- はじめに
- 技術概要
- シナリオ
- シナリオの構成、バージョン情報
- vManageのPolicy関連の設定
- Site Listの設定
- VPN Listの設定
- Application Listの設定
- Data Policyの設定
- Centralized Policyの設定
- vSmartに投入されたCentralized Policyの設定
- cEdgeがvSmartから取得したCentralized Policyの内容
- 状態確認
- 正常時
- cEdge1のMPLS回線を収容しているインタフェースダウン時
- 備考 : 各機器のCLIの設定
- vManageの設定
- vBondの設定
- vSmartの設定
- cEdge1の設定
- cEdge2の設定
- R1の設定
- R2の設定
はじめに
この記事では、Cisco SD-WANのData Policyを使用し、特定のアプリケーションの転送先のWAN回線を指定する方法、及び、状態確認の方法を紹介致します。
技術概要
Data Policyを使用することで、アプリケーション単位で転送に使用するWAN回線を指定可能です。これにより、遅延に敏感な音声通信などを品質の良いMPLS回線経由で転送することなどが可能になります。
シナリオ
Data Policyを設定し、正常時はMPLS回線を使用してYoutubeのトラフィックを転送します。MPLS回線がダウンした場合、Youtubeのトラフィックをインターネット回線に迂回させます。
Site 2のPCでブラウザを起動し、Youtubeにアクセスし、動画を視聴します。動画視聴開始後に、cEdge1のMPLS回線向けのインタフェース(g3)からLANケーブルを抜線します。
シナリオの構成、バージョン情報
本シナリオでは、以下のソフトウェアイメージを使用します。
- viptela-vmanage-20.7.1-genericx86-64.ova
- viptela-edge-20.7.1-genericx86-64.ova
- viptela-smart-20.7.1-genericx86-64.ova
- c8000v-universalk9.17.07.01a.ova
vManageのPolicy関連の設定
Site Listの設定
Site Listを使用し、Data Policyの適用対象のSiteを定義します。
VPN Listの設定
VPN Listを使用し、Data Policyの適用対象のVPNを定義します。
Application Listの設定
Application Listを使用し、Data Policyの適用対象のアプリケーションを定義します。
Data Policyの設定
Data Policyを作成し、正常時はYoutubeのトラフィックをMPLS回線に転送し、MPLS回線障害時はYoutubeのトラフィックをインタネット回線に転送するルールを定義します。
Data PolicyではLocal TLOCアクションにより、トラフィックの転送に使用するTLOCを指定可能です。今回のシナリオでは、正常時はMPLS回線を使用するため、Local TLOCのColorにmetro-ethernet、EncapsulationにIPSECを指定します。
Restrictオプションが有効な場合、Local TLOCで指定したTLOCがダウンしていると、このルールに合致するトラフィックは破棄されます。Restrictオプションが無効な場合、他のTLOCを使用して、トラフィックの転送を継続可能です。今回のシナリオでは、MPLS回線障害時にYoutubeのトラフィックをインターネット回線に迂回させるため、Restrictオプションは無効にします。
Centralized Policyの設定
Centralized Policyにおいて、Data Policyの適用対象のSiteとVPNを指定します。
Directionはどの方向のトラフィックに対してData Policyを適用するかを指定するパラメータになります。From Serviceの場合はService SideからTransport Sideに転送されるトラフィック、From Tunnelの場合はTransport SideからService Sideに転送されるトラフィックに対してData Policyが適用されます。Allの場合はService SideからTransport Sideに転送されるトラフィックとTransport SideからService Sideに転送されるトラフィックの両方に対してData Policyが適用されます。
vSmartに投入されたCentralized Policyの設定
policy
data-policy _VPN_1_Data_Policy
vpn-list VPN_1
sequence 1
match
source-ip 0.0.0.0/0
app-list Youtube
!
action accept
set
local-tloc-list
color metro-ethernet
encap ipsec
!
!
!
!
default-action accept
!
!
lists
vpn-list VPN_1
vpn 1
!
app-list Youtube
app youtube
app youtube_hd
app ytimg
!
site-list Site_1
site-id 1
!
site-list Site_2
site-id 2
!
!
!
apply-policy
site-list Site_1
data-policy _VPN_1_Data_Policy from-service
!
