ポリシー構成のタグ付け

表 1. 機能の履歴

機能名

リリース情報

説明

Cisco Catalyst SD-WAN コントローラ の CLI テンプレートを使用した Cisco Catalyst SD-WAN ポリシー設定のタグ付けのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a

Cisco vManage リリース 20.9.1

この機能を使用すると、複数のポリシーオブジェクトを 1 つのタグにグループ化できます。Cisco Catalyst SD-WAN の一元管理型ポリシーまたはローカライズ型ポリシーでタグメカニズムを使用すると、次の機能を利用できます。

  • Cisco Catalyst SD-WAN コントローラCisco IOS XE Catalyst SD-WAN デバイス の間のポリシーのダウンロード速度を制御する。

  • Cisco Catalyst SD-WAN コントローラ で定義されたリストの管理を改善する。

  • インテントベース ネットワークの設定をより適切に整理する。

ポリシー構成のタグ付けに対応したデバイス

表 2. 対応デバイスとリリース

リリース

サポートされるデバイス数

Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a 以降

  • Cisco Catalyst 8500 シリーズ エッジ プラットフォーム

  • Cisco Catalyst 8300 シリーズ エッジ プラットフォーム

  • Cisco Catalyst 8200 シリーズ エッジ プラットフォーム

  • Cisco Catalyst 8200 uCPE シリーズ エッジ プラットフォーム

  • Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ

  • Cisco ISR 1000 および ISR 4000 シリーズ サービス統合型ルータ(ISR)

  • Cisco ISR 1100 および ISR 1100X シリーズ サービス統合型ルータ(ISR)

  • Cisco IR1101 耐環境性能 サービス統合型ルータ

  • Cisco CSR 1000v シリーズ クラウド サービス ルータ(CSR 1000V)

  • Cisco Catalyst 8000V Edge ソフトウェア(Catalyst 8000V)

これらの各デバイスファミリでサポートされるモデルの詳細については、「Cisco SD-WAN Device Compatibility」のページを参照してください。

ポリシー構成のタグ付けに関する制約事項

  • data-prefix-lists、data-ipv6-prefix-lists、および app-lists タグメンバーのみが対応しています。

  • 同一タグ内で方向属性ありとなし両方のタグを設定することはできません。

  • Cisco SD-WAN コントローラ CLI テンプレートのみを使用したタグの構成がサポートされています。

  • マルチテナントには対応していません。

  • 構成できるタグの数は、最大 255 までです。

  • 構成できるタグごとのオブジェクトは 64 までです。

ポリシー構成のタグ付けについて

ポリシー構成のタグ付けは、ポリシーオブジェクトをグループ化し、ポリシーを定義してさまざまなトラフィックフローにタグの値を割り当てることができる機能です。タグは、インテントベースのネットワーク設定を実現するために使用されるポリシーオブジェクトの機能に基づいて、名前を付けることができます。Cisco SD-WAN コントローラ を通じてプロビジョニングされるこれらのタグは、トラフィック分類のポリシールールで使用されます。

各タグの作成時には、一意のタグ ID を割り当てることができます。

タグメンバーは、タグオブジェクトで直接参照されるタグ名で定義できます。タグメンバーは、方向属性ありにもなしにもできます。対応タグメンバーのタイプは次のとおりです。

  • Data-prefix-list

  • Data-ipv6-prefix-list

  • App-list

Data-prefix-list および data-ipv6-prefix-list は方向属性であり、data-policy のマッチステートメントで送信元または宛先のキーワードとして照合されます。アプリケーションリストは方向を示さない属性です。アプリケーション リスト ポリシーのマッチステートメントでは、アプリケーション ID などの方向を示さないキーワードを使用できます。方向を示す属性と方向を示さない属性を同一タグ内でグループ化することはできません。

ローカライズ型ポリシーと一元管理型ポリシーの下で、マッチ基準に設定されたタグを適用できます。デバイスはタグ設定を処理し、タグがポリシーで参照されると、その設定をデータプレーンに適用します。

