排除SD-WAN自动隧道故障
简介
本文档介绍SD-WAN自动隧道的工作原理。
概述
本文介绍SD-WAN路由器自动隧道的工作原理。
提供必备条件和配置指南:
详细信息
在Cisco vManage上完成配置后,模板将被向下推送到SD-WAN路由器:
- SD-WAN路由器发出API调用(使用Key + Secret到management.api.umbrella.com),以在Umbrella控制面板上创建隧道
- 接下来,SD-WAN路由器(v17.5之前的版本)解析硬编码FQDN并确定最近的DC:
- global-a.vpn.sig.umbrella.com
- global-b.vpn.sig.umbrella.com
- 在v17.5或更高版本上,vManage提供选择Umbrella Tunnel DC的选项。当硬编码FQDN解析到不需要的伞状隧道DC时,此功能非常有用。
屏幕截图.png
- SD-WAN路由器发起到Umbrella VPN头端的IPsec连接
故障排除和常见问题
问:如果无法看到Umbrella控制面板上的隧道注册器,会发生什么情况?
A:检查Umbrella Management API Key和Secret是否正确。 确保没有阻塞通过TCP 443与management.api.umbrella.com的连接
问:为什么IPSec自动隧道连接到区域外部的DC?
A:这是Umbrella Tunnel DC的列表:通过隧道连接到Cisco Umbrella。Umbrella使用任播技术确定最近的DC。所选的DC可能不是地理上最接近的。
如果连接的Umbrella隧道DC不理想,请将SD-WAN路由器升级到v17.5或使用手动方法:cEdge vEdge
问:如果我将Umbrella Dashboard上的隧道名称重命名为反映客户的站点,会发生什么情况?
A:建议不要这样做,因为在特定情况下(例如路由器重新启动),SD-WAN路由器会向Umbrella控制面板发出API调用,以检查是否存在隧道或是否需要新的隧道调配。如果已重命名默认隧道名称,则API调用会调配新的隧道,并且客户需要将新隧道与适当的策略相关联。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
14-Oct-2025
|
初始版本 |
反馈