site-list Site_2
data-policy _VPN_1_Data_Policy from-service
cEdgeがvSmartから取得したCentralized Policyの内容
cEdge2#show sdwan policy from-vsmart
from-vsmart data-policy _VPN_1_Data_Policy
direction from-service
vpn-list VPN_1
sequence 1
match
source-ip 0.0.0.0/0
app-list Youtube
action accept
set
local-tloc-list
color metro-ethernet
encap ipsec
default-action accept
from-vsmart lists vpn-list VPN_1
vpn 1
from-vsmart lists app-list Youtube
app youtube
app youtube_hd
app ytimg
状態確認
正常時
Site 2のPCでブラウザを起動し、Youtubeにアクセスします。
オーバレイトンネルの状態はshow sdwan bfd sessionsコマンドで確認可能です。cEdge2のインターネット回線、MPLS回線の両方において、cEdge1とのBFDセッションがアップしていることが確認できます。
cEdge2#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------------------
1.1.1.1 1 up biz-internet biz-internet 172.16.2.2 172.16.1.1 12346 ipsec 7 1000 0:04:15:07 0
1.1.1.1 1 up metro-ethernet metro-ethernet 192.168.1.2 192.168.1.1 12346 ipsec 7 1000 0:01:01:00 0
トラフィックが経由しているWAN回線はshow sdwan app-fwd dpi flow detailコマンドで確認可能です。YoutubeのトラフィックがMPLS回線を経由していることが確認できます。
cEdge2#clear sdwan app-fwd dpi flow-all show sdwan app-fwd dpi flows detail
app-fwd cflowd flows-detail vpn 1 src-ip 10.2.2.100 dest-ip 173.194.49.248 src-port 49752 dest-port 443 dscp 0 ip-proto 6 tcp-cntrl-bits 218 icmp-opcode 0 total-pkts 7 total-bytes 885 start-time "Tue Jan 11 13:08:26 2022" egress-intf-name GigabitEthernet3 ingress-intf-name GigabitEthernet4 application youtube family web drop-cause "No Drop" drop-octets 0 drop-packets 0 sla-not-met 0 color-not-met 0 queue-id 2 tos 0 dscp-output 0 sampler-id 0 fec-d-pkts 0 fec-r-pkts 0 pkt-dup-d-pkts-orig 0 pkt-dup-d-pkts-dup 0 pkt-dup-r-pkts 0 pkt-cxp-d-pkts 0 traffic-category 0 service-area 0 ssl-read-bytes 0 ssl-written-bytes 0 ssl-en-read-bytes 0 ssl-en-written-bytes 0 ssl-de-read-bytes 0 ssl-de-written-bytes 0 ssl-service-type 0 ssl-traffic-type 0 ssl-policy-action 0 appqoe-action 0 appqoe-sn-ip 0.0.0.0 appqoe-pass-reason 0 appqoe-dre-input-bytes 0 appqoe-dre-input-packets 0 appqoe-flags 0 output-tunnel 1 local-tloc IP 2.2.2.2 local-tloc color metro-ethernet remote-tloc IP 1.1.1.1 remote-tloc color metro-ethernet encap ipsec
また、最近のCisco SD-WANでは、NWPI(Network Wide Path Insight)と呼ばれる機能が追加されました。NWPIによって、vManageのGUI上で、トラフィックがどのTLOC経由で転送されているかをリアルタイムで確認可能です。
また、トラフィックがどのような順番で処理されたも確認可能です。
cEdge1のMPLS回線を収容しているインタフェースダウン時
cEdge1のMPLS回線を収容しているインタフェース(g3)からLANケーブルを抜線します。
show sdwan bfd sessionsコマンドを実行すると、cEdge2のMPLS回線において、cEdge1とのBFDセッションがダウンしていることが確認できます。
cEdge2#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------------------
1.1.1.1 1 up biz-internet biz-internet 172.16.2.2 172.16.1.1 12346 ipsec 7 1000 3:01:27:47 0
1.1.1.1 1 down metro-ethernet metro-ethernet 192.168.1.2 192.168.1.1 12346 ipsec 7 1000 NA 2
show sdwan app-fwd dpi flow detailコマンドを実行するとYoutubeのトラフィックがインターネット回線に迂回していることが確認できます。
cEdge2#clear sdwan app-fwd dpi flow-all show sdwan app-fwd dpi flows detail
app-fwd cflowd flows-detail vpn 1 src-ip 10.2.2.100 dest-ip 172.217.174.118 src-port 49838 dest-port 443 dscp 0 ip-proto 6 tcp-cntrl-bits 218 icmp-opcode 0 total-pkts 7 total-bytes 1552 start-time "Tue Jan 11 14:14:39 2022" egress-intf-name GigabitEthernet2 ingress-intf-name GigabitEthernet4 application youtube family web drop-cause "No Drop" drop-octets 0 drop-packets 0 sla-not-met 0 color-not-met 0 queue-id 2 tos 0 dscp-output 0 sampler-id 0 fec-d-pkts 0 fec-r-pkts 0 pkt-dup-d-pkts-orig 0 pkt-dup-d-pkts-dup 0 pkt-dup-r-pkts 0 pkt-cxp-d-pkts 0 traffic-category 0 service-area 0 ssl-read-bytes 0 ssl-written-bytes 0 ssl-en-read-bytes 0 ssl-en-written-bytes 0 ssl-de-read-bytes 0 ssl-de-written-bytes 0 ssl-service-type 0 ssl-traffic-type 0 ssl-policy-action 0 appqoe-action 0 appqoe-sn-ip 0.0.0.0 appqoe-pass-reason 0 appqoe-dre-input-bytes 0 appqoe-dre-input-packets 0 appqoe-flags 0 output-tunnel 2 local-tloc IP 2.2.2.2 local-tloc color biz-internet remote-tloc IP 1.1.1.1 remote-tloc color biz-internet encap ipsec
NWPIにおいても、YoutubeのトラフィックがMPLS回線からインターネット回線に迂回していることが確認できます。
備考 : 各機器のCLIの設定
vManageの設定
system host-name vManage system-ip 10.1.10.11 site-id 10 organization-name TEST_LAB001 vbond 172.16.10.21 ! vpn 0 interface eth0 ip address 172.16.10.11/24 tunnel-interface ! no shutdown ! ip route 0.0.0.0/0 172.16.10.254
vBondの設定
system host-name vBond system-ip 10.1.10.21 site-id 10 organization-name TEST_LAB001 vbond 172.16.10.21 local vbond-only ! vpn 0 interface ge0/0 ip address 172.16.10.21/24 tunnel-interface encapsulation ipsec ! no shutdown ! ip route 0.0.0.0/0 172.16.10.254
vSmartの設定
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name TEST_LAB001
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
!
