- はじめに
- 技術概要
- シナリオ
- シナリオの構成、バージョン情報
- vManageのPolicy関連の設定
- Site Listの設定
- VPN Listの設定
- Application Listの設定
- SLA Class Listの設定
- AAR Policyの設定
- Centralized Policyの設定
- cEdgeのCLIの設定
- vSmartに投入されたCentralized Policyの設定
- cEdgeがvSmartから取得したCentralized Policyの内容
- 状態確認
- 正常時
- MPLS網で500ミリ秒の遅延発生時
- 備考 : 各機器のCLIの設定
- vManageの設定
- vBondの設定
- vSmartの設定
- cEdge1の設定
- cEdge2の設定
- R1の設定
- R2の設定
はじめに
この記事では、Cisco SD-WANのAAR(Application Aware Routing)の基本設定、及び、状態確認の方法を紹介致します。
技術概要
AARを使用することで、トラフィックの転送に使用しているWAN回線の品質(遅延、パケットロス、ジッタ)が劣化した際、別のWAN回線にトラフィックを迂回させることが可能です。
cEdge間ではHello Interval間隔でBFDパケットを送受信し、遅延、パケットロス、ジッタを測定します。 その後、Poll Interval間での測定結果の平均を算出します。最後に、Multiplier個の「Poll Interval間の平均値」の平均を算出し、回線切り替え用の閾値と比較します。
シナリオ
AAR Policyを設定し、正常時はMPLS回線を使用してYoutubeのトラフィックを転送します。もしMPLS回線の遅延が100ミリ秒を超えた場合、Youtubeのトラフィックをインターネット回線に迂回させます。
Site 2のPCでブラウザを起動し、Youtubeにアクセスし、動画を視聴します。動画視聴開始後に、MPLS網で500ミリ秒の遅延を発生させ、Youtubeのトラフィックがインターネット回線に迂回するか確認します。
シナリオの構成、バージョン情報
本シナリオでは、以下のソフトウェアイメージを使用します。
- viptela-vmanage-20.7.1-genericx86-64.ova
- viptela-edge-20.7.1-genericx86-64.ova
- viptela-smart-20.7.1-genericx86-64.ova
- c8000v-universalk9.17.07.01a.ova
vManageのPolicy関連の設定
Site Listの設定
Site Listを使用し、AAR Policyの適用対象のSiteを定義します。
VPN Listの設定
VPN Listを使用し、AAR Policyの適用対象のVPNを定義します。
Application Listの設定
Application Listを使用し、AAR Policyの適用先のアプリケーションを定義します。
SLA Class Listの設定
SLA Class Listを使用し、AAR Policyで使用する回線品質の閾値を定義します。
AAR Policyの設定
AAR Policyを作成し、遅延が100ミリ秒以下のWAN回線を使用してYoutubeのトラフィックを転送するルールを定義します。
SLA Classでは、Youtubeのトラフィックの転送に使用するWAN回線の品質を定義したSLA Class Listを指定します。正常時、YoutubeのトラフィックはこのSLAを満たすWAN回線に転送されます。
Preferred Colorでは、SLA Class Listで定義されたSLAを満たすTLOCが複数存在する際に、優先的に使用するTLOCのColorを指定します。今回、正常時はMPLS網を使用してYoutubeのトラフィックを転送させるため、Metro Ethernet Colorを指定します。
When SLA not metでは、SLA Class Listで定義されたSLAを満たすTLOCが存在しない場合の挙動を指定します。Load Balanceを指定することで、SLAを満たしていない複数のTLOCを使用して、トラフィックを分散して転送します。ただし、Backup SLA Preferred Colorが設定されている場合、Backup SLA Preferred Colorで指定されたColorのTLOCを優先的に使用し、トラフィックを転送します。
Centralized Policyの設定
Centralized Policyにおいて、AAR Policyの適用対象のSiteとVPNを指定します。
cEdgeのCLIの設定
回線品質の計算に関わるPoll IntervalとMultiplierを変更します。
デフォルトで、Poll Intervalは10分、Multiplierは6回になります。そのため、デフォルト値をそのまま使用した場合、PoCの検証等で遅延を発生させても、即座にトラフィックは迂回しません。
また、アプリケーションを可視化するたに、App Visibilityを有効にします。
bfd app-route multiplier 5 bfd app-route poll-interval 10000 ! policy app-visibility
vSmartに投入されたCentralized Policyの設定
policy
sla-class SLA_Class_List
loss 5
latency 100
jitter 100
!
app-route-policy _VPN_1_AAR_Policy
vpn-list VPN_1
sequence 1
match
source-ip 0.0.0.0/0
app-list Youtube
!
action
backup-sla-preferred-color metro-ethernet
sla-class SLA_Class_List preferred-color metro-ethernet
!
