はじめに

本ドキュメントでは、WAN 回線側でのパケット制御による Control Connection 通信への影響が考えられる場合について記載いたします。

WAN 回線側でのパケット制御による Control Connection 通信への影響

お使いいただいているプロバイダによっては、特定の DSCP 値のパケットに対して何かしらの制限をかけている可能性があります。
この際、制限の内容によっては Control Connection 通信への影響が出ることが考えられます。
WAN 回線側では障害が出ていないが極稀に vManage, vSmart との Control Connection が切れることがある、といったことがある場合、以下のトラブルシューティングが有効となる場合があります。

• Control Connection 通信パケットの DSCP 値の確認をして期待する値になっているかを確認する
• DSCP 値の変更を実施して挙動が変わるかを確認する

なお、ACL 等で明示的に変更していない場合、vManage, vSmart と WAN Edge 間の Control Connection 通信パケットの DSCP 値は 48 です。

Control Connection 通信パケットの DSCP 値の確認

tcpdump や Packet Trace を用いて確認することができます。
それぞれ以下がご参考となります。

SD-WAN : viptela OS の tcpdump コマンドによるパケットキャプチャ

IOS-XE: Packet Trace 機能の紹介

 以下は vManage 上で WAN Edge との Control Connection 通信を確認した場合の例です。

vmanage# tcpdump vpn 0 interface eth0 options " -n src 10.0.0.1 -v"
tcpdump -p -i eth0 -s 128  -n src 10.0.0.1 -v in VPN 0
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 128 bytes
23:53:58.370391 IP (tos 0xc0, ttl 63, id 54306, offset 0, flags [DF], proto UDP (17), length 168)
    10.0.0.1.12346 > 192.168.100.1.12446: UDP, length 140
23:53:59.371259 IP (tos 0xc0, ttl 63, id 54640, offset 0, flags [DF], proto UDP (17), length 168)
    10.0.0.1.12346 > 192.168.100.1.12446: UDP, length 140
23:54:00.372738 IP (tos 0xc0, ttl 63, id 55396, offset 0, flags [DF], proto UDP (17), length 168)
    10.0.0.1.12346 > 192.168.100.1.12446: UDP, length 140

10.0.0.1 が WAN Edge、192.168.100.1 が vManage の IP アドレスです。
DSCP 値の変更をしていないため、"tos 0xc0" と DSCP 値として 48 を示す値となっています。

Control Connection 通信パケットの DSCP 値の変更

以下は DSCP 値を 48 から 40 に書き換える場合のサンプルコンフィグレーションです。

cEdge

sdwan
  interface GigabitEthernet0/0/0
   access-list rewrite-dscp out
  exit
!
policy
  access-list rewrite-dscp
   sequence 10
    match
     dscp 48
    !
    action accept
     count rewrite-dscp48
     set
      dscp 40
     !
    !
   !
   default-action accept
  !

vEdge

vpn 0
 interface ge0/0
  access-list acl-rewrite-dscp out
!
policy
 access-list acl-rewrite-dscp
  sequence 10
   match
    dscp 48
   !
   action accept
    count rewrite-dscp48
    set
     dscp 40
    !
   !
  !
  default-action accept
 !
!

なお、DSCP 値の変更をする際は DSCP 値の変更の影響を受けない回線から機器にアクセスして実施することを強く推奨いたします。

参考情報

Troubleshoot Control Connections

Forwarding and QoS (cEdge)

Forwarding and QoS (vEdge)