소개
이 문서에서는 Azure에 구축된 Cisco Catalyst 8000Vs의 성능을 향상하는 방법에 대해 설명합니다.
Azure의 Catalyst 8000V 처리량 개선
Cisco Cloud OnRamp for Multicloud를 통해 사용자는 SD-WAN Manager(UI 또는 API)를 사용하여 Azure의 NVA에 Cisco Catalyst 8000V 가상 라우터를 직접 구축할 수 있습니다.
Cloud OnRamp 자동화를 통해 사용자는 Azure에서 가상 WAN, 가상 허브를 원활하게 생성하고 검색할 수 있으며 가상 네트워크에 대한 연결을 구축할 수 있습니다.
Cisco Catalyst 8000Vs가 Azure에 구축되면 SD-WAN Manager에서 가상 어플라이언스를 모니터링하고 관리할 수 있습니다.
이 문서에서는 Azure에서 성능을 향상시키는 방법에 대해 다음 세 가지 관점에서 설명합니다.
- HSEC 라이센스 설치
- Azure의 TCP 12346 포트에 대한 처리량 제한;
- 전송 인터페이스에서 속도 자동 협상.
HSEC 라이센스 설치
정책을 사용하는 스마트 라이센싱을 사용하며 암호화된 트래픽 처리량이 250Mbps 이상을 지원해야 하는 디바이스에는 HSEC 라이센스가 필요합니다.
이는 미국의 수출 통제 규제의 요건이다. Cisco SD-WAN Manager를 사용하여 HSEC 라이센스를 설치할 수 있습니다.
Cisco SD-WAN Manager는 Cisco SSM(Smart Software Manager)에 연결하여 디바이스에 로드할 수 있는 스마트 SLAC(License Authorization Code)를 제공합니다.
디바이스에서 SLAC를 로드하면 HSEC 라이센스가 활성화됩니다.
라이센스의 설치 및 관리에 대한 자세한 내용은 Cisco Catalyst SD-WAN에서 HSEC 라이센스 관리를 참조하십시오.
Azure의 TCP 12346 포트에 대한 처리량 제한
현재 자동화는 하나의 전송 인터페이스(GigabitEthernet1)와 하나의 서비스 인터페이스(GigabitEthernet2)를 사용하여 C8000V를 구축합니다.
SD-WAN 포트 TCP 12346의 Azure 인바운드 제한으로 인해 트래픽이 Azure 인프라에 들어갈 때 전송당 인터페이스 단위로 처리량을 제한할 수 있습니다.
인바운드 제한인 200K PPS는 Azure 인프라에 의해 적용되므로 사용자는 C8000V NVA 인스턴스당 ~1Gbps를 초과할 수 없습니다(가정 예: 패킷 크기 600B, 계산: 600B * 8 = 4800비트; 4800b * 200Kpps = 960Mbps).
참고: Azure에서는 건당(티켓) 기준으로 인바운드 제한을 400K PPS로 늘릴 수 있습니다. 고객은 직접 Azure에 문의하고 증액을 요청해야 합니다.
이러한 한계를 극복하기 위해 Cisco는 Azure와 협력하여 SD-WAN 브랜치가 각 NVA 인스턴스에 여러 SD-WAN 터널을 구축할 수 있도록 했습니다.
이 컨피그레이션을 변경하려면 관리자가 다음 단계를 수행해야 합니다.
- SD-WAN Manager에서 Cloud OnRamp 자동화를 사용하여 Azure에서 C8000V를 사용하는 클라우드 게이트웨이를 구축합니다.
- Azure 포털에서 가상 허브의 NVA에 대한 IP 설정을 변경합니다.
- SD-WAN Manager에서 클라우드 포털의 설정을 사용하여 새 컨피그레이션 그룹을 생성하고 푸시합니다.

1단계:
Cisco Catalyst 8000V를 Azure에 배포하려면 이 Youtube 채널 또는 릴리스 노트에 있는 절차를 따르십시오.
2단계:
IP 설정을 변경하려면 Azure 포트 > 가상 WAN > 선택한 가상 WAN > 가상 허브 > 가상 허브의 NVA로 이동합니다.