policy
data-policy _VPN_1_Data_Policy
vpn-list VPN_1
sequence 1
match
source-ip 0.0.0.0/0
app-list Youtube
!
action accept
set
local-tloc-list
color metro-ethernet
encap ipsec
!
!
!
!
default-action accept
!
!
lists
vpn-list VPN_1
vpn 1
!
app-list Youtube
app youtube
app youtube_hd
app ytimg
!
site-list Site_1
site-id 1
!
site-list Site_2
site-id 2
!
!
!
apply-policy
site-list Site_1
data-policy _VPN_1_Data_Policy from-service
!
site-list Site_2
data-policy _VPN_1_Data_Policy from-service
cEdge1の設定
system system-ip 1.1.1.1 site-id 1 admin-tech-on-failure organization-name TEST_LAB001 vbond 172.16.10.21 ! vrf definition 1 address-family ipv4 exit-address-family ! ! ip route 0.0.0.0 0.0.0.0 172.16.1.254 ip route vrf 1 0.0.0.0 0.0.0.0 10.1.1.254 ! interface GigabitEthernet2 no shutdown ip address 172.16.1.1 255.255.255.0 ! interface GigabitEthernet3 no shutdown ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet4 no shutdown vrf forwarding 1 ip address 10.1.1.1 255.255.255.0 ! interface Tunnel0 no shutdown ip unnumbered GigabitEthernet2 tunnel source GigabitEthernet2 tunnel mode sdwan ! interface Tunnel1 no shutdown ip unnumbered GigabitEthernet3 tunnel source GigabitEthernet3 tunnel mode sdwan ! sdwan interface GigabitEthernet2 tunnel-interface encapsulation ipsec color biz-internet restrict no allow-service bgp ! ! ! interface GigabitEthernet3 tunnel-interface encapsulation ipsec color metro-ethernet restrict max-control-connections 0 ! ! ! policy app-visibility
cEdge2の設定
system system-ip 2.2.2.2 site-id 2 organization-name TEST_LAB001 vbond 172.16.10.21 ! vrf definition 1 address-family ipv4 exit-address-family ! ! ip route 0.0.0.0 0.0.0.0 172.16.2.254 ! interface GigabitEthernet2 no shutdown ip address 172.16.2.2 255.255.255.0 ! interface GigabitEthernet3 no shutdown ip address 192.168.1.2 255.255.255.0 ! interface GigabitEthernet4 no shutdown vrf forwarding 1 ip address 10.2.2.2 255.255.255.0 ! interface Tunnel0 no shutdown ip unnumbered GigabitEthernet2 tunnel source GigabitEthernet2 tunnel mode sdwan ! interface Tunnel1 no shutdown ip unnumbered GigabitEthernet3 tunnel source GigabitEthernet3 tunnel mode sdwan ! sdwan interface GigabitEthernet2 tunnel-interface encapsulation ipsec color biz-internet restrict ! interface GigabitEthernet3 tunnel-interface encapsulation ipsec color metro-ethernet restrict max-control-connections 0 ! policy app-visibility
R1の設定
interface GigabitEthernet2 ip address 10.1.1.254 255.255.255.0 ip nat inside ! interface GigabitEthernet3 ip address 10.125.94.81 255.255.255.128 ip nat outside ! ip nat inside source list ACL interface GigabitEthernet3 overload ! ip route 0.0.0.0 0.0.0.0 10.125.94.1 ip route 10.2.2.0 255.255.255.0 10.1.1.1 ! ip access-list extended ACL 10 permit ip any any
R2の設定
interface GigabitEthernet2 ip address 172.16.1.254 255.255.255.0 ! interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.10.254 255.255.255.0
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