!
!
!
lists
vpn-list VPN_1
vpn 1
!
app-list Youtube
app youtube
app youtube_hd
app ytimg
!
site-list Site_1
site-id 1
!
site-list Site_2
site-id 2
!
!
!
apply-policy
site-list Site_1
app-route-policy _VPN_1_AAR_Policy
!
site-list Site_2
app-route-policy _VPN_1_AAR_Policy
cEdgeがvSmartから取得したCentralized Policyの内容
cEdge2#show sdwan policy from-vsmart
from-vsmart sla-class SLA_Class_List
loss 5
latency 100
jitter 100
from-vsmart app-route-policy _VPN_1_AAR_Policy
vpn-list VPN_1
sequence 1
match
source-ip 0.0.0.0/0
app-list Youtube
action
backup-sla-preferred-color metro-ethernet
sla-class SLA_Class_List
no sla-class strict
sla-class preferred-color metro-ethernet
from-vsmart lists vpn-list VPN_1
vpn 1
from-vsmart lists app-list Youtube
app youtube
app youtube_hd
app ytimg
状態確認
正常時
Site 2のPCでブラウザを起動し、Youtubeにアクセスします。
WAN回線の品質はshow sdwan app-route statsコマンドで確認可能です。
cEdge2#show sdwan app-route stats app-route statistics 172.16.2.2 172.16.1.1 ipsec 12366 12366 remote-system-ip 1.1.1.1 local-color biz-internet remote-color biz-internet sla-class-index 0,1 fallback-sla-class-index None app-probe-class-list None mean-loss 0 mean-latency 0 mean-jitter 0 interval 0 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 115 rx-data-pkts 625 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 1 total-packets 12 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 3 rx-data-pkts 870 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 2 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 1 rx-data-pkts 871 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 3 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 1 rx-data-pkts 868 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 4 total-packets 12 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 15 rx-data-pkts 863 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 app-route statistics 192.168.1.2 192.168.1.1 ipsec 12366 12366 remote-system-ip 1.1.1.1 local-color metro-ethernet remote-color metro-ethernet sla-class-index 0,1 fallback-sla-class-index None app-probe-class-list None mean-loss 0 mean-latency 0 mean-jitter 0 interval 0 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 349 rx-data-pkts 271 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 1 total-packets 12 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 437 rx-data-pkts 4 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 2 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 435 rx-data-pkts 0 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 3 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 440 rx-data-pkts 6 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 4 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 437 rx-data-pkts 19 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0
トラフィックが経由しているWAN回線はshow sdwan app-fwd dpi flow detailコマンドで確認可能です。YoutubeのトラフィックがMPLS網を経由していることが確認できます。
cEdge2#show sdwan app-fwd dpi flows detail app-fwd cflowd flows-detail vpn 1 src-ip 10.2.2.100 dest-ip 209.85.229.72 src-port 60264 dest-port 443 dscp 0 ip-proto 6 tcp-cntrl-bits 16 icmp-opcode 0 total-pkts 1 total-bytes 40 start-time "Tue Dec 21 04:51:37 2021" egress-intf-name GigabitEthernet3 ingress-intf-name GigabitEthernet4 application youtube family web drop-cause "No Drop" drop-octets 0 drop-packets 0 sla-not-met 0 color-not-met 0 queue-id 2 tos 0 dscp-output 0 sampler-id 0 fec-d-pkts 0 fec-r-pkts 0 pkt-dup-d-pkts-orig 0 pkt-dup-d-pkts-dup 0 pkt-dup-r-pkts 0 pkt-cxp-d-pkts 0 traffic-category 0 service-area 0 ssl-read-bytes 0 ssl-written-bytes 0 ssl-en-read-bytes 0 ssl-en-written-bytes 0 ssl-de-read-bytes 0 ssl-de-written-bytes 0 ssl-service-type 0 ssl-traffic-type 0 ssl-policy-action 0 appqoe-action 0 appqoe-sn-ip 0.0.0.0 appqoe-pass-reason 0 appqoe-dre-input-bytes 0 appqoe-dre-input-packets 0 appqoe-flags 0 output-tunnel 2 local-tloc IP 2.2.2.2 local-tloc color metro-ethernet remote-tloc IP 1.1.1.1 remote-tloc color metro-ethernet encap ipsec
また、最近のCisco SD-WANでは、NWPI(Network Wide Path Insight)と呼ばれる機能が追加されました。NWPIによって、vManageのGUI上で、トラフィックがどのTLOC経由で転送されているかをリアルタイムで確認可能です。