NVA의 가상 허브 보기에서 Third party providers(서드파티 제공자) > Manage Configurations(컨피그레이션 관리)로 이동합니다.

NVA 컨피그레이션에서 Interface IP Configurations(인터페이스 IP 컨피그레이션) 및 Add Configurations(컨피그레이션 추가)로 이동합니다. IP 주소를 할당하는 데 최대 30분이 소요될 수 있습니다.

3단계:
주소가 할당되면 주소를 기록해 두고 SD-WAN Manager로 이동합니다. 모든 C8000V에 이 컨피그레이션 업데이트가 필요합니다.
CLI Addon을 통해 수행할 수 있습니다(템플릿/컨피그레이션 프로필에 있는 내용을 추가). 다음 예제 컨피그레이션을 참조하십시오.
interface Loopback 1000
ip address 10.0.0.244 255.255.255.255
no shut
exit
interface Loopback 2000
ip address 10.0.0.246 255.255.255.255
no shut
exit
interface Loopback 3000
ip address 10.0.0.247 255.255.255.255
no shut
exit
interface GigabitEthernet1
speed 10000
no ip dhcp client default-router distance 1
no ip address dhcp client-id GigabitEthernet1
ip unnumbered Loopback1000
exit
interface GigabitEthernet2
speed 10000
exit
ip route 0.0.0.0 0.0.0.0 10.0.0.241 → 10.0.0.241 IP is Loopback 1000 IP -3
ip route 10.0.0.241 255.255.255.255 GigabitEthernet1 → 10.0.0.241 IP is Loopback 1000 IP -3
interface Tunnel1
no shutdown
ip unnumbered Loopback1000
ipv6 unnumbered Loopback1000
tunnel source Loopback1000
tunnel mode sdwan
interface Tunnel2
no shutdown
ip unnumbered Loopback2000
ipv6 unnumbered Loopback2000
tunnel source Loopback2000
tunnel mode sdwan
interface Tunnel3
no shutdown
ip unnumbered Loopback3000
ipv6 unnumbered Loopback3000
tunnel source Loopback3000
tunnel mode sdwan
sdwan
interface Loopback1000
tunnel-interface
encapsulation ipsec weight 1
no border
color biz-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback2000
tunnel-interface
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 4
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface Loopback3000
tunnel-interface
encapsulation ipsec weight 1
no border
color custom1
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 3
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
interface GigabitEthernet1
no tunnel-interface
exit
exit
전송 인터페이스의 자동 협상 속도
기본 템플릿 또는 자동 생성된 컨피그레이션 그룹(GigabitEthernet1)에서 사용되는 Cisco Catalyst 8000V의 Cisco 전송 인터페이스는 연결이 설정되었는지 확인하기 위해 자동 협상을 통해 구성됩니다.
(1Gb 이상의) 더 나은 성능을 얻으려면 인터페이스의 속도를 10Gb로 설정하는 것이 좋습니다. 이는 서비스 인터페이스(GigabitEthernet2)에도 적용됩니다. 협상된 속도를 확인하려면 다음 명령을 실행합니다.
azure-central-us-1#sh int gi1
GigabitEthernet1 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.e2ff (bia 000d.3a92.e2ff)
Internet address is 10.48.0.244/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
…
azure-central-us-1#sh int gi2
GigabitEthernet2 is up, line protocol is up
Hardware is vNIC, address is 000d.3a92.ea8a (bia 000d.3a92.ea8a)
Internet address is 10.48.0.229/28
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
참고: 이 문서에서는 NVA(Cloud OnRamp Automation)를 사용하는 Azure의 C8000V 배포에 초점을 맞추고 있지만 자동 협상 속도는 VNets, AWS 및 Google 배포의 Azure 배포에도 적용할 수 있습니다.
이를 변경하려면 템플릿(구성 > 템플릿 > 기능 템플릿 > Cisco VPN 인터페이스 이더넷)/컨피그레이션 그룹(가이드 참조)을 변경합니다. 또는 디바이스가 CLI에서 관리되는 경우 관리자가 CLI에서 이를 수정할 수 있습니다.