NAT DIA Tracker这一项功能允许您配置系统跟踪器以定期探测传输接口以确定 Internet 或外部网络是否变得不可用。这解决了我们上述提到的问题。但是该功能的在Release20.3.1开始支持(cEdge Release 17.3.1a)的功能,在模板推送的时候,在低版本存在一些限制,当前的环境中,可能很多用户的vmanage版本都在20.6.3及以下。而某些cEdge可用的接口是很有限的,通常在做tloc extension的时候我们就会用到子接口。如下的官方的文档所述,在子接口的支持NAT DIA Tracker,需要从Release17.7.1a开始。
Supported Interfaces for NAT DIA Tracker
You can configure the NAT DIA tracker for the following interfaces:
- Cellular Interfaces
- Ethernet Interfaces
- Ethernet (PPPoE) Interfaces
- Subinterfaces
- DSL Dialer Interfaces (PPPoE and PPPoA)
Restrictions for NAT DIA Tracker
- In Cisco IOS XE Release 17.6.x and earlier, the NAT DIA tracker is not supported on dialer interfaces. From Cisco IOS XE Release 17.7.1a, subinterfaces and dialer interfaces support single endpoint and dual endpoint trackers.
- DNS URL endpoint is not supported on Cisco IOS XE SD-WAN devices.
- You can apply only one tracker or tracker group to an interface.
- The NAT fallback feature is supported only from Cisco IOS XE Release 17.3.2.
- The IP address of the tunnel with address 169.254.x.x is not supported to track the zScaler endpoint on manual tunnels.
- You must configure a minimum of two single endpoint trackers to configure a tracker group.
- A tracker group can incorporate only a maximum of two single endpoint trackers.
来自 <https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/nat/nat-book-xe-sdwan/configure-nat.html#configure-nat-dia-tracker-cli>
为了验证这一限制,我们可以进行测试,查看具体的效果。在这里将记录验证的结果。
NAT DIA Tracker的配置并不复杂,如果是CLI的配置,可以参考如下:
endpoint-tracker tracker1
endpoint-ip 223.5.5.5
interval 20
threshold 500
tracker-type interface
C8K11-BR3#sho run inter Gi1
Building configuration...
Current configuration : 188 bytes
!
interface GigabitEthernet1
ip address 10.200.1.2 255.255.255.252
no ip redirects
ip nat outside
load-interval 30
negotiation auto
endpoint-tracker tracker1
arp timeout 1200
end
1、从如上的配置可以看到(配置是通过vmanage模板推送),首先调用的tracker接口是物理接口Gi1
此时通过show endpoint-tracker可以看到tracker是正常的。
2、此时尝试通过模板将tracker推送到子接口,如下所示,对比前后的配置,并没有发生变化。
继续推送,是可以推送成功的,这里可以理解为根本没有生成对应的配置,所以配置前后无差异,推送配置也没有报错。
通过show run inter <inter-name>命令可以验证,的确没有成功。
3、是否是当前设备版本不支持该功能?
这里尝试将设备转换为CLI模式,通过命令行直接进行配置。
模式转换之后,通过CLI命令行配置。
C8K11-BR3#config-t
admin connected from 127.0.0.1 using console on C8K11-BR3
C8K11-BR3(config)# interface GigabitEthernet3.1011
C8K11-BR3(config-if)# endpoint-tracker tracker1
C8K11-BR3(config-if)# commit
此时再通过show命令查看,发现子接口是可以应用配置的。自然在show run inter <inter-name>的信息中,也可以看到调用的tracker name.
4、判断问题的在vmanage侧,那么将vmanage升级到20.7.x版本(这里是是20.7.2版本)
此时的版本搭配为vmanage 20.7.2 + XE cEdge 17.5.1a,并不是推荐的兼容版本。进一步测试发现此时可以通过vmanage进行模板的推送,且可以通过show命令查看到tracker的正常状态。
【结论】结合官方文档和测试,后来也找到已知bug(CSCvv69168),在低于sdwan 20.7.x的版本中,未部署vmanage支持子接口支持NAT DIA Tracker的命令。