- はじめに
CiscoSD-WAN OSバージョン17.11からサポートされたIPv6 tloc-extension機能を使ってIPv6環境でSD-WANルータを二重化構築をする基本設定を紹介します。WAN側のIPv6アドレス取得方式がRA(光電話なし)方式とDHCPv6-PD(光電話あり/光クロス10G)方式との2種の設定方法を記載しています。 - 制限事項
IPv6 tloc-extensionはNAT66機能を利用しておりNATトラバーサルのためにSD-WANコントローラもIPv6を利用している必要があります。また、IPv4とのデュアルスタックの場合、IPv6接続を優先する設定(ipv6-strict-control true)を利用する必要があります。なお、17.11以前のバージョンでもtloc-extensionは設定可能ですがいくつかの追加コマンドが必要なため正式サポート設定となっていません。 - 構成図
- IPv6 tloc-extension
IPv6 tloc-extension機能は回線を直接収容していないルータから隣のルータを経由してSD-WANのコントロールコネクションおよびSD-WAN IPsecトンネルを接続することを可能にします。上図のようにルータ間を1本で接続しサブインタフェースを2つ作ることによってそれぞれの回線(SD-WANでのColor)向けの通信を透過させます。また、WANに直接接続されているインタフェースではNAT66のOutsideとし、これによりルータ間のIPv6プレフィックスのルーティングを考慮する必要がなくなります。オンプレ環境などの場合でNAT66を行わない場合のルータ間プレフィックスの解決には、OSPFv3等の動的ルーティングをご利用ください。 - インタフェース設定 RA方式
光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。interface GigabitEthernet0/0/0 no shutdown ipv6 dhcp client request vendor no ipv6 address dhcp #RA方式の場合明示的にipv6アドレスをDHCPでは取得しないようにする。 ipv6 address autoconfig ipv6 enable ipv6 nd autoconfig default-route ipv6 nd ra suppress all nat66 outside exit
- インタフェース設定 DHCPv6-PD方式
DHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。interface GigabitEthernet0/0/0 no shutdown ipv6 address dhcp ipv6 dhcp client vendor-class mac-address ipv6 dhcp client request vendor ipv6 dhcp client pd prefix-from-provider ipv6 address prefix-from-provider ::aa:bb:cc:dd/64 または /80 ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する ipv6 nd ra suppress all nat66 outside exit
- ルータ間サブインタフェース設定
ルータ間のサブインタフェースのアドレス設定はルータにIPv6のデフォルトルートを取得させるためにtloc-extensionの「送信側」のインタフェースにはRA方式のアドレス設定を、「受け側」のインタフェースには「固定」IPv6アドレスを付けます。これによりルータはWAN側とtloc-extension「送信側」との2つのIPv6デフォルトルートを持つことになります。利用するIPv6アドレスはいわゆるIPv6のプライベートアドレスを利用してください。interface GigabitEthernet0/0/1 no shutdown exit interface GigabitEthernet0/0/1.100 #Router1設定,Router2の場合はvlan番号を200へ no shutdown encapsulation dot1Q 100 #Router1設定,Router2の場合はvlan番号を200へ ipv6 dhcp client request vendor ipv6 address dhcp ipv6 address autoconfig ipv6 enable ipv6 nd autoconfig default-route ipv6 nd ra suppress all exit interface GigabitEthernet0/0/1.200 #Router1設定,Router2の場合はvlan番号を100へ no shutdown encapsulation dot1Q 200 #Router1設定,Router2の場合はvlan番号を100へ ipv6 address fd00:4::1/64 #Router1設定,Router2の場合はアドレスをfd00:3::1/64へ ipv6 enable exit
- SD-WANトンネル
SD-WANトンネルでIPv4とIPv6のトンネル設定をします。interface Tunnel1 no shutdown ip unnumbered GigabitEthernet0/0/0 no ip redirects ipv6 unnumbered GigabitEthernet0/0/0 no ipv6 redirects tunnel source GigabitEthernet0/0/0 tunnel mode sdwan exit interface Tunnel100001 #Router1設定,Router2の場合はvlan200を指定 no shutdown ip unnumbered GigabitEthernet0/0/1.100 no ip redirects ipv6 unnumbered GigabitEthernet0/0/1.100 no ipv6 redirects tunnel source GigabitEthernet0/0/1.100 tunnel mode sdwan exit - SD-WANセクション内設定
インタフェースSD-WANセクション内ではSD-WANトンネルインタフェースのcolorやencapなどのトンネル基本設定に加え、tloc-extensionの設定を行います。sdwan interface GigabitEthernet0/0/0 tunnel-interface encapsulation ipsec weight 1 color green exit exit interface GigabitEthernet0/0/1.100 #Router1の設定,Router2の場合はVlan番号を200へ tunnel-interface encapsulation ipsec weight 1 color silver exit exit interface GigabitEthernet0/0/1.200 #Router1の設定,Router2の場合はVlan番号を100へ tloc-extension GigabitEthernet0/0/0 exit - NAT66設定
NAT66設定は、RA方式の場合はルータの取得したIPv6アドレスを手動で設定する必要があります。
一方、DHCPv6-PD方式の場合はルータの取得したIPv6アドレスのうち、PDアドレスを変数として設定が可能です。
RA方式#Router1 nat66 prefix inside fd00:4::/64 outside 2002:1::/64 #Router2 nat66 prefix inside fd00:3::/64 outside 2002:2::/64
DHCPv6-PD方式#Router3 nat66 prefix inside fd00:6::/64 outside prefix-from-provider #Router4 nat66 prefix inside fd00:5::/64 outside prefix-from-provider - vBond IPv6ホスト(オプション)
二重化構成でのvBondアドレスを明示的に指定しておくことで障害発生、復旧時のvManage接続が安定します。ip host vbond-xxxx.sdwan.cisco.com 111.1.1.1 222.2.2.2 2001:1::1 2001:1::2 - 各種確認コマンド
show ipv6 route show nat66 prefix show sdwan control connections show sdwan bfd sessions - コマンドサンプル