構成タイプ機能を使用して、構成内のオブジェクトにタグを付けることができます。構成タグは、データポリシー、アプリケーション認識型ルーティングポリシー、ローカライズ型アクセスリストポリシーなどの Cisco Catalyst SD-WAN 一元管理型ポリシーで使用されます。次のタグ属性は、以下のようなポリシー マッチ シーケンス ステートメントで使用されます。

  • Source-tag-instance

  • Destination-tag-instance

  • Tag-instance

図 1. Cisco Catalyst SD-WAN ネットワークでのポリシー構成のタグ付け

図に示すように、Cisco SD-WAN コントローラ で一意のタグ ID を持つポリシーオブジェクトを使用してタグを設定できます。タグ ID が割り当てられると、これらのタグはネットワーク内の Cisco IOS XE Catalyst SD-WAN デバイス にプッシュされ、そこでこれらのタグが参照されます。デバイスは次に、ポリシールールで使用されるタグからポリシーリストオブジェクトを抽出します。

ポリシー構成のタグ付け機能

  • 対応しているのは、構成タイプのタグのみです。

  • オブジェクト構成グループのタグ付けに対応しています。

  • 対応しているタグメンバーは、data-prefix-lists、data-ipv6-prefix-lists、および app-lists です。

  • 定義済みタグと呼ばれるタグ中心のモデルによる構成タグの定義をサポートします。

  • Cisco SD-WAN Manager からの Cisco SD-WAN コントローラ CLI テンプレートを介した構成の追加のみをサポートします。

タグ付けのワークフロー

  1. Cisco SD-WAN コントローラ で、ネットワークインテントに基づくタグを作成します。

  2. 次のポリシー リスト オブジェクト メンバーを追加します。

    • 各ロケーションのデータプレフィックス

    • アプリケーションの app-lists

    ポリシーリストオブジェクトは、タグインスタンスに追加した後でも、ワークフローでいつでも定義できます。

  3. これらのタグをネットワーク内の Cisco IOS XE Catalyst SD-WAN デバイス にプッシュします。

  4. 複数のマッチシーケンスを含むポリシーを作成し、Cisco Catalyst SD-WAN のデータポリシー、アプリケーション認識型ルーティングポリシー、およびアクセスリストポリシーにタグオブジェクトを含めます。

  5. タグを追加または削除すると、ステータスが自動的にポリシーに反映されます。

  6. ポリシーを更新して、新しいタグオブジェクトを含めます。

図 2. タグ付けワークフローの例示

ポリシー構成のタグ付けの利点

ポリシー構成のタグ付けを使用する利点は次のとおりです。

  • ポリシーオブジェクトの再利用を有効化。

  • 構成サイズとシーケンスを削減して、デバイスでのポリシーのダウンロードを高速化。

  • 異なるポリシー間でのタグ共有のサポート。

  • ユーザー定義のインテントで、ネットワーク全体の可視性または相関関係を有効化。

  • Cisco SD-WAN コントローラCisco IOS XE Catalyst SD-WAN デバイス の間のポリシー設定のダウンロード速度を制御。

  • コントローラで定義されたリストの管理を改善。

  • インテントベースネットワークの設定について整理。

CLI テンプレートを使用したポリシー構成のタグ付け設定

はじめる前に

コントローラとエッジデバイスがすべて最新バージョン(Cisco Catalyst SD-WAN 制御コンポーネントリリース 20.9.xCisco vManage リリース 20.9.1、およびCisco IOS XE Catalyst SD-WAN リリース 17.9.1a)に更新されていることを確認します。

CLI テンプレートを使用したポリシー構成のタグ付け設定

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。


(注)  

デフォルトでは、CLI テンプレートはグローバル コンフィギュレーション モードでコマンドを実行します。

このセクションでは、Cisco SD-WAN コントローラ CLI テンプレートを使用してタグインスタンスと一元管理型ポリシーを設定するための CLI 設定の例を示します。

ポリシー構成のタグ付けの作成

  1. Cisco SD-WAN コントローラ で新しいオブジェクトである tag-instance を設定します。 

    tag-instances [tag-instance] [lists]

