はじめに
本ドキュメントでは、WAN 回線側でのパケット制御による Control Connection 通信への影響が考えられる場合について記載いたします。
WAN 回線側でのパケット制御による Control Connection 通信への影響
お使いいただいているプロバイダによっては、特定の DSCP 値のパケットに対して何かしらの制限をかけている可能性があります。
この際、制限の内容によっては Control Connection 通信への影響が出ることが考えられます。
WAN 回線側では障害が出ていないが極稀に vManage, vSmart との Control Connection が切れることがある、といったことがある場合、以下のトラブルシューティングが有効となる場合があります。
- Control Connection 通信パケットの DSCP 値の確認をして期待する値になっているかを確認する
- DSCP 値の変更を実施して挙動が変わるかを確認する
なお、ACL 等で明示的に変更していない場合、vManage, vSmart と WAN Edge 間の Control Connection 通信パケットの DSCP 値は 48 です。
Control Connection 通信パケットの DSCP 値の確認
tcpdump や Packet Trace を用いて確認することができます。
それぞれ以下がご参考となります。
SD-WAN : viptela OS の tcpdump コマンドによるパケットキャプチャ
IOS-XE: Packet Trace 機能の紹介
以下は vManage 上で WAN Edge との Control Connection 通信を確認した場合の例です。
vmanage# tcpdump vpn 0 interface eth0 options " -n src 10.0.0.1 -v"
tcpdump -p -i eth0 -s 128 -n src 10.0.0.1 -v in VPN 0
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 128 bytes
23:53:58.370391 IP (tos 0xc0, ttl 63, id 54306, offset 0, flags [DF], proto UDP (17), length 168)
10.0.0.1.12346 > 192.168.100.1.12446: UDP, length 140
23:53:59.371259 IP (tos 0xc0, ttl 63, id 54640, offset 0, flags [DF], proto UDP (17), length 168)
10.0.0.1.12346 > 192.168.100.1.12446: UDP, length 140
23:54:00.372738 IP (tos 0xc0, ttl 63, id 55396, offset 0, flags [DF], proto UDP (17), length 168)
10.0.0.1.12346 > 192.168.100.1.12446: UDP, length 140
10.0.0.1 が WAN Edge、192.168.100.1 が vManage の IP アドレスです。
DSCP 値の変更をしていないため、"tos 0xc0" と DSCP 値として 48 を示す値となっています。
Control Connection 通信パケットの DSCP 値の変更
以下は DSCP 値を 48 から 40 に書き換える場合のサンプルコンフィグレーションです。
cEdge
sdwan
interface GigabitEthernet0/0/0
access-list rewrite-dscp out
exit
!
policy
access-list rewrite-dscp
sequence 10
match
dscp 48
!
action accept
count rewrite-dscp48
set
dscp 40
!
!
!
default-action accept
!
vEdge
vpn 0
interface ge0/0
access-list acl-rewrite-dscp out
!
policy
access-list acl-rewrite-dscp
sequence 10
match
dscp 48
!
action accept
count rewrite-dscp48
set
dscp 40
!
!
!
default-action accept
!
!
なお、DSCP 値の変更をする際は DSCP 値の変更の影響を受けない回線から機器にアクセスして実施することを強く推奨いたします。
参考情報
Troubleshoot Control Connections
Forwarding and QoS (cEdge)
Forwarding and QoS (vEdge)