(1)ipv6ルートの表示結果はデフォルトルートが2個表示されていることを確認してください。c8kv-001#sh ipv6 route IPv6 Routing Table - default - 9 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, H - NHRP, HG - NHRP registered Hg - NHRP registration summary, HE - NHRP External, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1 ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations ld - LISP dyn-eid, lA - LISP away, le - LISP extranet-policy lp - LISP publications, ls - LISP destinations-summary, a - Application m - OMP ND ::/0 [2/0] via FE80::20C:29FF:FEDA:2866, GigabitEthernet1 via FE80::20C:29FF:FEEE:CDFA, GigabitEthernet2.100 --- c8kv-002#sh ipv6 route ND ::/0 [2/0] via FE80::20C:29FF:FEDA:2870, GigabitEthernet1 via FE80::20C:29FF:FE26:93AF, GigabitEthernet2.200
(2)nat66の表示結果はtloc-extensionのインタフェースがinside、outsideはWAN側アドレスが表示されます。c8kv-001#show nat66 prefix Prefixes configured: 1 NAT66 Prefixes Id: 1 Inside FD00:4::/64 Outside 2002:1::/64 vrf default --- c8kv-002#show nat66 prefix Prefixes configured: 1 NAT66 Prefixes Id: 1 Inside FD00:3::/64 Outside 2002:2::/64 vrf default
(3)SD-WANコントロールコネクションが2つのcolorで接続されていることを確認して下さい。c8kv-001#sh sdwan control connections PEER PEER CONTROLLER PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vsmart dtls 1.1.1.2 1000 1 2001:1::102 12346 2001:1::102 12346 EFTCPOCJP gold No up 0:00:25:53 0 vsmart dtls 1.1.1.2 1000 1 2001:1::102 12346 2001:1::102 12346 EFTCPOCJP silver No up 0:00:25:53 0 vbond dtls 0.0.0.0 0 0 10.1.1.1 12346 10.1.1.1 12346 EFTCPOCJP gold - up 0:00:25:54 0 vbond dtls 0.0.0.0 0 0 10.1.1.1 12346 10.1.1.1 12346 EFTCPOCJP silver - up 0:00:25:54 0 vmanage dtls 1.1.1.3 1000 0 2001:1::103 12946 2001:1::103 12946 EFTCPOCJP gold No up 0:00:25:54 0 c8kv-001#
(4)SD-WAN IPsecが想定通り接続されていることを確認して下さい。c8kv-001#sh sdwan bfd sessions SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 8.1.1.3 2 up gold gold 2002:1::20c:29ff:fe26:93a5 2002:1::20c:29ff:feb4:5be9 12346 ipsec 7 1000 0:00:18:48 4 8.1.1.4 2 up gold gold 2002:1::20c:29ff:fe26:93a5 2002:1::20c:29ff:fecf:1e7a 12386 ipsec 7 1000 0:00:18:52 0 8.1.1.3 2 up silver silver fd00:3::20c:29ff:fe26:93af 2002:2::20c:29ff:feb4:5bf3 12386 ipsec 7 1000 0:00:18:52 0 8.1.1.4 2 up silver silver fd00:3::20c:29ff:fe26:93af 2002:2::20c:29ff:fecf:1e70 12346 ipsec 7 1000 0:00:18:47 2 c8kv-001# - Add-on-CLIでの設定の一元化
アドオンCLIを利用すると、ルータごとのConfigの一部を変数パラメータによってエクセル表で管理できます。ここではサンプルとしてtloc-extenionをアドンCLIで設定するサンプルを記載します。ルータごとにサブインタフェースのVLAN番号を反対にする、それぞれのIPv6アドレスを変更する等だけで簡単に設定することができます。nat66 prefix inside {{inside-nat66-prefix}} outside {outside-nat66-prefix_or_prefix-from-provider}} interface GigabitEthernet0/0/0 ipv6 dhcp client request vendor !ipv6 dhcp client pd prefix-from-provider !ipv6 dhcp client vendor-class mac-address ipv6 address dhcp ipv6 address autoconfig ipv6 enable ipv6 nd autoconfig default-route ipv6 nd ra suppress all nat66 outside exit interface {{tloc-ext-interface-ifname}} no shutdown negotiation auto exit interface {{tloc-ext-interface-ifname}}.{{tloc-ext-go-vlan-number}} no shutdown encapsulation dot1Q {{tloc-ext-go-vlan-number}} ipv6 dhcp client request vendor ipv6 address dhcp ipv6 address autoconfig ipv6 enable ipv6 nd autoconfig default-route ipv6 nd ra suppress all exit interface {{tloc-ext-interface-ifname}}.{{tloc-ext-come-vlan-number}} no shutdown encapsulation dot1Q {{tloc-ext-come-vlan-number}} ipv6 address {{tloc-ext-come-ipv6-address}} ipv6 enable exit sdwan interface GigabitEthernet0/0/0 tunnel-interface encapsulation ipsec interface {{tloc-ext-interface-ifname}}.{{tloc-ext-go-vlan-number}} tunnel-interface encapsulation ipsec interface {{tloc-ext-interface-ifname}}.{{tloc-ext-come-vlan-number}} tloc-extension GigabitEthernet0/0/0 exit - Cisco-SDWAN リリースノート
https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.htm - 変更履歴
2024/9/11 構成図を差し替え。図中の矢印の向きを正しくしました。
2024/10/10 RA方式のインタフェースの 設定をno ipv6 address dhcpとしました。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