  2. app-lists、data-ipv6-prefix-list、data-prefix-list などのメンバー属性を持つタグインスタンスを作成します。タグインスタンスはタグ名ごとにグローバルな一意の ID を持つようにします。タグ設定は、次のタグを参照するデバイスにのみプッシュされます。

    tag-instance tag-instance-name [id global-unique-id][app-list app-list-name] [data-prefix-list prefix-list-name] [data-ipv6-prefix-list ipv6-prefix-list-name]

  3. タグインスタンスリストを設定します。

    lists[app-list app-list-name] [data-prefix-list prefix-list-name] [data-ipv6-prefix-list ipv6-prefix-list-name]
ポリシー一致基準へのタグインスタンスの追加

  1. ローカライズされたアクセスリストポリシー(ACL および IPv6 ACL)を設定して、一致する属性に宛先タグまたは送信元タグインスタンスを含めます。

    match [destination-tag-instance dest-tag-name | source-tag-instance src-tag-name]

  2. 一致する属性に destination-tag-instance、source-tag-instance、または tag-instance を含めるように、一元管理型データポリシーを設定します。

    match [destination-tag-instance dest-tag-name | source-tag-instance  src-tag-name | tag-instance  tag-name]

  3. 一致する属性に destination-tag-instance、source-tag-instance、または tag-instance を含めるように、一元管理型のアプリケーション認識型ルーティング(AAR)ポリシーを設定します。

    match[destination-tag-instance dest-tag-name | source-tag-instance src-tag-name | tag-instance  tag-name]

タグインスタンスを作成するための設定例の全容を次に示します。これにはローカライズ型ポリシーと一元管理型ポリシーの一致属性としてのタグインスタンスも含まれます。


****Tag Configuration*****
tag-instances
 tag-instance blue
  id  2000
  data-ipv6-prefix-list v6_pfx1 v6_pfx2
 !
 tag-instance orange
  id  3000
  app-list appl1 appl2
 !
 lists
  data-prefix-list pfx1
   ip-prefix 10.0.0.1/32
  !
  data-ipv6-prefix-list v6_pfx1
   ipv6-prefix 2001::1/128
  !
  app-list appl1
   app amazon
  !
 !
!
****Localized Policy****
policy
 lists
  data-prefix-list pfx1
   ip-prefix 10.20.24.0/24
  !
 !
 access-list acl
  sequence 10
   match
    source-tag-instance blue
   !
   action accept
    count acl_input_wc
   !
  !
  default-action drop
 !
!
****Centralized Policy *****
policy
data-policy DP1
  vpn-list vpn1
   sequence 100
    match
     tag-instance orange
    !
    action accept
    !
   !
   sequence 200
    match
     source-tag-instance blue
    !
    action drop
     count count1
    !
   !
   sequence 300
    match
     destination-tag-instance blue
    !
    action accept
    !

CLI を使用した Tag-Instances 設定の確認

以下は、Cisco IOS XE Catalyst SD-WAN デバイスCisco SD-WAN コントローラ からダウンロードされたタグを表示する show sdwan tag-instances from-vsmart コマンドの出力例です。 

Device# show sdwan tag-instances from-vsmart
tag-instances-from-vsmart
 tag-instance APP_facebook_TAG9
  id       60000
  app-list apps_facebook
 tag-instance APP_office_TAG10
  id       70000
  app-list apps_ms apps_zoom
 tag-instance APP_webex_TAG8
  id       50000
  app-list apps_webex
 lists data-prefix-list multicast_pfx
  ip-prefix 10.10.20.30/8
 lists data-prefix-list pfx1
  ip-prefix 10.20.24.0/24
 lists data-prefix-list pfx21
  ip-prefix 172.16.10.10/8
 lists data-prefix-list pfx22
  ip-prefix 172.16.20.20/16
  ip-prefix 192.168.10.20/8
 lists data-ipv6-prefix-list v6_pfx1
  ipv6-prefix 2001::/64
 lists data-ipv6-prefix-list v6_pfx21
  ipv6-prefix 2001::1/128
  ipv6-prefix 2001::/64
 lists app-list apps_facebook
  app dns
  app facebook
 lists app-list apps_ms
  app ms-office-365
  app ms-office-web-apps
  app ms-services
  app ms-teams
  app pop3
 lists app-list apps_webex
  app sip
  app webex-audio
  app webex-control
  app webex-media
  app webex-meeting
  app webex-video
 lists app-list apps_zoom
  app zoom-meetings

