/0  3g      up     2      no/yes/no   No/No  0:00:00:04   0:11:59:56  N    5  10