また、トラフィックがどのような順番で処理されたも確認可能です。
MPLS網で500ミリ秒の遅延発生時
MPLS網の遅延装置で500ミリ秒の遅延を発生させます。
show sdwan app-route statsコマンドを実行すると、MPLS網で遅延が発生していることが可能できます。
cEdge2#show sdwan app-route stats app-route statistics 172.16.2.2 172.16.1.1 ipsec 12366 12366 remote-system-ip 1.1.1.1 local-color biz-internet remote-color biz-internet sla-class-index 0,1 fallback-sla-class-index None app-probe-class-list None mean-loss 0 mean-latency 0 mean-jitter 0 interval 0 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 17 rx-data-pkts 847 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 1 total-packets 12 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 257 rx-data-pkts 40 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 2 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 290 rx-data-pkts 72 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 3 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 132 rx-data-pkts 605 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 4 total-packets 11 loss 0 average-latency 0 average-jitter 0 tx-data-pkts 1 rx-data-pkts 821 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 app-route statistics 192.168.1.2 192.168.1.1 ipsec 12366 12366 remote-system-ip 1.1.1.1 local-color metro-ethernet remote-color metro-ethernet sla-class-index 0 fallback-sla-class-index None app-probe-class-list None mean-loss 0 mean-latency 504 mean-jitter 8 interval 0 total-packets 11 loss 0 average-latency 520 average-jitter 40 tx-data-pkts 428 rx-data-pkts 47 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 1 total-packets 11 loss 0 average-latency 500 average-jitter 0 tx-data-pkts 27 rx-data-pkts 737 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 2 total-packets 11 loss 0 average-latency 500 average-jitter 0 tx-data-pkts 42 rx-data-pkts 813 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 3 total-packets 11 loss 0 average-latency 500 average-jitter 0 tx-data-pkts 310 rx-data-pkts 295 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0 interval 4 total-packets 11 loss 0 average-latency 502 average-jitter 4 tx-data-pkts 481 rx-data-pkts 1 ipv6-tx-data-pkts 0 ipv6-rx-data-pkts 0
show sdwan app-fwd dpi flow detailコマンドを実行すると、Youtubeのトラフィックがインターネット回線に迂回していることが確認できます。
cEdge2#show sdwan app-fwd dpi flows detail app-fwd cflowd flows-detail vpn 1 src-ip 10.2.2.100 dest-ip 172.217.175.86 src-port 50119 dest-port 443 dscp 0 ip-proto 6
tcp-cntrl-bits 16
icmp-opcode 0
total-pkts 1
total-bytes 41
start-time "Tue Dec 21 05:36:58 2021"
egress-intf-name GigabitEthernet2
ingress-intf-name GigabitEthernet4
application youtube
family web
drop-cause "No Drop"
drop-octets 0
drop-packets 0
sla-not-met 0
color-not-met 1
queue-id 2
tos 0
dscp-output 0
sampler-id 0
fec-d-pkts 0
fec-r-pkts 0
pkt-dup-d-pkts-orig 0
pkt-dup-d-pkts-dup 0
pkt-dup-r-pkts 0
pkt-cxp-d-pkts 0
traffic-category 0
service-area 0
ssl-read-bytes 0
ssl-written-bytes 0
ssl-en-read-bytes 0
ssl-en-written-bytes 0
ssl-de-read-bytes 0
ssl-de-written-bytes 0
ssl-service-type 0
ssl-traffic-type 0
ssl-policy-action 0
appqoe-action 0
appqoe-sn-ip 0.0.0.0
appqoe-pass-reason 0
appqoe-dre-input-bytes 0
appqoe-dre-input-packets 0
appqoe-flags 0
output-tunnel 1
local-tloc IP 2.2.2.2
local-tloc color biz-internet
remote-tloc IP 1.1.1.1
remote-tloc color biz-internet
encap ipsec
NWPIにおいても、YoutubeのトラフィックがMPLS網からインターネット回線に迂回していることが確認できます。
備考 : 各機器のCLIの設定
vManageの設定
system host-name vManage system-ip 10.1.10.11 site-id 10 organization-name TEST_LAB001 vbond 172.16.10.21 ! vpn 0 interface eth0 ip address 172.16.10.11/24 tunnel-interface ! no shutdown ! ip route 0.0.0.0/0 172.16.10.254
vBondの設定
system host-name vBond system-ip 10.1.10.21 site-id 10 organization-name TEST_LAB001 vbond 172.16.10.21 local vbond-only ! vpn 0 interface ge0/0 ip address 172.16.10.21/24 tunnel-interface encapsulation ipsec ! no shutdown ! ip route 0.0.0.0/0 172.16.10.254
vSmartの設定
system host-name vSmart system-ip 10.1.10.31 site-id 10 organization-name TEST_LAB001 vbond 172.16.10.21 ! vpn 0 interface eth0 ip address 172.16.10.31/24 tunnel-interface ! no shutdown ! ip route 0.0.0.0/0 172.16.10.254
!