以下は、Cisco IOS XE Catalyst SD-WAN デバイスCisco SD-WAN コントローラ からダウンロードされたポリシーを表示する show sdwan policy from-vsmart コマンドの出力例です。 

Device# show sdwan policy from-vsmart
from-vsmart sla-class SLA1
 latency 100
from-vsmart data-policy DATA_POLICY
 direction from-service
 vpn-list vpn_1
  sequence 11
   match
    destination-port         5060
    protocol                 17
    source-tag-instance      DP_V4_TAG1
    destination-tag-instance DP_V4_TAG3
   action accept
    count src_dst_legacy_v4
  sequence 21
   match
    source-tag-instance DP_V4_TAG1
   action drop
    count src_v4
  sequence 31
   match
    source-tag-instance      DP_V4_TAG2
    destination-tag-instance DP_V4_TAG3
    tag-instance             APP_webex_TAG8
   action drop
    count src_dst_app_v4
  sequence 41
   match
    source-tag-instance      DP_V4_TAG1
    destination-tag-instance DP_V4_TAG3
    tag-instance             APP_facebook_TAG9
   action accept
    count src_dst_app2_v4

以下は、フォワーディングプレーン(FMAN-FP)のフォワーディングマネージャからのタグ情報を表示する show platform software common-classification コマンドの出力例です。 

Device# show platform software common-classification F0 tag all
Total Number of TAGs: 9
tag id       tag name              tag type     num clients  num sets     num member types  total members
---------------------------------------------------------------------------------------------------------
900          special_TAG7          Per Type OR  0            2            1                 2
10000        DP_V4_TAG1            Per Type OR  1            1            1                 1
11000        DP_V4_TAG2            Per Type OR  1            2            1                 2
12000        DP_V4_TAG3            Per Type OR  1            6            1                 6
20000        DP_V6_TAG4            Per Type OR  1            1            1                 1
21000        DP_V6_TAG5            Per Type OR  1            2            1                 2
50000        APP_webex_TAG8        Per Type OR  1            1            1                 1
60000        APP_facebook_TAG9     Per Type OR  1            1            1                 1
70000        APP_office_TAG10      Per Type OR  1            2            1                 2

Device# show platform software common-classification f0 tag 1 summary
TAG ID: 1
TAG TYPE: Per Type OR
TAG Name: net1
Is Dummy: F

client data:
  client id     client name           
  ----------------------------------
  166           SDWAN                 

member data:
  Prefix List           6             
  App List              3             

Device# show platform software common-classification f0 tag 1 prefixList 
 member details:
  member detail type    member id     member data 
  ------------------------------------------------
  IPv4 Prefix List      65537         100           
  IPv6 Prefix List      65538         101           
  IPv4 Prefix List      65540         103           
  IPv6 Prefix List      65541         104           
  IPv6 Prefix List      65544         107           
  IPv4 Prefix List      65546         109           

Device# show platform software common-classification f0 tag 1 appList 
 member details:
  member detail type    member id     member data   
  ------------------------------------------------
  App List              65539         102           
  App List              65542         105           
  App List              65545         108           

Device# show platform software common-classification f0 tag 1 set 
Total Number of SETs: 18
  Set ID        member detail type    member id     member data   
  --------------------------------------------------------------
  1             IPv4 Prefix List      65537         100           
  1             App List              65539         102           
  2             IPv4 Prefix List      65537         100           
  2             App List              65542         105           
  3             IPv4 Prefix List      65537         100           
  3             App List              65545         108           
  4             IPv6 Prefix List      65538         101           
  4             App List              65539         102           
  5             IPv6 Prefix List      65538         101