policy
sla-class SLA_Class_List
loss 5
latency 100
jitter 100
!
app-route-policy _VPN_1_AAR_Policy
vpn-list VPN_1
sequence 1
match
source-ip 0.0.0.0/0
app-list Youtube
!
action
backup-sla-preferred-color metro-ethernet
sla-class SLA_Class_List preferred-color metro-ethernet
!
!
!
!
lists
vpn-list VPN_1
vpn 1
!
app-list Youtube
app youtube
app youtube_hd
app ytimg
!
site-list Site_1
site-id 1
!
site-list Site_2
site-id 2
!
!
!
apply-policy
site-list Site_1
app-route-policy _VPN_1_AAR_Policy
!
site-list Site_2
app-route-policy _VPN_1_AAR_Policy
cEdge1の設定
system system-ip 1.1.1.1 site-id 1 admin-tech-on-failure organization-name TEST_LAB001 vbond 172.16.10.21 ! vrf definition 1 address-family ipv4 exit-address-family ! ! ip route 0.0.0.0 0.0.0.0 172.16.1.254 ip route vrf 1 0.0.0.0 0.0.0.0 10.1.1.254 ! interface GigabitEthernet2 no shutdown ip address 172.16.1.1 255.255.255.0 ! interface GigabitEthernet3 no shutdown ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet4 no shutdown vrf forwarding 1 ip address 10.1.1.1 255.255.255.0 ! interface Tunnel0 no shutdown ip unnumbered GigabitEthernet2 tunnel source GigabitEthernet2 tunnel mode sdwan ! interface Tunnel1 no shutdown ip unnumbered GigabitEthernet3 tunnel source GigabitEthernet3 tunnel mode sdwan ! sdwan interface GigabitEthernet2 tunnel-interface encapsulation ipsec color biz-internet restrict no allow-service bgp ! ! ! interface GigabitEthernet3 tunnel-interface encapsulation ipsec color metro-ethernet restrict max-control-connections 0 ! ! ! bfd app-route multiplier 5 bfd app-route poll-interval 10000 ! policy app-visibility
cEdge2の設定
system system-ip 2.2.2.2 site-id 2 organization-name TEST_LAB001 vbond 172.16.10.21 ! vrf definition 1 address-family ipv4 exit-address-family ! ! ip route 0.0.0.0 0.0.0.0 172.16.2.254 ! interface GigabitEthernet2 no shutdown ip address 172.16.2.2 255.255.255.0 ! interface GigabitEthernet3 no shutdown ip address 192.168.1.2 255.255.255.0 ! interface GigabitEthernet4 no shutdown vrf forwarding 1 ip address 10.2.2.2 255.255.255.0 ! interface Tunnel0 no shutdown ip unnumbered GigabitEthernet2 tunnel source GigabitEthernet2 tunnel mode sdwan ! interface Tunnel1 no shutdown ip unnumbered GigabitEthernet3 tunnel source GigabitEthernet3 tunnel mode sdwan ! sdwan interface GigabitEthernet2 tunnel-interface encapsulation ipsec color biz-internet restrict ! interface GigabitEthernet3 tunnel-interface encapsulation ipsec color metro-ethernet restrict max-control-connections 0 ! bfd app-route multiplier 5 bfd app-route poll-interval 10000 ! policy app-visibility
R1の設定
interface GigabitEthernet2 ip address 10.1.1.254 255.255.255.0 ip nat inside ! interface GigabitEthernet3 ip address 10.125.94.81 255.255.255.128 ip nat outside ! ip nat inside source list ACL interface GigabitEthernet3 overload ! ip route 0.0.0.0 0.0.0.0 10.125.94.1 ip route 10.2.2.0 255.255.255.0 10.1.1.1 ! ip access-list extended ACL 10 permit ip any any
R2の設定
interface GigabitEthernet2 ip address 172.16.1.254 255.255.255.0 ! interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.10.254 255.255.255.0
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
